To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu

o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ

1. V tej direktivi so določena pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

(a) varujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov, in

(b) zagotovijo, da izmenjava osebnih podatkov med pristojnimi organi v Uniji, kadar je takšna izmenjava določena v pravu Unije ali držav članic, ni niti omejena niti prepovedana iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

3. Ta direktiva državam članicam ne preprečuje, da za varovanje pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ki jih obdelujejo pristojni organi, sprejmejo višjo raven zaščitnih ukrepov od ravni, določene v tej direktivi.

1. Ta direktiva se uporablja za obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene iz člena 1(1).

2. Ta direktiva se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.

(1) „osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji ali spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2) „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3) „omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4) „oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5) „psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6) „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(a) kateri koli javni organ, ki je pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali

(b) kateri koli drug organ ali subjekt, ki v skladu s pravom države članice lahko opravlja javne funkcije ali izvaja javna pooblastila za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(8) „upravljavec“ pomeni pristojni organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa pravo Unije ali države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali države članice;

(9) „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(10) „uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom države članice, ne veljajo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(11) „ ►C1 kršitev varnosti osebnih podatkov ◄ “ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(12) „genski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(13) „biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(14) „podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(15) „nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 41 ustanovi država članica;

(16) „mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljene s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

(b) so zbrani za določene, izrecne in zakonite namene ter da se ne obdelujejo na način, ki je nezdružljiv s temi nameni;

(d) so točni in se po potrebi posodabljajo; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo, ob upoštevanju namenov, za katere se obdelujejo;

(e) se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, in le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo;

(f) se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo, in sicer z ustreznimi tehničnimi ali organizacijskimi ukrepi.

2. Obdelava s strani istega ali drugega upravljavca za kateregakoli od namenov iz člena 1(1), ki ni namen, za katerega so bili podatki zbrani, je dovoljena, če:

(a) je upravljavec pooblaščen za obdelavo teh osebnih podatkov za takšen namen v skladu s pravom Unije ali države članice in

(b) je obdelava potrebna in sorazmerna s takšnim drugim namenom v skladu s pravom Unije ali države članice.

3. Obdelava podatkov s strani istega ali drugega upravljavca lahko vključuje arhiviranje v javnem interesu, znanstveno, statistično ali zgodovinsko uporabo za namene iz člena 1(1), če je zagotovljena ustrezna zaščita pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo.

4. Upravljavec je odgovoren za skladnost z odstavki 1, 2 in 3 in je to skladnost tudi zmožen izkazati.

Države članice določijo ustrezne časovne roke za izbris osebnih podatkov ali za reden pregled potrebe po shranjevanju osebnih podatkov. Spoštovanje teh rokov se zagotovi s postopkovnimi ukrepi.

Razlikovanje med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki

Države članice določijo, da upravljavec kadar je to ustrezno in v največji možni meri jasno razlikuje med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so:

(a) osebe, v zvezi s katerimi obstaja utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti;

(c) žrtve kaznivega dejanja ali osebe, v zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za domnevo, da bi lahko postale žrtve kaznivega dejanja, in

(d) druge osebe, povezane s kaznivim dejanjem, kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s kaznivimi dejanji ali poznejšimi kazenskimi postopki, osebe, ki lahko zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci ene od oseb iz točk (a) in (b).

1. Države članice določijo, da se osebni podatki, ki temeljijo na dejstvih, v največji možni meri razločijo od osebnih podatkov, ki temeljijo na osebnih ocenah.

2. Države članice določijo, da pristojni organi z vsemi razumnimi ukrepi zagotovijo, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. V ta namen vsak pristojni organ kakovost osebnih podatkov preveri, še preden jih posreduje ali da na voljo, če je to izvedljivo. Kolikor je mogoče, se vsako posredovanje osebnih podatkov opremi s potrebnimi informacijami, ki pristojnemu organu, ki jih prejme, omogočijo, da oceni stopnjo točnosti, popolnosti, zanesljivosti in posodobljenosti osebnih podatkov.

3. Če se izkaže, da so bili poslani nepravilni osebni podatki ali da so bili osebni podatki posredovani nezakonito, je o tem treba takoj uradno obvestiti uporabnika. V takšnem primeru je treba popraviti ali izbrisati osebne podatke ali omejiti obdelavo v skladu s členom 16.

1. Države članice zagotovijo, da obdelava velja za zakonito le, če je potrebna, in v obsegu, v katerem je potrebna, za opravljanje naloge, ki jo izvaja pristojni organ za namene iz člena 1(1) in temelji na pravu Unije ali države članice.

2. Pravo držav članic, ki ureja obdelavo v okviru področja uporabe te direktive, določa vsaj cilje obdelave, kateri osebni podatki se obdelajo in namene obdelave.

1. Osebni podatki, ki jih pristojni organi zbirajo za namene iz člena 1(1), se ne obdelujejo za druge namene kot za namene iz člena 1(1), razen če takšno obdelavo dovoljuje pravo Unije ali države članice. Kadar se osebni podatki obdelujejo v druge namene, se uporablja Uredba (EU) 2016/679, razen če se obdelava izvaja v okviru dejavnosti, ki ne spadajo na področje uporabe prava Unije.

2. Kadar so pristojni organi na podlagi prava držav članic pooblaščeni za opravljanje nalog, ki so drugačne od tistih, ki se izvajajo za namene iz člena 1(1), se za obdelavo podatkov za takšne namene uporablja Uredba (EU) 2016/679, vključno z arhiviranjem iz razlogov javnega interesa, za znanstveno, statistično ali zgodovinsko uporabo, razen če se obdelava izvaja v okviru dejavnosti, ki ne spada v področje uporabe prava Unije.

3. Države članice določijo, da v primeru, če so v pravu Unije ali države članice, ki se uporablja za pristojni organ, ki posreduje podatke, določeni posebni pogoji za obdelavo, pristojni organ, ki posreduje podatke, obvesti uporabnika teh osebnih podatkov o takšnih pogojih in o obveznosti usklajenosti s temi pogoji.

4. Države članice zagotovijo, da pristojni organ, ki posreduje podatke, za uporabnike iz drugih držav članic ali agencije, urade in organe, ustanovljene v skladu s poglavjema 4 in 5 naslova V PDEU, ne bo uporabil pogojev iz odstavka 3, razen tistih, ki se uporabljajo za podobne prenose podatkov v državi članici pristojnega organa, ki posreduje podatke.

Obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se podatki nanašajo, in le če:

(b) je to potrebno zaradi zaščite življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika ali

1. Države članice zagotovijo, da je sprejemanje odločitev izključno na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki ima lahko negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali ga zelo prizadene, prepovedano, razen če to dovoljuje pravo Unije ali države članice, ki se uporablja za upravljavca in ki zagotavlja ustrezno zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja s strani upravljavca.

2. Odločitve iz odstavka 1 tega člena ne temeljijo na posebnih vrstah osebnih podatkov iz člena 10, razen če so vzpostavljeni ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

3. Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi posebnih vrst osebnih podatkov iz člena 10, je v skladu s pravom Unije prepovedano.

Sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1. Države članice določijo, da upravljavec sprejme razumne ukrepe, s katerimi zagotovi, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz člena 13 ter vsa sporočila iz členov 11, 14 do 18 in 31, povezana z obdelavo osebnih podatkov, posredujejo v jedrnati, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo na vse ustrezne načine, tudi v elektronski obliki. Upravljavec praviloma zagotovi informacije v taki obliki, kot jo je imela zahteva.

2. Države članice določijo, da upravljavec olajša uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 11 in 14 do 18.

3. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo.

4. Države članice določijo, da so informacije iz člena 13 ter morebitna sporočila in ukrepi, sprejeti na podlagi členov 11, 14 do 18 in 31, brezplačni. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec:

(a) zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa, ali

Upravljavec nosi breme izkazovanja očitne neutemeljenosti ali pretiranosti zahteve.

5. Če upravljavec upravičeno dvomi o identiteti posameznika, ki predloži zahtevo iz členov 14 ali 16, lahko zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1. Države članice določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, dajo na voljo vsaj naslednje informacije:

(e) o pravici, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo.

2. Države članice z zakonom določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih poleg informacij iz odstavka 1 zagotovi tudi naslednje dodatne informacije, s čimer omogoči uresničevanje njegovih pravic:

(b) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(d) po potrebi dodatne informacije, zlasti kadar se osebni podatki zbirajo brez vednosti posameznika, na katerega se nanašajo osebni podatki.

3. Države članice lahko sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(b) preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

4. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporablja katera koli točka iz odstavka 3.

Države članice v skladu s členom 15 določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca pridobi potrditev, da se v zvezi z njim obdelujejo osebni podatki, in da se mu v tem primeru zagotovi dostop do osebnih podatkov ter naslednje informacije:

(c) uporabnike ali kategorije uporabnikov, ki so jim bili razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d) kadar je to mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e) o pravici, da od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo;

(g) sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

1. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omejijo pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(b) preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

2. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporabljajo točke (a) do (e) odstavka 1.

3. Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva.

4. Države članice določijo, da upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Ti podatki so na voljo nadzornim organom.

1. Države članice določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih osebnih podatkov v zvezi z njim. Države članice ob upoštevanju namena obdelave določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

2. Države članice od upravljavca zahtevajo, da brez nepotrebnega odlašanja izbriše osebne podatke, in posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris osebnih podatkov v zvezi z njim, če obdelava krši predpise, sprejete na podlagi členov 4, 8 ali 10, ali če je treba osebne podatke izbrisati za izpolnitev s pravne obveznosti, ki velja za upravljavca.

(a) posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne, ali

Če je obdelava omejena v skladu s točko (a) prvega pododstavka, upravljavec pred preklicem omejitve obdelave obvesti posameznika, na katerega se nanašajo osebni podatki.

4. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa osebnih podatkov ali omejitve obdelave ter o razlogih za zavrnitev. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi popolnoma ali delno omejijo obveznost zagotavljanja teh informacij, v kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(b) preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali obstoju pravnega sredstva.

5. Države članice določijo, da upravljavec o popravku netočnih osebnih podatkov obvesti pristojni organ, ki je posredoval netočne osebne podatke.

6. Države članice določijo, da v primerih, ko so bili osebni podatki na podlagi odstavkov 1, 2 in 3 popravljeni ali izbrisani ali je bila njihova obdelava omejena, upravljavec uradno obvesti uporabnike ter da uporabniki popravijo ali izbrišejo osebne podatke ali omejijo obdelavo osebnih podatkov, za katere so odgovorni.

Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede nadzorni organ

1. Države članice v primerih iz členov 13(3), 15(3) in 16(4) sprejmejo ukrepe, s katerimi se zagotovi, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje tudi prek pristojnega nadzornega organa.

2. Države članice določijo, da upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek nadzornega organa v skladu z odstavkom 1.

3. Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled. Nadzorni organ tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva.

Pravice posameznika, na katerega se nanašajo osebni podatki, v kazenski preiskavi in kazenskem postopku

Države članice lahko določijo, da se pravice iz členov 13, 14 in 16 uresničujejo v skladu s pravom držav članic, kadar so osebni podatki navedeni v sodni odločbi ali kazenski evidenci ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom.

1. Države članice določijo, da upravljavec ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen izkazati, da obdelava poteka v skladu s to direktivo. Ti ukrepi se po potrebi pregledajo in dopolnijo.

2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

1. Države članice določijo, da upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot tudi v času same obdelave, izvede ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te direktive in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2. Države članice določijo, da upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se samodejno obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu oseb brez posredovanja zadevnega posameznika.

1. Države članice določijo, da gre v primeru, ko dva ali več upravljavcev skupaj določijo namene in načine obdelave, za skupne upravljavce. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih za izpolnjevanje obveznosti iz te direktive, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in naloge vsakega od njih glede zagotavljanja informacij iz člena 13, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali države članice, ki velja za upravljavce. Z dogovorom se določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Države članice lahko določijo, kateri od skupnih upravljavcev lahko deluje kot enotna kontaktna točka za uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki.

2. Države članice lahko ne glede na pogoje dogovora iz odstavka 1 določijo, da posameznik, na katerega se nanašajo osebni podatki, uresničuje pravice, ki jih ima na podlagi predpisov, sprejetih v skladu s to direktivo, glede vsakega od upravljavcev in proti vsakemu od njih.

1. Države članice določijo, da upravljavec, kadar se obdelava izvaja v njegovem imenu, sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te direktive in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2. Države članice določijo, da obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3. Države članice določijo, da izvajanje obdelave s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali države članice, ki določa obveznosti obdelovalca do upravljavca ter v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt določa zlasti, da obdelovalec:

(b) zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c) pomaga upravljavcu na kakršen koli primeren način, da se zagotovi skladnost z določbami o pravicah posameznika, na katerega se nanašajo osebni podatki;

(d) v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev obdelave podatkov ter uniči obstoječe kopije, razen če pravo Unije ali države članice predpisuje shranjevanje osebnih podatkov;

4. Pogodba ali drug pravni akt iz odstavka 3 je v pisni obliki, vključno z elektronsko obliko.

5. Če obdelovalec za obdelavo podatkov določi namene in način obdelave, ki kršijo to direktivo, se ta obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Države članice določijo, da obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali države članice.

1. Države članice določijo, da upravljavci vodijo evidenco vseh vrst dejavnosti obdelave, za katere so odgovorni. Ta evidenca vsebuje vse naslednje informacije:

(a) ime in kontaktne podatke upravljavca, in kadar obstajata skupnega upravljavca in pooblaščene osebe za varstvo podatkov;

(c) kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(f) kadar je ustrezno, kategorije prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo;

(g) navedbo pravne podlage za dejanja obdelave, vključno s prenosi, za katere so osebni podatki namenjeni;

(i) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

2. Države članice določijo, da vsak obdelovalec vodi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, evidenca pa vsebuje:

(a) ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih upravljavcev, v imenu katerih deluje obdelovalec, in kadar obstaja pooblaščene osebe za varstvo podatkov;

(c) kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, kadar to izrecno naroči upravljavec;

(d) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do evidence.

1. Države članice določijo, da se vodijo dnevniki vsaj o naslednjih dejanjih obdelave v avtomatiziranih sistemih obdelave: zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris. Dnevniki vpogleda in razkritja omogočajo utemeljitev, opredelitev datuma in časa takih dejanj ter, če je to mogoče, identifikacijo osebe, ki je vpogledala v osebne podatke ali jih razkrila, ter identiteto uporabnikov takih osebnih podatkov.

2. Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje celovitosti in varnosti osebnih podatkov ter v kazenskih postopkih.

3. Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do dnevnikov.

Države članice določijo, da upravljavec in obdelovalec na zahtevo sodelujeta z nadzornim organom pri izvajanju njegovih nalog.

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov, države članice določijo, da upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov.

2. Ocena iz odstavka 1 obsega vsaj splošni opis predvidenih dejanj obdelave, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, namenjene obvladovanju teh tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to direktivo, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

1. Države članice določijo, da se upravljavec ali obdelovalec pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z nadzornim organom, kadar:

(a) ocena učinka na varstvo podatkov iz člena 27 kaže, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, ali

(b) vrsta obdelave, zlasti v primeru uporabe novih tehnologij, mehanizmov ali postopkov, pomeni veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2. Države članice določijo, da se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, izvede posvetovanje z nadzornim organom.

3. Države članice določijo, da lahko nadzorni organ pripravi seznam dejanj obdelave, za katere je treba v skladu z odstavkom 1 opraviti predhodno posvetovanje.

4. Države članice določijo, da upravljavec nadzornemu organu predloži oceno učinka na varstvo podatkov v skladu s členom 27, na zahtevo pa tudi vse druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se ti podatki nanašajo, ter s tem povezane zaščitne ukrepe.

5. Države članice določijo, da nadzorni organ, kadar meni, da bi predvidena obdelava iz odstavka 1 tega člena lahko kršila predpise, sprejete na podlagi te direktive, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, pisno svetuje upravljavcu, kadar je to ustrezno, pa tudi obdelovalcu, v roku do šestih tednov po prejemu zahteve za posvetovanje in lahko uporabi katero koli pooblastilo iz člena 47. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za en mesec. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in kadar je to ustrezno obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo.

1. Države članice določijo, da upravljavec in obdelovalec ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotovita ustrezno raven varnosti glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst osebnih podatkov iz člena 10.

2. V zvezi z avtomatizirano obdelavo osebnih podatkov vsaka država članica določi, da upravljavec ali obdelovalec po oceni tveganj izvede ukrepe, katerih namen je:

(a) onemogočiti dostop nepooblaščenih oseb do opreme, ki se uporablja za obdelavo (nadzor dostopa do opreme);

(b) preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);

(c) preprečiti nepooblaščeno vnašanje osebnih podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);

(d) nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za avtomatizirano obdelavo (nadzor uporabnikov);

(e) zagotoviti, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f) zagotoviti, da je mogoče preveriti in ugotoviti, katerim telesom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);

(g) zagotoviti, da je mogoče naknadno preveriti in ugotoviti, kateri osebni podatki so bili vneseni v sisteme za avtomatizirano obdelavo ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h) preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);

(j) zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati okvarjeni zaradi napačnega delovanja sistema (celovitost).

1. Države članice določijo, da upravljavec v primeru kršitve varnosti osebnih podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo o njej obvesti nadzorni organ, razen če ni verjetno, da bi bilo s kršitvijo varnosti osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži razloge za zamudo.

2. Obdelovalec ob seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.

(a) opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b) sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(d) opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, vključno z če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

4. Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5. Države članice določijo, da upravljavec dokumentira vsako kršitev varnosti osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.

6. Države članice v primeru, kadar kršitev varnosti osebnih podatkov vključuje osebne podatke, ki jih je upravljavec druge države članice poslal ali so mu bili poslani, določijo, da se informacije iz odstavka 3 upravljavcu navedene države članice sporočijo brez nepotrebnega odlašanja.

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o ►C1 kršitvi varnosti osebnih podatkov ◄

1. Države članice določijo, da v primeru, ko je verjetno, da bi ►C1 kršitev varnosti osebnih podatkov ◄ povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do ►C1 kršitve varnosti osebnih podatkov ◄ .

2. V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta ►C1 kršitve varnosti osebnih podatkov ◄ ter so vsebovane vsaj informacije in ukrepi iz točk (b), (c) in (d) člena 30(3).

3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a) upravljavec je izvedel ustrezne tehnološke in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena ►C1 kršitev varnosti ◄ , zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje,

(b) upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo,

(c) bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4. Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o ►C1 kršitvi varnosti osebnih podatkov ◄ , lahko nadzorni organ to od njega lahko zahteva po preučitvi verjetnosti, da bi ►C1 kršitev varnosti osebnih podatkov ◄ povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri od pogojev iz odstavka 3.

5. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena se lahko pod pogoji in iz razlogov iz člena 13(3) zadrži, omeji ali opusti.

1. Države članice določijo, da upravljavec imenuje pooblaščeno osebo za varstvo podatkov. Države članice lahko iz te obveznosti lahko izvzamejo sodišča in druge neodvisne pravosodne organe, kadar delujejo kot sodni organ.

2. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi njenih poklicnih odlik in zlasti njenega strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 34.

3. Za več pristojnih organov se lahko ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4. Države članice določijo, da upravljavec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

1. Države članice določijo, da upravljavec zagotovi, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2. Upravljavec pooblaščeni osebi za varstvo podatkov pomaga pri opravljanju nalog iz člena 34, tako da zagotovi sredstva, potrebna za opravljanje teh nalog in dostop do osebnih podatkov in dejanj obdelave ter ohranjanje njenega strokovnega znanja.

Države članice določijo, da upravljavec pooblaščeni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a) obveščanje upravljavca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to direktivo in drugimi določbami Unije ali držav članic o varstvu podatkov;

(b) spremljanje skladnosti s to direktivo, drugimi določbami Unije ali držav članic o varstvu podatkov in politikami upravljavca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c) svetovanje, kadar se to zahteva, glede ocene učinka v zvezi z na varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 27;

(e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 28, in, kjer je ustrezno, posvetovanje o kateri koli drugi zadevi.

1. Države članice določijo, da pristojni organi vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, vključno z nadaljnjimi prenosi v drugo tretjo državo ali mednarodno organizacijo, izvedejo samo, če je v skladu z nacionalnimi določbami, sprejetimi v skladu z drugimi določbami te direktive in samo če so izpolnjeni pogoji iz tega poglavja, in sicer:

(b) osebni podatki se prenesejo upravljavcu v tretji državi ali mednarodni organizaciji, ki je organ, pristojen za namene iz člena 1(1),

(c) v primeru prenosa ali omogočanja dostopa do osebnih podatkov iz druge države članice je zadevna država članica dala predhodno soglasje za prenos v skladu s svojim nacionalnim pravom

(d) Komisija je sprejela sklep o ustreznosti na podlagi člena 36 ali – v primeru, da Komisija ni sprejela tega sklepa – so predvideni ali obstajajo ustrezni zaščitni ukrepi v skladu s členom 37 ali – v primeru, da Komisija ni sprejela sklepa o ustreznosti na podlagi člena 36 ali ustreznih zaščitnih ukrepov na podlagi člena 37– se uporabljajo odstopanja za posebne primere v skladu s členom 38; in

(e) v primeru nadaljnjega prenosa v drugo tretjo državo ali mednarodno organizacijo pristojni organ, ki je izvedel prvotni prenos, ali drug pristojni organ v isti državi članici dovoli nadaljnji prenos, potem ko ustrezno upošteva vse zadevne dejavnike, tudi resnost kaznivega dejanja, namen, za katerega so bili osebni podatki prvotno preneseni, in raven varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero se osebni podatki prenašajo v okviru nadaljnjega prenosa.

2. Države članice določijo, da so prenosi brez predhodnega soglasja druge države članice v skladu s točko (c) odstavka 1 dovoljeni samo, če je prenos osebnih podatkov nujno potreben, da se prepreči neposredna in resna grožnja javni varnosti v državi članici ali tretji državi ali vitalnim interesom države članice, predhodnega soglasja pa ni mogoče pridobiti pravočasno. O tem brez odlašanja obvestijo organ, pristojen za dajanje predhodnega soglasja.

3. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta direktiva.

1. Države članice določijo, da se prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede, če Komisija sklene, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2. Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a) načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, varnosti države in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b) obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje, za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic in

(c) mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3. Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom sklene, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter kadar je ustrezno opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 58(2).

4. Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3.

5. Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ta izvedbeni akt se sprejme po postopku pregleda iz člena 58(2), v izjemno nujnih primerih pa po postopku iz člena 58(3).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 58(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6. Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7. Države članice določijo, da sklep, sprejet na podlagi odstavka 5 ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členoma 37 in 38.

8. Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

1. Države članice določijo, da se lahko v primeru nesprejetja sklepa v skladu s členom 36(3) osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, če:

(a) so ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov določeni v pravno zavezujočem aktu ali

(b) je upravljavec ocenil vse okoliščine v zvezi s prenosom osebnih podatkov in ugotovil, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov.

2. Upravljavec obvesti nadzorni organ o kategorijah prenosov iz točke (b) odstavka 1.

3. Kadar prenos temelji na točki (b) odstavka 1, ga je treba dokumentirati, pri čemer mora biti dokumentacija na zahtevo na voljo nadzornemu organu, vključno z datumom in uro prenosa, podatki o pristojnem organu prejemniku, utemeljitvijo prenosa in prenesenimi osebnimi podatki.

1. Države članice zagotovijo, da se lahko v primeru, če ni bil sprejet sklep o ustreznosti v skladu s členom 36 oziroma če niso bili sprejeti ustrezni zaščitni ukrepi v skladu s členom 37, prenos ali kategorija prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le, če je prenos potreben:

(a) za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe;

(b) za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki in je to določeno v zakonodaji države članice, ki prenaša osebne podatke;

(e) v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi z nameni iz člena 1(1).

2. Če pristojni organ, ki podatke prenese, ugotovi, da temeljne pravice in svoboščine zadevnega posameznika, na katerega se nanašajo osebni podatki, prevladajo nad javnim interesom za prenos iz točk (d) in (e) odstavka 1, se osebni podatki ne prenesejo.

3. Kadar prenos temelji na odstavku 1, ga je treba dokumentirati, pri čemer mora biti dokumentacija na zahtevo na voljo nadzornemu organu, vključno z datumom in uro prenosa, podatki o pristojnem organu prejemniku, utemeljitvijo prenosa in prenesenimi osebnimi podatki.

1. V pravu Unije ali države članice se lahko z odstopanjem od točke (b) člena 35(1) in brez poseganja v kateri koli mednarodni sporazum iz odstavka 2 tega člena določi, da pristojni organi iz točke (7)(a) člena 3 v posameznih in posebnih primerih prenesejo osebne podatke neposredno uporabnikom, ustanovljenim v tretjih državah, le, če so izpolnjene zahteve iz drugih določb te direktive in vsi naslednji pogoji:

(a) prenos je nujno potreben za izvajanje naloge pristojnega organa, ki podatke prenese, kot je določeno s pravom Unije ali države članice za namene iz člena 1(1);

(b) pristojni organ, ki podatke prenese, ugotovi, da nobena temeljna pravica in svoboščina zadevnega posameznika, na katerega se nanašajo osebni podatki, ne prevlada nad javnim interesom, zaradi katerega je v konkretnem primeru potreben prenos;

(c) pristojni organ, ki podatke prenese, meni, da prenos organu v tretji državi, pristojnemu za namene iz člena 1(1), ni učinkovit ali primeren, zlasti ker prenosa ni mogoče pravočasno izvesti;

(d) organ, ki je v tretji državi pristojen za namene iz člena 1(1), je obveščen brez nepotrebnega odlašanja, razen če to ni učinkovito ali primerno;

(e) pristojni organ, ki podatke prenese, obvesti uporabnika o določenem namenu ali namenih, za katere naj bi uporabnik izključno obdelal osebne podatke, pod pogojem, da je takšna obdelava potrebna.

2. Mednarodni sporazum iz odstavka 1 je kateri koli veljavni dvo- ali večstranski mednarodni sporazum med državami članicami in tretjimi državami s področja pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

3. Pristojni organ, ki podatke prenese, obvesti nadzorni organ o prenosih na podlagi tega člena.

Komisija in države članice v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe, da:

(a) oblikujejo mehanizme mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b) zagotovijo mednarodno medsebojno pomoč pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c) ustrezne deležnike vključijo v razpravo in dejavnosti, katerih namen je pospeševanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d) spodbujajo izmenjavo in dokumentiranje zakonodaje in prakse s področja varstva osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

1. Vsaka država članica zagotovi, da je eden ali več neodvisnih javnih organov pristojnih za spremljanje uporabe te direktive, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (nadzorni organ).

2. Vsak nadzorni organi prispeva k dosledni uporabi te direktive v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

3. Države članice lahko določijo, da je nadzorni organ, ustanovljen v skladu z Uredbo (EU) 2016/679, nadzorni organ iz te direktive in prevzame odgovornost za izvajanje nalog nadzornega organa, ki bo ustanovljen v skladu z odstavkom 1 tega člena.

4. Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki navedene organe zastopa v odboru iz člena 51.

1. Vsaka država članica določi, da vsak nadzorni organ pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo ravna popolnoma neodvisno.

2. Države članice določijo, da član oziroma člani njihovih nadzornih organov pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo niso izpostavljeni ne neposrednemu ne posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.

3. Člani nadzornega organa držav članic se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4. Vsaka država članica zagotovi, da ima vsak nadzorni organ na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.

5. Vsaka država članica zagotovi, da vsak nadzorni organ izbere in ima svoje osebje, ki ga usmerja izključno član oziroma člani zadevnega nadzornega organa.

6. Vsaka država članica zagotovi, da se izvaja finančni nadzor vsakega nadzornega organa, kar pa ne vpliva na njegovo neodvisnost, in da ima vsak nadzorni organ ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

1. Države članice zagotovijo, da vsakega člana njihovega nadzornega organa po preglednem postopku imenuje:

2. Vsak član im kvalifikacije, izkušnje in znanje, zlasti na področju varstva osebnih podatkov, potrebno za opravljanje svojih dolžnosti in izvajanje svojih pooblastil.

3. Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu s pravom zadevne države članice.

4. Član je lahko razrešen le v primerih hujše kršitve ali če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje dolžnosti.

(b) kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

(d) trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 6. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopkom postopnega imenovanja;

(e) ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo in če je tako, za koliko mandatov;

(f) pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

2. Član oziroma člani in osebje posameznega nadzornega organa so v skladu s pravom Unije ali države članice tako med svojim mandatom kot po njem dolžni varovati poklicno skrivnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med opravljanjem svojih nalog ali izvajanjem svojih pooblastil. V času njihovega mandata ta dolžnost varovanja poklicne skrivnosti velja zlasti za poročanje posameznikov o kršitvah te direktive.

1. Vsaka država članica določi, da je vsak nadzorni organ na ozemlju svoje države članice pristojen za opravljanje nalog in izvajanje pooblastil, ki so mu bila dodeljena v skladu s to direktivo.

2. Vsaka država članica določi, da noben nadzorni organ ni pristojen za nadzor dejanj obdelave, ki jih izvajajo sodišča, kadar delujejo kot sodni organ. Države članice lahko določijo, da njihov nadzorni organ ni pristojen za nadzor dejanj obdelave, ki jih izvajajo drugi neodvisni pravosodni organi, kadar delujejo kot sodni organ.

(a) spremlja in zagotavlja uporabo predpisov, sprejetih v skladu s to direktivo, in njenih izvedbenih ukrepov;

(b) spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo;

(c) v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d) spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi te direktive;

(e) vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te direktive in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f) obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 55 organ, organizacija ali združenje, in v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g) preverja zakonitost obdelave v skladu s členom 17 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda v skladu z odstavkom 3 navedenega člena ali o razlogih, zaradi katerih pregled ni bil izveden;

(h) sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da bi zagotovili doslednost pri uporabi in izvajanju te direktive;

(i) izvaja preiskave o uporabi te direktive, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(j) spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

2. Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1, in sicer z ukrepi, kot je zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3. Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov brezplačno.

4. Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na administrativne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

1. Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska preiskovalna pooblastila. Ta pooblastila vključujejo vsaj pooblastilo, da od upravljavca in obdelovalca pridobi dostop do vseh osebnih podatkov, ki se obdelujejo, in vseh informacij, ki jih potrebuje za opravljanje svojih nalog.

2. Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska popravljalna pooblastila, kot na primer:

(a) da upravljavca ali obdelovalca opozori, da bi predvidena dejanja obdelave verjetno kršila predpise, sprejete na podlagi te direktive;

(b) da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi s predpisi, sprejetimi na podlagi te direktive, zlasti tako, da v skladu s členom 16 odredi popravek ali izbris osebnih podatkov ali omejitev obdelave;

3. Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska svetovalna pooblastila, da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 28 in da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament in vlado ali, v skladu z nacionalnim pravom, za druge institucije in organe, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov.

4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in držav članic, v skladu z Listino.

5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve predpisov, sprejetih na podlagi te direktive, in da po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje predpisov, sprejetih na podlagi te direktive.

Države članice določijo, da pristojni organi vzpostavijo učinkovite mehanizme za spodbujanje zaupnega poročanja o kršitvah te direktive.

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih, ki lahko vključuje seznam vrst priglašenih kršitev in vrst naloženih kazni. Ta poročila se predložijo nacionalnemu parlamentu, vladi in drugim organom, kakor določa pravo države članice. Na voljo se dajo javnosti, Komisiji in odboru.

1. Vsaka država članica določi, da njihovi nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč ter tako dosledno izvajajo in uporabljajo to direktivo in da uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za posvetovanja, preglede in preiskave.

2. Države članice določijo, da vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne, za odgovor na zahtevo drugega nadzornega organa brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3. Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

(b) bi izpolnitev zahteve kršila to direktivo ali pravo Unije ali države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5. Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo vsako zavrnitev zahteve na podlagi odstavka 4 ustrezno obrazloži.

6. Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7. Nadzorni organi, ki so prejeli zahtevo, za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah.

8. Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 58(2).

1. Odbor, ustanovljen z Uredbo (EU) 2016/679, opravlja vse naslednje naloge v zvezi z obdelavo v okviru področja uporabe te direktive:

(a) Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, pa tudi o vseh predlogih sprememb te direktive;

(b) na lastno pobudo, na zahtevo katerega od svojih članov ali na zahtevo Komisije preuči vsako vprašanje v zvezi z uporabo te direktive ter izda smernice, priporočila in najboljše prakse, s čimer spodbuja dosledno uporabo te direktive;

(d) izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka za ugotavljanje kršitev varnosti osebnih podatkov in opredelitev nepotrebnega odlašanja iz člena 30(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži obvestilo o kršitvi varnosti osebnih podatkov;

(e) izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka glede okoliščin, v katerih je verjetno, da bi ►C1 kršitev varnosti osebnih podatkov ◄ povzročila znatno tveganje za pravice in svoboščine posameznikov iz člena 31(1);

(g) Komisiji predloži mnenje glede ocene ustreznosti ravni varstva v tretji državi, na ozemlju ali v enem ali več določenih sektorjev v tretji državi, ali mednarodni organizaciji, vključno glede ocene o tem, ali tretja država, ozemlje, določen sektor ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva.

(h) spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(i) spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali z mednarodnimi organizacijami;

(j) spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

Ob upoštevanju točke (g) prvega pododstavka, Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države, z ozemljem ali določenim sektorjem v navedeni tretji državi ali z mednarodno organizacijo.

2. Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3. Odbor Komisiji in odboru iz člena 58(1) posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4. Komisija obvesti odbor o ukrepih, ki jih je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je ta odbor izdal.

1. Države članice brez poseganja v katero koli drugo upravno ali pravno sredstvo določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo samo pri enem nadzornem organu, če meni, da obdelava v zvezi z njim krši predpise, sprejete na podlagi te direktive.

2. Države članice zagotovijo, da nadzorni organ, pri katerem je bila vložena pritožba, to pritožbo brez nepotrebnega odlašanja posreduje pristojnemu nadzornemu organu, če pritožba ni bila vložena pri nadzornemu organu, pristojnem v skladu s členom 45(1). Posameznik, na katerega se nanašajo osebni podatki, je obveščen o prenosu.

3. Države članice določijo, da nadzorni organ, pri katerem je bila vložena pritožba, nudi nadaljnjo pomoč na zahtevo posameznika, na katerega se nanašajo osebni podatki.

4. Pristojni nadzorni organ obvesti posameznika, na katerega se nanašajo osebni podatki, o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 53.

1. Države članice brez poseganja v katero koli drugo upravno ali izvensodno sredstvo določijo, da ima fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, pristojen na podlagi člena 45(1), ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 52.

3. Države članice določijo, da so za postopke zoper nadzorni organ pristojna sodišča države članice, v kateri je nadzorni organ ustanovljen.

Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 52, države članice določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni da so bile njegove pravice iz predpisov, sprejetih na podlagi te direktive, kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu z navedenimi predpisi.

Država članica v skladu s svojim postopkovnim pravom določi, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pooblastiti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uresničuje pravice iz členov 52, 53 in 54.

Države članice določijo, da ima vsaka oseba, ki je utrpela premoženjsko ali nepremoženjsko škodo zaradi nezakonitega dejanja obdelave ali katerega koli dejanja, ki krši nacionalne določbe, sprejete na podlagi te direktive, pravico, da od upravljavca ali drugega organa, pristojnega v skladu s pravom države članice, dobi odškodnino za nastalo škodo.

Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve predpisov, sprejetih na podlagi te direktive, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja. Predvidene kazni morajo biti učinkovite, sorazmerne in odvračilne.

1. Komisiji pomaga odbor, ustanovljen v skladu s členom 93 Uredbe (EU) 2016/679. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3. Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 navedene uredbe.

2. Sklicevanja na razveljavljeni sklep iz odstavka 1 se štejejo kot sklicevanja na to direktivo.

Posebne določbe o varstvu osebnih podatkov v pravnih aktih Unije, ki so začeli veljati 6. maja 2016 ali pred tem datumom na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja in med državami članicami urejajo obdelavo in dostop imenovanih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb v okviru te direktive, ostanejo nespremenjene.

Razmerje do predhodno sklenjenih mednarodnih sporazumov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja

Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 6. majem 2016 ter so v skladu s pravom Unije, ki se je uporabljal pred tem datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.

1. Komisija do 6. maja 2022 in nato vsaka štiri leta, Evropskemu parlamentu in Svetu predloži poročila o vrednotenju in pregledu te direktive. Poročila se objavijo.

2. Komisija v okviru teh vrednotenj in pregledov iz odstavka 1 preuči zlasti uporabo in delovanje poglavja V o prenosu osebnih podatkov v tretje države ali mednarodne organizacije, s posebnim poudarkom na odločitvah, sprejetih v skladu s členom 36(3) in členom 39.

3. Komisija lahko za namene iz odstavkov 1 in 2 zahteva informacije od držav članic in nadzornih organov.

4. Komisija pri izvajanju vrednotenj in pregledov iz odstavkov 1 in 2 upošteva stališča in ugotovitve Evropskega parlamenta, Sveta ter drugih ustreznih organov ali virov.

5. Komisija po potrebi predloži ustrezne predloge za spremembo te direktive, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na napredek v informacijski družbi.

6. Komisija do 6. maja 2019 pregleda druge pravne akte, ki jih je sprejela Unija in urejajo obdelavo, ki jih pristojni organi obdelujejo za namene iz člena 1(1), vključno tistih iz člena 60, da se oceni potreba po njihovi uskladitvi s to direktivo in se po potrebi oblikujejo ustrezni predlogi za spremembo teh aktov, da se zagotovi dosleden pristop k varstvu osebnih podatkov v okviru področja uporabe te direktive.

1. Države članice sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo do 6. maja 2018. Komisiji nemudoma sporočijo besedilo zadevnih predpisov. Zadevne predpise uporabljajo od 6. maja 2018.

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2. Država članica lahko z odstopanjem od odstavka 1 določi, da se izjemoma, tj. v primeru nesorazmernega napora, avtomatizirani sistemi obdelave, vzpostavljeni pred začetkom veljavnosti te direktive, uskladijo s členom 25(1) do 6. maja 2023.

3. Z odstopanjem od odstavkov 1 in 2 tega člena lahko država članica v izjemnih okoliščinah določen avtomatizirani sistem obdelave iz odstavka 2 tega člena uskladi s členom 25(1) v določenem obdobju po obdobju iz odstavka 2 tega člena, če bi to sicer povzročilo resne težave v delovanju tega avtomatiziranega sistema obdelave. Zadevna država članica Komisijo uradno obvesti o razlogih za te resne težave in razlogih za navedeno obdobje, v katerem bo zadevni avtomatizirani sistem obdelave uskladila s členom 25(1). Navedeno obdobje v nobenem primeru ne sme presegati 6. maja 2026.

4. Države članice Komisiji sporočijo besedilo temeljnih predpisov nacionalne zakonodaje, sprejetih na področju, ki ga zajema ta direktiva.