4.5.2016   

SL

Uradni list Evropske unije

L 119/89


DIREKTIVA (EU) 2016/680 EVROPSKEGA PARLAMENTA IN SVETA

z dne 27. aprila 2016

o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Odbora regij (1),

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)

Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) Pogodbe o delovanju Evropske unije (PDEU) je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2)

Načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov bi morali ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov, zlasti pravico do varstva osebnih podatkov. Ta direktiva naj bi prispevala k dokončnemu oblikovanju območja svobode, varnosti in pravice.

(3)

Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal. Tehnologija še nikoli prej ni v takšnem obsegu omogočala obdelave osebnih podatkov za izvajanje dejavnosti, kot so preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij.

(4)

Omogočiti je treba lažji prost pretok osebnih podatkov med pristojnimi organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem v Uniji ter prenosom takšnih osebnih podatkov v tretje države in mednarodne organizacije, hkrati pa zagotoviti visoko raven varstva osebnih podatkov. Zaradi takšnega razvoja je potrebno oblikovati trden in skladnejši okvir za varstvo osebnih podatkov v Uniji, ki se ga dosledno izvaja.

(5)

Direktiva 95/46/ES Evropskega parlamenta in Sveta (3) se uporablja za vse obdelave osebnih podatkov v državah članicah, tako v javnem in zasebnem sektorju. Vendar se ne uporablja za obdelavo osebnih podatkov med dejavnostjo, ki ne sodi na področje uporabe prava Skupnosti, na primer med dejavnostmi na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(6)

Okvirni sklep Sveta 2008/977/PNZ (4), se uporablja na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Področje uporabe navedenega okvirnega sklepa je omejeno na obdelavo osebnih podatkov, ki se posredujejo ali dajo na voljo med državami članicami.

(7)

Zagotavljanje dosledne in visoke ravni varstva osebnih podatkov posameznikov ter spodbujanje izmenjave osebnih podatkov med pristojnimi organi držav članic je bistvenega pomena za zagotovitev učinkovitega pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Zato bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, v vseh državah članicah enaka. Za učinkovito varstvo osebnih podatkov v celotni Uniji ni potrebna le krepitev pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti tistih, ki takšne podatke obdelujejo, temveč so potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili o varstvu osebnih podatkov v državah članicah.

(8)

V členu 16(2) PDEU je navedeno, da Evropski parlament in Svet določati pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov ter pravila o prostem pretoku osebnih podatkov.

(9)

Na podlagi tega so v Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta (5) določena splošna pravila o varstvu posameznikov pri obdelavi osebnih podatkov in o zagotovitvi prostega pretoka osebnih podatkov v Uniji.

(10)

V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ki je priložena Sklepni listini medvladne konference, ki je sprejela Lizbonsko pogodbo, je konferenca potrdila, da bi lahko bili zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku osebnih podatkov na podlagi člena 16 PDEU.

(11)

Zato je primerno, da ta področja ureja direktiva, v kateri so določena posebna pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ob upoštevanju posebnih lastnosti teh dejavnosti. Ti pristojni organi lahko vključujejo ne le javne organe, kot so pravosodni organi, policija ali drugi organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, temveč tudi vse druge organe ali subjekte, ki v skladu z zakonodajo države članice izvajajo javno oblast in javna pooblastila za namene te direktive. Kadar takšen organ ali subjekt obdeluje osebne podatke za namene, ki so drugačni od namenov iz te direktive, se uporablja Uredba (EU) 2016/679. Uredba (EU) 2016/679 se torej uporablja v primerih, ko organ ali subjekt zbira osebne podatke za druge namene in jih dodatno obdeluje, ker jih k temu zavezujejo pravne obveznosti. Na primer finančne institucije za namene preiskovanja, odkrivanja ali pregona kaznivih dejanj zadržijo nekatere osebne podatke, ki so jih obdelale, ter jih pristojnim nacionalnim organom posredujejo le v posebnih primerih in v skladu z zakonodajo države članice. Organ ali subjekt, ki v imenu navedenih organov obdeluje osebne podatke v okviru področja uporabe te direktive, bi morali zavezovati pogodba ali drug pravni akt in določbe, ki veljajo za obdelovalce v skladu s to direktivo, medtem ko bi morala uporaba Uredbe (EU) 2016/679 ostati nespremenjena za obdelavo osebnih podatkov, ki jih obdelovalec izvaja zunaj področja uporabe te direktive.

(12)

Pri dejavnostih, ki jih izvaja policija ali drug organ preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, je glavni poudarek na preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj, vključujejo pa tudi policijske dejavnosti v primerih, ko še ni jasno, ali gre za kaznivo dejanje ali ne. Takšne dejavnosti lahko vključujejo izvajanje pristojnosti s prisilnimi ukrepi, kot so policijske dejavnosti ob demonstracijah, na velikih športnih dogodkih in ob izgredih. Vključujejo tudi vzdrževanje javnega reda in miru, nalogo, za katero je pristojna policija ali drug organ preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, kadar je to potrebno za varovanje pred grožnjami javni varnosti in pravno zaščitenim temeljnim interesom družbe ter preprečevanje teh groženj, ki bi lahko vodile v kazniva dejanja. Države članice lahko pristojnim organom zaupajo druge naloge, ki se ne izvajajo nujno za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, tako da obdelava osebnih podatkov za te druge namene, kolikor spada v področje uporabe prava Unije, spada v področje uporabe Uredbe (EU) 2016/679.

(13)

Kaznivo dejanje v smislu te direktive bi moral biti avtonomen pojem prava Unije, kot ga razlaga Sodišče Evropske unije (v nadaljnjem besedilu: Sodišče).

(14)

Te direktive ne bi smeli uporabljati za obdelavo osebnih podatkov pri dejavnostih, ki ne spadajo v področje uporabe prava Unije, zato se dejavnosti v zvezi z varnostjo države ter dejavnosti agencij ali enot, zadolženih za vprašanja varnosti države, in obdelava osebnih podatkov v državah članicah pri izvajanju dejavnosti, ki spadajo v področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji (PEU), ne bi smele šteti za dejavnosti, ki spadajo v področje uporabe te direktive.

(15)

Da bi s pravno izvršljivimi pravicami zagotovili enako raven varstva posameznikov v Uniji in preprečili razhajanja, ki ovirajo izmenjavo osebnih podatkov med pristojnimi organi, bi morala ta direktiva vsebovati harmonizirana pravila o varstvu in prostem pretoku osebnih podatkov, ki se obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Približevanje zakonodaj držav članic nikakor ne bi smelo znižati ravni varstva osebnih podatkov, ki jo te zagotavljajo; nasprotno, z njim bi si morali prizadevati za zagotavljanje visoke ravni varstva znotraj Unije. Državam članicam bi moralo biti omogočeno, da za varovanje pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ki jih obdelujejo pristojni organi, sprejmejo višjo raven zaščitnih ukrepov od te, ki je določena v tej direktivi.

(16)

Ta direktiva ne posega v načelo dostopa javnosti do uradnih dokumentov. V skladu z Uredbo (EU) 2016/679 lahko javni organ oziroma javno ali zasebno telo v skladu s pravom Unije ali pravom države članice, ki velja za organ ali telo, razkrije osebne podatke iz uradnih dokumentov, s katerimi razpolaga zaradi opravljanja nalog v javnem interesu, da se dostop javnosti do uradnih dokumentov uskladi s pravico do varstva osebnih podatkov.

(17)

Varstvo, zagotovljeno s to direktivo, bi se moralo uporabljati za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče.

(18)

Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom, bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik. Varstvo posameznikov bi se moralo uporabljati za obdelavo osebnih podatkov z avtomatiziranimi sredstvi in za ročno obdelavo, če so osebni podatki del zbirke ali so namenjeni, da postanejo del zbirke. Zapisi ali nizi zapisov – kot tudi njihove naslovnice -, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te direktive.

(19)

Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Uredbo (ES) št. 45/2001 in druge pravne akte Unije, ki se uporabljajo za takšno obdelavo osebnih podatkov, bi bilo treba prilagoditi načelom in pravilom, določenim v Uredbi (EU) 2016/679.

(20)

Ta direktiva državam članicam ne preprečuje, da v nacionalnih predpisih o kazenskih postopkih določijo dejanja in postopke obdelave v zvezi z obdelavo osebnih podatkov s strani sodišč in drugih pravosodnih organov, zlasti kar zadeva osebne podatke, vsebovane v sodnih odločbah ali v evidencah, povezanih s kazenskimi postopki.

(21)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva– kot je na primer izločitev – za katera se razumno pričakuje, da jih bo uporabil upravljavec ali druga oseba za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(22)

Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, v skladu s pravom Unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti v skladu z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.

(23)

Genetski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstveno informacijo o fiziologiji ali zdravju tega posameznika in izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije. Glede na kompleksnost in občutljivost genetskih informacij obstaja velika nevarnost zlorabe in ponovne uporabe za različne namene s strani upravljavca. Vsakršna diskriminacija na podlagi genetskih značilnosti bi načeloma morala biti prepovedana.

(24)

Osebni podatki v zvezi z zdravjem bi morali obsegati vse podatke o zdravstvenem stanju posameznika, na katerega se nanašajo osebni podatki, ki razkrivajo informacije o njegovem preteklem, sedanjem ali prihodnjem telesnem ali duševnem zdravstvenem stanju. To vključuje informacije o posamezniku, zbrane med registracijo za storitve zdravstvenega varstva ali njihovim zagotavljanjem posamezniku, kot je določeno v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (7); številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo edinstveno identifikacijo v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genetskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, na primer zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(25)

Vse države članice so pridružene Mednarodni organizaciji kriminalistične policije (Interpol). Interpol za izpolnjevanje svojih nalog prejema, shranjuje in razpošilja osebne podatke, s čimer pristojnim organom pomaga pri preprečevanju mednarodnega kriminala in boju proti njemu. Zato je treba izboljšati sodelovanje med Unijo in Interpolom, in sicer s spodbujanjem učinkovite izmenjave osebnih podatkov, hkrati pa zagotavljati spoštovanje temeljnih pravic in svoboščin v zvezi z avtomatsko obdelavo osebnih podatkov. Pri prenosu osebnih podatkov iz Unije v Interpol in v države, ki imajo svoje predstavnike v Interpolu, bi se morala uporabljati ta direktiva, zlasti določbe o mednarodnih prenosih. Ta direktiva ne bi smela posegati v posebna pravila, določena v Skupnem stališču Sveta 2005/69/PNZ (8) in Sklepu Sveta 2007/533/PNZ (9).

(26)

Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna za zadevne posameznike ter opravljena le za posebne namene, določene z zakonom. To samo po sebi organom kazenskega pregona ne preprečuje izvajanja dejavnosti, kot so tajne preiskave ali video nadzor. Te dejavnosti se lahko izvajajo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali za izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, pod pogojem, da so določene z zakonom, so nujen in sorazmeren ukrep v demokratični družbi ter upoštevajo zakonite interese zadevne ga posameznika. Načelo poštene obdelave v okviru varstva podatkov je pojem, ki je jasno ločen od pravice do poštenega sojenja, ki je opredeljena v členu 47 Listine in členu 6 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (EKČP). Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni, zakoniti in določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni in relevantni za namene, za katere se obdelujejo. Zlasti bi bilo treba zagotoviti, da zbrani osebni podatki niso prekomerni in se hranijo le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo. Osebne podatke bi lahko obdelovali samo, če namena obdelave v razumnih okvirih ni bilo mogoče doseči z drugimi sredstvi. Da bi zagotovili, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali reden pregled. Države članice bi morale določiti ustrezne zaščitne ukrepe za osebne podatke, ki se zaradi arhiviranja v javnem interesu ali v znanstvene, statistične ali zgodovinske namene shranjujejo za daljše obdobje.

(27)

Zaradi preprečevanja, preiskovanja in pregona kaznivih dejanj morajo pristojni organi osebne podatke, zbrane v okviru preprečevanja, preiskovanja, odkrivanja ali pregona posebnih kaznivih dejanj, obdelovati zunaj tega okvira, da bi lahko pridobili vpogled v kriminalne dejavnosti ter odkrivali povezave med različnimi odkritimi kaznivimi dejanji.

(28)

Da bi ohranili varnost glede obdelave in preprečili obdelave, ki bi pomenile kršitve te direktive, bi morali biti osebni podatki obdelani na način, ki zagotavlja ustrezno raven varnosti in zaupnosti, vključno s preprečevanjem nedovoljenega dostopa do osebnih podatkov in opreme za obdelavo ali njihove uporabe, in ki upošteva razpoložljive tehnološke ravni in tehnologije, stroške izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati.

(29)

Osebne podatke bi bilo treba zbirati za določene, izrecne in zakonite namene v okviru področja uporabe te direktive ter jih ne bi smeli obdelovati za namene, ki so nezdružljivi z nameni preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Če osebne podatke obdeluje isti ali drugi upravljavec za namene v okviru področja uporabe te direktive, ki so drugačni od namenov, za katere so bili zbrani, bi morala taka obdelava biti dovoljena, pod pogojem, da je ta obdelava v skladu z veljavnimi pravnimi določbami ter je za zadevni drugi namen potrebna in z njim sorazmerna.

(30)

Ob upoštevanju narave in namena zadevne obdelave, bi bilo treba uporabljati načelo točnosti podatkov. Zlasti izjave, podane v sodnih postopkih, ki vsebujejo osebne podatke, temeljijo na subjektivnem dojemanju posameznikov in niso vedno preverljive. Zato se zahteva po točnosti ne bi smela nanašati na točnost izjave, ampak zgolj na dejstvo, da je bila določena izjava podana.

(31)

Z obdelavo osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja je neločljivo povezano dejstvo, da se obdelujejo osebni podatki v zvezi z različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki. Zato bi bilo treba, kadar je to ustrezno in v največji možni meri, jasno razlikovati med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe, obsojene za kaznivo dejanje, žrtve in druge osebe, kot so priče, osebe, ki imajo pomembne informacije ali stike, ter udeleženci pri kaznivem dejanju, povezani z osumljenci in obsojenimi storilci kaznivih dejanj. To ne bi smelo preprečevati uresničevanja pravice do domneve nedolžnosti, ki jo zagotavljata Listina in EKČP, kot ju razlaga sodna praksa Sodišča in Evropskega sodišča za človekove pravice.

(32)

Pristojni organi bi morali zagotoviti, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. Da bi zagotovili varstvo posameznikov, točnost, popolnost oziroma stopnjo posodobljenosti osebnih podatkov in zanesljivost osebnih podatkov, ki se posredujejo ali dajejo na voljo, bi morali pristojni organi v vsak prenos osebnih podatkov, kolikor je to mogoče, vključiti potrebne informacije.

(33)

Kadar se ta direktiva sklicuje na pravo države članice, pravno podlago ali zakonodajni ukrep, to, brez poseganja v ustavne zahteve zadevne države članice, ne pomeni nujno, da mora zakonodajni akt sprejeti parlament., Takšno pravo države članice, pravna podlaga ali zakonodajni ukrep pa bi morali biti za osebe, na katere se nanašajo, jasni in natančni, njihova uporaba pa predvidljiva, v skladu s sodno prakso Sodišča in Evropskega sodišča za človekove pravice. Pravo države članice, ki ureja obdelavo osebnih podatkov v okviru področja uporabe te direktive, bi moralo določiti vsaj cilje, osebne podatke, ki se obdelujejo, namene obdelave ter postopke za ohranjanje celovitosti in zaupnosti osebnih podatkov ter postopke za njihovo uničenje, s čimer se zagotovijo zadostna jamstva pred nevarnostjo zlorabe in samovoljnosti.

(34)

Obdelava osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, bi morala zajemati vsa dejanja ali niz dejanj, ki se za navedene namene izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali kako drugače, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, iskanje, vpogled, uporaba, prilagajanje ali kombiniranje, omejevanje obdelave, izbris ali uničenje. Pravila iz te direktive bi bilo treba uporabljati zlasti za posredovanje osebnih podatkov za namene iz te direktive uporabnikom, za katere se ta direktiva ne uporablja. Za takega uporabnika bi morala šteti vsaka fizična ali pravna oseba, javni organ, agencija ali kateri koli drug organ, ki mu je pristojni organ zakonito razkril osebne podatke. V primerih, ko je pristojni organ osebne podatke prvotno zbral za katerega od namenov iz te direktive, bi bilo treba za obdelavo teh podatkov za namene, ki jih ne zajema ta direktiva, uporabiti Uredbo (EU) 2016/679, če je takšna obdelava dovoljena v pravu Unije ali države članice. Pravila iz Uredbe (EU) 2016/679 bi bilo treba uporabljati zlasti za posredovanje osebnih podatkov za namene, ki ne sodijo v področje uporabe te direktive. Za obdelavo osebnih podatkov s strani uporabnika, ki ni pristojni organ oziroma ne deluje kot pristojni organ v smislu te direktive in mu je pristojni organ osebne podatke zakonito razkril, bi bilo treba uporabljati Uredbo (EU) 2016/679. Države članice bi morale imeti možnost, da pri izvajanju te direktive še podrobneje določijo uporabo pravil iz Uredbe (EU) 2016/679 ob upoštevanju pogojev iz navedene uredbe.

(35)

Da bi bila obdelava osebnih podatkov v skladu s to direktivo zakonita, bi morala biti nujna za opravljanje naloge, ki jo pristojni organ izvaja v javnem interesu na podlagi prava Unije ali države članice za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Te dejavnosti bi morale zajemati zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki. Opravljanje nalog preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj je institucionalno preneseno na pristojne organe z zakonom, kar jim omogoča, da lahko od posameznikov zahtevajo ali jim odredijo da izvršijo dane zahteve. V takšnem primeru privolitev posameznika, na katerega se nanašajo osebni podatki, kot je določeno v Uredbi (EU) 2016/679, ne bi smela predstavljati pravne podlage za obdelavo osebnih podatkov s strani pristojnih organov. Kadar mora posameznik, na katerega se nanašajo osebni podatki, ravnati v skladu z zakonsko obvezo, ne more dejansko in svobodno izbirati, zato odziva tega posameznika ne bi smeli obravnavati kot prostovoljni izraz njegove volje. To državam članicam ne bi smelo preprečevati, da z zakonom določijo, da lahko posameznik, na katerega se nanašajo osebni podatki, izrazi soglasje za obdelavo svojih osebnih podatkov za namene te direktive, kot je test DNK v kazenskih preiskavah ali spremljanje njegove lokacije z elektronskimi zapestnicami pri izvrševanju kazenskih sankcij.

(36)

Države članice bi morale določiti, da v primeru, ko so v pravu Unije ali države članice za pristojni organ, ki posreduje podatke, določeni posebni pogoji za obdelavo osebnih podatkov v posebnih okoliščinah, na primer uporaba kode za ravnanje s podatki, bi moral pristojni organ, ki posreduje podatke, obvestiti uporabnika teh osebnih podatkov o takšnih pogojih in zahtevati, da jih upošteva. Ti pogoji bi lahko na primer obsegali prepoved posredovanja osebnih podatkov naprej ali prepoved njihove uporabe za druge namene kot so nameni, za katere so bili posredovani uporabniku, ali prepoved obvestitve posameznika, na katerega se podatki nanašajo, o omejitvi pravice do obveščenosti, brez predhodnega dovoljenja pristojnega organa, ki je podatke posredoval. Te obveznosti bi se morale uporabljati tudi za prenose pristojnega organa, ki posreduje podatke, uporabnikom v tretjih državah ali mednarodnih organizacijah. Države članice bi morale zagotoviti, da pristojni organ, ki je podatke posredoval, takšnih pogojev ne bo uporabljal za uporabnike v drugih državah članicah ali za agencije, urade in organe, ustanovljene v skladu s poglavji 4 in 5 naslova V PDEU, razen tistih, ki se uporabljajo za podobne prenose podatkov v državi članici tega pristojnega organa.

(37)

Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi okoliščine njihove obdelave lahko povzročile resno tveganje za temeljne pravice in svoboščine. Ti osebni podatki bi morali vključevati tudi osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej direktivi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Takšnih osebnih podatkov ne bi smeli obdelovati, razen če je pri obdelavi z zakonom zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in je obdelava dovoljena v zakonsko določenih primerih; kadar to po zadevnem zakonu še ni dovoljeno in je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali če se obdelujejo podatki, ki jih je posameznik, na katerega se nanašajo, sam objavil. Ustrezna zaščita pravic in svoboščin posameznika, na katerega se osebni podatki nanašajo, bi lahko vključevala možnost, da se ti podatki zbirajo samo v povezavi z drugimi podatki v zvezi z zadevnim posameznikom, možnost da se zbrane podatke ustrezno zavaruje, strožja pravila o dostopu osebja pristojnega organa do podatkov in prepoved prenosa takšnih podatkov. Obdelava takšnih podatkov bi morala biti zakonsko dovoljena, kadar posameznik, na katerega se nanašajo osebni podatki, izrecno privoli v obdelavo, ki je zanj posebej intruzivna. Vendar pa soglasje posameznika, na katerega se nanašajo osebni podatki, samo po sebi ne bi smelo zagotavljati pravne podlage za obdelavo takšnih občutljivih osebnih podatkov s strani pristojnih organov.

(38)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima škodljive pravne učinke v zvezi z njim ali znatno vpliva nanj. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, vključno s konkretno seznanitvijo posameznika, na katerega se nanašajo osebni podatki, s pravico, da dobi osebno posredovanje, kar bi mu zlasti omogočilo, da izrazi svoje stališče ali dobi pojasnilo o odločitvi po takem ocenjevanju, ali pravico do izpodbijanja odločitve. Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi osebnih podatkov, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, bi moralo biti prepovedano pod pogoji, določenimi v členih 21 in 52 Listine.

(39)

Da bi lahko posameznik, na katerega se nanašajo osebni podatki, uresničeval svoje pravice, bi mu morale biti vse informacije lahko dostopne, tudi na spletni strani upravljavca, in bi morale biti z uporabo jasnega in preprostega jezika enostavno razumljive. Takšne informacije bi bilo treba prilagoditi potrebam ranljivih posameznikov, kot so otroci.

(40)

Da bi lahko posameznik, na katerega se nanašajo osebni podatki, lažje uresničeval svoje pravice na podlagi določb, sprejetih na podlagi te direktive, bi bilo treba določiti ureditve, tudi mehanizme, s katerimi lahko zahteva in, če je ustrezno, mu je zagotovljen, zlasti brezplačen dostop do osebnih podatkov ter popravek ali izbris osebnih podatkov in omejitev obdelave. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja, razen če upravljavec uporablja omejitve pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s to direktivo. Če so poleg tega zahteve očitno neutemeljene ali pretirane, kot v primeru, ko posameznik, na katerega se nanašajo osebni podatki, nerazumno in neprestano zahteva informacije ali zlorabi svojo pravico do informacij, na primer z navajanjem napačnih ali zavajajočih informacij pri oddaji zahteve, bi moral upravljavec imeti možnost zaračunati razumno pristojbino ali pa zavrniti ukrepanje v zvezi s to zahtevo.

(41)

Kadar upravljavec zahteva predložitev dodatnih informacij, potrebnih za potrditev identitete posameznika, na katerega se nanašajo osebni podatki, bi bilo treba te informacije obdelati samo za ta poseben namen in se jih ne bi smelo shranjevati dlje, kot je potrebno za navedeni namen.

(42)

Posamezniku, na katerega se nanašajo osebni podatki, bi bilo treba zagotoviti najmanj naslednje informacije: identiteto upravljavca, obstoj dejanj obdelave, namen obdelave, pravica do vložitve pritožbe in obstoj pravice, da se od upravljavca zahtevajo dostop do in popravek ali izbris osebnih podatkov ali omejitev obdelave. Te informacije bi lahko bile zagotovljene na spletnem mestu pristojnega organa. Poleg tega bi bilo treba posameznika, na katerega se nanašajo osebni podatki, v posebnih primerih in zaradi uresničevanja njegovih pravic seznaniti s pravno podlago za obdelavo in tem, kako dolgo bodo podatki shranjeni, v kolikor so take dodatne informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave v odnosu do posameznika, na katerega se nanašajo osebni podatki.

(43)

Posameznik bi moral imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. Zato bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da je seznanjen s sporočilom in da prejme sporočilo o namenih, za katere se obdelujejo podatki, v kakšnem obdobju se ti podatki obdelujejo in kdo so uporabniki podatkov, tudi v tretjih državah. Kadar takšna sporočila vsebujejo informacije o izvoru osebnih podatkov, te informacije ne bi smele razkriti identitete posameznikov, zlasti zaupnih virov. Da bi se ta pravica spoštovala, zadošča, da posameznik, na katerega se nanašajo osebni podatki, poseduje celoten povzetek teh podatkov v razumljivi obliki, to pomeni obliki, ki mu omogoča, da se zaveda obstoja teh podatkov ter da preveri, ali so podatki točni in se obdelujejo v skladu s to direktivo, da bi lahko uresničeval pravice, ki so mu podeljene s to direktivo. Ta povzetek je lahko v obliki kopije osebnih podatkov, ki se obdelujejo.

(44)

Državam članicam bi moralo biti omogočeno, da sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali izpustitev informacij za posameznike, na katere se nanašajo osebni podatki, ali celotno ali delno omejitev dostopa do njihovih osebnih podatkov, v kolikor je tak ukrep ob upoštevanju temeljnih pravic in zakonitih interesov zadevnega posameznika v demokratični družbi nujen in sorazmeren ukrep za preprečitev oviranja uradnih ali drugih zakonitih preiskav, poizvedb ali postopkov ter vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, pa tudi zaščito javne varnosti ali varnosti države ali pravic in svoboščin drugih. Upravljavec bi moral na podlagi konkretne in posamične preučitve vsakega primera presoditi, ali bi bilo treba pravico do dostopa delno ali v celoti omejiti.

(45)

Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o morebitni zavrnitvi ali omejitvi dostopa načeloma pisno obvestiti, tudi o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev.

(46)

Vsaka omejitev pravic posameznika, na katerega se nanašajo osebni podatki, mora biti skladna z Listino in EKČP, kot ju razlaga sodna praksa Sodišča in Evropskega sodišča za človekove pravice, zlasti glede vsebine teh pravic in svoboščin.

(47)

Posameznik bi moral imeti pravico do popravka netočnih osebnih podatkov, ki se nanašajo nanj, zlasti v zvezi z dejstvi, in pravico do izbrisa, kadar obdelava takih podatkov krši določbe iz te direktive. Vendar pravica do popravka ne bi smela vplivati na primer na vsebino izjave priče. Posameznik bi moral imeti tudi pravico do omejitve obdelave, kadar izpodbija točnost osebnih podatkov, pri čemer njihove točnosti ali netočnosti ni mogoče preveriti, ali kadar je treba osebne podatke ohraniti za namene dokazovanja. Namesto da se izbriše osebne podatke, bi bilo treba zlasti omejiti njihovo obdelavo, če v specifičnem primeru obstajajo utemeljeni razlogi za sum, da bi izbris lahko vplival na zakonite interese posameznika, na katerega se nanašajo osebni podatki. V takšnem primeru bi bilo treba omejene podatke obdelovati le za namen, ki je preprečil njihov izbris. Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale prenos izbranih podatkov v drug sistem za obdelavo, na primer za namene arhiviranja, ali onemogočenje dostopnosti izbranih podatkov. Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi. V zbirki bi moralo biti jasno navedeno dejstvo, da je obdelava osebnih podatkov omejena. O popravku ali izbrisu osebnih podatkov ali omejitvi obdelave bi bilo treba obvestiti uporabnike, ki so jim bili podatki razkriti, in pristojne organe, ki so netočne podatke posredovali. Upravljavci bi morali prav tako prenehati širiti te podatke.

(48)

Kadar upravljavec posamezniku, na katerega se nanašajo osebni podatki, zavrne pravico do informacij, dostopa, popravka ali izbrisa osebnih podatkov ali omejitve obdelave, bi moral imeti ta posameznik pravico, da od nacionalnega nadzornega organa zahteva pregled zakonitosti obdelave. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o tej pravici obvestiti. Kadar nadzorni organ deluje v imenu posameznika, na katerega se nanašajo osebni podatki, bi moral nadzorni organ tega posameznika obvestiti vsaj o tem, da je opravil vsa potrebna preverjanja ali preglede. Nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvesti tudi o pravici do uporabe pravnega sredstva.

(49)

Kadar se osebni podatki obdelujejo med kazensko preiskavo in v sodnem kazenskem postopku, bi moralo biti državam članicam omogočeno, da zagotovijo, da se uresničevanje pravic do informacij, dostopa in popravka ali izbrisa osebnih podatkov in omejitve obdelave izvajajo v skladu z nacionalnimi predpisi o sodnih postopkih.

(50)

Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati, da so dejavnosti obdelave v skladu s to direktivo. Pri takšnih ukrepih bi moral upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov. Ukrepi, ki jih sprejme upravljavec, bi morali vključevati oblikovanje in izvajanje posebnih zaščitnih ukrepov v zvezi z ravnanjem z osebnimi podatki ranljivih posameznikov, kot so otroci.

(51)

Tveganja za posameznikove pravice in svoboščine, ki se razlikujejo po verjetnosti in resnosti, so lahko posledica obdelave podatkov, ki bi lahko povzročila fizično, premoženjsko ali nepremoženjsko škodo, zlasti kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti podatkov, zaščitenih s poklicno skrivnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge večje gospodarske ali socialne škode ali kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali možnost nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična stališča, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, kadar se obdelujejo genetski ali biometrični podatki za edinstveno identifikacijo zadevnega posameznika ali kadar se obdelujejo podatki v zvezi z zdravjem ali podatki v zvezi s spolnim življenjem in spolno usmerjenostjo, kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi; kadar se vrednotijo osebni vidiki, zlasti analiziranje in predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili; kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok, ter kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(52)

Verjetnost in resnost tveganja bi bilo treba ugotoviti glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero bi ugotovili, ali dejanja obdelave podatkov pomenijo veliko tveganje. Veliko tveganje pomeni znatno tveganje poseganja v pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

(53)

Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti primerne tehnične in organizacijske ukrepe, s čimer se zagotovi izpolnitev zahtev iz te direktive. Izvajanje takih ukrepov ne bi smelo biti odvisno zgolj od gospodarskih vidikov. Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranje politike in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. Če je upravljavec izvedel oceno učinka v zvezi z varstvom podatkov v skladu s to direktivo, bi bilo treba rezultate te ocene upoštevati pri oblikovanju navedenih ukrepov in postopkov. Ti ukrepi bi med drugim lahko vključevali ukrep čim zgodnejše uporabe psevdonimizacije. Uporaba psevdonimizacije za namene te direktive bi lahko služila kot orodje, ki bi lahko olajšalo zlasti prost pretok osebnih podatkov znotraj območja svobode, varnosti in pravice.

(54)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavcev in obdelovalcev, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti iz te direktive, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

(55)

Obdelavo s strani obdelovalca bi moral urejati pravni akt, vključno s pogodbo, v kateri bi bile določene obveznosti obdelovalca do upravljavca, predvsem pa navedeno, da bi obdelovalec moral delovati samo po navodilih upravljavca. Obdelovalec bi moral upoštevati načelo vgrajenega in privzetega varstva podatkov.

(56)

Za dokaz skladnosti s to direktivo bi moral upravljavec ali obdelovalec hraniti evidence o vseh vrstah dejavnosti obdelave osebnih podatkov, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral sodelovati z nadzornim organom in mu na zahtevo omogočiti dostop do teh evidenc, ki jih ima na voljo, da bi se lahko uporabile za spremljanje teh dejanj obdelave. Upravljavec ali obdelovalec, ki obdeluje osebne podatke v neavtomatiziranih sistemih obdelave, bi moral vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.

(57)

Dnevnike bi bilo treba hraniti vsaj za dejanja v avtomatiziranih sistemih obdelave, kot so zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje ali izbris. Identifikacija osebe, ki je vpogledala v osebne podatke ali jih razkrila, bi morala biti zabeležena v dnevniku, na podlagi tega pa bi moralo biti možno utemeljiti dejanja obdelave. Dnevnike bi bilo treba uporabljati zgolj za preverjanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov in kazenskih postopkov. Notranje spremljanje vključuje tudi notranji disciplinski postopek pristojnih organov.

(58)

Upravljavec bi moral opraviti oceno učinka v zvezi z varstvom podatkov, če je verjetno, da bodo dejanja obdelave povzročila znatno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaradi svoje narave, obsega ali namena, kar bi zlasti moralo vključevati ukrepe, zaščitne ukrepe in mehanizme, predvidene za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to direktivo. Ocene učinka bi morale zajemati ustrezne sisteme in dejanja obdelave, ne pa tudi posameznih primerov.

(59)

Upravljavec ali obdelovalec bi se moral v nekaterih primerih pred obdelavo posvetovati z nadzornim organom, da bi bilo zagotovljeno učinkovito varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki.

(60)

Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te direktive, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Takšni ukrepi bi morali zagotoviti ustrezno raven varnosti, vključno z zaupnostjo, in bi morali upoštevati najsodobnejše tehnologije, stroške izvajanja glede na tveganje in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganj v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba ali nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo. Upravljavec in obdelovalec bi morala zagotoviti, da obdelave osebnih podatkov ne izvajajo nepooblaščene osebe.

(61)

Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot so izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varstva osebnih podatkov, o njej uradno obvestiti pristojni nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez dodatnega nepotrebnega odlašanja.

(62)

Posameznike bi bilo treba brez nepotrebnega odlašanja obvestiti, kadar bi kršitev varstva osebnih podatkov lahko povzročila znatno tveganje za pravice in svoboščine posameznikov, da bi se ti lahko ustrezno zavarovali. Obvestitev bi morala vsebovati opis narave kršitve varstva osebnih podatkov in vključevati priporočila za zadevnega posameznika v zvezi z ublažitvijo morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic nadzornega organa ali drugih ustreznih organov. Potreba po ublažitvi neposrednega tveganja nastanka škode bi na primer terjala takojšnjo obvestitev posameznikov, na katere se nanašajo osebni podatki, potreba po izvajanju ustreznih ukrepov zoper nadaljnje ali podobne kršitve varstva podatkov pa bi lahko upravičila daljši rok obvestitve. Kadar z odložitvijo ali omejitvijo obvestitve zadevnega posameznika o kršitvi varstva osebnih podatkov ni mogoče doseči preprečevanja oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov, izogibanja vplivu na preprečevanje, odkrivanje, preiskovanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, zaščite javne varnosti in varnosti države ali zaščite pravic in svoboščin drugih, se ta obvestitev v izjemnih okoliščinah lahko opusti.

(63)

Upravljavec bi moral določiti osebo, ki bi mu pomagala pri spremljanju notranje skladnosti s predpisi, sprejetimi na podlagi te direktive, razen če se država članica odloči, da izvzame sodišča in druge neodvisne pravosodne organe, kadar delujejo kot sodni organ. Ta oseba je lahko član obstoječega osebja upravljavca, ki se je udeležilo posebnega usposabljanja o zakonodaji in praksah s področja varstva podatkov z namenom pridobiti strokovno znanje na tem področju. Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedeno obdelavo podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca. Ta oseba lahko svoje naloge opravlja v okviru krajšega ali polnega delovnega časa. Več upravljavcev lahko ob upoštevanju svoje organizacijske strukture in velikosti, na primer v primeru skupnih virov v centralnih enotah, skupaj imenuje pooblaščeno osebo za varstvo podatkov. Ta oseba je lahko prav tako imenovana na različne položaje v okviru strukture zadevnih upravljavcev. Upravljavcu in zaposlenim, ki obdelujejo osebne podatke, bi morala pomagati tako, da bi jih obveščala in jim svetovala o izpolnjevanju njihovih obveznosti v zvezi z varstvom podatkov. Takšnim pooblaščenim osebam za varstvo podatkov bi moralo biti omogočeno, da svoje dolžnosti in naloge opravljajo neodvisno in v skladu s pravom držav članic.

(64)

Države članice bi morale zagotoviti, da se prenos v tretjo državo ali mednarodno organizacijo izvede samo, če je potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter če je upravljavec v tretji državi ali mednarodni organizaciji organ, pristojen v smislu te direktive. Prenos bi smeli izvesti le pristojni organi, ki delujejo kot upravljavci, razen ko je obdelovalcem izrecno naročen prenos v imenu upravljavcev. Tak prenos se lahko izvede v primerih, v katerih je Komisija sklenila, da zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva, po zagotovitvi ustreznih zaščitnih ukrepov ali v posebnih primerih, v katerih se uporabljajo odstopanja. Kadar se osebni podatki prenašajo iz Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, raven varstva posameznikov, ki jo v Uniji zagotavlja ta direktiva, ne bi smela biti ogrožena, vključno v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem ali obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji.

(65)

Kadar se osebni podatki posredujejo iz države članice v tretje države ali mednarodne organizacije, bi moral biti tak prenos načeloma možen šele po pridobitvi soglasja države članice, ki je posredovala podatke. Kadar so javna varnost v državi članici ali tretji državi oziroma osnovni interesi države članice tako neposredno ogroženi, da predhodnega soglasja ni mogoče pravočasno pridobiti, bi pristojni organ zaradi učinkovitega sodelovanja na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj moral imeti možnost, da zadevni tretji državi ali mednarodni organizaciji posreduje ustrezne osebne podatke brez takšnega predhodnega soglasja. Države članice bi morale določiti, da so tretje države ali mednarodne organizacije obveščene o vseh specifičnih okoliščinah prenosa. Za nadaljnje prenose osebnih podatkov bi moral dati predhodno soglasje pristojni organ, ki je izvedel prvotni prenos. Pri odločanju o zahtevi za soglasje z nadaljnjim prenosom bi moral pristojni organ, ki je izvedel prvotni prenos, ustrezno upoštevati vse bistvene dejavnike, vključno z resnostjo kaznivega dejanja, posebnimi okoliščinami in namenom, za katerega so bili podatki prvotno preneseni, naravo in pogoji izvrševanja kazenske sankcije ter ravnjo varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero so osebni podatki preneseni v okviru nadaljnjega prenosa. Pristojni organ, ki je izvedel prvotni prenos, bi moral imeti možnost, da posebne pogoje predpiše tudi za nadaljnji prenos. Take posebne pogoje je mogoče opisati na primer v kodeksih ravnanja s podatki.

(66)

Komisija bi morala imeti možnost, da sklene – z učinkom za celotno Unijo –, da nekatere tretje države ali ozemlja ali eden ali več določenih sektorjev v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost po vsej Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere velja, da zagotavljajo takšno raven varstva. V takšnih primerih bi moralo biti možno, da se prenosi osebnih podatkov v te države opravijo brez posebnega soglasja, razen če mora druga država članica, ki je posredovala podatke, podati svoje soglasje za prenos.

(67)

Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države ali ozemlja ali določenega sektorja v tretji državi upoštevati, v kolikšni meri posamezna tretja država spoštuje načelo pravne države, dostop do pravnega varstva, pa tudi mednarodna pravila in standarde na področju človekovih pravic ter svojo splošno in področno zakonodajo, med drugim zakonodajo na področju javne varnosti, obrambe, varnosti države ter javnega reda in kazenskega prava. Pri sprejetju sklepa o ustreznosti glede ozemlja ali določenega sektorja v tretji državi bi bilo treba upoštevati jasna in objektivna merila, kot so posebne dejavnosti obdelave ter področje uporabe veljavnih pravnih standardov in veljavne zakonodaje v tretji državi. Tretja država bi morala nuditi jamstva, ki zagotavljajo ustrezno raven varstva, ki je v osnovi enakovredna tisti, zagotovljeni v Uniji, zlasti kadar se osebni podatki obdelujejo v enem ali več določenih sektorjih. Zlasti bi morala tretja država zagotavljati učinkovit in neodvisen nadzor varstva podatkov ter mehanizme sodelovanja z organi za varstvo podatkov držav članic, posamezniki, na katere se nanašajo osebni podatki, pa bi morali imeti učinkovite in izvršljive pravice ter dostop do učinkovitega upravnega in sodnega varstva.

(68)

Poleg mednarodnih zavez, ki jih sprejme tretja država ali mednarodna organizacija, bi morala Komisija upoštevati tudi obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije pri večstranskih ali regionalnih sistemih, zlasti v povezavi z varstvom osebnih podatkov, ter izvajanje takih obveznosti. Upoštevati bi bilo treba zlasti pristop tretje države h Konvenciji Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in Dodatnemu protokolu h Konvenciji. Pri oceni ravni varstva v tretjih državah ali mednarodnih organizacijah bi se Komisija morala posvetovati z Evropskim odborom za varstvo podatkov, ustanovljenim z Uredbo (EU) 2016/679 (v nadaljnjem besedilu: odbor). Komisija bi morala upoštevati tudi vse relevantne sklepe Komisije o ustreznosti, sprejete v skladu s členom 45 Uredbe (EU) 2016/679.

(69)

Komisija bi morala spremljati izvajanje sklepov v zvezi z ravnjo varstva v tretji državi, na ozemlju ali v določenem sektorju v tretji državi ali v mednarodni organizaciji. V svojih sklepih o ustreznosti bi morala Komisija zagotoviti mehanizem za redno pregledovanje njihovega izvajanja. Te redne preglede bi bilo treba izvajati v posvetovanju z zadevno tretjo državo ali mednarodno organizacijo ter bi morali upoštevati vsa ustrezna dogajanja v tretji državi ali mednarodni organizaciji.

(70)

Komisija bi morala biti tudi zmožna ugotoviti, da tretja država, ozemlje ali določeni sektor v tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva podatkov. Posledično bi bilo treba prenos osebnih podatkov v to tretjo državo ali mednarodno organizacijo prepovedati, razen če so izpolnjene zahteve iz te direktive o prenosih podatkov v skladu s ustreznimi zaščitnimi ukrepi in odstopanji za posebne primere. Določiti bi bilo treba postopke za posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. Komisija bi morala tretjo državo ali mednarodno organizacijo pravočasno obvestiti o zadevnih razlogih in z njo začeti posvetovanja za izboljšanje stanja.

(71)

Prenosi, ki ne temeljijo na takem sklepu o ustreznosti, bi morali biti dovoljeni samo, če so bili v pravno zavezujočem instrumentu določeni ustrezni zaščitni ukrepi, ki zagotavljajo varstvo osebnih podatkov, ali če je upravljavec ocenil vse okoliščine pri prenosu podatkov in na podlagi te ocene meni, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov. Takšni pravno zavezujoči instrumenti bi na primer lahko bili pravno zavezujoči dvostranski sporazumi, ki so jih sklenile države članice in se izvajajo v okviru njihovega pravnega reda ter bi jih lahko uveljavljali posamezniki, na katere se nanašajo osebni podatki, iz zadevnih držav in ki zagotavljajo skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, tudi pravico do učinkovitega upravnega ali sodnega varstva. Upravljavec bi moral imeti možnost upoštevati sporazume o sodelovanju, ki so jih sklenili Europol ali Eurojust in tretje države ter omogočajo izmenjavo osebnih podatkov pri ocenjevanju vseh okoliščin pri prenosu podatkov. Prav tako bi moral imeti možnost upoštevati dejstvo, da bodo za prenos osebnih podatkov veljale obveznosti glede zaupnosti in načelo specifičnosti, ki zagotavljajo, da se podatki ne obdelujejo za druge namene kot za namen prenosa. Poleg tega pa bi moral tudi upoštevati, da se osebni podatki ne bodo uporabljali pri pozivu k smrtni kazni, njenemu izreku in njeni uresničitvi ali kakršni koli obliki krutega in nečloveškega ravnanja. Čeprav bi se ti pogoji lahko šteli za ustrezne zaščitne ukrepe za prenos podatkov, bi upravljavec moral imeti možnost zahtevati dodatne zaščitne ukrepe.

(72)

V primerih, ko ni sklepa o ustreznosti ali ustreznih zaščitnih ukrepov, bi se prenos ali skupina prenosov lahko izvedla le v specifičnih okoliščinah, če je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe ali zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, kadar je to določeno v pravu države članice, ki prenaša osebne podatke, za preprečevanje neposredne in resne ogroženosti javne varnosti države članice ali tretje države, v posameznem primeru za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov. Ta odstopanja bi bilo treba razlagati restriktivno in ne bi smela omogočati pogostih, množičnih in strukturnih prenosov osebnih podatkov, niti obsežnih prenosov podatkov, ampak bi morala biti omejena na podatke, ki so nujno potrebni. Take prenose bi bilo treba dokumentirati ter jih na zahtevo dati na voljo nadzornemu organu, da bi lahko spremljal zakonitost prenosa.

(73)

Pristojni organi držav članic uporabljajo veljavne dvo- ali večstranske mednarodne sporazume, sklenjene s tretjimi državami, na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, in sicer za izmenjavo ustreznih informacij, ki jim omogočajo izvajanje njihovih zakonsko dodeljenih nalog. To načeloma poteka prek organov, ki so za namene te Direktive pristojni v zadevnih tretjih državah ali vsaj v sodelovanju z njim, včasih tudi v primeru neobstoja dvo- ali večstranskega mednarodnega sporazuma. Vendar je lahko v specifičnih posameznih primerih redni postopek, v okviru katerih se zahteva vzpostavitev stika s takšnim organom v tretji državi, neučinkovit ali neprimeren, zlasti ker prenosa ne bi bilo mogoče opraviti pravočasno ali ker navedeni organ v tretji državi ne spoštuje načela pravne države ali mednarodnih pravil in standardov na področju človekovih pravic, tako da bi se pristojni organi držav članic lahko odločili, da osebne podatke prenesejo neposredno uporabnikom s sedežem v teh tretjih državah. To se lahko zgodi, kadar je nujno posredovati osebne podatke, da bi rešili življenje osebi, ki je v nevarnosti, da postane žrtev kaznivega dejanja, ali zaradi preprečitve neposredne storitve kaznivega dejanja, vključno s terorizmom. Čeprav bi ta prenos med pristojnimi organi ter uporabniki s sedežem v tretjih državah moral potekati le v specifičnih posameznih primerih, bi v tej direktivi morali zagotoviti pogoje za urejanje takih primerov. Te določbe ne smejo šteti za odstopanja od obstoječih dvo- ali večstranskih mednarodnih sporazumov na področjih pravosodnega sodelovanja v pri kazenskih zadevah in policijskega sodelovanja. Ti predpisi bi se morali uporabljati poleg drugih predpisov iz te direktive, zlasti predpisov o zakonitosti obdelave in predpisov iz Poglavja V.

(74)

Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uresničevanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo in neskladne pravne ureditve lahko ovirajo njihova prizadevanja za čezmejno sodelovanje. Zato je treba spodbujati tesnejše sodelovanje med nadzornimi organi za varstvo podatkov zaradi zagotavljanja pomoči pri izmenjavi informacij s tujimi nadzornimi organi za varstvo podatkov.

(75)

Ustanovitev nadzornih organov v državah članicah, ki so zmožni opravljati svoje naloge popolnoma neodvisno, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Nadzorni organi bi morali spremljati uporabo predpisov, sprejetih na podlagi te direktive in bi morali prispevati k njihovi dosledni uporabi v Uniji zaradi zaščite posameznikov v zvezi z obdelavo njihovih osebnih podatkov. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in njihovo sodelovanje s Komisijo.

(76)

Države članice lahko nadzornemu organu, že ustanovljenemu na podlagi Uredbe (EU) 2016/679, podelijo pristojnost za naloge, ki jih izvajajo nacionalni nadzorni organi, ustanovljeni na podlagi te direktive.

(77)

Države članice bi morale imeti možnost, da v skladu s svojo ustavno, organizacijsko in upravno strukturo ustanovijo več kot en nadzorni organ. Vsak nadzorni organ bi moral imeti finančne in človeške vire, prostore in infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog, tudi tistih, ki se nanašajo na medsebojno pomoč in sodelovanje z drugimi nadzornimi organi v Uniji. Vsak nadzorni organ bi moral imeti ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

(78)

Finančni odhodki nadzornih organov bi morali biti predmet neodvisnih nadzornih ali spremljevalnih mehanizmov, pod pogojem, da tak finančni nadzor ne vpliva na neodvisnost teh nadzornih organov.

(79)

Splošni pogoji za člana ali člane nadzornega organa bi morali biti določeni s pravom države članice in bi morali zlasti določati, da te člane imenuje bodisi parlament bodisi vlada ali voditelj zadevne države članice na podlagi predloga vlade ali člana vlade ali parlamenta ali njegovega dela ali pa neodvisen organ, ki je v skladu s pravom države članice in po preglednem postopku pooblaščen za imenovanja. Da bi zagotovili neodvisnost nadzornega organa, bi moral član ali člani delovati neoporečno, se vzdržati vsakega delovanja, ki ni združljivo z njihovimi nalogami, in se v času svojega mandata ne ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim. Da bi zagotovili neodvisnost nadzornega organa, bi moral nadzorni organ izbrati osebje, kar lahko vključuje posredovanje neodvisnega organa, pooblaščenega v skladu s pravom države članice.

(80)

Čeprav se ta direktiva uporablja tudi za dejavnosti nacionalnih sodišč in drugih pravosodnih organov, pa pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Ta izjema bi morala biti omejena na sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu s pravom države članice. Države članice bi morale imeti možnost določiti, da nadzorni organ ni pristojen za obdelavo osebnih podatkov drugih neodvisnih pravosodnih organov, kadar delujejo kot sodni organ, na primer urada državnega tožilca. V vsakem primeru bi se moral nad upoštevanjem pravil iz te direktive s strani sodišč in drugih neodvisnih pravosodnih organov vedno opravljati neodvisen nadzor v skladu s členom 8(3) Listine.

(81)

Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo ali jo predložiti pristojnemu nadzornemu organu. Preiskavo na podlagi pritožbe, ki je lahko predmet sodne presoje, bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preiskati ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

(82)

Da bi zagotovili učinkovito, zanesljivo in dosledno spremljanje skladnosti s to direktivo in njeno uveljavljanje v vsej Uniji v skladu s PDEU, kot jo razlaga Sodišče, bi morali imeti nadzorni organi v vsaki državi članici enake naloge in učinkovita pooblastila, vključno s pooblastili za preiskovanje, pooblastili za sprejemanje popravljalnih ukrepov in svetovalnimi pooblastili, ki pomenijo potrebna sredstva za opravljanje njihovih nalog. Vendar pa njihova pooblastila ne bi smela posegati v posebna pravila za kazenske postopke, vključno s preiskovanjem in pregonom kaznivih dejanj, ali v neodvisnost sodstva. Brez poseganja v pooblastila organov pregona, ki jih imajo v skladu s pravom države članice, bi morali biti nadzorni organi pooblaščeni tudi za obveščanje pravosodnih organov o kršitvah te direktive ali sodelovanje v sodnih postopkih. Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi s pravom Unije in države članice. Zlasti bi morali biti vsi ukrepi ustrezni, nujni in sorazmerni, da bi zagotovili skladnost s to direktivo, pri čemer bi bilo treba upoštevati okoliščine vsakega posameznega primera, spoštovati pravico vsake osebe, da pred sprejetjem posameznega ukrepa, ki bi lahko imel negativne posledice za zadevno osebo, izrazi svoje mnenje, ter preprečiti nepotrebne stroške in pretirane nevšečnosti za zadevno osebo. Preiskovalna pooblastila glede dostopa v prostore bi bilo treba izvajati v skladu s posebnimi zahtevami prava države članice, kot je na primer zahteva glede predhodne sodne odobritve. Za vsako sprejetje pravno zavezujoče odločitve bi bilo treba v državi članici nadzornega organa, ki jo je sprejel, opraviti sodno presojo.

(83)

Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih nalog in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje predpisov, sprejetih na podlagi te direktive.

(84)

Odbor bi moral prispevati k dosledni uporabi te direktive v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem sodelovanja nadzornih organov v vsej Uniji.

(85)

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so kršene njegove pravice iz predpisov, sprejetih na podlagi te direktive, ali kadar nadzorni organ ne obravnava pritožbe, jo deloma ali v celoti zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe, ki je lahko predmet sodne presoje, bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen. Pristojni nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. Za poenostavitev postopka vložitve pritožbe bi moral vsak nadzorni organ sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(86)

Vsaka fizična ali pravna oseba bi morala imeti pravico do učinkovitega pravnega sredstva pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo. Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, njegovih pooblastil za sprejemanje popravljalnih ukrepov in pooblastil v zvezi z odobritvami ali na zavržene ali zavrnjene pritožbe. Vendar pa ta pravica ne zajema drugih ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi jih bilo treba v skladu s pravom države članice. Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.

(87)

Če posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te direktive, bi moral imeti pravico, da pooblasti organ, katerega cilj je zaščititi pravice in interese posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov in ki je ustanovljen v skladu s pravom države članice, da v njegovem imenu vloži pritožbo pri nadzornem organu in uresničuje pravico do pravnega sredstva. Pravica posameznika, na katerega se nanašajo osebni podatki, do zastopnika ne bi smela posegati v postopkovno pravo države članice, v katerem je lahko določeno, da morajo posameznike, na katere se nanašajo osebni podatki, pred nacionalnimi sodišči obvezno zastopati odvetniki, kot je opredeljeno v Direktivi Sveta 77/249/EGS (10).

(88)

Vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki je posledica kršitve predpisa, sprejetega na podlagi te direktive, bi moral povrniti upravljavec ali kateri koli drug organ, pristojen na podlagi prava države članice. Pojem škode bi bilo treba razlagati široko, ob upoštevanju sodne prakse Sodišča, in sicer na način, ki v celoti odraža cilje te direktive. To ne posega v morebitne odškodninske zahtevke na podlagi kršitev drugih pravil prava Unije ali države članice. Sklicevanje na obdelavo, ki je nezakonita ali krši predpis, sprejet na podlagi te direktive, zajema tudi obdelavo, ki krši izvedbene akte, sprejete na podlagi te direktive. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.

(89)

Predvideti bi bilo treba kazni za vsako fizično ali pravno osebo, za katero velja zasebno ali javno pravo, ki krši to direktivo. Države članice bi morale zagotoviti, da so kazni učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za njihovo izvršitev.

(90)

Za zagotovitev enotnih pogojev izvajanja te direktive bi bilo treba na Komisijo prenesti izvedbena pooblastila glede ustrezne ravni varstva, ki ga zagotovi tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija ter glede oblike in postopkov za medsebojno pomoč ter ureditev za elektronsko izmenjavo informacij med nadzornimi organi, pa tudi med nadzornimi organi in odborom. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (11).

(91)

Za sprejetje izvedbenih aktov o ustrezni ravni varstva, ki ga zagotovi tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija, o obliki in postopkih za medsebojno pomoč ter ureditvah za elektronsko izmenjavo informacij med nadzornimi organi, pa tudi med nadzornimi organi in odborom, bi bilo treba uporabiti postopek pregleda, ker so ti akti splošni.

(92)

Komisija bi morala sprejeti izvedbene akte, ki se začnejo uporabljati takoj, kadar je to potrebno iz izredno nujnih razlogov v ustrezno utemeljenih primerih, ko tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija ne bi več zagotavljala ustrezne ravni varstva.

(93)

Ker ciljev te direktive,in sicer zaščititi temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in zlasti njihove pravice do varstva osebnih podatkov ter zagotoviti svobodne izmenjave osebnih podatkov s strani pristojnih organov v Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 PEU. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev

(94)

Posebni predpisi iz aktov Unije, ki so bili pred sprejetjem te direktive sprejeti na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja in urejajo obdelavo osebnih podatkov med državami članicami oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, bi morali ostati nespremenjeni, kot so na primer posebni predpisi o varstvu osebnih podatkov, ki se uporabljajo v skladu s Sklepom Sveta 2008/615/PNZ (12), ali člen 23 Konvencije o medsebojni pravni pomoči v kazenskih zadevah med državami članicami Evropske unije (13). Ker člen 8 Listine in člen 16 PDEU določata, da bi morala biti temeljna pravica do varstva osebnih podatkov v vsej Uniji zagotovljena na dosleden način, bi morala Komisija presoditi, v kakšnem razmerju so ta direktiva in akti, ki so bili sprejeti pred sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, da se oceni potreba po prilagoditvi teh posebnih določb tej direktivi. Kadar je to ustrezno, bi morala Komisija pripraviti predloge z namenom zagotovitve doslednih pravnih predpisov v zvezi z obdelavo osebnih podatkov.

(95)

Da bi zagotovili celovito in dosledno varstvo osebnih podatkov v Uniji, bi morali mednarodni sporazumi, ki so jih države članice sklenile pred dnem začetka veljavnosti te direktive in ki so skladni z ustreznim pravom Unije, ki je veljalo pred navedenim dnem, ostati v veljavi, dokler ne bodo spremenjeni, nadomeščeni ali razveljavljeni.

(96)

Državam članicam bi bilo treba dovoliti, da to direktivo prenesejo v največ dveh letih od dneva začetka njene veljavnosti. Obdelavo, ki se že izvaja na navedeni dan, bi bilo treba uskladiti s to direktivo v roku dveh let po začetku veljavnosti te direktive. Kadar pa je takšna obdelava v skladu s pravom Unije, veljavnim pred dnevom začetka veljavnosti te direktive, se zahteve te direktive glede predhodnega posvetovanja z nadzornim organom ne bi smele uporabljati za dejanja obdelave, ki so se začela že pred tem dnevom, saj je treba te zahteve glede na njihovo naravo izpolniti pred obdelavo. Kadar države članice uporabijo daljše obdobje za izvajanje, ki se izteče sedem let po dnevu začetka veljavnosti te direktive, za uskladitev z obveznostmi vodenja dnevnikov za avtomatizirane sisteme obdelave, vzpostavljene pred tem dnevom, bi moral upravljavec ali obdelovalec vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.

(97)

Ta direktiva ne posega v pravila o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji, kot so določena v Direktivi 2011/93/EU Evropskega parlamenta in Sveta (14).

(98)

Okvirni sklep 2008/977/PNZ bi bilo zato treba razveljaviti.

(99)

V skladu s členom 6a Protokola št. 21 o stališču Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice, ki je priložen k PEU in k PDEU, pravila iz te direktive, ki se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ne zavezujejo Združenega kraljestva in Irske, če ju ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe predpisov, sprejetih na podlagi člena 16 PDEU.

(100)

V skladu s členoma 2 in 2a Protokola št. 22 o stališču Danske, ki je priložen PEU in PDEU, Danske ne zavezujejo in se zanjo ne uporabljajo pravila, ki so določena v tej direktivi in se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Ker ta direktiva nadgrajuje schengenski pravni red na podlagi naslova V tretjega dela PDEU, se Danska v skladu s členom 4 navedenega protokola šestih mesecih po sprejetju te direktive odloči, ali jo bo prenesla v svoje nacionalno pravo.

(101)

Ta direktiva za Islandijo in Norveško predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije ter Republiko Islandijo in Kraljevino Norveško, o pridružitvi teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda (15).

(102)

Ta direktiva za Švico predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (16).

(103)

Ta direktiva za Lihtenštajn predstavlja razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (17).

(104)

Ta direktiva spoštuje temeljne pravice in upošteva načela, ki jih priznava Listina, kakor so vsebovani v PDEU, zlasti pravico do spoštovanja zasebnega in družinskega življenja, pravico do varstva osebnih podatkov, pravico do učinkovitega pravnega sredstva in do nepristranskega sojenja. Omejitve teh pravic so v skladu s členom 52(1) Listine, ker so potrebne za izpolnjevanje ciljev splošnega interesa, ki jih priznava Unija, ali zadovoljevanje potrebe po zaščiti pravic in svoboščin drugih.

(105)

V skladu s Skupno politično izjavo z dne 28. septembra 2011 držav članic in Komisije o obrazložitvenih dokumentih so države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile en ali več dokumentov, v katerih se pojasni razmerje med sestavnimi elementi direktive in ustrezajočimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je posredovanje takih dokumentov v primeru te direktive upravičeno.

(106)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001, ki je mnenje podal 7. marca 2012 (18).

(107)

Ta direktiva državam članicam ne bi smela preprečevati, da v nacionalnih predpisih o kazenskem postopku izvajajo uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki, do informacij, do dostopa, popravka ali izbrisa osebnih podatkov in do omejitve obdelave v kazenskem postopku, in možnih omejitvah v zvezi s tem –

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

Splošne določbe

Člen 1

Predmet urejanja in cilji

1.   V tej direktivi so določena pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

2.   Države članice v skladu s to direktivo:

(a)

varujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov, in

(b)

zagotovijo, da izmenjava osebnih podatkov med pristojnimi organi v Uniji, kadar je takšna izmenjava določena v pravu Unije ali držav članic, ni niti omejena niti prepovedana iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

3.   Ta direktiva državam članicam ne preprečuje, da za varovanje pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ki jih obdelujejo pristojni organi, sprejmejo višjo raven zaščitnih ukrepov od ravni, določene v tej direktivi.

Člen 2

Področje uporabe

1.   Ta direktiva se uporablja za obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene iz člena 1(1).

2.   Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

3.   Ta direktiva se ne uporablja za obdelavo osebnih podatkov:

(a)

v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)

ki jo izvajajo institucije, organi, uradi in agencije Unije.

Člen 3

Opredelitev pojmov

V tej direktivi:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji ali spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„pristojni organ“ pomeni:

(a)

kateri koli javni organ, ki je pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali

(b)

kateri koli drug organ ali subjekt, ki v skladu s pravom države članice lahko opravlja javne funkcije ali izvaja javna pooblastila za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(8)

„upravljavec“ pomeni pristojni organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa pravo Unije ali države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali države članice;

(9)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(10)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom države članice, ne veljajo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(11)

„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(12)

„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(13)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(14)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(15)

„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 41 ustanovi država članica;

(16)

„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljene s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 4

Načela v zvezi z obdelavo osebnih podatkov

1.   Države članice zagotovijo, da se osebni podatki:

(a)

obdelujejo zakonito in pošteno;

(b)

so zbrani za določene, izrecne in zakonite namene ter da se ne obdelujejo na način, ki je nezdružljiv s temi nameni;

(c)

so ustrezni, relevantni in ne prekomerni glede na namene, za katere se obdelujejo;

(d)

so točni in se po potrebi posodabljajo; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo, ob upoštevanju namenov, za katere se obdelujejo;

(e)

se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, in le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo;

(f)

se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo, in sicer z ustreznimi tehničnimi ali organizacijskimi ukrepi.

2.   Obdelava s strani istega ali drugega upravljavca za kateregakoli od namenov iz člena 1(1), ki ni namen, za katerega so bili podatki zbrani, je dovoljena, če:

(a)

je upravljavec pooblaščen za obdelavo teh osebnih podatkov za takšen namen v skladu s pravom Unije ali države članice in

(b)

je obdelava potrebna in sorazmerna s takšnim drugim namenom v skladu s pravom Unije ali države članice.

3.   Obdelava podatkov s strani istega ali drugega upravljavca lahko vključuje arhiviranje v javnem interesu, znanstveno, statistično ali zgodovinsko uporabo za namene iz člena 1(1), če je zagotovljena ustrezna zaščita pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo.

4.   Upravljavec je odgovoren za skladnost z odstavki 1,2 in 3 in je to skladnost tudi zmožen dokazati.

Člen 5

Rok hrambe in pregled

Države članice določijo ustrezne časovne roke za izbris osebnih podatkov ali za reden pregled potrebe po shranjevanju osebnih podatkov. Spoštovanje teh rokov se zagotovi s postopkovnimi ukrepi.

Člen 6

Razlikovanje med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki

Države članice določijo, da upravljavec kadar je to ustrezno in v največji možni meri jasno razlikuje med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so:

(a)

osebe, v zvezi s katerimi obstaja utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti;

(b)

osebe, ki so bile obsojene za kaznivo dejanje;

(c)

žrtve kaznivega dejanja ali osebe, v zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za domnevo, da bi lahko postale žrtve kaznivega dejanja, in

(d)

druge osebe, povezane s kaznivim dejanjem, kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s kaznivimi dejanji ali poznejšimi kazenskimi postopki, osebe, ki lahko zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci ene od oseb iz točk (a) in (b).

Člen 7

Razlikovanje med osebnimi podatki in preverjanje kakovosti osebnih podatkov

1.   Države članice določijo, da se osebni podatki, ki temeljijo na dejstvih, v največji možni meri razločijo od osebnih podatkov, ki temeljijo na osebnih ocenah.

2.   Države članice določijo, da pristojni organi z vsemi razumnimi ukrepi zagotovijo, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. V ta namen vsak pristojni organ kakovost osebnih podatkov preveri, še preden jih posreduje ali da na voljo, če je to izvedljivo. Kolikor je mogoče, se vsako posredovanje osebnih podatkov opremi s potrebnimi informacijami, ki pristojnemu organu, ki jih prejme, omogočijo, da oceni stopnjo točnosti, popolnosti, zanesljivosti in posodobljenosti osebnih podatkov.

3.   Če se izkaže, da so bili poslani nepravilni osebni podatki ali da so bili osebni podatki posredovani nezakonito, je o tem treba takoj uradno obvestiti uporabnika. V takšnem primeru je treba popraviti ali izbrisati osebne podatke ali omejiti obdelavo v skladu s členom 16.

Člen 8

Zakonitost obdelave

1.   Države članice zagotovijo, da obdelava velja za zakonito le, če je potrebna, in v obsegu, v katerem je potrebna, za opravljanje naloge, ki jo izvaja pristojni organ za namene iz člena 1(1) in temelji na pravu Unije ali države članice.

2.   Pravo držav članic, ki ureja obdelavo v okviru področja uporabe te direktive, določa vsaj cilje obdelave, kateri osebni podatki se obdelajo in namene obdelave.

Člen 9

Posebni pogoji za obdelavo

1.   Osebni podatki, ki jih pristojni organi zbirajo za namene iz člena 1(1), se ne obdelujejo za druge namene kot za namene iz člena 1(1), razen če takšno obdelavo dovoljuje pravo Unije ali države članice. Kadar se osebni podatki obdelujejo v druge namene, se uporablja Uredba (EU) 2016/679, razen če se obdelava izvaja v okviru dejavnosti, ki ne spadajo na področje uporabe prava Unije.

2.   Kadar so pristojni organi na podlagi prava držav članic pooblaščeni za opravljanje nalog, ki so drugačne od tistih, ki se izvajajo za namene iz člena 1(1), se za obdelavo podatkov za takšne namene uporablja Uredba (EU) 2016/679, vključno z arhiviranjem iz razlogov javnega interesa, za znanstveno, statistično ali zgodovinsko uporabo, razen če se obdelava izvaja v okviru dejavnosti, ki ne spada v področje uporabe prava Unije.

3.   Države članice določijo, da v primeru, če so v pravu Unije ali države članice, ki se uporablja za pristojni organ, ki posreduje podatke, določeni posebni pogoji za obdelavo, pristojni organ, ki posreduje podatke, obvesti uporabnika teh osebnih podatkov o takšnih pogojih in o obveznosti usklajenosti s temi pogoji.

4.   Države članice zagotovijo, da pristojni organ, ki posreduje podatke, za uporabnike iz drugih držav članic ali agencije, urade in organe, ustanovljene v skladu s poglavjema 4 in 5 naslova V PDEU, ne bo uporabil pogojev iz odstavka 3, razen tistih, ki se uporabljajo za podobne prenose podatkov v državi članici pristojnega organa, ki posreduje podatke.

Člen 10

Obdelava posebnih vrst osebnih podatkov

Obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se podatki nanašajo, in le če:

(a)

to dovoljuje pravo Unije ali države članice

(b)

je to potrebno zaradi zaščite življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika ali

(c)

je takšna obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi.

Člen 11

Avtomatizirano sprejemanje posameznih odločitev

1.   Države članice zagotovijo, da je sprejemanje odločitev izključno na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki ima lahko negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali ga zelo prizadene, prepovedano, razen če to dovoljuje pravo Unije ali države članice, ki se uporablja za upravljavca in ki zagotavlja ustrezno zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja s strani upravljavca.

2.   Odločitve iz odstavka 1 tega člena ne temeljijo na posebnih vrstah osebnih podatkov iz člena 10, razen če so vzpostavljeni ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi posebnih vrst osebnih podatkov iz člena 10, je v skladu s pravom Unije prepovedano.

POGLAVJE III

Pravice posameznika, na katerega se nanašajo osebni podatki

Člen 12

Sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Države članice določijo, da upravljavec sprejme razumne ukrepe, s katerimi zagotovi, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz člena 13 ter vsa sporočila iz členov 11, 14 do 18 in 31, povezana z obdelavo osebnih podatkov, posredujejo v jedrnati, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo na vse ustrezne načine, tudi v elektronski obliki. Upravljavec praviloma zagotovi informacije v taki obliki, kot jo je imela zahteva.

2.   Države članice določijo, da upravljavec olajša uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 11 in 14 do 18.

3.   Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo.

4.   Države članice določijo, da so informacije iz člena 13 ter morebitna sporočila in ukrepi, sprejeti na podlagi členov 11, 14 do 18 in 31, brezplačni. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec:

(a)

zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa, ali

(b)

zavrne ukrepanje v zvezi z zahtevo.

Upravljavec nosi dokazno breme očitne neutemeljenosti ali pretiranosti zahteve.

5.   Če upravljavec upravičeno dvomi o identiteti posameznika, ki predloži zahtevo iz členov 14 ali 16, lahko zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

Člen 13

Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.   Države članice določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, dajo na voljo vsaj naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)

namene obdelave osebnih podatkov;

(d)

o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(e)

o pravici, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo.

2.   Države članice z zakonom določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih poleg informacij iz odstavka 1 zagotovi tudi naslednje dodatne informacije, s čimer omogoči uresničevanje njegovih pravic:

(a)

pravno podlago za obdelavo;

(b)

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(c)

kadar je to ustrezno kategorije uporabnikov osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah;

(d)

po potrebi dodatne informacije, zlasti kadar se osebni podatki zbirajo brez vednosti posameznika, na katerega se nanašajo osebni podatki.

3.   Države članice lahko sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

4.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporablja katera koli točka iz odstavka 3.

Člen 14

Pravica do dostopa posameznika, na katerega se nanašajo osebni podatki

Države članice v skladu s členom 15 določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca pridobi potrditev, da se v zvezi z njim obdelujejo osebni podatki, in da se mu v tem primeru zagotovi dostop do osebnih podatkov ter naslednje informacije:

(a)

namene in pravno podlago za obdelavo;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je to mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

o pravici, da od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo;

(f)

o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)

sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

Člen 15

Omejitve pravice do dostopa

1.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omejijo pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

2.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporabljajo točke (a) do (e) odstavka 1.

3.   Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva.

4.   Države članice določijo, da upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Ti podatki so na voljo nadzornim organom.

Člen 16

Pravica do popravka ali izbrisa osebnih podatkov in omejitve obdelave

1.   Države članice določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih osebnih podatkov v zvezi z njim. Države članice ob upoštevanju namena obdelave določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

2.   Države članice od upravljavca zahtevajo, da brez nepotrebnega odlašanja izbriše osebne podatke, in posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris osebnih podatkov v zvezi z njim, če obdelava krši predpise, sprejete na podlagi členov 4, 8 ali 10, ali če je treba osebne podatke izbrisati za izpolnitev s pravne obveznosti, ki velja za upravljavca.

3.   Upravljavec namesto izbrisa omeji obdelavo, kadar:

(a)

posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne, ali

(b)

je treba osebne podatke ohraniti za namene dokazovanja.

Če je obdelava omejena v skladu s točko (a) prvega pododstavka, upravljavec pred preklicem omejitve obdelave obvesti posameznika, na katerega se nanašajo osebni podatki.

4.   Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa osebnih podatkov ali omejitve obdelave ter o razlogih za zavrnitev. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi popolnoma ali delno omejijo obveznost zagotavljanja teh informacij, v kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali obstoju pravnega sredstva.

5.   Države članice določijo, da upravljavec o popravku netočnih osebnih podatkov obvesti pristojni organ, ki je posredoval netočne osebne podatke.

6.   Države članice določijo, da v primerih, ko so bili osebni podatki na podlagi odstavkov 1, 2 in 3 popravljeni ali izbrisani ali je bila njihova obdelava omejena, upravljavec uradno obvesti uporabnike ter da uporabniki popravijo ali izbrišejo osebne podatke ali omejijo obdelavo osebnih podatkov, za katere so odgovorni.

Člen 17

Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede nadzorni organ

1.   Države članice v primerih iz členov 13(3), 15(3) in 16(4) sprejmejo ukrepe, s katerimi se zagotovi, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje tudi prek pristojnega nadzornega organa.

2.   Države članice določijo, da upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek nadzornega organa v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled. Nadzorni organ tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva.

Člen 18

Pravice posameznika, na katerega se nanašajo osebni podatki, v kazenski preiskavi in kazenskem postopku

Države članice lahko določijo, da se pravice iz členov 13, 14 in 16 uresničujejo v skladu s pravom držav članic, kadar so osebni podatki navedeni v sodni odločbi ali kazenski evidenci ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom.

POGLAVJE IV

Upravljavec in obdelovalec

Oddelek 1

Splošne obveznosti

Člen 19

Obveznosti upravljavca

1.   Države članice določijo, da upravljavec ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to direktivo. Ti ukrepi se po potrebi pregledajo in dopolnijo.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

Člen 20

Vgrajeno in privzeto varstvo podatkov

1.   Države članice določijo, da upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot tudi v času same obdelave, izvede ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te direktive in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Države članice določijo, da upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se samodejno obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu oseb brez posredovanja zadevnega posameznika.

Člen 21

Skupni upravljavci

1.   Države članice določijo, da gre v primeru, ko dva ali več upravljavcev skupaj določijo namene in načine obdelave, za skupne upravljavce. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih za izpolnjevanje obveznosti iz te direktive, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in naloge vsakega od njih glede zagotavljanja informacij iz člena 13, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali države članice, ki velja za upravljavce. Z dogovorom se določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Države članice lahko določijo, kateri od skupnih upravljavcev lahko deluje kot enotna kontaktna točka za uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki.

2.   Države članice lahko ne glede na pogoje dogovora iz odstavka 1 določijo, da posameznik, na katerega se nanašajo osebni podatki, uresničuje pravice, ki jih ima na podlagi predpisov, sprejetih v skladu s to direktivo, glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 22

Obdelovalec

1.   Države članice določijo, da upravljavec, kadar se obdelava izvaja v njegovem imenu, sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te direktive in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Države članice določijo, da obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Države članice določijo, da izvajanje obdelave s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali države članice, ki določa obveznosti obdelovalca do upravljavca ter v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt določa zlasti, da obdelovalec:

(a)

deluje samo po navodilih upravljavca;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

pomaga upravljavcu na kakršen koli primeren način, da se zagotovi skladnost z določbami o pravicah posameznika, na katerega se nanašajo osebni podatki;

(d)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev obdelave podatkov ter uniči obstoječe kopije, razen če pravo Unije ali države članice predpisuje shranjevanje osebnih podatkov;

(e)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje skladnosti s tem členom;

(f)

izpolnjuje pogoje iz odstavkov 2 in 3 za zaposlitev drugega obdelovalca.

4.   Pogodba ali drug pravni akt iz odstavka 3 je v pisni obliki, vključno z elektronsko obliko.

5.   Če obdelovalec za obdelavo podatkov določi namene in način obdelave, ki kršijo to direktivo, se ta obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 23

Obdelava pod vodstvom upravljavca ali obdelovalca

Države članice določijo, da obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali države članice.

Člen 24

Evidenca dejavnosti obdelave

1.   Države članice določijo, da upravljavci vodijo evidenco vseh vrst dejavnosti obdelave, za katere so odgovorni. Ta evidenca vsebuje vse naslednje informacije:

(a)

ime in kontaktne podatke upravljavca, in kadar obstajata skupnega upravljavca in pooblaščene osebe za varstvo podatkov;

(b)

namene obdelave;

(c)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(d)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(e)

kadar je ustrezno, oblikovanje profilov;

(f)

kadar je ustrezno, kategorije prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo;

(g)

navedbo pravne podlage za dejanja obdelave, vključno s prenosi, za katere so osebni podatki namenjeni;

(h)

kadar je mogoče, predvidene roke za izbris različnih vrst osebnih podatkov;

(i)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

2.   Države članice določijo, da vsak obdelovalec vodi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, evidenca pa vsebuje:

(a)

ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih upravljavcev, v imenu katerih deluje obdelovalec, in kadar obstaja pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo in identifikacijo te tretje države ali mednarodne organizacije, kadar to izrecno naroči upravljavec;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

3.   Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.

Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do evidence.

Člen 25

Vodenje dnevnikov

1.   Države članice določijo, da se vodijo dnevniki vsaj o naslednjih dejanjih obdelave v avtomatiziranih sistemih obdelave: zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris. Dnevniki vpogleda in razkritja omogočajo utemeljitev, opredelitev datuma in časa takih dejanj ter, če je to mogoče, identifikacijo osebe, ki je vpogledala v osebne podatke ali jih razkrila, ter identiteto uporabnikov takih osebnih podatkov.

2.   Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje neoporečnosti in varnosti osebnih podatkov ter v kazenskih postopkih.

3.   Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do dnevnikov.

Člen 26

Sodelovanje z nadzornim organom

Države članice določijo, da upravljavec in obdelovalec na zahtevo sodelujeta z nadzornim organom pri izvajanju njegovih nalog.

Člen 27

Ocena učinka v zvezi z varstvom na podatkov

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov, države članice določijo, da upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov.

2.   Ocena iz odstavka 1 obsega vsaj splošni opis predvidenih dejanj obdelave, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, namenjene obvladovanju teh tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to direktivo, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

Člen 28

Predhodno posvetovanje z nadzornim organom

1.   Države članice določijo, da se upravljavec ali obdelovalec pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z nadzornim organom, kadar:

(a)

ocena učinka na varstvo podatkov iz člena 27 kaže, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, ali

(b)

vrsta obdelave, zlasti v primeru uporabe novih tehnologij, mehanizmov ali postopkov, pomeni veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2.   Države članice določijo, da se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, izvede posvetovanje z nadzornim organom.

3.   Države članice določijo, da lahko nadzorni organ pripravi seznam dejanj obdelave, za katere je treba v skladu z odstavkom 1 opraviti predhodno posvetovanje.

4.   Države članice določijo, da upravljavec nadzornemu organu predloži oceno učinka na varstvo podatkov v skladu s členom 27, na zahtevo pa tudi vse druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se ti podatki nanašajo, ter s tem povezane zaščitne ukrepe.

5.   Države članice določijo, da nadzorni organ, kadar meni, da bi predvidena obdelava iz odstavka 1 tega člena lahko kršila predpise, sprejete na podlagi te direktive, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, pisno svetuje upravljavcu, kadar je to ustrezno, pa tudi obdelovalcu, v roku do šestih tednov po prejemu zahteve za posvetovanje in lahko uporabi katero koli pooblastilo iz člena 47. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za en mesec. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in kadar je to ustrezno obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo.

Oddelek 2

Varnost osebnih podatkov

Člen 29

Varnost obdelave

1.   Države članice določijo, da upravljavec in obdelovalec ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotovita ustrezno raven varnosti glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst osebnih podatkov iz člena 10.

2.   V zvezi z avtomatizirano obdelavo osebnih podatkov vsaka država članica določi, da upravljavec ali obdelovalec po oceni tveganj izvede ukrepe, katerih namen je:

(a)

onemogočiti dostop nepooblaščenih oseb do opreme, ki se uporablja za obdelavo (nadzor dostopa do opreme);

(b)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);

(c)

preprečiti nepooblaščeno vnašanje osebnih podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);

(d)

nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za avtomatizirano obdelavo (nadzor uporabnikov);

(e)

zagotoviti, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f)

zagotoviti, da je mogoče preveriti in ugotoviti, katerim telesom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);

(g)

zagotoviti, da je mogoče naknadno preveriti in ugotoviti, kateri osebni podatki so bili vneseni v sisteme za avtomatizirano obdelavo ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);

(i)

zagotoviti, da je mogoče nameščene sisteme v primeru prekinitve ponovno vzpostaviti (obnova);

(j)

zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

Člen 30

Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov

1.   Države članice določijo, da upravljavec v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo o njej uradno obvesti nadzorni organ, razen če ni verjetno, da bi bilo s kršitvijo varstva osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži razloge za zamudo.

2.   Obdelovalec ob seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljavca.

3.   Uradno obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c)

opis verjetnih posledic kršitve varstva osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, vključno z če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

4.   Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Države članice določijo, da upravljavec dokumentira vsako kršitev varstva osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.

6.   Države članice v primeru, kadar kršitev varstva osebnih podatkov vključuje osebne podatke, ki jih je upravljavec druge države članice poslal ali so mu bili poslani, določijo, da se informacije iz odstavka 3 upravljavcu navedene države članice sporočijo brez nepotrebnega odlašanja.

Člen 31

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

1.   Države članice določijo, da v primeru, ko je verjetno, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz točk (b), (c) in (d) člena 30(3).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnološke in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje,

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo,

(c)

bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ to od njega lahko zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri od pogojev iz odstavka 3.

5.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena se lahko pod pogoji in iz razlogov iz člena 13(3) zadrži, omeji ali opusti.

Oddelek 3

Pooblaščena oseba za varstvo podatkov

Člen 32

Imenovanje pooblaščene osebe za varstvo podatkov

1.   Države članice določijo, da upravljavec imenuje pooblaščeno osebo za varstvo podatkov. Države članice lahko iz te obveznosti lahko izvzamejo sodišča in druge neodvisne pravosodne organe, kadar delujejo kot sodni organ.

2.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi njenih poklicnih odlik in zlasti njenega strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 34.

3.   Za več pristojnih organov se lahko ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4.   Države članice določijo, da upravljavec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 33

Položaj pooblaščene osebe za varstvo podatkov

1.   Države članice določijo, da upravljavec zagotovi, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.   Upravljavec pooblaščeni osebi za varstvo podatkov pomaga pri opravljanju nalog iz člena 34, tako da zagotovi sredstva, potrebna za opravljanje teh nalog in dostop do osebnih podatkov in dejanj obdelave ter ohranjanje njenega strokovnega znanja.

Člen 34

Naloge pooblaščene osebe za varstvo podatkov

Države članice določijo, da upravljavec pooblaščeni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a)

obveščanje upravljavca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to direktivo in drugimi določbami Unije ali držav članic o varstvu podatkov;

(b)

spremljanje skladnosti s to direktivo, drugimi določbami Unije ali držav članic o varstvu podatkov in politikami upravljavca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)

svetovanje, kadar se to zahteva, glede ocene učinka v zvezi z na varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 27;

(d)

sodelovanje z nadzornim organom;

(e)

delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 28, in, kjer je ustrezno, posvetovanje o kateri koli drugi zadevi.

POGLAVJE V

Prenosi osebnih podatkov v tretje države ali mednarodne organizacije

Člen 35

Splošna načela za prenose osebnih podatkov

1.   Države članice določijo, da pristojni organi vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, vključno z nadaljnjimi prenosi v drugo tretjo državo ali mednarodno organizacijo, izvedejo samo, če je v skladu z nacionalnimi določbami, sprejetimi v skladu z drugimi določbami te direktive in samo če so izpolnjeni pogoji iz tega poglavja, in sicer:

(a)

prenos je potreben za namene iz člena 1(1)

(b)

osebni podatki se prenesejo upravljavcu v tretji državi ali mednarodni organizaciji, ki je organ, pristojen za namene iz člena 1(1),

(c)

v primeru prenosa ali omogočanja dostopa do osebnih podatkov iz druge države članice je zadevna država članica dala predhodno soglasje za prenos v skladu s svojim nacionalnim pravom

(d)

Komisija je sprejela sklep o ustreznosti na podlagi člena 36 ali – v primeru, da Komisija ni sprejela tega sklepa – so predvideni ali obstajajo ustrezni zaščitni ukrepi v skladu s členom 37 ali – v primeru, da Komisija ni sprejela sklepa o ustreznosti na podlagi člena 36 ali ustreznih zaščitnih ukrepov na podlagi člena 37– se uporabljajo odstopanja za posebne primere v skladu s členom 38; in

(e)

v primeru nadaljnjega prenosa v drugo tretjo državo ali mednarodno organizacijo pristojni organ, ki je izvedel prvotni prenos, ali drug pristojni organ v isti državi članici dovoli nadaljnji prenos, potem ko ustrezno upošteva vse zadevne dejavnike, tudi resnost kaznivega dejanja, namen, za katerega so bili osebni podatki prvotno preneseni, in raven varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero se osebni podatki prenašajo v okviru nadaljnjega prenosa.

2.   Države članice določijo, da so prenosi brez predhodnega soglasja druge države članice v skladu s točko (c) odstavka 1 dovoljeni samo, če je prenos osebnih podatkov nujno potreben, da se prepreči neposredna in resna grožnja javni varnosti v državi članici ali tretji državi ali vitalnim interesom države članice, predhodnega soglasja pa ni mogoče pridobiti pravočasno. O tem brez odlašanja obvestijo organ, pristojen za dajanje predhodnega soglasja.

3.   Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta direktiva.

Člen 36

Prenosi na podlagi sklepa o ustreznosti

1.   Države članice določijo, da se prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede, če Komisija sklene, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2.   Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, varnosti države in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje, za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3.   Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom sklene, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter kadar je ustrezno opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 58(2).

4.   Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3.

5.   Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ta izvedbeni akt se sprejme po postopku pregleda iz člena 58(2), v izjemno nujnih primerih pa po postopku iz člena 58(3).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 58(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6.   Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7.   Države članice določijo, da sklep, sprejet na podlagi odstavka 5 ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členoma 37 in 38.

8.   Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

Člen 37

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1.   Države članice določijo, da se lahko v primeru nesprejetja sklepa v skladu s členom 36(3) osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, če:

(a)

so ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov določeni v pravno zavezujočem aktu ali

(b)

je upravljavec ocenil vse okoliščine v zvezi s prenosom osebnih podatkov in ugotovil, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov.

2.   Upravljavec obvesti nadzorni organ o kategorijah prenosov iz točke (b) odstavka 1.

3.   Kadar prenos temelji na točki (b) odstavka 1, ga je treba dokumentirati, pri čemer mora biti dokumentacija na zahtevo na voljo nadzornemu organu, vključno z datumom in uro prenosa, podatki o pristojnem organu prejemniku, utemeljitvijo prenosa in prenesenimi osebnimi podatki.

Člen 38

Odstopanja v posebnih primerih

1.   Države članice zagotovijo, da se lahko v primeru, če ni bil sprejet sklep o ustreznosti v skladu s členom 36 oziroma če niso bili sprejeti ustrezni zaščitni ukrepi v skladu s členom 37, prenos ali kategorija prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le, če je prenos potreben:

(a)

za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe;

(b)

za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki in je to določeno v zakonodaji države članice, ki prenaša osebne podatke;

(c)

za preprečitev neposredne in resne grožnje javni varnosti v državi članici ali tretji državi;

(d)

v posameznih primerih za namene iz člena 1(1); ali

(e)

v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi z nameni iz člena 1(1).

2.   Če pristojni organ, ki podatke prenese, ugotovi, da temeljne pravice in svoboščine zadevnega posameznika, na katerega se nanašajo osebni podatki, prevladajo nad javnim interesom za prenos iz točk (d) in (e) odstavka 1, se osebni podatki ne prenesejo.

3.   Kadar prenos temelji na odstavku 1, ga je treba dokumentirati, pri čemer mora biti dokumentacija na zahtevo na voljo nadzornemu organu, vključno z datumom in uro prenosa, podatki o pristojnem organu prejemniku, utemeljitvijo prenosa in prenesenimi osebnimi podatki.

Člen 39

Prenosi osebnih podatkov uporabnikom s sedežem v tretjih državah

1.   V pravu Unije ali države članice se lahko z odstopanjem od točke (b) člena 35(1) in brez poseganja v kateri koli mednarodni sporazum iz odstavka 2 tega člena določi, da pristojni organi iz točke (7)(a) člena 3 v posameznih in posebnih primerih prenesejo osebne podatke neposredno uporabnikom s sedežem v tretjih državah le, če so izpolnjene zahteve iz drugih določb te direktive in vsi naslednji pogoji:

(a)

prenos je nujno potreben za izvajanje naloge pristojnega organa, ki podatke prenese, kot je določeno s pravom Unije ali države članice za namene iz člena 1(1);

(b)

pristojni organ, ki podatke prenese, ugotovi, da nobena temeljna pravica in svoboščina zadevnega posameznika, na katerega se nanašajo osebni podatki, ne prevlada nad javnim interesom, zaradi katerega je v konkretnem primeru potreben prenos;

(c)

pristojni organ, ki podatke prenese, meni, da prenos organu v tretji državi, pristojnemu za namene iz člena 1(1), ni učinkovit ali primeren, zlasti ker prenosa ni mogoče pravočasno izvesti;

(d)

organ, ki je v tretji državi pristojen za namene iz člena 1(1), je obveščen brez nepotrebnega odlašanja, razen če to ni učinkovito ali primerno;

(e)

pristojni organ, ki podatke prenese, obvesti uporabnika o določenem namenu ali namenih, za katere naj bi uporabnik izključno obdelal osebne podatke, pod pogojem, da je takšna obdelava potrebna.

2.   Mednarodni sporazum iz odstavka 1 je kateri koli veljavni dvo- ali večstranski mednarodni sporazum med državami članicami in tretjimi državami s področja pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

3.   Pristojni organ, ki podatke prenese, obvesti nadzorni organ o prenosih na podlagi tega člena.

4.   Kadar prenos temelji na odstavku 1, ga je treba dokumentirati.

Člen 40

Mednarodno sodelovanje za varstvo osebnih podatkov

Komisija in države članice v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe, da:

(a)

oblikujejo mehanizme mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotovijo mednarodno medsebojno pomoč pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

ustrezne deležnike vključijo v razpravo in dejavnosti, katerih namen je pospeševanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujajo izmenjavo in dokumentiranje zakonodaje in prakse s področja varstva osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

Neodvisni nadzorni organi

Oddelek 1

Status neodvisnosti

Člen 41

Nadzorni organ

1.   Vsaka država članica zagotovi, da je eden ali več neodvisnih javnih organov pristojnih za spremljanje uporabe te direktive, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (nadzorni organ).

2.   Vsak nadzorni organi prispeva k dosledni uporabi te direktive v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

3.   Države članice lahko določijo, da je nadzorni organ, ustanovljen v skladu z Uredbo (EU) 2016/679, nadzorni organ iz te direktive in prevzame odgovornost za izvajanje nalog nadzornega organa, ki bo ustanovljen v skladu z odstavkom 1 tega člena.

4.   Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki navedene organe zastopa v odboru iz člena 51.

Člen 42

Neodvisnost

1.   Vsaka država članica določi, da vsak nadzorni organ pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo ravna popolnoma neodvisno.

2.   Države članice določijo, da član oziroma člani njihovih nadzornih organov pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo niso izpostavljeni ne neposrednemu ne posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.

3.   Člani nadzornega organa držav članic se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4.   Vsaka država članica zagotovi, da ima vsak nadzorni organ na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.

5.   Vsaka država članica zagotovi, da vsak nadzorni organ izbere in ima svoje osebje, ki ga usmerja izključno član oziroma člani zadevnega nadzornega organa.

6.   Vsaka država članica zagotovi, da se izvaja finančni nadzor vsakega nadzornega organa, kar pa ne vpliva na njegovo neodvisnost, in da ima vsak nadzorni organ ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

Člen 43

Splošni pogoji za člane nadzornega organa

1.   Države članice zagotovijo, da vsakega člana njihovega nadzornega organa po preglednem postopku imenuje:

njihov parlament,

njihova vlada,

njihov voditelj ali

neodvisen organ, ki je na podlagi prava države članice pooblaščen za imenovanja.

2.   Vsak član im kvalifikacije, izkušnje in znanje, zlasti na področju varstva osebnih podatkov, potrebno za opravljanje svojih dolžnosti in izvajanje svojih pooblastil.

3.   Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu s pravom zadevne države članice.

4.   Član je lahko razrešen le v primerih hujše kršitve ali če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje dolžnosti.

Člen 44

Pravila o ustanovitvi nadzornega organa

1.   Vsaka država članica z zakonom določi vse naslednje:

(a)

ustanovitev posameznega nadzornega organa;

(b)

kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

(c)

pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;

(d)

trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 6. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopkom postopnega imenovanja;

(e)

ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo in če je tako, za koliko mandatov;

(f)

pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

2.   Član oziroma člani in osebje posameznega nadzornega organa so v skladu s pravom Unije ali države članice tako med svojim mandatom kot po njem dolžni varovati poklicno skrivnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med opravljanjem svojih nalog ali izvajanjem svojih pooblastil. V času njihovega mandata ta dolžnost varovanja poklicne skrivnosti velja zlasti za poročanje posameznikov o kršitvah te direktive.

Oddelek 2

Pristojnost, naloge in pooblastila

Člen 45

Pristojnost

1.   Vsaka država članica določi, da je vsak nadzorni organ na ozemlju svoje države članice pristojen za opravljanje nalog in izvajanje pooblastil, ki so mu bila dodeljena v skladu s to direktivo.

2.   Vsaka država članica določi, da noben nadzorni organ ni pristojen za nadzor dejanj obdelave, ki jih izvajajo sodišča, kadar delujejo kot sodni organ. Države članice lahko določijo, da njihov nadzorni organ ni pristojen za nadzor dejanj obdelave, ki jih izvajajo drugi neodvisni pravosodni organi, kadar delujejo kot sodni organ.

Člen 46

Naloge

1.   Vsaka država članica določi, da na njenem ozemlju vsak nadzorni organ:

(a)

spremlja in zagotavlja uporabo predpisov, sprejetih v skladu s to direktivo, in njenih izvedbenih ukrepov;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo;

(c)

v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)

spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi te direktive;

(e)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te direktive in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 55 organ, organizacija ali združenje, in v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)

preverja zakonitost obdelave v skladu s členom 17 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda v skladu z odstavkom 3 navedenega člena ali o razlogih, zaradi katerih pregled ni bil izveden;

(h)

sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da bi zagotovili doslednost pri uporabi in izvajanju te direktive;

(i)

izvaja preiskave o uporabi te direktive, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(j)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(k)

svetuje glede dejanj obdelave iz člena 28; in

(l)

prispeva k dejavnostim odbora.

2.   Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1, in sicer z ukrepi, kot je zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 47

Pooblastila

1.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska preiskovalna pooblastila. Ta pooblastila vključujejo vsaj pooblastilo, da od upravljavca in obdelovalca pridobi dostop do vseh osebnih podatkov, ki se obdelujejo, in vseh informacij, ki jih potrebuje za opravljanje svojih nalog.

2.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska popravljalna pooblastila, kot na primer:

(a)

da upravljavca ali obdelovalca opozori, da bi predvidena dejanja obdelave verjetno kršila predpise, sprejete na podlagi te direktive;

(b)

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi s predpisi, sprejetimi na podlagi te direktive, zlasti tako, da v skladu s členom 16 odredi popravek ali izbris osebnih podatkov ali omejitev obdelave;

(c)

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave.

3.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska svetovalna pooblastila, da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 28 in da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament in vlado ali, v skladu z nacionalnim pravom, za druge institucije in organe, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov.

4.   Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in držav članic, v skladu z Listino.

5.   Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve predpisov, sprejetih na podlagi te direktive, in da po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje predpisov, sprejetih na podlagi te direktive.

Člen 48

Poročanje o kršitvah

Države članice določijo, da pristojni organi vzpostavijo učinkovite mehanizme za spodbujanje zaupnega poročanja o kršitvah te direktive.

Člen 49

Poročila o dejavnostih

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih, ki lahko vključuje seznam vrst priglašenih kršitev in vrst naloženih kazni. Ta poročila se predložijo nacionalnemu parlamentu, vladi in drugim organom, kakor določa pravo države članice. Na voljo se dajo javnosti, Komisiji in odboru.

POGLAVJE VII

Sodelovanje

Člen 50

Medsebojna pomoč

1.   Vsaka država članica določi, da njihovi nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč ter tako dosledno izvajajo in uporabljajo to direktivo in da uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za posvetovanja, preglede in preiskave.

2.   Države članice določijo, da vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne, za odgovor na zahtevo drugega nadzornega organa brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3.   Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4.   Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)

ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)

bi izpolnitev zahteve kršila to direktivo ali pravo Unije ali države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5.   Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo vsako zavrnitev zahteve na podlagi odstavka 4 ustrezno obrazloži.

6.   Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7.   Nadzorni organi, ki so prejeli zahtevo, za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah.

8.   Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 58(2).

Člen 51

Naloge odbora

1.   Odbor, ustanovljen z Uredbo (EU) 2016/679, opravlja vse naslednje naloge v zvezi z obdelavo v okviru področja uporabe te direktive:

(a)

Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, pa tudi o vseh predlogih sprememb te direktive;

(b)

na lastno pobudo, na zahtevo katerega od svojih članov ali na zahtevo Komisije preuči vsako vprašanje v zvezi z uporabo te direktive ter izda smernice, priporočila in najboljše prakse, s čimer spodbuja dosledno uporabo te direktive;

(c)

za nadzorne organe pripravi smernice glede uporabe ukrepov iz člena 47(1) in (3);

(d)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev nepotrebnega odlašanja iz člena 30(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(e)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka glede okoliščin, v katerih je verjetno, da bi kršitev varstva osebnih podatkov povzročila znatno tveganje za pravice in svoboščine posameznikov iz člena 31(1);

(f)

pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (b) in (c);

(g)

Komisiji predloži mnenje glede ocene ustreznosti ravni varstva v tretji državi, na ozemlju ali v enem ali več določenih sektorjev v tretji državi, ali mednarodni organizaciji, vključno glede ocene o tem, ali tretja država, ozemlje, določen sektor ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva.

(h)

spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(i)

spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali z mednarodnimi organizacijami;

(j)

spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

Ob upoštevanju točke (g) prvega pododstavka, Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države, z ozemljem ali določenim sektorjem v navedeni tretji državi ali z mednarodno organizacijo.

2.   Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3.   Odbor Komisiji in odboru iz člena 58(1) posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.   Komisija obvesti odbor o ukrepih, ki jih je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je ta odbor izdal.

POGLAVJE VIII

Pravna sredstva, odgovornost in kazni

Člen 52

Pravica do vložitve pritožbe pri nadzornem organu

1.   Države članice brez poseganja v katero koli drugo upravno ali pravno sredstvo določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo samo pri enem nadzornem organu, če meni, da obdelava v zvezi z njim krši predpise, sprejete na podlagi te direktive.

2.   Države članice zagotovijo, da nadzorni organ, pri katerem je bila vložena pritožba, to pritožbo brez nepotrebnega odlašanja posreduje pristojnemu nadzornemu organu, če pritožba ni bila vložena pri nadzornemu organu, pristojnem v skladu s členom 45(1). Posameznik, na katerega se nanašajo osebni podatki, je obveščen o prenosu.

3.   Države članice določijo, da nadzorni organ, pri katerem je bila vložena pritožba, nudi nadaljnjo pomoč na zahtevo posameznika, na katerega se nanašajo osebni podatki.

4.   Pristojni nadzorni organ obvesti posameznika, na katerega se nanašajo osebni podatki, o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 53.

Člen 53

Pravica do učinkovitega pravnega sredstva zoper nadzorni organ

1.   Države članice brez poseganja v katero koli drugo upravno ali izvensodno sredstvo določijo, da ima fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2.   Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, pristojen na podlagi člena 45(1), ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 52.

3.   Države članice določijo, da so za postopke zoper nadzorni organ pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

Člen 54

Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca

Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 52, države članice določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni da so bile njegove pravice iz predpisov, sprejetih na podlagi te direktive, kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu z navedenimi predpisi.

Člen 55

Zastopanje posameznikov, na katere se nanašajo osebni podatki

Država članica v skladu s svojim postopkovnim pravom določi, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pooblastiti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uresničuje pravice iz členov 52, 53 in 54.

Člen 56

Pravica do odškodnine

Države članice določijo, da ima vsaka oseba, ki je utrpela premoženjsko ali nepremoženjsko škodo zaradi nezakonitega dejanja obdelave ali katerega koli dejanja, ki krši nacionalne določbe, sprejete na podlagi te direktive, pravico, da od upravljavca ali drugega organa, pristojnega v skladu s pravom države članice, dobi odškodnino za nastalo škodo.

Člen 57

Kazni

Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve predpisov, sprejetih na podlagi te direktive, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja. Predvidene kazni morajo biti učinkovite, sorazmerne in odvračilne.

POGLAVJE IX

Izvedbeni akti

Člen 58

Postopek v odboru

1.   Komisiji pomaga odbor, ustanovljen v skladu s členom 93 Uredbe (EU) 2016/679. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3.   Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 navedene uredbe.

POGLAVJE X

Končne določbe

Člen 59

Razveljavitev Okvirnega sklepa 2008/977/PNZ

1.   Okvirni sklep 2008/977/PNZ se razveljavi z učinkom od 6. maja 2018.

2.   Sklicevanja na razveljavljeni sklep iz odstavka 1 se štejejo kot sklicevanja na to direktivo.

Člen 60

Veljavni pravni akti Unije

Posebne določbe o varstvu osebnih podatkov v pravnih aktih Unije, ki so začeli veljati 6. maja 2016 ali pred tem datumom na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja in med državami članicami urejajo obdelavo in dostop imenovanih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb v okviru te direktive, ostanejo nespremenjene.

Člen 61

Razmerje do predhodno sklenjenih mednarodnih sporazumov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja

Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 6. majem 2016 ter so v skladu s pravom Unije, ki se je uporabljal pred tem datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.

Člen 62

Poročila Komisije

1.   Komisija do 6. maja 2022 in nato vsaka štiri leta, Evropskemu parlamentu in Svetu predloži poročila o vrednotenju in pregledu te direktive. Poročila se objavijo.

2.   Komisija v okviru teh vrednotenj in pregledov iz odstavka 1 preuči zlasti uporabo in delovanje poglavja V o prenosu osebnih podatkov v tretje države ali mednarodne organizacije, s posebnim poudarkom na odločitvah, sprejetih v skladu s členom 36(3) in členom 39.

3.   Komisija lahko za namene iz odstavkov 1 in 2 zahteva informacije od držav članic in nadzornih organov.

4.   Komisija pri izvajanju vrednotenj in pregledov iz odstavkov 1 in 2 upošteva stališča in ugotovitve Evropskega parlamenta, Sveta ter drugih ustreznih organov ali virov.

5.   Komisija po potrebi predloži ustrezne predloge za spremembo te direktive, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na napredek v informacijski družbi.

6.   Komisija do 6. maja 2019 pregleda druge pravne akte, ki jih je sprejela Unija in urejajo obdelavo, ki jih pristojni organi obdelujejo za namene iz člena 1(1), vključno tistih iz člena 60, da se oceni potreba po njihovi uskladitvi s to direktivo in se po potrebi oblikujejo ustrezni predlogi za spremembo teh aktov, da se zagotovi dosleden pristop k varstvu osebnih podatkov v okviru področja uporabe te direktive.

Člen 63

Prenos

1.   Države članice sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo do 6. maja 2018. Komisiji nemudoma sporočijo besedilo zadevnih predpisov. Zadevne predpise uporabljajo od 6. maja 2018.

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2.   Država članica lahko z odstopanjem od odstavka 1 določi, da se izjemoma, tj. v primeru nesorazmernega napora, avtomatizirani sistemi obdelave, vzpostavljeni pred začetkom veljavnosti te direktive, uskladijo s členom 25(1) do 6. maja 2023.

3.   Z odstopanjem od odstavkov 1 in 2 tega člena lahko država članica v izjemnih okoliščinah določen avtomatizirani sistem obdelave iz odstavka 2 tega člena uskladi s členom 25(1) v določenem obdobju po obdobju iz odstavka 2 tega člena, če bi to sicer povzročilo resne težave v delovanju tega avtomatiziranega sistema obdelave. Zadevna država članica Komisijo uradno obvesti o razlogih za te resne težave in razlogih za navedeno obdobje, v katerem bo zadevni avtomatizirani sistem obdelave uskladila s členom 25(1). Navedeno obdobje v nobenem primeru ne sme presegati 6. maja 2026.

4.   Države članice Komisiji sporočijo besedilo temeljnih predpisov nacionalne zakonodaje, sprejetih na področju, ki ga zajema ta direktiva.

Člen 64

Začetek veljavnosti

Ta direktiva začne veljati dan po objavi v Uradnem listu Evropske unije.

Člen 65

Naslovniki

Ta direktiva je naslovljena na države članice.

V Bruslju, 27. aprila 2016

Za Evropski parlament

Predsednik

M. SCHULZ

Za Svet

Predsednica

J.A. HENNIS-PLASSCHAERT


(1)  UL C 391, 18.12.2012, str. 127.

(2)  Stališče Evropskega parlamenta z dne 12. marca 2014 (še ni objavljeno v Uradnem listu) in stališče Sveta v prvi obravnavi z dne 8. aprila 2016 (še ni objavljeno v Uradnem listu). Stališče Evropskega parlamenta z dne 14. aprila 2016.

(3)  Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(4)  Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (UL L 350, 30.12.2008, str. 60).

(5)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (glej stran 1 tega Uradnega lista).

(6)  Uredba (ES) št. 45/2001 evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(7)  Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(8)  Skupno stališče Sveta 2005/69/PNZ z dne 24. januarja 2005 o izmenjavi določenih podatkov z Interpolom (UL L 27, 29.1.2005, str. 61).

(9)  Sklep Sveta 2007/533/PNZ z dne 12. junija 2007 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II) (UL L 205, 7.8.2007, str. 63).

(10)  Direktiva Sveta 77/249/EGS z dne 22. marca 1977 o učinkovitem uresničevanju svobode opravljanja storitev odvetnikov (UL L 78, 26.3.1977, str. 17).

(11)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011. str. 13).

(12)  Sklep Sveta 2008/615/PNZ z dne 23. junija 2008 o poglobitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu (UL L 210, 6.8.2008, str. 1).

(13)  Akt Sveta z dne 29. maja 2000 o ustanovitvi Konvencije o medsebojni pravni pomoči v kazenskih zadevah med državami članicami Evropske unije, v skladu s členom 34 Pogodbe o Evropski uniji (UL C 197, 12.7.2000, str. 1).

(14)  Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011. str. 1).

(15)  UL L 176, 10.7.1999, str. 36.

(16)  UL L 53, 27.2.2008, str. 52.

(17)  UL L 160, 18.6.2011, str. 21.

(18)  UL C 192, 30.6.2012, str. 7.