EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 31995L0046

Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

UL L 281, 23.11.1995, p. 31–50 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)

Dokument je bil objavljen v posebni izdaji. (CS, ET, LV, LT, HU, MT, PL, SK, SL, BG, RO, HR)

Legal status of the document No longer in force, Date of end of validity: 24/05/2018; razveljavil 32016R0679

ELI: http://data.europa.eu/eli/dir/1995/46/oj

31995L0046Uradni list L 281 , 23/11/1995 str. 0031 - 0050


Direktiva Evropskega parlamenta in Sveta 95/46/ES

z dne 24. oktobra 1995

o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti in zlasti člena 100a Pogodbe,

ob upoštevanju predloga Komisije [1],

ob upoštevanju mnenja Ekonomsko-socialnega odbora [2],

v skladu s postopkom, določenim v členu 189b Pogodbe [3],

(1) ker cilji Skupnosti, kakor jih določa Pogodba, spremenjena s Pogodbo o Evropski uniji, vključujejo ustvarjanje vse tesnejše zveze med narodi Evrope, pospeševanje tesnejših odnosov med državami, ki pripadajo Skupnosti, zagotavljanje gospodarskega in socialnega napredka s skupnim delovanjem za odstranitev pregrad, ki delijo Evropo, spodbujanje stalnega izboljševanja življenjskih razmer njenih narodov, ohranjanje in krepitev miru in svobode ter spodbujanje demokracije na podlagi temeljnih pravic, ki jih priznavajo ustave in zakoni držav članic ter Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin;

(2) ker so sistemi za obdelavo podatkov namenjeni temu, da služijo človeku; ker morajo, ne glede na državljanstvo ali stalno prebivališče fizičnih oseb, spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ter prispevati h gospodarskemu in socialnemu napredku, trgovinskemu razvoju ter blaginji posameznikov;

(3) ker ustanovitev in delovanje notranjega trga, na katerem je v skladu s členom 7a Pogodbe zagotovljen prosti pretok blaga, oseb, storitev in kapitala, zahteva ne le, da se osebni podatki lahko prosto prenašajo iz ene države članice v drugo, ampak tudi, da se zaščitijo temeljne pravice posameznikov;

(4) ker se v Skupnosti vedno pogosteje zateka k obdelavi osebnih podatkov na različnih področjih gospodarske in družbene dejavnosti; ker napredek v informacijski tehnologiji občutno olajšuje obdelavo in izmenjavo takih podatkov;

(5) ker bo gospodarsko in socialno povezovanje, ki izhaja iz ustanovitve in delovanja notranjega trga v smislu člena 7a Pogodbe, nujno vodilo k občutnemu povečanju čezmejnih prenosov osebnih podatkov med vsemi tistimi, ki so vključeni v zasebno ali javno vlogo pri gospodarski in socialni dejavnosti držav članic; ker bo izmenjava osebnih podatkov med podjetji v različnih državah članicah naraščala; ker so nacionalne oblasti v raznih državah članicah na podlagi zakonodaje Skupnosti pozvane k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljale svoje dolžnosti ali izvajale naloge v imenu oblasti v drugi državi članici v smislu območja brez notranjih meja, kakršno vzpostavlja notranji trg;

(6) ker vrh tega povečanje znanstvenega in tehničnega sodelovanja ter usklajeno vzpostavljanje novih telekomunikacijskih omrežij v Skupnosti zahtevata in olajšujeta čezmejni prenos osebnih podatkov;

(7) ker lahko razlika v ravneh varstva pravic in svoboščin posameznikov, predvsem pravice do zasebnosti glede obdelave osebnih podatkov, ki je zagotovljena v državah članicah, prepreči prenos takih podatkov z ozemlja ene države članice na ozemlje druge države članice; ker zato ta razlika lahko predstavlja oviro pri izvajanju številnih gospodarskih dejavnosti na ravni Skupnosti, izkrivlja konkurenco in ovira organe pri opravljanju njihovih obveznosti na podlagi zakonodaje Skupnosti; ker je ta razlika na ravni varstva posledica obstoja velike raznolikosti nacionalnih zakonov in drugih predpisov;

(8) ker mora biti zato, da bi odstranili ovire za prenos osebnih podatkov, raven varstva pravic in svoboščin posameznikov glede obdelave takih podatkov enakovredna v vseh državah članicah; ker je ta cilj bistven za notranji trg, vendar ga države članice same ne morejo doseči, predvsem zaradi obsega razlik, ki trenutno obstajajo med zadevno zakonodajo v državah članicah in potrebo po usklajevanju zakonodaj držav članic za zagotovitev, da se čezmejni prenos osebnih podatkov ureja na dosleden način, ki sledi cilju notranjega trga, kakor ga opredeljuje člen 7a Pogodbe; ker je za približanje teh zakonodaj potrebno ukrepanje Skupnosti;

(9) ker države članice zaradi enakovrednega varstva, ki bo posledica približevanja nacionalnih zakonodaj, ne bodo več mogle ovirati medsebojnega prostega pretoka osebnih podatkov na temelju varstva pravic in svoboščin posameznikov ter predvsem pravice do zasebnosti; ker bo državam članicam puščen manevrski prostor, ki ga lahko v okviru izvajanja te direktive izkoristijo tudi gospodarski in socialni partnerji; ker bodo lahko zato države članice v svoji nacionalni zakonodaji določile splošne pogoje, ki urejajo zakonitost obdelave podatkov; ker si pri tem države članice prizadevajo za izboljšanje varstva, ki ga trenutno predvideva njihova zakonodaja; ker bi se v mejah tega manevrskega prostora in v skladu z zakonodajo Skupnosti lahko pojavila neskladja pri izvajanju direktive in bi to lahko vplivalo na pretok podatkov znotraj države članice, pa tudi znotraj Skupnosti;

(10) ker je namen nacionalne zakonodaje o obdelavi osebnih podatkov varovati temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ki jo priznava člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin, pa tudi splošna načela zakonodaje Skupnosti; ker zato približevanje teh zakonodaj ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora imeti za cilj zagotovitev visoke ravni varstva v Skupnosti;

(11) ker načela varstva pravic in svoboščin posameznikov, predvsem pravice do zasebnosti, ki jih vsebuje ta direktiva, dajejo vsebino in razširjajo tista, ki jih vsebuje Konvencija Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov;

(12) ker morajo načela varstva veljati za kakršno koli obdelavo osebnih podatkov za vse osebe, katerih dejavnost ureja zakonodaja Skupnosti; ker je treba izključiti obdelavo podatkov, ki jo izvaja fizična oseba pri opravljanju dejavnosti, ki so izključno osebne ali domače, kakršno je dopisovanje in beleženje naslovov;

(13) ker dejavnosti iz naslovov V in VI Pogodbe o Evropski uniji glede javne varnosti, obrambe, državne varnosti ali dejavnosti države na področju kazenskega prava ne sodijo na področje uporabe zakonodaje Skupnosti, brez poseganja v obveznosti, ki so jim zavezane države članice na podlagi člena 56(2), 57 ali 100a Pogodbe o ustanovitvi Evropske skupnosti; ker obdelava osebnih podatkov, ki je potrebna za varovanje gospodarske blaginje države, ne sodi na področje uporabe te direktive, kadar se taka obdelava nanaša na zadeve državne varnosti;

(14) ker bi se morala ta direktiva glede na pomembnost potekajočega razvoja v okviru informacijske družbe v zvezi z metodami za zajetje, prenos, spreminjanje, zbiranje, shranjevanje ali sporočanje zvočnih in slikovnih podatkov v zvezi s fizičnimi osebami, uporabljati za obdelavo, ki vključuje take podatke;

(15) ker ta direktiva zajema obdelavo takih podatkov samo, če je avtomatska ali če so obdelani podatki vsebovani ali nameravajo biti vsebovani v zbirki, ki je strukturirana skladno s posebnimi merili v zvezi s posamezniki, tako da omogoča enostaven dostop do tovrstnih osebnih podatkov;

(16) ker obdelava zvočnih in slikovnih podatkov, kot na primer videonadzor, ne sodi na področje uporabe te direktive, če se izvaja zaradi javne varnosti, obrambe, državne varnosti ali med državnimi dejavnostmi v zvezi s področjem kazenskega prava ali drugih dejavnosti, ki ne sodijo v zakonodajo Skupnosti;

(17) ker se morajo načela direktive v zvezi z obdelavo zvočnih in slikovnih podatkov, ki se izvaja v novinarske namene ali zaradi literarnega ali umetniškega izražanja, predvsem na avdiovizualnem področju, uporabljati omejeno v skladu z določbami iz člena 9;

(18) ker se mora vsaka obdelava osebnih podatkov v Skupnosti izvajati v skladu z zakonodajo ene izmed držav članic, zaradi zagotovitve, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te direktive; ker bi v tej zvezi obdelavo, ki se izvaja pod odgovornostjo upravljavca, ustanovljenega v določeni državi članici, morala urejati zakonodaja te države;

(19) ker ustanovitev na ozemlju države članice pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih režimov; ker pravna oblika take ustanovitve, bodisi da je preprosto izpostava bodisi podružnica, ki je pravna oseba, v tem pogledu ni odločilen dejavnik; ker, kadar je ustanovljen en sam upravljavec na ozemlju več držav članic predvsem prek podružnic, mora zato da bi preprečil vsakršno izogibanje nacionalnim predpisom, zagotoviti, da vsaka izmed ustanovitev izpolnjuje obveznosti, ki jih nalaga nacionalna zakonodaja na področju njenih dejavnosti;

(20) ker dejstvo, da obdelavo podatkov izvaja oseba, ustanovljena v tretji državi, ne sme ovirati varstva posameznikov, ki ga opredeljuje ta direktiva; ker bi v teh primerih morala urejati obdelavo zakonodaja države članice, v kateri so uporabljena sredstva, in bi morala obstajati jamstva za zagotovitev, da se pravice in obveznosti, ki jih opredeljuje ta direktiva, spoštujejo v praksi;

(21) ker ta direktiva ne posega v pravila teritorialnosti, ki se uporabljajo v kazenskih zadevah;

(22) ker morajo države članice v zakonodaji, ki jo sprejemajo, ali kadar izvajajo na podlagi te direktive sprejete predpise, natančneje opredeliti splošne okoliščine, v katerih je obdelava zakonita; ker predvsem člen 5, skupaj s členoma 7 in 8, omogoča državam članicam ne glede na splošne predpise, da predvidijo posebne pogoje obdelave za določene sektorje in za različne vrste podatkov iz člena 8;

(23) ker so države članice pooblaščene, da zagotovijo izvajanje varstva posameznikov tako s splošno zakonodajo o varstvu posameznikov glede obdelave osebnih podatkov kot s področnimi zakoni, kakršni so tisti, ki se na primer nanašajo na statistične urade;

(24) ker ta direktiva ne vpliva na zakonodajo v zvezi z varstvom pravnih oseb glede obdelave podatkov, ki se nanje nanašajo;

(25) ker se morajo načela varstva po eni strani izražati v obveznostih, ki so naložene osebam, organom oblasti, podjetjem, agencijam ali drugim organom, odgovornim za obdelavo, predvsem glede kakovosti podatkov, tehnične varnosti, uradnega obvestila nadzornemu organu in okoliščin, v katerih se lahko izvaja obdelava, ter po drugi strani v pravici, podeljeni posameznikom, katerih podatki so predmet obdelave, da so obveščeni o potekajoči obdelavi, da imajo vpogled v podatke, da zahtevajo popravke in da v nekaterih okoliščinah celo ugovarjajo obdelavi;

(26) ker se morajo načela varstva uporabljati za vse informacije v zvezi z določeno ali določljivo osebo; ker bi bilo treba za odločitev o tem, ali je oseba določljiva ali ne, upoštevati vsa sredstva, za katera se pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe; ker se načela varstva ne uporabljajo za podatke, ki so spremenjeni v anonimne tako, da posameznik, na katerega se osebni podatki nanašajo, ni več določljiv; ker so pravila ravnanja v smislu člena 27 lahko koristen instrument za usmerjanje k načinom, s katerimi se lahko podatki spremenijo v anonimne in se ohranijo v obliki, v kateri identifikacija posameznika, na katerega se osebni podatki nanašajo, ni več mogoča;

(27) ker se mora varstvo posameznikov uporabljati za avtomatsko in za ročno obdelavo podatkov; ker obseg tega varstva dejansko ne sme biti odvisen od uporabljenih metod, sicer bi to ustvarilo resno tveganje za izogibanje izpolnjevanju obveznosti; ker kljub temu ta direktiva glede ročne obdelave zajema samo zbirke in ne nestrukturiranih zapisov; ker mora biti predvsem vsebina zbirk strukturirana v skladu s posebnimi merili glede posameznikov, tako da omogoča enostaven dostop do osebnih podatkov; ker lahko v skladu z opredelitvijo iz člena 2(c) razna merila za določanje sestavin strukturiranega niza osebnih podatkov in razna merila, ki urejajo dostop do takega niza, določi vsaka država članica; ker zapisi ali nizi zapisov, pa tudi njihove naslovnice, ki niso strukturirane v skladu s posebnimi merili, pod nobenim pogojem ne sodijo na področje uporabe te direktive;

(28) ker mora biti vsaka obdelava osebnih podatkov zakonita in poštena do zadevnih posameznikov; ker morajo biti podatki predvsem primerni, ustrezni in ne pretirani glede na namene, za katere se obdelujejo; ker morajo biti taki nameni izrecni in zakoniti ter jih je treba določiti ob zbiranju podatkov; ker nameni obdelave po zbiranju ne smejo biti nezdružljivi s prvotno določenimi;

(29) ker naj se nadaljnja obdelava osebnih podatkov v zgodovinske, statistične ali znanstvene namene na splošno ne bi štela za nezdružljivo z nameni, za katere so bili podatki predhodno zbrani, če države članice poskrbijo za primerne zaščitne ukrepe; ker morajo ti ukrepi predvsem izključiti uporabo podatkov v podporo ukrepom ali odločitvam glede katerega koli določenega posameznika;

(30) ker se mora obdelava osebnih podatkov zato, da bi bila zakonita, poleg tega izvajati s privolitvijo posameznika, na katerega se osebni podatki nanašajo, ali mora biti potrebna za sklenitev ali izvajanje pogodbe, ki je zavezujoča za posameznika, na katerega se osebni podatki nanašajo, ali kot zakonska zahteva, ali pa za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvrševanju javne oblasti, ali pri zakonitih interesih fizične ali pravne osebe, če ne prevladujejo interesi ali pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo; ker lahko države članice predvsem zato, da bi ohranjale ravnotežje med vpletenimi interesi ob zagotavljanju učinkovite konkurence, določijo okoliščine, v katerih se osebni podatki lahko uporabijo ali posredujejo tretji stranki v okviru zakonitih običajnih poslovnih dejavnosti podjetij in drugih organov; ker lahko države članice prav tako določijo pogoje, pod katerimi se osebni podatki lahko posredujejo tretji stranki v namene trženja, bodisi da se slednje izvaja komercialno ali da ga izvaja dobrodelna organizacija ali katero koli združenje ali ustanova, na primer politične narave, ob upoštevanju določb, ki omogočajo posamezniku, na katerega se osebni podatki nanašajo, da brezplačno in brez navedbe razlogov ugovarja obdelavi podatkov, ki se nanašajo nanj;

(31) ker se mora obdelava osebnih podatkov prav tako šteti za zakonito tam, kjer se izvaja za zaščito interesa, ki je bistven za življenje posameznika, na katerega se osebni podatki nanašajo;

(32) ker je naloga nacionalne zakonodaje, da določi, ali naj bo upravljavec, ki izvaja nalogo v javnem interesu ali pri izvrševanju javne oblasti, državna uprava ali druga fizična ali pravna oseba, ki jo ureja javno pravo, ali pa oseba, ki jo ureja zasebno pravo, kakršno je na primer poklicno združenje;

(33) ker se podatki, ki so po svoji naravi zmožni poseči v temeljne svoboščine ali zasebnost, ne bi smeli obdelovati, razen če posameznik, na katerega se osebni podatki nanašajo, ne da svoje izrecne privolitve; vendar pa se morajo odstopanja od te prepovedi izrecno predvideti glede posebnih potreb, predvsem kadar obdelavo teh podatkov zaradi nekaterih z zdravjem povezanih razlogov izvajajo osebe, ki so zakonsko zavezane k poklicni molčečnosti, ali med zakonitimi dejavnostmi nekaterih združenj ali ustanov, katerih namen je omogočati uresničevanje temeljnih svoboščin;

(34) ker morajo biti države članice tudi pooblaščene, kadar so zaradi pomembnega javnega interesa upravičene, da odstopijo od prepovedi obdelave občutljivih kategorij podatkov, kadar to upravičujejo pomembni razlogi javnega interesa na področjih, kakršna so javno zdravje in socialno varstvo – predvsem, da bi zagotovile kakovost in racionalnost postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja – ter kakršna so znanstvene raziskave in vladne statistike; ker morajo vseeno obvezno poskrbeti za posebne in ustrezne zaščitne ukrepe za varstvo temeljnih pravic in zasebnosti posameznikov;

(35) ker se poleg tega obdelava osebnih podatkov uradno priznanih verskih skupnosti s strani državnih organov za doseganje ciljev, ki so določeni v ustavnem pravu ali mednarodnem javnem pravu, izvaja zaradi pomembnega javnega interesa;

(36) ker, kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v nekaterih državah članicah zahteva, da politične stranke zberejo podatke o političnem prepričanju ljudi, se lahko obdelava takih podatkov dovoli zaradi pomembnega javnega interesa, če so vzpostavljeni primerni zaščitni ukrepi;

(37) ker bi morala obdelava osebnih podatkov v novinarske namene ali zaradi literarnega ali umetniškega izražanja, predvsem na avdiovizualnem področju, predstavljati izjemo od zahtev nekaterih določb te direktive, kadar je to potrebno za uskladitev temeljnih pravic posameznikov s svobodo informiranja ter predvsem s pravico do prejemanja in prenašanja podatkov, zagotovljeno predvsem s členom 10 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin; ker bi morale države članice zato določiti izjeme in odstopanja, ki so potrebni za ravnotežje med temeljnimi pravicami glede splošnih ukrepov za zakonitost obdelave podatkov, ukrepov glede prenosa podatkov v tretje države in pooblastil nadzornega organa; ker pa to ne bi smelo voditi držav članic v določanje izjem od ukrepov za zagotovitev varnosti obdelave; ker bi bilo vsaj nadzornemu organu, ki je odgovoren za to področje, tudi treba podeliti nekatera naknadna pooblastila, denimo objavljanje rednega poročila ali predložitev zadev sodnim organom;

(38) ker, če naj bo obdelava podatkov poštena, mora imeti posameznik, na katerega se osebni podatki nanašajo, možnost seznaniti se z obstojem postopka obdelave, in kadar se podatki zbirajo pri njem, se mu morajo dati natančne in polne informacije ob upoštevanju okoliščin zbiranja;

(39) ker nekateri postopki obdelave vključujejo podatke, ki jih upravljavec ni zbral neposredno od posameznika, na katerega se osebni podatki nanašajo; ker se poleg tega podatki lahko zakonito posredujejo tretji stranki, tudi če posredovanje ni bilo predvideno v času, ko so bili zbrani od posameznika, na katerega se osebni podatki nanašajo; ker bi bilo treba v vseh teh primerih posameznika, na katerega se nanašajo osebni podatki, obvestiti, kadar se podatki zbirajo ali najpozneje kadar se prvič posredujejo tretji stranki;

(40) ker pa ni treba naložiti te obveznosti, če je posameznik, na katerega se osebni podatki nanašajo, o tem že obveščen; ker poleg tega take obveznosti ne bo, če zbiranje ali posredovanje izrecno zagotavlja zakonodaja ali če se informiranje posameznika, na katerega se nanašajo osebni podatki, izkaže za nemogoče ali bi vključevalo nesorazmerne napore, kar bi se lahko zgodilo, kadar je obdelava namenjena zgodovinskim, statističnim ali znanstvenim ciljem; ker se v tem pogledu lahko upošteva število posameznikov, na katere se osebni podatki nanašajo, starost podatkov in vsi sprejeti nadomestni ukrepi;

(41) ker mora biti vsaka oseba sposobna uresničiti pravico dostopa do podatkov v obdelavi, ki se nanašajo nanjo, da bi preverila zlasti njihovo točnost in zakonitost obdelave; ker mora iz istih razlogov vsak posameznik, na katerega se osebni podatki nanašajo, imeti tudi pravico do seznanitve logike sistema, ki je vključena v avtomatsko obdelavo podatkov v zvezi z njim, vsaj pri avtomatiziranih odločitvah iz člena 15(1); ker ta pravica ne sme škodljivo vplivati na poslovne skrivnosti ali intelektualno lastnino in predvsem na avtorske pravice, ki ščitijo programsko opremo; ker to upoštevanje ne sme povzročiti, da se posamezniku, na katerega se osebni podatki nanašajo, zavrnejo vse informacije;

(42) ker lahko države članice v interesu posameznika, na katerega se osebni podatki nanašajo, ali zato da bi varovale pravice in svoboščine drugih, omejijo pravice do dostopa in informacij; ker lahko na primer določijo, da je dostop do zdravstvenih podatkov mogoč samo prek zdravstvenega delavca;

(43) ker države članice lahko prav tako naložijo omejitve pravic do dostopa in informacij ter nekaterih obveznosti upravljavca, če so potrebne na primer za zaščito državne varnosti, obrambe, javne varnosti ali pomembnih gospodarskih ali finančnih interesov države članice ali Unije, pa tudi za kazenske preiskave in pregone ter ukrepanje zaradi kršitev etike v zakonsko urejenih poklicih; ker bi moral seznam izjem in omejitev vključevati naloge spremljanja, pregledovanja ali urejanja, ki so potrebne na zadnjih treh navedenih področjih v zvezi z javno varnostjo, gospodarskimi ali finančnimi interesi in preprečevanjem kaznivih dejanj; ker navajanje nalog na teh treh področjih ne vpliva na upravičenost izjem ali omejitev zaradi državne varnosti ali obrambe;

(44) ker lahko države članice na podlagi določb zakonodaje Skupnosti določijo odstopanje od določb te direktive glede pravice do dostopa, obveznosti obveščanja posameznikov in kakovosti podatkov, da bi zagotovile nekatere od zgoraj navedenih namenov;

(45) ker bi moral biti v primerih, pri katerih bi se lahko podatki zakonito obdelali na podlagi javnega interesa, javne oblasti ali zakonitih interesov fizične ali pravne osebe, vsak posameznik, na katerega se osebni podatki nanašajo, kljub vsemu upravičen na podlagi zakonitih in nujnih razlogov, povezanih z njegovim posebnim položajem, upravičen, da ugovarja obdelavi vseh podatkov, ki se nanašajo nanj; ker lahko države članice kljub temu sprejmejo nasprotne nacionalne določbe;

(46) ker varstvo pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo, v zvezi z obdelavo osebnih podatkov zahteva, da se sprejmejo primerni tehnični in organizacijski ukrepi med načrtovanjem sistema obdelave, pa tudi med samo obdelavo, predvsem zato, da bi ohranjali varnost in tako preprečili vsako nepooblaščeno obdelavo; ker morajo države članice obvezno zagotoviti, da se upravljavci ravnajo po teh ukrepih; ker morajo ti ukrepi zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja, ki so povezana z obdelavo, ter narave podatkov, ki jih je treba varovati;

(47) ker, kadar se sporočilo, ki vsebuje osebne podatke, prenese po telekomunikacijah ali elektronski pošti, katerih edini namen je prenos takih sporočil, se upravljavec v zvezi z osebnimi podatki, ki jih vsebuje to sporočilo, običajno šteje za osebo, od katere to sporočilo izvira, in ne oseba, ki nudi storitve prenosa; ker se tisti, ki nudijo take storitve, običajno štejejo za upravljavce v zvezi z obdelavo dodatnih osebnih podatkov, potrebnih za dejavnost storitve;

(48) ker so postopki za uradno obveščanje nadzornega organa oblikovani tako, da zagotavljajo razkritje namenov in glavnih značilnosti vseh postopkov obdelave zaradi preverjanja, da je postopek v skladu z nacionalnimi predpisi, ki so sprejeti na podlagi te direktive;

(49) ker zato, da bi se izognili neprimernim upravnim formalnostim, države članice lahko predvidijo izjeme od obveznosti po uradnem obveščanju in poenostavljanju zahtevanega uradnega obveščanja, kadar obdelava zelo verjetno ne bo škodljivo vplivala na pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo, če je v skladu z določbami, ki jih sprejme država članica skupaj z navedbo njihovih omejitev; ker lahko države članice prav tako predvidijo izjemo ali poenostavitev, kadar oseba, ki jo določi upravljavec, zagotovi, da obdelava v teku zelo verjetno ne bo škodljivo vplivala na pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo; ker mora biti taka odgovorna oseba za varstvo osebnih podatkov sposobna opravljati svoje naloge popolnoma samostojno, ne glede na to, ali je zaposlena pri upravljavcu ali ne;

(50) ker se lahko izjema ali poenostavitev predvidi pri postopkih obdelave, katerih edini namen je vodenje registra, ki je skladno z nacionalno zakonodajo namenjen zagotavljanju informacij javnosti in je na voljo za vpogled javnosti ali kateri koli osebi, ki lahko izkaže zakoniti interes;

(51) ker kljub temu poenostavitev ali izjema od obveznosti po uradnem obveščanju ne razreši upravljavca nobenih drugih obveznosti, ki izhajajo iz te direktive;

(52) ker se mora v tem smislu naknadni pregled s strani pristojnih organov na splošno šteti za zadosten ukrep;

(53) ker bodo nekateri postopki obdelave zaradi svoje narave, obsega ali namenov, kot na primer izključevanje posameznikov iz pravice, ugodnosti ali pogodbe, ali na podlagi posebne uporabe novih tehnologij verjetno predstavljali posebne grožnje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ker je stvar držav članic, da opredelijo take grožnje v svoji zakonodaji, če to želijo;

(54) ker bi moralo biti število obdelav, ki predstavljajo tako posebno grožnjo, glede na vse obdelave, ki se opravijo v družbi zelo omejeno; ker morajo države članice določiti, da nadzorni organ ali odgovorna oseba za varstvo osebnih podatkov v sodelovanju z organom preveri tako obdelavo pred njeno izvedbo; ker lahko nadzorni organ po tem predhodnem preverjanju v skladu s svojo nacionalno zakonodajo da mnenje ali dovoljenje v zvezi z obdelavo; ker lahko tako preverjanje ravno tako poteka med pripravo ukrepa nacionalnega parlamenta ali ukrepa, temelječega na takem zakonskem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe;

(55) ker mora nacionalna zakonodaja predvideti sodno varstvo, če upravljavec ne spoštuje pravic posameznikov, na katere se osebni podatki nanašajo; ker mora vso škodo, ki jo lahko utrpi oseba zaradi nezakonite obdelave, nadomestiti upravljavec, ki pa je prost odgovornosti, zlasti če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako na strani posameznika, na katerega se osebni podatki nanašajo, ali v primeru višje sile; ker se morajo sankcije naložiti vsaki osebi, ki ne ravna v skladu z nacionalnimi predpisi na podlagi te direktive, ne glede na to, ali osebo ureja zasebno ali javno pravo;

(56) ker so čezmejni prenosi osebnih podatkov potrebni za razvoj mednarodne trgovine; ker varstvo posameznikov, ki ga ta direktiva zagotavlja v Skupnosti, ne ovira prenosa osebnih podatkov v tretje države, ki zagotavljajo primerno raven varstva; ker se mora primernost ravni varstva, ki jo zagotavlja tretja država, oceniti glede na vse okoliščine, ki spremljajo postopek prenosa ali niz postopkov prenosa;

(57) ker se mora po drugi strani prepovedati prenos osebnih podatkov v tretjo državo, ki ne zagotavlja primerne ravni varstva;

(58) ker bi bilo treba predvideti izjeme od te prepovedi v okoliščinah, kadar je posameznik, na katerega se osebni podatki nanašajo, dal svojo privolitev, kadar je prenos potreben v zvezi s pogodbo ali pravnim zahtevkom, kadar to zahteva zaščita pomembnega javnega interesa, na primer pri mednarodnih prenosih podatkov med davčnimi ali carinskimi upravami ali med službami, ki so pristojne za zadeve socialne varnosti, ali pa kadar se opravi prenos iz registra, ki je ustanovljen z zakonom in namenjen vpogledu javnosti ali oseb, ki imajo zakoniti interes; ker v tem primeru tak prenos ne bi smel vključevati celotnih podatkov ali celotnih kategorij podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe prejemniki;

(59) ker se lahko sprejmejo posebni ukrepi za nadomestitev pomanjkanja varstva v tretji državi, če upravljavec ponudi ustrezne zaščitne ukrepe; ker je poleg tega treba predvideti postopke za pogajanja med Skupnostjo in takimi tretjimi državami;

(60) ker se v vsakem primeru prenosi v tretje države lahko opravijo samo v popolni skladnosti s predpisi, ki so jih sprejele države članice na podlagi te direktive in predvsem člena 8;

(61) ker morajo države članice in Komisija v skladu s svojimi pristojnostmi spodbujati poslovna združenja in druge predstavniške organizacije, ki se ukvarjajo s pripravljanjem pravil ravnanja za pospeševanje uporabe te direktive, ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, in ob spoštovanju nacionalnih predpisov, sprejetih za njeno izvajanje;

(62) ker je v državah članicah ustanovitev nadzornih organov, ki opravljajo svoje naloge popolnoma samostojno, bistvena sestavina varstva posameznikov pri obdelavi osebnih podatkov;

(63) ker morajo taki organi za opravljanje svojih nalog imeti potrebna sredstva, vključno s pooblastili za preiskavo in ukrepanje, predvsem pri pritožbah posameznikov, in pooblastila za sodelovanje v sodnih postopkih; ker morajo taki organi pomagati zagotoviti preglednost obdelave v državah članicah, v katere pristojnost sodijo;

(64) ker bodo morali organi v raznih državah članicah drug drugemu pomagati pri opravljanju svojih nalog, da bi zagotovili ustrezno spoštovanje predpisov o varstvu v celotni Evropski uniji;

(65) ker je treba na ravni Skupnosti vzpostaviti delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov in ker mora biti ta popolnoma samostojna pri opravljanju svojih nalog; ker mora upoštevajoč svojo posebno naravo svetovati Komisiji in predvsem prispevati k enotni uporabi nacionalnih predpisov, sprejetih na podlagi te direktive;

(66) ker uporaba te direktive glede prenosa podatkov v tretje države zahteva podelitev izvedbenih pooblastil Komisiji in uporabo enega izmed postopkov iz Sklepa Sveta 87/373/EGS [4];

(67) ker je bil 20. decembra 1994 dosežen sporazum o modusu vivendi med Evropskim parlamentom, Svetom in Komisijo glede izvedbenih ukrepov za akte, sprejete v skladu s postopkom iz člena 189b Pogodbe ES;

(68) ker lahko načela, ki so opredeljena v tej direktivi v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, predvsem njihove pravice do zasebnosti, dopolnijo ali razjasnijo posebna pravila, ki bodo temeljila na teh načelih, zlasti kar zadeva nekatera področja;

(69) ker bi moralo biti državam članicam odobreno obdobje največ treh let od začetka veljavnosti nacionalnih predpisov, ki prenašajo to direktivo, v katerem naj bi se taki novi nacionalni predpisi uporabljali postopoma za vse postopke obdelave, ki že potekajo; ker bo državam članicam z namenom omogočiti njihovo racionalno izvajanje odobren nadaljnji rok, ki bo potekel 12 let po dnevu sprejetja te direktive, da bi zagotovili usklajenost obstoječih ročno obdelanih zbirk z nekaterimi določbami direktive; ker je treba tam, kjer se podatki, ki jih vsebujejo take zbirke, ročno obdelujejo v tem podaljšanem prehodnem obdobju, te zbirke v trenutku obdelave uskladiti s temi določbami;

(70) ker posamezniku, na katerega se osebni podatki nanašajo, po začetku veljavnosti nacionalnih predpisov, sprejetih v skladu s to direktivo, ni treba ponovno privoliti, da upravljavcu dovoli nadaljevati obdelavo občutljivih podatkov, ki so potrebni za izvajanje pogodbe, sklenjene na podlagi prostovoljnega in informiranega soglasja pred začetkom veljavnosti teh določb;

(71) ker ta direktiva ne preprečuje državam članicam, da urejajo aktivnosti trženja, ki so usmerjene k potrošnikom, ki stalno prebivajo na njihovem ozemlju, v kolikor tako urejanje ne zadeva varstva posameznikov v zvezi z obdelavo osebnih podatkov;

(72) ker ta direktiva omogoča, da se pri izvrševanju načel iz te direktive upošteva načelo javnega dostopa do uradnih dokumentov,

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Namen direktive

1. V skladu s to direktivo države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.

2. Države članice ne omejujejo niti ne prepovedujejo prostega prenosa osebnih podatkov med državami članicami zaradi razlogov, povezanih z varstvom, ki je zagotovljeno na podlagi odstavka 1.

Člen 2

Opredelitev pojmov

V tej direktivi:

(a) "osebni podatek" pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo ("posameznik, na katerega se nanašajo osebni podatki"); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;

(b) "obdelava osebnih podatkov" ("obdelava") pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;

(c) "zbirka osebnih podatkov" ("zbirka") pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, bodisi da je centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(d) "upravljavec" pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa nacionalna zakonodaja ali zakonodaja Skupnosti, lahko upravljavca ali posebna merila za njegovo imenovanje določi nacionalna zakonodaja ali zakonodaja Skupnosti;

(e) "obdelovalec" pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(f) "tretja stranka" pomeni katero koli fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni posameznik, na katerega se osebni podatki nanašajo, upravljavec, obdelovalec in oseba, ki je pod neposredno oblastjo upravljavca ali obdelovalca pooblaščena za obdelavo podatkov;

(g) "prejemnik" pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki se mu posreduje podatke, bodisi da je tretja stranka ali ne; vendar pa se organi, ki lahko prejmejo podatke v okviru posamezne poizvedbe, ne štejejo kot prejemniki;

(h) "privolitev posameznika, na katerega se nanašajo osebni podatki" pomeni vsako prostovoljno dano posebno in informirano izjavo volje, s katero posameznik, na katerega se osebni podatki nanašajo, izrazi soglasje, da se osebni podatki o njem obdelujejo.

Člen 3

Področje uporabe

1. Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke.

2. Ta direktiva se ne uporablja za obdelavo osebnih podatkov:

- med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno z gospodarsko blaginjo države, kadar se postopek obdelave nanaša na zadeve državne varnosti) in pri dejavnostih države na področju kazenskega prava,

- s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti.

Člen 4

Uporaba nacionalne zakonodaje

1. Vsaka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme v skladu s to direktivo, kadar:

(a) se obdelava izvaja v okviru dejavnosti ustanovitve upravljavca na ozemlju države članice; kadar je isti upravljavec ustanovljen na ozemlju več držav članic, mora sprejeti potrebne ukrepe za zagotovitev, da vsaka od teh ustanovitev izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo;

(b) upravljavec ni ustanovljen na ozemlju države članice, ampak v kraju, kjer se njegova nacionalna zakonodaja uporablja na podlagi mednarodnega javnega prava;

(c) upravljavec ni ustanovljen na ozemlju Skupnosti in za obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja na ozemlju te države članice, razen če se taka oprema uporablja samo za prehod prek Skupnosti.

2. V okoliščinah, navedenih v odstavku 1(c), mora upravljavec določiti predstavnika, ki je ustanovljen na ozemlju omenjene države članice, ne da bi to posegalo v tožbe, ki se lahko vložijo zoper samega upravljavca.

POGLAVJE II

SPLOŠNA PRAVILA O ZAKONITOSTI OBDELAVE OSEBNIH PODATKOV

Člen 5

Države članice v mejah določb tega poglavja natančneje določijo pogoje, pod katerimi je obdelava osebnih podatkov zakonita.

ODDELEK I

NAČELA V ZVEZI S KAKOVOSTJO PODATKOV

Člen 6

1. Države članice določijo, da morajo biti osebni podatki:

(a) pošteno in zakonito obdelani;

(b) zbrani za določene, izrecne ter zakonite namene in se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni. Nadaljnja obdelava podatkov v zgodovinske, statistične ali znanstvene namene se ne šteje za nezdružljivo, če države članice zagotovijo ustrezne zaščitne ukrepe;

(c) primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo in/ali naprej obdelujejo;

(d) točni in po potrebi ažurirani; uporabiti je treba vse primerne ukrepe za zagotovitev, da se podatki, ki so netočni ali nepopolni, zbrišejo ali popravijo, ob upoštevanju namenov, za katere so bili zbrani ali za katere se naprej obdelujejo;

(e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, le toliko časa, kolikor je potrebno za namene, za katere so bili podatki zbrani ali za katere se naprej obdelujejo. Države članice določijo ustrezne zaščitne ukrepe za osebne podatke, shranjene za daljša obdobja za zgodovinsko, statistično ali znanstveno uporabo.

2. Upravljavec mora zagotoviti, da se ravna v skladu z odstavkom 1.

ODDELEK II

MERILA ZA ZAKONITOST OBDELAVE PODATKOV

Člen 7

Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:

(a) je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev; ali

(b) je obdelava potrebna za izvajanje pogodbe, katere stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se osebni podatki nanašajo, pred sklenitvijo pogodbe; ali

(c) je obdelava potrebna za skladnost z zakonsko obveznostjo, ki velja za upravljavca; ali

(d) je obdelava potrebna za varstvo življenjskih interesov posameznikov, na katere se osebni podatki nanašajo; ali

(e) je obdelava potrebna za izvajanje naloge, ki se opravlja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene upravljavcu ali tretji stranki, ki so ji posredovani podatki; ali

(f) je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1).

ODDELEK III

POSEBNE VRSTE OBDELAVE

Člen 8

Obdelava posebnih vrst podatkov

1. Države članice prepovejo obdelavo osebnih podatkov, ki kažejo na rasni ali etnični izvor, politična mnenja, verska ali filozofska prepričanja, pripadnost sindikatu, in obdelavo podatkov v zvezi z zdravjem ali spolnim življenjem.

2. Odstavek 1 se ne uporablja, kadar:

(a) je posameznik, na katerega se osebni podatki nanašajo, dal svojo izrecno privolitev k obdelavi teh podatkov, razen kadar zakonodaja države članice določi, da se od prepovedi iz odstavka 1 ne sme odstopiti s tem, da posameznik, na katerega se osebni podatki nanašajo, da svojo privolitev; ali

(b) je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca na področju prava zaposlovanja, če jo dovoljuje nacionalna zakonodaja, ki zagotovi ustrezne zaščitne ukrepe; ali

(c) je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali pravno ni sposoben dati svoje privolitve; ali

(d) obdelavo pri svojih zakonitih dejavnostih z ustreznimi garancijami izvaja ustanova, združenje ali kateri drug neprofitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, in da se podatki ne posredujejo tretji stranki brez privolitve posameznikov, na katere se nanašajo; ali

(e) se obdelava nanaša na podatke, ki jih posameznik, na katerega se nanašajo, javno objavi ali je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

3. Odstavek 1 se ne uporablja, kadar se podatki obdelujejo za potrebe preventivne medicine, zdravstvene diagnoze, za zagotovitev oskrbe, ali zdravljenja, ali vodenje zdravstvenih služb in kadar te podatke obdeluje zdravstveni delavec na podlagi nacionalne zakonodaje ali pravil, ki jih sprejmejo pristojni nacionalni organi glede dolžnosti poklicne molčečnosti, ali druga oseba, ki je prav tako zavezana enaki dolžnosti molčečnosti.

4. Ob upoštevanju ustreznih zaščitnih ukrepov lahko države članice zaradi javnega interesa bistvenega pomena določijo dodatne izjeme poleg tistih iz odstavka 2, bodisi z nacionalno zakonodajo ali odločitvijo nadzornega organa.

5. Obdelava podatkov v zvezi s prekrški, kazenskimi obsodbami ali varnostnimi ukrepi se lahko izvaja samo pod nadzorom uradnega organa ali pa če nacionalna zakonodaja določi ustrezne posebne zaščitne ukrepe ob upoštevanju odstopanj, ki jih lahko zagotovi država članica na podlagi nacionalnih predpisov, ki določajo ustrezne posebne zaščitne ukrepe. Vendar pa se popoln register kazenskih obsodb lahko vodi samo pod nadzorom uradnega organa.

Države članice lahko določijo, da se podatki v zvezi z upravnimi kaznimi ali sodbami v civilnih zadevah lahko tudi obdelujejo pod nadzorom uradnega organa.

6. Komisija je uradno obveščena o odstopanjih od odstavka 1, ki jih opredeljujeta odstavka 4 in 5.

7. Države članice določijo pogoje, pod katerimi se lahko obdela nacionalna identifikacijska številka ali kateri koli drug identifikator splošne uporabe.

Člen 9

Obdelava osebnih podatkov in svoboda izražanja

Države članice določijo izjeme ali odstopanja od določb tega poglavja, poglavja IV in poglavja VI za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja samo, če so potrebna za uskladitev pravice do zasebnosti s predpisi, ki urejajo svobodo izražanja.

ODDELEK IV

INFORMACIJE, POSREDOVANE POSAMEZNIKU, NA KATEREGA SE OSEBNI PODATKI NANAŠAJO

Člen 10

Informacije v primerih zbiranja podatkov od posameznika, na katerega se osebni podatki nanašajo

Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:

(a) istovetnost upravljavca ali njegovega predstavnika, če obstaja;

(b) namene obdelave podatkov;

(c) vse nadaljnje informacije, npr.

- prejemnike ali vrste prejemnikov podatkov,

- ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice, če ne odgovori,

- obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,

kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.

Člen 11

Informacije, kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo

1. Kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo, države članice zagotovijo, da mora upravljavec ali njegov predstavnik med zbiranjem osebnih podatkov ali, če se predvideva posredovanje tretji stranki, najpozneje tedaj, ko se podatki prvič posredujejo, zagotoviti posamezniku, na katerega se osebni podatki nanašajo, vsaj naslednje informacije, razen kadar jih že ima:

- istovetnost upravljavca in njegovega predstavnika, če obstaja;

- namene obdelave;

- vse nadaljnje informacije, npr.

- vrste zadevnih podatkov,

- prejemnike ali vrste prejemnikov,

- obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,

kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.

2. Odstavek 1 se ne uporablja tam, kjer se predvsem za obdelavo v statistične namene ali zaradi zgodovinskih ali znanstvenih raziskav zagotovitev takih informacij izkaže za nemogočo, ali bi vključevala nesorazmeren napor, ali pa zakon izrecno določa zbiranje oziroma posredovanje. V teh primerih države članice zagotovijo ustrezne zaščitne ukrepe.

ODDELEK V

PRAVICA POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI, DO DOSTOPA DO PODATKOV

Člen 12

Pravica do dostopa

Države članice jamčijo vsakemu posamezniku, na katerega se osebni podatki nanašajo, pravico, da pridobi od upravljavca:

(a) brez omejitev v razumnem času in brez večjih zamud ali stroškov:

- potrditev tega, ali se podatki v zvezi z njim obdelujejo ali ne, in informacije vsaj glede namenov obdelave, vrste zadevnih podatkov in prejemnikov ali vrste prejemnikov, ki so jim podatki posredovani,

- sporočilo v razumljivi obliki o osebnih podatkih, ki so v obdelavi, in vseh razpoložljivih informacijah glede njihovega vira,

- informacije o logiki, zajeti v vse avtomatske obdelave podatkov, ki se nanašajo nanj, vsaj pri avtomatiziranih odločitvah iz člena 15(1);

(b) po potrebi popravke, izbris ali blokiranje podatkov, katerih obdelava ni v skladu z določbami te direktive, predvsem zaradi nepopolnih ali netočnih podatkov;

(c) uradno obvestilo tretjim strankam, ki so jim bili posredovani podatki, o vseh popravkih, izbrisu ali blokiranju, izvedenem v skladu z (b), razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor.

ODDELEK VI

IZJEME IN OMEJITVE

Člen 13

Izjeme in omejitve

1. Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito:

(a) državne varnosti;

(b) obrambe;

(c) javne varnosti;

(d) preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali kršitve etike za zakonsko urejene poklice;

(e) pomembnega gospodarskega ali finančnega interesa države članice ali Evropske unije, vključno z denarnimi, proračunskimi in davčnimi zadevami;

(f) spremljanja, pregledovanja ali urejanja, povezanega, četudi občasno, z izvajanjem javne oblasti v primerih iz (c), (d) in (e);

(g) posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

2. Ob upoštevanju ustreznih zakonskih zaščitnih ukrepov, predvsem da se podatki ne uporabijo za sprejemanje ukrepov ali odločitev v zvezi z določenim posameznikom, lahko države članice takrat, ko očitno ni nevarnosti za kršitev zasebnosti posameznika, na katerega se nanašajo osebni podatki, zakonsko omejijo pravice, ki jih opredeljuje člen 12, kadar se podatki obdelujejo samo v znanstvenoraziskovalne namene ali se hranijo v obliki, ki omogoča identifikacijo posameznika, za obdobje, ki ne presega potrebnega obdobja, česar edini namen je izdelava statistike.

ODDELEK VII

PRAVICA POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI, DO UGOVORA

Člen 14

Pravica posameznika, na katerega se nanašajo osebni podatki, do ugovora

Države članice priznavajo posamezniku, na katerega se osebni podatki nanašajo, pravico:

(a) da vsaj v primerih iz člena 7(e) in (f) na podlagi zakonitih in nujnih razlogov, povezanih z njegovim posebnim položajem kadar koli ugovarja obdelavi podatkov, ki se nanašajo nanj, razen kjer nacionalna zakonodaja določa drugače. Kadar obstaja utemeljen ugovor, obdelava, ki jo uvede upravljavec, ne sme več vključevati teh podatkov;

(b) da na zahtevo in brezplačno ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, glede katerih upravljavec pričakuje obdelavo zaradi neposrednega trženja, ali da je obveščen, preden se osebni podatki prvič posredujejo tretjim strankam ali se uporabijo v njihovem imenu zaradi neposrednega trženja, in da je izrecno opozorjen na pravico, da brezplačno ugovarja takemu posredovanju ali uporabi.

Države članice sprejmejo potrebne ukrepe za zagotovitev, da se posamezniki, na katere se osebni podatki nanašajo, zavedajo obstoja pravice iz prvega pododstavka (b).

Člen 15

Avtomatizirane posamične odločitve

1. Države članice vsaki osebi priznavajo pravico, da se o njej ne bo sprejela odločitev, ki ima pravne učinke v zvezi z njo ali nanjo znatno vpliva in ki temelji zgolj na avtomatski obdelavi podatkov, namenjeni ovrednotenju nekaterih osebnih vidikov v zvezi s to osebo, kakršni so njena uspešnost pri delu, kreditna sposobnost, zanesljivost, ravnanje itn.

2. Ob upoštevanju preostalih členov te direktive države članice določijo, da se o osebi lahko sprejme vrsta odločitve iz odstavka 1, če se ta odločitev:

(a) sprejme med sklepanjem ali izvrševanjem pogodbe, pod pogojem, da je zahteva po sklepanju ali izvajanju pogodbe, ki jo vloži posameznik, na katerega se osebni podatki nanašajo, izpolnjena ali da obstajajo primerni ukrepi za zaščito njegovih zakonitih interesov, kakršni so dogovori, ki mu omogočajo izraziti njegovo stališče; ali

(b) je dovoljena z zakonodajo, ki določa tudi ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

ODDELEK VIII

ZAUPNOST IN VARNOST OBDELAVE

Člen 16

Zaupnost obdelave

Nobena oseba, ki odgovarja upravljavcu ali obdelovalcu, vključno s samim obdelovalcem, ki ima dostop do osebnih podatkov, teh ne sme obdelovati brez navodil upravljavca, razen če to od nje zahteva zakon.

Člen 17

Varnost obdelave

1. Države članice določijo, da mora upravljavec izvajati ustrezne tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov pred slučajnim ali nezakonitim uničenjem ali slučajno izgubo, predelavo, nepooblaščenim posredovanjem ali dostopom, predvsem kadar obdelava vključuje prenos podatkov po omrežju, ter proti vsem drugim nezakonitim oblikam obdelave.

Taki ukrepi ob upoštevanju stanja tehnologije in stroškov za njihovo izvajanje zagotavljajo raven zaščite, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je potrebno varovati.

2. Države članice določijo, da mora upravljavec, kadar se obdelava izvaja v njegovem imenu, izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti, ter mora zagotoviti skladnost s temi ukrepi.

3. Izvajanje obdelave prek obdelovalca mora urejati pogodba ali pravni akt, ki obdelovalca zavezuje nasproti upravljavcu in ki določa predvsem, da:

- obdelovalec deluje samo po navodilih upravljavca,

- so obveznosti iz odstavka 1, kakor jih določa zakonodaja države članice, v kateri je ustanovljen obdelovalec, zavezujoče tudi za obdelovalca.

4. Zaradi dokazovanja morajo biti deli pogodbe ali pravnega akta, ki se nanaša na varstvo podatkov, in zahteve v zvezi z ukrepi iz odstavka 1 v pisni ali drugi enakovredni obliki.

ODDELEK IX

URADNO OBVEŠČANJE

Člen 18

Obveznost uradnega obveščanja nadzornega organa

1. Države članice določijo, da morata upravljavec ali njegov predstavnik, če obstaja, uradno obvestiti nadzorni organ iz člena 28 pred začetkom izvajanja popolnoma ali delno avtomatskega postopka obdelave ali niza takih postopkov, ki so namenjeni enemu samemu cilju ali več povezanim ciljem.

2. Države članice lahko predvidijo poenostavitev ali izjeme od uradnega obveščanja samo v naslednjih primerih in pod naslednjimi pogoji:

- kadar za kategorije postopkov obdelave, ki zelo verjetno ne bodo, ob upoštevanju podatkov, ki naj bi se obdelali, škodljivo vplivali na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, določijo namene obdelave, podatke ali kategorije podatkov, ki se obdelujejo, kategorijo ali kategorije posameznika, na katerega se nanašajo osebni podatki, prejemnike ali kategorije prejemnikov, ki naj bi se jim podatki posredovali, in obdobje, v katerem naj bi se podatki shranili, in/ali

- kadar upravljavec v skladu z nacionalno zakonodajo, ki se zanj uporablja, imenuje odgovorno osebo za varstvo osebnih podatkov, ki je odgovorna predvsem za:

- zagotavljanje notranje uporabe nacionalnih določb, sprejetih v skladu s to direktivo, na neodvisen način,

- vodenje registra postopkov obdelave, ki jih izvaja upravljavec, ki vsebuje posamezne informacije iz člena 21(2),

s čimer zagotovi, da postopki obdelave zelo verjetno ne bodo škodljivo vplivali na pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo.

3. Države članice lahko določijo, da se odstavek 1 ne uporablja za obdelavo, katere edini namen je vodenje registra, ki je v skladu z zakoni ali predpisi namenjen zagotavljanju informacij javnosti in ki je na voljo za vpogled javnosti na splošno, pa tudi kateri koli osebi, ki izkaže zakoniti interes.

4. Države članice lahko predvidijo izjemo od obveznosti uradnega obveščanja ali poenostavitev uradnega obveščanja pri postopkih obdelave iz člena 8(2)(d).

5. Države članice lahko predpišejo, da se o nekaterih ali o vseh neavtomatskih postopkih obdelave, ki vključujejo osebne podatke, uradno obvešča, ali pa predvidijo, da se za te postopke obdelave upošteva poenostavljeno uradno obveščanje.

Člen 19

Vsebina uradnega obveščanja

1. Države članice določijo informacije, ki morajo biti v uradnem obvestilu. To vključuje vsaj:

(a) osebno ime in naslov upravljavca in njegovega predstavnika, če ta obstaja;

(b) namen ali namene obdelave;

(c) opis kategorije ali kategorij posameznika, na katerega se osebni podatki nanašajo, in podatkov ali kategorij podatkov, ki se nanje nanašajo;

(d) prejemnike ali kategorije prejemnika, ki bi se jim podatki lahko posredovali;

(e) predlagane prenose podatkov v tretje države;

(f) splošni opis, ki omogoča oblikovanje predhodne ocene ustreznosti ukrepov, sprejetih v skladu s členom 17, da bi zagotovili varnost obdelave.

2. Države članice določijo postopke, na podlagi katerih se mora kakršna koli sprememba, ki vpliva na informacije iz odstavka 1, uradno sporočiti nadzornemu organu.

Člen 20

Predhodno preverjanje

1. Države članice določijo postopke obdelave, ki bodo verjetno predstavljali posebno nevarnost za pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo, in preverijo, da se ti postopki obdelave preučijo, preden se začnejo izvajati.

2. Tako predhodno preverjanje izvaja nadzorni organ po prejemu uradnega obvestila upravljavca ali odgovorne osebe za varstvo osebnih podatkov, v dvomu pa se mora posvetovati z nadzornim organom.

3. Države članice lahko tako preverjanje izvajajo tudi v okviru priprave bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe.

Člen 21

Objava postopkov obdelave

1. Države članice sprejmejo ukrepe, da se zagotovi objava postopkov obdelave.

2. Države članice določijo, da register postopkov obdelave, ki so uradno sporočeni v skladu s členom 18, vodi nadzorni organ.

Register vsebuje vsaj informacije, navedene v členu 19(1)(a) do (e).

Register lahko pregleda katera koli oseba.

3. Države članice v zvezi s postopki obdelave, ki niso predmet uradnega obveščanja, določijo, da upravljavci ali kateri koli drug organ, ki ga določijo države članice, vsaki osebi na zahtevo da na voljo vsaj informacije iz člena 19(1)(a) do (e) v ustrezni obliki.

Države članice lahko določijo, da se ta določba ne uporablja za obdelavo, katere edini namen je vodenje registra, ki je v skladu z zakoni ali drugimi predpisi namenjen zagotavljanju informacij javnosti in je na voljo za vpogled javnosti na splošno, pa tudi kateri koli osebi, ki lahko izkaže zakoniti interes.

POGLAVJE III

PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE

Člen 22

Pravna sredstva

Brez poseganja v upravnopravna pravna sredstva pred predložitvijo zadeve sodnemu organu, ki jih je možno med drugim predvideti pred nadzornim organom iz člena 28, države članice zagotovijo, da ima vsaka oseba v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo, pravico vložiti pravno sredstvo na sodišču.

Člen 23

Odgovornost

1. Države članice določijo, da je katera koli oseba, ki je utrpela škodo kot posledico nezakonitega postopka obdelave ali katerega koli dejanja, ki je nezdružljivo z nacionalnimi določbami, sprejetimi v skladu s to direktivo, upravičena od upravljavca zahtevati odškodnino za to škodo.

2. Upravljavec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.

Člen 24

Sankcije

Države članice sprejmejo ustrezne ukrepe za zagotovitev popolne izvedbe določb te direktive in predvsem določijo sankcije, ki se naložijo ob kršitvi določb, sprejetih v skladu s to direktivo.

POGLAVJE IV

PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE

Člen 25

Načela

1. Države članice predvidijo, da se lahko prenos osebnih podatkov, ki so v obdelavi ali so namenjeni obdelavi po dovoljenem prenosu, v tretjo državo izvede le, če brez poseganja v skladnost z nacionalnimi določbami, ki so sprejete v skladu z drugimi določbami te direktive, ta tretja država zagotovi ustrezno raven varstva.

2. Ustreznost ravni varstva, ki jo nudi tretja država, se oceni glede na vse okoliščine, ki so povezane s postopkom prenosa ali z nizom postopkov prenosa podatkov; predvsem je treba upoštevati značaj podatkov, namen in trajanje predlaganega postopka ali postopkov obdelave, državo izvora in ciljno državo, pravno ureditev, bodisi splošno ali sektorsko, ki je v veljavi v tretji državi, ter strokovne predpise in varnostne ukrepe, ki se uporabljajo v tej državi.

3. Države članice in Komisija se medsebojno obveščajo o primerih, za katere menijo, da tretja država ne zagotavlja ustrezne ravni varstva v smislu odstavka 2.

4. Kadar Komisija na podlagi postopka iz člena 31(2) ugotovi, da tretja država ne zagotavlja ustrezne ravni varstva v smislu odstavka 2 tega člena, države članice sprejmejo ukrepe, ki so potrebni za preprečevanje kakršnih koli prenosov podatkov iste vrste v to tretjo državo.

5. Ko je ustrezno, Komisija začne pogajanja glede ureditve položaja, ki izhaja iz ugotovitve po odstavku 4.

6. Komisija lahko v skladu s postopkom iz člena 31(2) ugotovi, da tretja država zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena zaradi svoje domače zakonodaje ali mednarodnih obveznosti, ki jih je prevzela, predvsem na podlagi zaključka pogajanj iz odstavka 5, za zaščito zasebnega življenja in temeljnih svoboščin in pravic posameznikov.

Države članice sprejmejo ukrepe, ki so potrebni za uskladitev z odločitvijo Komisije.

Člen 26

Odstopanja

1. Z odstopanjem od člena 25 in če nacionalno pravo za posamične primere ne določa drugače, države članice določijo, da se prenos ali niz prenosov osebnih podatkov v tretjo državo, ki ne zagotavlja ustrezne ravni varstva v smislu člena 25(2), lahko izvede pod pogojem, da:

(a) je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev k predlaganemu prenosu; ali

(b) je prenos potreben za izvedbo pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(c) je prenos potreben za sklenitev ali izvedbo pogodbe med upravljavcem in tretjo stranko, ki je v korist posameznika, na katerega se osebni podatki nanašajo; ali

(d) je prenos potreben oziroma ga zahteva zakon na temelju pomembnega javnega interesa ali pa za uveljavitev, izvajanje ali obdržanje pravice do pravnih zahtevkov; ali

(e) je prenos potreben, da bi zaščitili življenjske interese posameznikov, na katere se osebni podatki nanašajo; ali

(f) se prenos opravi iz registra, ki je skladno z zakoni ali predpisi namenjen zagotavljanju informacij javnosti in je na voljo za vpogled javnosti na splošno ali kateri koli osebi, ki lahko izkaže zakoniti interes, v kolikor so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon.

2. Brez poseganja v odstavek 1 lahko država članica dovoli prenos ali niz prenosov osebnih podatkov v tretjo državo, ki ne zagotavlja ustrezne ravni varstva v smislu člena 25(2), kadar upravljavec navede ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uresničevanja ustreznih pravic; takšni zaščitni ukrepi lahko predvsem izhajajo iz ustreznih pogodbenih klavzul.

3. Država članica obvesti Komisijo in druge države članice o dovoljenjih, ki jih odobri v skladu z odstavkom 2.

Če država članica ali Komisija ugovarja iz utemeljenih razlogov, ki zadevajo varstvo zasebnosti ter temeljnih pravic in svoboščin posameznikov, Komisija sprejme ustrezne ukrepe v skladu s postopkom iz člena 31(2).

Države članice sprejmejo potrebne ukrepe za uskladitev z odločitvijo Komisije.

4. Kadar Komisija v skladu s postopkom iz člena 31(2) odloči, da nekatera standardna pogodbena določila nudijo zadostno zaščito iz odstavka 2, države članice sprejmejo potrebne ukrepe za uskladitev z odločitvijo Komisije.

POGLAVJE V

PRAVILA RAVNANJA

Člen 27

1. Države članice in Komisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilnemu izvajanju nacionalnih predpisov, ki so jih sprejele države članice v skladu s to direktivo, ob upoštevanju posebnih značilnosti različnih področij.

2. Države članice omogočijo trgovinskim združenjem in drugim organom, ki predstavljajo druge kategorije upravljavcev, ki so pripravili osnutke nacionalnih kodeksov ravnanja ali imajo namen spreminjati ali razširjati obstoječe nacionalne kodekse ravnanja, da jih lahko predložijo v presojo nacionalnemu organu.

Države članice zagotovijo, da ta organ med drugim preveri, ali so osnutki, ki so mu predloženi, skladni z nacionalnimi določbami, sprejetimi v skladu s to direktivo. Če se zdi organu primerno, zaprosi za mnenje posameznike, na katere se osebni podatki nanašajo, ali njihove predstavnike.

3. Osnutki kodeksov ravnanja Skupnosti in spremembe ali razširitve obstoječih kodeksov ravnanja Skupnosti se lahko predložijo delovni skupini iz člena 29. Ta skupina med drugim določi, ali so osnutki, ki so ji predloženi, skladni z nacionalnimi določbami, sprejetimi v skladu s to direktivo. Če se zdi organu primerno, zaprosi za mnenje posameznike, na katere se osebni podatki nanašajo, ali njihove predstavnike. Komisija lahko zagotovi primerno objavo pravil, ki jih je odobrila delovna skupina.

POGLAVJE VI

NADZORNI ORGAN IN DELOVNA SKUPINA ZA VARSTVO POSAMEZNIKOV PRI OBDELAVI OSEBNIH PODATKOV

Člen 28

Nadzorni organ

1. Vsaka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo.

Ti organi pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma samostojno.

2. Vsaka država članica zagotovi, da se ob pripravi zakonodajnih in upravnih aktov, ki se nanašajo na varstvo posameznikovih pravic in svoboščin pri obdelavi osebnih podatkov, posvetuje z nadzornimi organi.

3. Vsakemu organu se podeli predvsem:

- preiskovalna pooblastila, kakršna so pooblastila za dostop do podatkov, ki sestavljajo vsebino postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog,

- učinkovita pooblastila za posredovanje, kakšna so npr. dajanje mnenj pred izvajanjem postopkov obdelave v skladu s členom 20 in zagotavljanje ustrezne objave takih mnenj, odrejanje blokiranja, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca ali napotitev zadeve v nacionalne parlamente ali druge politične institucije,

- pooblastila za sodelovanje v sodnih postopkih, kadar so kršene nacionalne določbe, sprejete v skladu s to direktivo, ali za seznanitev sodnih organov s temi kršitvami.

Zoper odločitve nadzornega organa je zagotovljeno sodno pravno sredstvo.

4. Vsak nadzorni organ obravnava zahtevke, ki jih je vložila katera koli oseba ali združenje, ki predstavlja to osebo, v zvezi z varstvom svojih pravic in svoboščin glede obdelave osebnih podatkov. Zadevna oseba je obveščena o odločitvah o zahtevkih.

Vsak nadzorni organ obravnava predvsem zahtevke za preverjanje zakonitosti obdelave podatkov, ki jih vloži katera koli oseba, kadar se uporabljajo nacionalne določbe, sprejete v skladu s členom 13 te direktive. Oseba mora biti v vsakem primeru obveščena, da je bilo opravljeno preverjanje.

5. Vsak nadzorni organ redno pripravi poročilo o svojih dejavnostih. Poročilo se objavi.

6. Vsak nadzorni organ je pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo. Od vsakega nadzornega organa je mogoče zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice.

Nadzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij.

7. Države članice določijo, da so člani in uslužbenci nadzornega organa celo po tem, ko je njihova zaposlitev končana, zavezani dolžnosti poklicne molčečnosti glede zaupnih informacij, do katerih imajo dostop.

Člen 29

Delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov

1. Ustanovi se Delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, v nadaljevanju "delovna skupina".

Delovna skupina ima svetovalni status in deluje samostojno.

2. Delovno skupino sestavlja predstavnik nadzornega organa ali organov, ki jih določi vsaka država članica, in predstavnik organa ali organov, ustanovljenih za ustanove ali organe Skupnosti, ter predstavnik Komisije.

Vsakega člana delovne skupine določi institucija, organ ali organi, ki jih predstavlja. Kadar država članica določi več kakor en nadzorni organ, le-ti imenujejo skupnega predstavnika. Isto velja za organe, ki so ustanovljeni za institucije in organe Skupnosti.

3. Delovna skupina odloča z navadno večino predstavnikov nadzornih organov.

4. Delovna skupina izbere svojega predsednika. Predsednikov mandat je dve leti. Lahko je ponovno imenovan.

5. Sekretariat delovne skupine zagotavlja Komisija.

6. Delovna skupina sprejme svoj poslovnik.

7. Delovna skupina obravnava točke, ki jih na njen dnevni red uvrsti njen predsednik, bodisi na lastno pobudo bodisi na zahtevo predstavnika nadzornih organov ali na zahtevo Komisije.

Člen 30

1. Delovna skupina:

(a) preučuje vsa vprašanja, ki zajemajo uporabo nacionalnih predpisov, sprejetih na podlagi te direktive, da bi prispevala k njihovi enotni uporabi;

(b) poda Komisiji mnenje o ravni varstva v Skupnosti in v tretjih državah;

(c) svetuje Komisiji o vseh predlaganih spremembah te direktive, o vseh dodatnih ali posebnih ukrepih za zaščito pravic in svoboščin fizičnih oseb pri obdelavi osebnih podatkov ter o vseh drugih predlaganih ukrepih Skupnosti, ki vplivajo na take pravice in svoboščine;

(d) da mnenje o kodeksih ravnanja, ki se pripravijo na ravni Skupnosti.

2. Če delovna skupina ugotovi, da prihaja do razhajanj med zakonodajami ali praksami držav članic, ki bodo verjetno vplivale na enakovrednost varstva oseb pri obdelavi osebnih podatkov v Skupnosti, o tem obvesti Komisijo.

3. Delovna skupina lahko na lastno pobudo poda priporočila o vseh zadevah v zvezi z varstvom oseb pri obdelavi osebnih podatkov v Skupnosti.

4. Mnenja in priporočila delovne skupine se posredujejo Komisiji in odboru iz člena 31.

5. Komisija obvesti delovno skupino o ukrepih, ki jih je sprejela kot odgovor na njena mnenja in priporočila. To stori v poročilu, ki se ga posreduje tudi Evropskemu parlamentu in Svetu. Poročilo se objavi.

6. Delovna skupina pripravi letno poročilo o položaju glede zaščite fizičnih oseb pri obdelavi osebnih podatkov v Skupnosti in v tretjih državah, ki ga pošlje Komisiji, Evropskemu parlamentu in Svetu. Poročilo se objavi.

POGLAVJE VII

IZVEDBENI UKREPI SKUPNOSTI

Člen 31

Odbor

1. Komisiji pomaga odbor, ki ga sestavljajo predstavniki držav članic in mu predseduje predstavnik Komisije.

2. Predstavnik Komisije predloži odboru osnutek potrebnih ukrepov. Odbor da svoje mnenje o osnutku v roku, ki ga lahko določi predsednik glede na nujnost zadeve.

Mnenje se sprejme z večino, ki jo določa člen 148(2) Pogodbe. Glasovi predstavnikov držav članic v odboru se ponderirajo na način iz navedenega člena. Predsednik ne glasuje.

Komisija sprejme ukrepe, ki začnejo veljati takoj. Če ukrepi niso v skladu z mnenjem odbora, jih Komisija brez odlašanja sporoči Svetu. V takem primeru:

- Komisija za tri mesece od datuma sporočila odloži uporabo ukrepov, o katerih je odločala,

- Svet v roku iz prve alinee lahko s kvalificirano večino sprejme drugačno odločitev.

KONČNE DOLOČBE

Člen 32

1. Države članice sprejmejo zakone in druge predpise, potrebne za uskladitev s to direktivo, najpozneje v treh letih od dneva njenega sprejetja.

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2. Države članice zagotovijo, da se obdelave, ki že potekajo na dan začetka veljavnosti nacionalnih predpisov, sprejetih v skladu s to direktivo, uskladijo s temi določbami v treh letih od tega dneva.

Z odstopanjem od prejšnjega pododstavka lahko države članice določijo, da se obdelava podatkov, ki so že vsebovani v ročnih zbirkah na dan začetka veljavnosti nacionalnih predpisov, sprejetih za izvajanje te direktive, uskladi s členi 6, 7 in 8 te direktive v 12 letih od dneva njenega sprejetja. Vendar države članice priznajo posamezniku, na katerega se nanašajo osebni podatki, na njegovo zahtevo in predvsem ob uresničevanju njegove pravice do dostopa pravico, da doseže popravek, izbris ali blokiranje podatkov, ki so nepopolni, netočni ali shranjeni na način, ki je nezdružljiv z zakonitimi nameni, ki jih zasleduje upravljavec.

3. Z odstopanjem od odstavka 2 lahko države članice določijo, ob upoštevanju ustreznih zaščitnih ukrepov, da podatkov, ki se hranijo zgolj zaradi zgodovinskih raziskav, ni treba uskladiti s členi 6, 7 in 8 te direktive.

4. Države članice predložijo Komisiji besedila temeljnih predpisov nacionalne zakonodaje, sprejetih na področju, ki ga ureja ta direktiva.

Člen 33

Komisija redno poroča Svetu in Evropskemu parlamentu o izvajanju te direktive, z začetkom najpozneje tri leta po dnevu iz člena 32(1), pri čemer k svojemu poročilu po potrebi priloži ustrezne predloge sprememb. Poročilo se objavi.

Komisija predvsem preverja uporabo te direktive pri obdelavi zvočnih in slikovnih podatkov v zvezi s fizičnimi osebami ter predloži vse ustrezne predloge, ki se izkažejo za potrebne, ob upoštevanju razvoja informacijske tehnologije in glede na stanje tehnologije v informacijski družbi.

Člen 34

Ta direktiva je naslovljena na države članice.

V Luxembourgu, 24. oktobra 1995

Za Evropski parlament

Predsednik

K. Hänsch

Za Svet

Predsednik

L. Atienza serna

[1] UL C 277, 5.11.1990, str. 3, in UL C 311, 27.11.1992, str. 30.

[2] UL C 159, 17.6.1991, str. 38.

[3] Mnenje Evropskega parlamenta z dne 11. marca 1992 (UL C 94, 13.4.1992, str. 198), potrjeno dne 2. decembra 1993 (UL C 342, 20.12.1993, str. 30); Skupno stališče Sveta z dne 20. februarja 1995 (UL C 93, 13.4.1995, str. 1) in Sklep Evropskega parlamenta z dne 15. junija 1995 (UL C 166, 3.7.1995).

[4] UL L 197, 18.7.1987, str. 33.

--------------------------------------------------

Top