30.12.2008   

SL

Uradni list Evropske unije

L 350/60


OKVIRNI SKLEP SVETA 2008/977/PNZ

z dne 27. novembra 2008

o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah

SVET EVROPSKE UNIJE JE –

ob upoštevanju Pogodbe o Evropski uniji in zlasti členov 30, 31 in 34(2)(b) Pogodbe,

ob upoštevanju predloga Komisije,

ob upoštevanju mnenja Evropskega parlamenta (1),

ob upoštevanju naslednjega:

(1)

Evropska unija si je zastavila cilj vzdrževati in razvijati Unijo kot območje svobode, varnosti in pravice, v katerem bo zagotovljena visoka stopnja varnosti s skupnimi ukrepi držav članic na področju policijskega in pravosodnega sodelovanja v kazenskih zadevah.

(2)

Skupni ukrepi na področju policijskega sodelovanja v skladu s členom 30(1)(b) Pogodbe o Evropski uniji ter skupni ukrep na področju pravosodnega sodelovanja v kazenskih zadevah v skladu s členom 31(1)(a) Pogodbe o Evropski uniji zahtevajo obdelavo ustreznih informacij, ki bi morala biti urejena z ustreznimi določbami o varstvu osebnih podatkov.

(3)

Zakonodaja s področja naslova VI Pogodbe o Evropski uniji bi morala pripomoči k učinkovitosti policijskega in pravosodnega sodelovanja v kazenskih zadevah, pa tudi k njegovi legitimnosti in skladnosti s temeljnimi pravicami, zlasti s pravico do zasebnosti in do varstva osebnih podatkov. K doseganju obeh ciljev lahko prispevajo skupni standardi glede obdelave in varstva osebnih podatkov, ki se obdelujejo za preprečevanje kriminala in boj proti njemu.

(4)

V Haaškem programu za krepitev svobode, varnosti in pravice v Evropski uniji, ki ga je Evropski svet sprejel 4. novembra 2004, je poudarjena potreba po inovativnem pristopu k čezmejni izmenjavi informacij o kazenskem pregonu ob strogem upoštevanju ključnih pogojev na področju varstva podatkov, Komisija pa je pozvana, naj najkasneje do konca leta 2005 odda ustrezne predloge. Odraz tega je bil Akcijski načrt Sveta in Komisije o izvajanju Haaškega programa za krepitev svobode, varnosti in pravice v Evropski uniji (2).

(5)

Izmenjava osebnih podatkov v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, predvsem v skladu z načelom dostopnosti informacij, zapisanim v Haaškem programu, bi morala biti oprta na jasna pravila, ki bi krepila medsebojno zaupanje med pristojnimi organi ter zagotavljala varstvo zadevnih informacij, na način, da je izključena vsakršna diskriminacija glede takšnega sodelovanja med državami članicami, hkrati pa bi bile v celoti spoštovane temeljne pravice posameznikov. Veljavni instrumenti, sprejeti na evropski ravni, ne zadostujejo. Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takšnih podatkov (3) se ne uporablja za obdelavo osebnih podatkov v sklopu dejavnosti izven področja uporabe zakonodaje Skupnosti, na primer tiste, ki jih predvideva naslov VI Pogodbe o Evropski uniji, in v nobenem primeru ne za obdelavo, povezano z javno varnostjo, obrambo, državno varnostjo ali dejavnostmi države na področjih kazenskega prava.

(6)

Ta okvirni sklep se uporablja le za podatke, ki jih pristojni organi zbirajo ali obdelujejo za namen preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazni. Ta okvirni sklep bi moral prepustiti državam članicam, da na nacionalni ravni natančneje določijo, kateri drugi nameni naj bi veljali za nezdružljive z namenom, za katerega so bili osebni podatki prvotno zbrani. Nadaljnja obdelava v zgodovinske, statistične ali znanstvene namene na splošno ne bi smela veljati za nezdružljivo s prvotnim namenom obdelave.

(7)

Področje uporabe tega okvirnega sklepa je omejeno na obdelavo osebnih podatkov, ki se posredujejo ali se do njih omogoči dostop med državami članicami. Na podlagi te omejitve ne bi smelo biti mogoče povzemati nobenih sklepov o pristojnosti Unije za sprejemanje aktov, ki se nanašajo na zbiranje in obdelavo osebnih podatkov na nacionalni ravni, ali o možnosti, da bo Unija v prihodnosti imela tako pristojnost.

(8)

Da se omogoči lažjo izmenjavo podatkov v Uniji, nameravajo države članice zagotoviti skladnost nacionalnega standarda varstva podatkov pri njihovi obdelavi s standardom, ki ga določa ta okvirni sklep. Kar zadeva obdelavo nacionalnih podatkov ta okvirni sklep državam članicam ne preprečuje sprejetja višjih zaščitnih ukrepov za varstvo osebnih podatkov od teh, ki jih uvaja ta okvirni sklep.

(9)

Ta okvirni sklep se ne bi smel uporabljati za osebne podatke, ki jih je država članica pridobila v okviru področja uporabe tega okvirnega sklepa in ki izvirajo iz te države članice.

(10)

Približevanje zakonodaj držav članic nikakor ne bi smelo znižati ravni varstva podatkov, ki jo te zagotavljajo; nasprotno, z njim bi si morali prizadevati za zagotavljanje visoke ravni varstva znotraj Unije.

(11)

Opredeliti je treba cilje varstva podatkov v okviru policijskih in pravosodnih delovanj ter določiti pravila glede zakonitosti obdelave osebnih podatkov in s tem zagotoviti, da bodo vse informacije, ki bi utegnile biti izmenjane, obdelane zakonito in skladno s temeljnimi načeli, ki se nanašajo na kakovost podatkov. Hkrati pa nikakor ne bi smele biti ogrožene legitimno delovanje policije, carine, pravosodnih in drugih pristojnih organov.

(12)

Načelo točnosti podatkov se uporablja ob upoštevanju narave in namena zadevne obdelave. Na primer, zlasti v sodnih postopkih podatki pogosto temeljijo na subjektivnem dojemanju posameznikov in so v nekaterih primerih popolnoma nepreverljivi. Zato se zahteva po točnosti ne more nanašati na točnost izjave, ampak samo na dejstvo, da je bila podana določena izjava.

(13)

Arhiviranje v posebnih nizih podatkov bi moralo biti dovoljeno le, če se podatki več ne potrebujejo in uporabljajo za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazni. Arhiviranje v posebnih nizih podatkov bi moralo biti dovoljeno tudi, če so arhivirani podatki, skupaj z drugimi podatki, shranjeni v zbirki podatkov na takšen način, da se jih ne da več uporabiti za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazni. Čas arhiviranja bi moral biti odvisen od namenov arhiviranja in zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. V primeru arhiviranja za zgodovinske namene je lahko predvideno tudi zelo dolgo obdobje.

(14)

Podatki se lahko izbrišejo tudi tako, da se uniči podatkovni medij.

(15)

V zvezi z netočnimi, nepopolnimi podatki ali podatki, ki niso posodobljeni in ki so posredovani ali dani na razpolago drugi državi članici ter nadalje obdelani s strani organov, ki odločajo kot sodišče, s čimer so mišljeni organi, ki sprejemajo pravno zavezujoče odločitve, bi se njihovo popravljanje, izbris ali blokiranje moralo izvesti v skladu z nacionalno zakonodajo.

(16)

Za zagotavljanje visoke stopnje varstva osebnih podatkov posameznikov so potrebne skupne določbe, ki bodo opredeljevale zakonitost in kakovost podatkov, ki jih obdelujejo pristojni organi v drugih državah članicah.

(17)

Primerno je, da se na evropski ravni določi pogoje, pod katerimi bi pristojni organi držav članic smeli posredovati osebne podatke, ki so jih prejeli od drugih držav članic, in omogočati dostop do njih organom in zasebnim strankam v državah članicah. Posredovanje osebnih podatkov s strani pravosodnih organov, policije ali carinskih organov zasebnim strankam je v mnogih primerih potrebno zaradi pregona kaznivih dejanj ali preprečitve neposredne in resne ogroženosti javne varnosti oziroma zaradi preprečitve hujše škode pravicam posameznikov, na primer z izdajo opozoril bankam in kreditnim institucijam v zvezi s ponarejanjem vrednostnih papirjev, ali na področju kaznivih dejanj, povezanih z vozili, s sporočanjem osebnih podatkov zavarovalnicam, da se prepreči prepovedana trgovina z ukradenimi motornimi vozili ali izboljšajo pogoji za vrnitev ukradenih vozil iz tujine. To ni enakovredno prenosu policijskih in pravosodnih nalog na zasebne stranke.

(18)

Pravila iz tega okvirnega sklepa o posredovanju osebnih podatkov s strani pravosodnih organov, policije ali carinskih organov zasebnim strankam se ne nanašajo na razkritje osebnih podatkov zasebnim strankam (kot so odvetniki ali žrtve) v okviru kazenskega postopka.

(19)

Nadaljnjo obdelavo osebnih podatkov, ki jih pošlje oz. do njih omogoči dostop pristojni organ druge države članice, zlasti pa nadaljnje posredovanje teh podatkov oziroma omogočanje dostopa do njih, bi bilo treba urediti s skupnimi pravili na evropski ravni.

(20)

Če se osebni podatki lahko nadalje obdelajo potem, ko je država članica, od katere so bili podatki prejeti, dala soglasje, bi lahko države članice same določile podrobnosti glede soglasja, med drugim tudi z možnostjo splošnega soglasja za vrste podatkov ali za vrst nadaljnje obdelave.

(21)

Če se osebni podatki lahko nadalje obdelajo za namene upravnih postopkov, ti postopki vsebujejo tudi dejavnosti regulativnih in nadzornih organov.

(22)

Legitimno delovanja policije, carine, pravosodnih in drugih pristojnih organov lahko zahtevajo, da se podatke pošlje organom v tretjih državah ali mednarodnim telesom, ki imajo obveznosti v zvezi s preprečevanjem, preiskovanjem, odkrivanjem ali pregonom kaznivih dejanj ali izvrševanjem kazni.

(23)

Kadar se osebni podatki posredujejo iz države članice tretjim državam ali mednarodnim telesom, bi morali ti podatki načeloma imeti zagotovljeno ustrezno raven varstva.

(24)

Kadar se osebni podatki posredujejo iz države članice tretjim državam ali mednarodnim telesom, bi moral biti tak prenos načeloma možen samo po pridobitvi soglasja države članice, ki je posredovala podatke. Vsaka država članica bi morala imeti možnost sama določiti podrobnosti glede soglasja, med drugim tudi z možnostjo splošnega soglasja za določene vrste podatkov ali za določene tretje države.

(25)

Interesi učinkovitega sodelovanja na področju kazenskega pregona zahtevajo, da lahko v primeru, če je ogrožanje javne varnosti države članice ali tretje države tako neposredno, da ni možno pravočasno pridobiti predhodnega soglasja, bi moral pristojni organ imeti možnost posredovati ustrezne osebne podatke tretji državi brez predhodnega soglasja. Enako velja, če so ogroženi drugi, enako pomembni bistveni interesi države članice, na primer, če bi bila kritična infrastruktura države članice v neposredni in resni nevarnosti ali če bi bil resno ogrožen njen finančni sistem.

(26)

Lahko se zgodi, da je potrebno posameznike, na katere se osebni podatki nanašajo, obvestiti o obdelavi njihovih podatkov, zlasti v primerih posebno resnega poseganja v njihove pravice zaradi tajnega pridobivanja podatkov, in tem posameznikom tako zagotoviti možnost učinkovitega pravnega varstva.

(27)

Države članice bi morale zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, obvesti, da se osebni podatki zbirajo, obdelujejo ali posredujejo ali bi se lahko zbirali, obdelovali ali posredovali za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali izvrševanja kazni. Podrobnosti glede pravice posameznika, na katerega se nanašajo osebni podatki, do obveščenosti in izjeme s tem v zvezi bi morale biti določene z nacionalnim pravom. To lahko poteka v splošni obliki, na primer z zakonom ali z objavo seznama postopkov obdelave.

(28)

Da bi zagotovili varstvo osebnih podatkov brez ogrožanja interesov kazenskih preiskav, je treba določiti pravice posameznika, na katerega se osebni podatki nanašajo.

(29)

Nekatere države članice so zagotovile pravico dostopa posameznikov, na katere se nanašajo osebni podatki, v kazenskih zadevah prek sistema, v katerem ima nacionalni nadzorni organ, namesto posameznika, na katerega se nanašajo osebni podatki, neomejen dostop do vseh osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, in lahko tudi popravlja, briše ali posodablja netočne podatke. V takšnem primeru posrednega dostopa lahko nacionalna zakonodaja zadevnih držav članic določa, da bo nacionalni nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvestil le, da so bila opravljena vsa potrebna preverjanja. Vendar pa te države članice posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih zagotovijo tudi možnosti neposrednega dostopa, kot so dostop do sodnih spisov, pridobitev kopij lastnih kazenskih evidenc ali dokumentov v zvezi z lastnimi obravnavami s strani služb policije.

(30)

Primerno je, da se določijo skupna pravila o zaupnosti in varnosti obdelave, o odgovornosti in kaznih za nezakonito uporabo s strani pristojnih organov ter o pravnih sredstvih, ki so na voljo posamezniku, na katerega se osebni podatki nanašajo. Ne glede na to pa vsaka država članica določi naravo svojih odškodninskih pravil in kazni, ki se uporabljajo pri kršitvah njihovih določb o varstvu podatkov.

(31)

Ta okvirni sklep omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri izvajanju načel iz tega okvirnega sklepa.

(32)

Če je pri obdelavi, ki po obsegu ali vrsti vključuje posebna tveganja za temeljne pravice in svoboščine, treba varovati osebne podatke, na primer pri obdelavi z novimi tehnologijami, mehanizmi ali postopki, je primerno zagotoviti, da se pred oblikovanjem zbirk, cilj katerih je obdelava teh podatkov, posvetuje s pristojnimi nacionalnimi nadzornimi organi.

(33)

Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja med državami članicami.

(34)

Nadzorni organi, ki so že bili ustanovljeni v državah članicah v skladu z Direktivo 95/46/ES, bi morali imeti možnost izvajati tudi naloge, ki so v skladu s tem okvirnim sklepom podeljene nacionalnim nadzornim organom.

(35)

Takšni nadzorni organi bi morali imeti za opravljanje svojih nalog potrebna sredstva, vključno s pooblastili za preiskave in ukrepanje, predvsem v primerih pritožb posameznikov, ali pooblastila za sodelovanje v pravnih postopkih. Ti nadzorni organi bi morali pomagati zagotoviti preglednost obdelave v državi članici, v katere pristojnost sodijo. Vendar pa njihova pooblastila ne smejo posegati v posebna pravila, določena za kazenske postopke, ali v neodvisnost sodstva.

(36)

Člen 47 Pogodbe o Evropski uniji določa, da nobena od njegovih določb ne vpliva na Pogodbe o ustanovitvi Evropskih skupnosti ali kasnejše pogodbe in akte, ki jih spreminjajo ali dopolnjujejo. Zato ta okvirni sklep ne vpliva na varstvo osebnih podatkov po zakonodaji Skupnosti, zlasti kakor je predvideno v Direktivi 95/46/ES, v Uredbi (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (4) ter v Direktivi 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (5).

(37)

Ta okvirni sklep ne posega v pravila, ki se nanašajo na nedovoljen dostop do podatkov, kot je določeno v Okvirnem sklepu Sveta 2005/222/PNZ z dne 24. februarja 2005 o napadih na informacijske sisteme (6).

(38)

Ta okvirni sklep ne posega v obstoječe obveznosti in zaveze, ki jih imajo države članice ali Unija po dvostranskih in/ali večstranskih sporazumih s tretjimi državami. Prihodnji sporazumi bi morali biti skladni s pravili o izmenjavi podatkov s tretjimi državami.

(39)

Več aktov, sprejetih na podlagi naslova VI Pogodbe o Evropski uniji, vsebuje posebne določbe o varstvu osebnih podatkov, izmenjanih ali drugače obdelanih na podlagi navedenih aktov. V nekaterih primerih vsebujejo navedene določbe celovit in skladen niz pravil ter zajemajo vse vidike varstva podatkov (načela kakovosti podatkov, pravila o varnosti podatkov, urejanje pravic in zaščitnih ukrepov za posameznike, na katere se osebni podatki nanašajo, organizacija nadzora in odgovornosti), te zadeve pa urejajo natančneje kakor ta okvirni sklep. Ta okvirni sklep ne bi smel vplivati na ustrezni niz določb o varstvu podatkov iz navedenih aktov, zlasti ne na tiste, ki urejajo delovanje Europola, Eurojusta, Schengenskega informacijskega sistema (SIS) in Carinskega informacijskega sistema (CIS), prav tako ne bi smel vplivati na akte, ki uvajajo neposredni dostop organov držav članic do nekaterih sistemov podatkov drugih držav članic. Isto velja za določbe o varstvu podatkov, ki urejajo avtomatiziran prenos profilov DNK, daktiloskopskih podatkov in nacionalnih podatkov o registraciji vozil med državami članicami na podlagi sklepa Sveta 2008/615/PNZ z dne 23. junija 2008 o pospešitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu (7).

(40)

V drugih primerih je področje uporabe določb o varstvu podatkov v aktih, sprejetih na podlagi naslova VI Pogodbe o Evropski uniji, bolj omejeno. Ti akti državi članici, ki od drugih držav članic pridobiva informacije, ki vsebujejo osebne podatke, pogosto postavljajo posebne pogoje, in sicer glede namenov za katere sme uporabiti pridobljene podatke, v zvezi z drugimi vidiki varstva podatkov pa se sklicujejo na Konvencijo Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov ali na nacionalno zakonodajo. Nespremenjene ostanejo tudi določbe aktov, ki določajo pogoje za države članice prejemnice glede uporabe in nadaljnjega posredovanja osebnih podatkov, če so bolj omejujoče od enakovrednih določb tega okvirnega sklepa. Vendar pa bi bilo treba za vse druge vidike uporabiti pravila iz tega okvirnega sklepa.

(41)

Ta okvirni sklep ne vpliva na Konvencijo Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov ali na dodatni protokol k tej konvenciji z dne 8. novembra 2001 ali konvencij Sveta Evrope o pravosodnem sodelovanju v kazenskih zadevah.

(42)

Ker cilja tega okvirnega sklepa, in sicer določitve skupnih pravil za varstvo osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, države članice same ne morejo zadovoljivo doseči,in jih je zato zaradi obsega in učinkov ukrepov lažje doseči na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o ustanovitvi Evropske skupnosti in iz člena 2 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz člena 5 Pogodbe o ustanovitvi Evropske skupnosti, ta okvirni sklep ne prekoračuje tistega, kar je potrebno za doseganje navedenega cilja.

(43)

Združeno kraljestvo sodeluje pri tem okvirnem sklepu v skladu s členom 5 Protokola o vključitvi schengenskega pravnega reda v okvir Evropske unije, ki je priložen Pogodbi o Evropski uniji in Pogodbi o ustanovitvi Evropske skupnosti, in v skladu s členom 8(2) Sklepa Sveta 2000/365/ES z dne 29. maja 2000 o prošnji Združenega kraljestva Velika Britanija in Severna Irska za sodelovanje pri izvajanju nekaterih določb schengenskega pravnega reda (8).

(44)

Irska sodeluje pri temu okvirnemu sklepu v skladu s členom 5 Protokola o vključitvi schengenskega pravnega reda v okvir Evropske unije, ki je priložen Pogodbi o Evropski uniji in Pogodbi o ustanovitvi Evropske skupnosti, in s členom 6(2) Sklepa Sveta 2002/192/ES z dne 28. februarja 2002 o prošnji Irske za sodelovanje pri izvajanju nekaterih določb schengenskega pravnega reda (9).

(45)

V zvezi z Islandijo in Norveško, pomeni ta okvirni sklep razvoj določb schengenskega pravnega reda v smislu Sporazuma med Svetom Evropske unije in Republiko Islandijo ter Kraljevino Norveško o pridružitvi obeh k izvajanju, uporabi in razvoju schengenskega pravnega reda (10), ki sodi na področje iz točk H in I člena 1 Sklepa Sveta 1999/437/ES o nekaterih izvedbenih predpisih za uporabo tega sporazuma (11).

(46)

V zvezi s Švico pomeni ta sklep razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (12), ki sodi na področje točk H in I člena 1 Sklepa 1999/437/ES v povezavi s členom 3 Sklepa Sveta 2008/149/PNZ (13) o sklenitvi Sporazuma v imenu Evropske unije.

(47)

Ta okvirni sklep predstavlja za Lihtenštajn nadaljnji razvoj določb schengenskega pravnega reda v smislu Protokola, podpisanega med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda, ki sodijo na področje iz točk H in I člena 1 Sklepa 1999/437/ES v povezavi s členom 3 Sklepa Sveta 2008/262/PNZ o podpisu navedenega protokola v imenu Evropske unije (14).

(48)

Ta okvirni sklep spoštuje temeljne pravice in upošteva načela, ki jih priznava zlasti Listina Evropske unije o temeljnih pravicah (15). Namen tega okvirnega sklepa je zagotoviti popolno spoštovanje pravic do zasebnosti in varstvo osebnih podatkov, kakor je podano v členih 7 in 8 Listine –

SPREJEL NASLEDNJI OKVIRNI SKLEP:

Člen 1

Namen in področje uporabe

1.   Namen tega okvirnega sklepa je, da se pri obdelavi osebnih podatkov v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, predvidenega v naslovu VI Pogodbe o Evropski uniji, zagotovi visoka raven varstva temeljnih pravic in svoboščin fizičnih oseb ter zlasti njihovo pravico do zasebnosti, hkrati pa tudi visoka raven javne varnosti.

2.   Države članice v skladu s tem okvirnim sklepom varujejo temeljne pravice in svoboščine fizičnih oseb ter zlasti njihovo pravico do zasebnosti, kadar se za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazni osebni podatki

(a)

posredujejo ali so bili posredovani med državami članicami, ali pa so le te omogočile dostop do njih;

(b)

posredujejo oziroma so bili posredovani organom ali informacijskim sistemom, vzpostavljenim na podlagi Naslova VI Pogodbe o Evropski uniji, ali je tem organom in informacijskim sistemom omogočen dostop do njih, ali

(c)

posredujejo ali so bili posredovani pristojnim organom držav članic ali jim je bil omogočen dostop do njih s strani organov ali informacijskih sistemov, vzpostavljenih na podlagi Pogodbe o Evropski uniji ali Pogodbe o ustanovitvi Evropske skupnosti.

3.   Ta okvirni sklep se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.

4.   Ta okvirni sklep ne posega v bistvene interese nacionalne varnosti in posebne obveščevalne dejavnosti na področju državne varnosti.

5.   Ta okvirni sklep državam članicam ne preprečuje sprejetja višjih zaščitnih ukrepov za varstvo osebnih podatkov, ki se jih na nacionalni ravni zbira ali obdeluje, od teh, ki jih uvaja ta okvirni sklep.

Člen 2

Opredelitev pojmov

V tem okvirnem sklepu:

(a)

„osebni podatek“ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo („posameznik, na katerega se nanašajo osebni podatki“); določljiva oseba je tista, ki se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;

(b)

„obdelava osebnih podatkov“ in „obdelava“ pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;

(c)

„blokiranje“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(d)

„zbirka osebnih podatkov“ in „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, naj bo centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(e)

„obdelovalec“ pomeni katero koli telo, ki obdeluje osebne podatke v imenu upravljavca;

(f)

„prejemnik“ pomeni katero koli telo, ki so mu bili podatki razkriti;

(g)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno dano posebno in ozaveščeno izjavo volje, s katero posameznik, na katerega se osebni podatki nanašajo, izrazi soglasje k obdelavi z njim povezanih osebnih podatkov;

(h)

„pristojni organi“ pomenijo agencije ali telesa, ustanovljene na podlagi pravnih aktov Sveta v skladu z naslovom VI Pogodbe o Evropski uniji, ter policijske, carinske, pravosodne in druge pristojne organe držav članic, ki so po zakonodaji države pooblaščeni za obdelavo osebnih podatkov v okviru področja uporabe tega okvirnega sklepa;

(i)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali katero koli drugo telo, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov;

(j)

„napotitev“ pomeni označevanje shranjenih osebnih podatkov brez omejevanja njihove obdelave v prihodnosti;

(k)

„anonimizirati“ pomeni spremeniti osebne podatke na način, da podrobnosti o osebnih in materialnih okoliščinah ni mogoče več pripisati določenemu ali določljivi fizični osebi, oziroma je to mogoče le z nesorazmerno količino vloženega časa, stroškov in truda.

Člen 3

Načela zakonitosti, sorazmernosti in namena

1.   Pristojni organi lahko osebne podatke zbirajo le za posebne, jasno določene in zakonite namene v okviru svojih nalog, in jih lahko obdelujejo le za namen, za katerega so bili ti osebni podatki zbrani. Obdelava podatkov je zakonita in primerna, ustrezna in ne preobsežna v zvezi z nameni, za katere so bili zbrani.

2.   Nadaljnja obdelava za drug namen je dovoljena, če:

(a)

ni nezdružljiva z nameni, za katere so bili podatki zbrani,

(b)

so pristojni organi pooblaščeni za zbiranje takšnih podatkov za takšen drug namen v skladu s z veljavnimi pravnimi predpisi, ter

(c)

je obdelava potrebna in sorazmerna za takšen drug namen.

Pristojni organi lahko posredovane podatke naprej obdelujejo za zgodovinske, statistične ali znanstvene namene, če države članice poskrbijo za ustrezne zaščitne ukrepe, kot je zagotovitev anonimnosti podatkov.

Člen 4

Popravljanje, izbris in blokiranje

1.   Če so osebni podatki netočni, se popravijo in, če je to možno in potrebno, dopolnijo ali posodobijo.

2.   Osebni podatki se izbrišejo ali anonimizirajo, ko niso več potrebni za namene, za katere so bili zakonito zbrani ali za katere se zakonito nadalje obdelujejo. Ta določba se ne nanaša na arhiviranje navedenih podatkov v posebnem nizu podatkov za ustrezno obdobje v skladu z nacionalno zakonodajo.

3.   Osebni podatki se ne izbrišejo, temveč se blokirajo, če obstajajo utemeljeni razlogi za sum, da bi izbris lahko vplival na legitimne interese posameznika, na katerega se nanašajo osebni podatki. Blokirani podatki se obdelujejo le za namen, ki je preprečil njihov izbris.

4.   Če se osebni podatki nahajajo v sodni odločbi ali sodnem spisu, povezanem z izdajo sodne odločbe, se popravljanje, izbris ali blokiranje izvaja v skladu z nacionalnimi predpisi o sodnih postopkih.

Člen 5

Določitev rokov za izbris in preverjanje

Določijo se ustrezni roki za izbris osebnih podatkov ali za občasno preverjanje potreb shranjevanja podatkov. Spoštovanje teh rokov se zagotovi s postopkovnimi ukrepi.

Člen 6

Obdelava posebnih vrst podatkov

Obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politična prepričanja, verska ali filozofska prepričanja, pripadnost sindikatu, ter podatkov o zdravstvenem stanju ali spolnem življenju je dovoljena samo, če je to nujno potrebno in če so v nacionalni zakonodaji zagotovljeni ustrezni zaščitni ukrepi.

Člen 7

Avtomatizirane posamezne odločitve

Odločitev, ki ima škodljive pravne učinke za posameznika, na katerega se osebni podatki nanašajo, ali ki nanj znatno vpliva in temelji zgolj na avtomatski obdelavi podatkov za namene ocene posameznih osebnih vidikov posameznika, na katerega se nanašajo osebni podatki, je dovoljena le, če tako določa zakon, ki opredeljuje ukrepe za varovanje legitimnih interesov posameznika, na katerega se osebni podatki nanašajo.

Člen 8

Preverjanje kakovosti podatkov, ki se posredujejo oziroma do katerih se omogoči dostop

1.   Pristojni organi sprejmejo vse primerne ukrepe, da se prepreči posredovanje in dostop do netočnih in nepopolnih osebnih podatkov ali osebnih podatkov, ki niso bili posodobljeni. V ta namen pristojni organi pred posredovanjem osebnih podatkov ali omogočanjem dostopa do njih preverijo, če je to izvedljivo, njihovo kakovost. Pri vsakem posredovanju podatkov se dodajo, če je to mogoče, razpoložljive informacije, ki državi članici prejemnici omogočajo oceno stopnje točnosti, popolnosti, posodobljenosti in zanesljivosti. Če so bili osebni podatki posredovani brez zahteve, organ, ki jih prejme, nemudoma preveri, ali so ti podatki potrebni za namene, za katere so bili posredovani.

2.   Če so bili posredovani netočni podatki ali da so bili podatki posredovani nezakonito, je to treba nemudoma sporočiti prejemniku. Podatke je treba v skladu s členom 4 nemudoma popraviti, izbrisati ali blokirati.

Člen 9

Roki

1.   Pri posredovanju podatkov ali omogočanju dostopa do podatkov lahko organ, ki posreduje podatke skladno z nacionalno zakonodajo in v skladu s členoma 4 in 5 navede roke za hrambo podatkov, po preteku katerih mora prejemnik izbrisati ali blokirati podatke oziroma preveriti, če so ti še potrebni. Ta obveznost se ne uporablja, če so podatki ob izteku teh rokov potrebni za tekoče preiskave, pregon kaznivih dejanj ali izvrševanje kazenskih sankcij.

2.   Če organ, ki posreduje podatke, ni navedel roka v skladu z odstavkom 1, se v skladu s členoma 4 in 5 uporabijo roki za hranjenje podatkov, določeni v nacionalni zakonodaji države članice, ki prejme podatke.

Člen 10

Prijavljanje in dokumentiranje

1.   Vsako posredovanje osebnih podatkov se zaradi preverjanja zakonitosti obdelave podatkov, notranjega spremljanja ter zagotavljanja neoporečnosti in varstva podatkov prijavi in dokumentira.

2.   Prijave ali dokumentiranje iz odstavka 1 se na zahtevo sporočijo pristojnemu nadzornemu organu, ki opravi nadzor varstva podatkov. Pristojen nadzorni organ uporabi te informacije le za nadzor varstva podatkov, za zagotavljanje pravilne obdelave podatkov ter njihove neoporečnosti in varnosti.

Člen 11

Obdelava osebnih podatkov, ki jih je posredovala druga država članica oziroma do katerih je omogočila dostop

Osebni podatki, ki jih je posredoval pristojni organ druge države članice oziroma do katerih je omogočil dostop v skladu z zahtevami iz člena 3(2), se lahko nadalje obdelujejo le za naslednje namene, ki se razlikujejo od namenov, za katere so bili posredovani ali je bil do njih omogočen dostop:

(a)

preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazni, ki niso tiste, za katere so bili podatki posredovani ali je bil do njih omogočen dostop;

(b)

druge sodne in upravne postopke, ki so neposredno povezani s preprečevanjem, preiskovanjem, odkrivanjem ali pregonom kaznivih dejanj ali izvrševanjem kazni;

(c)

preprečevanje neposredne in resne ogroženosti javne varnosti; ali

(d)

vse druge namene, vendar le s predhodnim soglasjem države članice, ki je posredovala podatke, ali privolitvijo posameznika, na katerega se osebni podatki nanašajo, v skladu z nacionalno zakonodajo.

Pristojni organi lahko posredovane podatke naprej uporabijo za zgodovinske, statistične ali znanstvene namene, če države članice poskrbijo za ustrezne zaščitne ukrepe, kot je na primer anonimizacija anonimnosti podatkov.

Člen 12

Upoštevanje nacionalnih omejitev glede obdelave

1.   Če v skladu z zakonodajo države članice, ki posreduje podatke, v posebnih okoliščinah veljajo omejitve obdelave pri izmenjavi podatkov med pristojnimi organi v tej državi članici, organ, ki posreduje podatke, obvesti prejemnika o teh omejitvah. Prejemnik zagotovi, da se upoštevajo te omejitve obdelave.

2.   Države članice pri uporabi odstavka 1 ne uporabljajo omejitev za prenos podatkov drugim državam članicam ali agencijam ali telesom, ustanovljenim v skladu z naslovom VI Pogodbe o Evropski uniji, razen tistih, ki se uporabljajo za podobne nacionalne prenose podatkov.

Člen 13

Prenos pristojnim organom v tretjih državah ali mednarodnim organom

1.   Države članice zagotovijo, da se lahko podatki, ki jih je posredoval pristojni organ druge države članice, ali podatki, do katerih je omogočil dostop, posredujejo tretjim državam ali mednarodnim telesom, samo če

(a)

je to potrebno zaradi preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazni;

(b)

je organ tretje države ali mednarodno telo, ki prejme podatke, pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazni;

(c)

je država članica, ki je posredovala podatke, dala soglasje za prenos v skladu s svojo nacionalno zakonodajo in

(d)

zadevna tretja država ali mednarodno telo zagotovi ustrezno raven varstva podatkov pri predvideni obdelavi podatkov.

2.   Prenos brez predhodnega soglasja je v skladu z odstavkom 1(c) je dovoljen le v primeru, če je prenos podatkov bistvenega pomena za preprečitev neposredne in resne ogroženosti javne varnosti države članice ali tretje države ali bistvene interese države članice in če ni mogoče pravočasno zagotoviti predhodnega soglasja. O tem se nemudoma obvesti organ, pristojen za izdajo soglasja.

3.   Z odstopanjem od odstavka 1(d), so lahko osebni podatki posredovani, če

(a)

to določa nacionalna zakonodaja države članice, ki posreduje podatke, zaradi:

(i)

posebnih legitimnih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(ii)

legitimnih prevladujočih interesov, še zlasti pomembnih javnih interesov ali

(b)

tretja država ali mednarodno telo, ki prejme podatke, zagotovi ustrezne varnostne ukrepe, ki jih zadevna država članica v skladu s svojo nacionalno zakonodajo oceni kot primerne.

4.   Ustreznost ravni varstva iz odstavka 1(d) se oceni glede na vse okoliščine v zvezi s postopkom prenosa podatkov ali niza takšnih postopkov. Posebna pozornost se nameni vrsti podatkov, namenu in trajanju predlaganega postopka ali postopkov obdelave, državi izvora ter državi ali mednarodnemu telesu, ki je končna prejemnica podatkov, splošni in sektorski pravni ureditvi, ki velja v zadevni tretji državi ali za mednarodno telo, ter strokovnim predpisom in varnostnim ukrepom, ki se uporabljajo.

Člen 14

Posredovanje zasebnim strankam v državah članicah

1.   Države članice zagotovijo, da so osebni podatki, ki jih je posredoval ali dal na voljo pristojni organ druge države članice, posredovani zasebnim strankam le, če:

(a)

pristojni organ države članice, ki je posredovala podatke, da soglasje za prenos v skladu z nacionalno zakonodajo;

(b)

ni posebnih zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ki bi preprečevali posredovanje in

(c)

v posebnih primerih, če je prenos bistvenega pomena za pristojni organ, ki posreduje podatke zasebni stranki, zaradi:

(i)

izvajanja naloge, ki mu je bila zakonito dodeljena;

(ii)

preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazni;

(iii)

preprečevanja neposredne in resne ogroženosti javne varnosti ali

(iv)

preprečevanja resnih kršitev pravic posameznikov.

2.   Pristojni organ, ki posreduje podatke zasebni stranki, slednjo obvesti o izključnih namenih, za katere se lahko uporabljajo podatki.

Člen 15

Informacije na zahtevo pristojnega organa

Prejemnik na zahtevo obvesti pristojni organ, ki je posredoval osebne podatke oziroma do njih omogočil dostop, o njihovi obdelavi.

Člen 16

Obveščanje posameznika, na katerega se nanašajo osebni podatki

1.   Države članice zagotovijo, da pristojni organi posameznika, na katerega se osebni podatki nanašajo, v skladu z nacionalno zakonodajo obvestijo o zbiranju ali obdelavi osebnih podatkov.

2.   Če so bili osebni podatki posredovani ali je bil do njih omogočen dostop med državami članicami, lahko posamezna država članica v skladu z določbami nacionalne zakonodaje iz odstavka 1 drugo državo članico prosi, da posameznika, na katerega se osebni podatki nanašajo, ne obvesti. V takšnem primeru slednja država članica posameznika, na katerega se osebni podatki nanašajo, ne obvesti brez predhodnega soglasja druge države članice.

Člen 17

Pravica dostopa

1.   Vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico, da na zahteve, podane v razumnih časovnih razmikih, prejme brez omejitev, večjih zamud ali stroškov:

(a)

vsaj potrditev od upravljavca ali nacionalnega nadzornega organa, ali so bili podatki v zvezi z njim posredovani oziroma je bil do njih omogočen dostop, ter informacije o prejemnikih ali kategorijah prejemnikov, ki so jim bili podatki razkriti, in poročilo o podatkih, ki so v obdelavi, ali

(b)

vsaj potrditev nacionalnega nadzornega organa, da so bila izvedena vsa potrebna preverjanja.

2.   Države članice lahko na podlagi odstavka 1(a) sprejmejo zakonodajne ukrepe za omejitev dostopa do informacij, če je takšna omejitev, ki mora upoštevati legitimne interese zadevne osebe, nujna in sorazmerna za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

izogibanje temu, da se vpliva na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazni;

(c)

zaščito javne varnosti;

(d)

zaščito nacionalne varnosti;

(e)

varstvo posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

3.   Posameznik, na katerega se nanašajo osebni podatki, je o zavrnitvi ali omejitvi dostopa pisno obveščen. Hkrati se zadevni osebi sporočijo dejanski ali pravni razlogi, na katerih temelji odločitev. To sporočilo se lahko opusti, če obstaja razlog na podlagi odstavka 2 (a) do (e). V vseh teh primerih se posameznika, na katerega se osebni podatki nanašajo, seznani z možnostjo pritožbe pri pristojnem nacionalnem nadzornem organu, sodnemu organu ali na sodišču.

Člen 18

Pravica do popravka, izbrisa ali blokiranja

1.   Posameznik, na katerega se osebni podatki nanašajo, ima pravico pričakovati, da upravljavec v skladu s členi 4, 8 in 9 izpolnjuje svoje dolžnosti glede popravka, izbrisa ali blokiranja osebnih podatkov, ki izhajajo iz tega okvirnega sklepa. Države članice določijo, ali lahko posameznik, na katerega se osebni podatki nanašajo, uveljavlja to pravico neposredno pri upravljavcu ali s posredovanjem pristojnega nacionalnega nadzornega organa. Če upravljavec zavrne popravek, izbris ali blokiranje, mora posameznika, na katerega se nanašajo osebni podatki, o tem pisno obvestiti in mu posredovati informacije o možnostih za vložitev pritožbe ali pravnem sredstvu, ki jih zagotavlja nacionalna zakonodaja. Po obravnavi pritožbe ali pravnega sredstva se posameznika, na katerega se nanašajo osebni podatki, obvesti o tem, ali je upravljavec ravnal pravilno ali ne. Države članice lahko tudi določijo, da posameznika, na katerega se nanašajo podatki, pristojni nacionalni organ obvesti o tem, da je izvedel preverjanje.

2.   Če posameznik, na katerega se osebni podatki nanašajo, izpodbija točnost nekega podatka in če ni mogoče preveriti, ali je podatek točen ali ne, se lahko ta podatek označi z navedbo.

Člen 19

Pravica do odškodnine

1.   Vsak posameznik, ki je utrpel škodo zaradi nezakonitega postopka obdelave ali katerega koli dejanja, ki je nezdružljivo z nacionalnimi določbami, sprejetimi v skladu s tem okvirnim sklepom, ima pravico od upravljavca ali drugega organa, pristojnega v skladu z nacionalno zakonodajo, dobiti odškodnino za nastalo škodo.

2.   Če je pristojni organ države članice posredoval osebne podatke, se prejemnik v okviru svoje odgovornosti do oškodovanca v skladu z notranjo zakonodajo ne more sklicevati na to, da so bili posredovani podatki netočni. Če prejemnik plača odškodnino za škodo, nastalo zaradi uporabe nepravilno posredovanih podatkov, pristojni organ, ki podatke posreduje, prejemniku povrne znesek izplačane odškodnine, ob upoštevanju vseh morebitnih napak s strani prejemnika.

Člen 20

Pravna sredstva

Brez poseganja v upravna sredstva pred predložitvijo zadeve sodnemu organu ima posameznik, na katerega se osebni podatki nanašajo, v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, pravico do sodnega varstva.

Člen 21

Zaupnost obdelave

1.   Vsaka oseba, ki ima dostop do osebnih podatkov, ki sodijo v področje uporabe tega okvirnega sklepa, lahko te podatke obdeluje samo, če je član pristojnega organa ali deluje po njegovih navodilih, razen, če zakon določa drugače.

2.   Osebe, ki delajo za pristojni organ države članice, obvezujejo predpisi o varstvu podatkov, ki veljajo za zadevni pristojni organ.

Člen 22

Varnost obdelave

1.   Države članice določijo, da morajo pristojni organi izvajati ustrezne tehnične in organizacijske ukrepe za zaščito osebnih podatkov pred slučajnim ali nezakonitim uničenjem ali slučajno izgubo, predelavo, nepooblaščenim razkritjem ali dostopom, predvsem kadar obdelava vključuje pošiljanje podatkov po omrežju ali omogočanje neposrednega avtomatskega dostopa, ter proti vsem drugim nezakonitim oblikam obdelave, zlasti ob upoštevanju tveganj, ki jih predstavljata obdelava in narava podatkov, ki jih je treba varovati. Takšni ukrepi ob upoštevanju doseženega stanja v razvoju tehnologije in stroškov za njihovo izvajanje zagotavljajo raven varnosti, ustrezno tveganju zaradi obdelave in narave podatkov, ki jih je treba varovati.

2.   V zvezi z avtomatsko obdelavo podatkov vsaka država članica uveljavi ukrepe, katerih namen je:

(a)

nepooblaščenim osebam onemogočiti dostop do opreme za obdelavo podatkov, ki se uporablja za obdelavo osebnih podatkov (nadzor dostopa do opreme);

(b)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);

(c)

preprečiti nepooblaščeno vnašanje podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);

(d)

preprečiti uporabo sistemov za avtomatsko obdelavo podatkov nepooblaščenih oseb, ki uporabljajo opremo za sporočanje podatkov (nadzor uporabnikov);

(e)

zagotoviti, da imajo osebe, pooblaščene za uporabo avtomatskega sistema obdelave podatkov, le dostop do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f)

zagotoviti možnost preverjanja in ugotavljanja, katerim organom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);

(g)

zagotoviti, da se lahko naknadno preveri in ugotovi, kateri osebni podatki so bili vneseni v sisteme za avtomatsko obdelavo podatkov ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);

(i)

zagotoviti, da se lahko nameščeni sistemi v primeru prekinitve ponovno vzpostavijo (obnova);

(j)

zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

3.   Države članice določijo, da je lahko za obdelovalca imenovana le oseba, ki zagotovi, da bo izvajala potrebne tehnične in organizacijske ukrepe iz odstavka 1 in upoštevala navodila iz člena 21. Pristojni organ nadzoruje obdelovalca v tem pogledu.

4.   Obdelovalec lahko osebne podatke obdeluje le na podlagi pravnega predpisa ali pisne pogodbe.

Člen 23

Predhodno posvetovanje

Države članice pred obdelavo osebnih podatkov, ki bodo del nove zbirke podatkov ali novega postopka, zagotovijo posvetovanje s pristojnim nacionalnim nadzornim organom, če:

(a)

bodo obdelane posebne vrste podatkov iz člena 6 ali

(b)

vrsta obdelave, predvsem zaradi novih tehnologij, mehanizmov ali postopkov, drugače vključuje posebna tveganja za temeljne pravice in svoboščine ter zlasti za zasebnost posameznika, na katerega se osebni podatki nanašajo.

Člen 24

Kazni

Države članice sprejmejo ustrezne ukrepe za zagotovitev popolne izvedbe določb tega okvirnega sklepa in predvsem določijo učinkovite, sorazmerne in odvračilne kazni, ki se naložijo ob kršitvi določb, sprejetih v skladu s tem okvirnim sklepom.

Člen 25

Nacionalni nadzorni organi

1.   Vsaka država članica na svojem ozemlju določi javni organ ali več javnih organov, odgovornih za svetovanje in spremljanje uporabe predpisov, ki so jih sprejele države članice na podlagi tega okvirnega sklepa. Ti organi pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma neodvisno.

2.   Vsakemu organu se podelijo predvsem:

(a)

preiskovalna pooblastila, kot so pooblastila za dostop do podatkov, ki sestavljajo vsebino postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog;

(b)

učinkovita pooblastila za posredovanje, kot je na primer dajanje mnenj pred izvajanjem postopkov obdelave, in zagotavljanje ustrezne objave takšnih mnenj, odrejanje blokiranja, izbrisa ali uničenja podatkov, izrek začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca, ali predložitev zadeve nacionalnim parlamentom ali drugim političnim institucijam;

(c)

pooblastila za sodelovanje v sodnih postopkih, kadar so kršene nacionalne določbe, sprejete na podlagi tega okvirnega sklepa, ali za seznanitev pravosodnih organov s temi kršitvami. Zoper odločitve nadzornega organa se je mogoče pritožiti na sodiščih.

3.   Vsak nadzorni organ obravnava zahtevke, ki jih vloži katera koli oseba v zvezi z varstvom njenih pravic in svoboščin, povezanim z obdelavo osebnih podatkov. Zadevna oseba je obveščena o odločitvah glede zahtevka.

4.   Države članice določijo, da so člani in uslužbenci nadzornega organa prav tako zavezani k izpolnjevanju predpisov o varstvu podatkov, ki veljajo za zadevni pristojni organ, in da so tudi po končani zaposlitvi zavezani k dolžnosti poklicne molčečnosti glede zaupnih informacij, do katerih imajo dostop.

Člen 26

Razmerje do sporazumov s tretjimi državami

Ta okvirni sklep ne posega v nobeno obveznost in zavezo držav članic ali Unije iz dvostranskih in/ali večstranskih sporazumov s tretjimi državami, obstoječimi ob sprejetju tega okvirnega sklepa.

Pri uporabi teh sporazumov se osebni podatki, ki jih je posredovala druga država članica, posredujejo tretji državi ob upoštevanju, po potrebi, člena 14(1)(c) ali (2).

Člen 27

Vrednotenje

1.   Države članice poročajo Komisiji o nacionalnih ukrepih, ki so jih sprejele za zagotovitev skladnosti s tem okvirnim sklepom, zlasti v zvezi s tistimi določbami, ki morajo biti usklajene že pri zbiranju podatkov do 27. novembra 2013. Komisija pregleda zlasti vplive določb o področju uporabe tega okvirnega sklepa, kakor določa člen 1(2).

2.   V roku enega leta Komisija poroča Evropskemu parlamentu in Svetu o izidu vrednotenja iz odstavka 1 in svojemu poročilu priloži morebitne ustrezne predloge za spremembo tega okvirnega sklepa.

Člen 28

Razmerje do predhodno sprejetih aktov Unije

Če so bili v aktih, sprejetih v skladu z naslovom VI Pogodbe o Evropski uniji pred dnem začetka veljavnosti tega okvirnega sklepa, ki urejajo izmenjavo osebnih podatkov med državami članicami oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodbe o ustanoviti Evropske skupnosti, uvedeni posebni pogoji, pod katerimi lahko država članica prejemnica uporabljate podatke, imajo ti pogoji prednost pred določbami tega okvirnega sklepa o uporabi podatkov, ki jih je sprejela ali do njih omogočila dostop druga država članica.

Člen 29

Izvajanje

1.   Države članice sprejmejo ukrepe, potrebne za uskladitev z določbami tega okvirnega sklepa pred 27. novembrom 2010.

2.   Do tega datuma države članice pošljejo Generalnemu sekretariatu Sveta in Komisiji besedilo določb, ki prenašajo v nacionalno zakonodajo obveznosti, ki jim jih nalaga ta okvirni sklep, ter obveznosti o določitvi nadzornih organov, navedenih v členu 25. Na podlagi poročila Komisije, ki je oblikovan z uporabo teh informacij, Svet pred 27. novembrom 2011 preveri, v kakšnem obsegu so države članice usklajene z določbami tega okvirnega sklepa.

Člen 30

Začetek veljavnosti

Ta okvirni sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

V Bruslju, 27. novembra 2008

Za Svet

Predsednica

M. ALLIOT-MARIE


(1)  UL C 125 E, 22.5.2008, str. 154.

(2)  UL C 198, 12.8.2005, str. 1.

(3)  UL L 281, 23.11.1995, str. 31.

(4)  UL L 8, 12.1.2001, str. 1.

(5)  UL L 201, 31.7.2002, str. 37.

(6)  UL L 69, 16.3.2005, str. 67.

(7)  UL L 210, 6.8.2008, str. 1.

(8)  UL L 131, 1.6.2000, str. 43.

(9)  UL L 64, 7.3.2002, str. 20.

(10)  UL L 176, 10.7.1999, str. 36.

(11)  UL L 176, 10.7.1999, str. 31.

(12)  UL L 53, 27.2.2008, str. 52.

(13)  UL L 53, 27.2.2008, str. 50.

(14)  UL L 83, 26.3.2008, str. 5.

(15)  UL C 303, 14.12.2007, str. 1.