(Dz.U.UE C z dnia 3 maja 2016 r.)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Komitetu Regionów 1 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą 2 ,

a także mając na uwadze, co następuje:

(1) Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej "Kartą") oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

(2) Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych powinny - niezależnie od ich obywatelstwa czy miejsca zamieszkania - przestrzegać ich podstawowych praw i wolności, zwłaszcza prawa do ochrony danych osobowych. Niniejsza dyrektywa ma przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości.

(3) Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacznie wzrosła. Technologia pozwala na przetwarzanie danych osobowych na niespotykaną dotąd skalę w celu prowadzenia takich czynności jak zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych lub wykonywanie kar.

(4) Należy ułatwić swobodny przepływ danych osobowych między właściwymi organami do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom na terytorium Unii oraz przekazywania takich danych osobowych do państw trzecich i organizacji międzynarodowych, zapewniając przy tym wysoki stopień ochrony danych osobowych. Przemiany te wymagają stworzenia stabilnych i spójniejszych ram dla ochrony danych osobowych w Unii oraz zdecydowanego egzekwowania ich przepisów.

(5) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady 3 ma zastosowanie do całości przetwarzania danych osobowych w państwach członkowskich, zarówno w sektorze publicznym, jak i prywatnym. Nie ma ona jednak zastosowania do przetwarzania danych osobowych "w ramach działalności wykraczającej poza zakres prawa Wspólnoty", takiej jak działania w ramach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(6) Decyzja ramowa Rady 2008/977/WSiSW 4 ma zastosowanie do współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Jednak zakres zastosowania tej decyzji ramowej jest ograniczony do przetwarzania danych osobowych przesyłanych lub udostępnianych pomiędzy państwami członkowskimi.

(7) Zapewnienie spójnego, wysokiego stopnia ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zapewnienia skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. W tym celu należy we wszystkich państwach członkowskich zapewnić równorzędny stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić prawa osób, których dane dotyczą, oraz obowiązki podmiotów, które przetwarzają dane osobowe, jak i odpowiadające im uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych w państwach członkowskich.

(8) Artykuł 16 ust. 2 TFUE powierza Parlamentowi Europejskiemu i Radzie określenie zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz zasad swobodnego przepływu takich danych.

(9) Na tej podstawie rozporządzenie Parlamentu Europejskiego i Rady UE 2016/... 5 ⁽* ustanawia ogólne przepisy mające chronić osoby fizyczne w związku z przetwarzaniem danych osobowych oraz zapewnić swobodny przepływ danych osobowych w Unii.

(10) W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej - załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła Traktat z Lizbony - konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie - na podstawie art. 16 TFUE - szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach.

(11) Należy zatem odnieść się do tych dziedzin w odrębnej dyrektywie, która stanowi szczególne przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, z zachowaniem szczególnego charakteru takich czynności. Do takich właściwych organów mogą należeć nie tylko organy publiczne - takie jak organy sądowe, policja lub inne organy ścigania - ale też wszelkie inne organy lub podmioty, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów niniejszej dyrektywy. Jeżeli taki organ lub podmiot przetwarza dane osobowe do celów innych niż cele niniejszej dyrektywy, zastosowanie ma rozporządzenie (UE) 2016/... * . Rozporządzenie (UE) 2016/... * ma zatem zastosowanie wtedy, gdy organ lub podmiot zbiera dane osobowe do innych celów, a następnie dalej te dane przetwarza w celu realizacji obowiązku prawnego, któremu podlega. Przykładowo do celów postępowania przygotowawczego, wykrywania lub ścigania czynów zabronionych określone instytucje finansowe zatrzymują przetwarzane przez siebie dane osobowe i udostępniają takie dane osobowe tylko właściwym organom krajowym w konkretnych sytuacjach i w zgodzie z prawem państwa członkowskiego. Organ lub podmiot, który w imieniu takich organów przetwarza dane osobowe w ramach niniejszej dyrektywy, powinien podlegać umowie lub innemu aktowi prawnemu oraz przepisom mającym zgodnie z niniejszą dyrektywą zastosowanie do podmiotu przetwarzającego, podczas gdy w odniesieniu do przetwarzania danych osobowych przez podmiot przetwarzający spoza zakresu niniejszej dyrektywy zastosowanie rozporządzenia (UE) 2016/... * pozostaje niezmienione.

(12) Czynności policji lub innych organów ścigania koncentrują się na zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych, wraz z czynnościami policji podejmowanymi, gdy nie wiadomo, czy dane zdarzenie jest czynem zabronionym. Czynności te mogą też polegać na sprawowaniu władzy poprzez stosowanie środków przymusu takich jak czynności policji podczas demonstracji, dużych imprez sportowych czy zamieszek. Czynności te obejmują również utrzymywanie prawa i porządku jako zadanie powierzone policji lub innym organom ścigania, gdy jest to konieczne do ochrony przed zagrożeniami dla bezpieczeństwa publicznego i dla prawnie chronionych podstawowych interesów społecznych i do zapobiegania takim zagrożeniom, które mogą prowadzić do popełnienia czynu zabronionego. Państwa członkowskie mogą powierzyć właściwym organom inne zadania, które niekoniecznie służą zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom, tak by przetwarzanie danych osobowych w związku z tymi innymi zadaniami - o ile mieści się w zakresie prawa Unii - wchodziło w zakres rozporządzenia (UE) 2016/... * .

(13) Czyn zabroniony w rozumieniu niniejszej dyrektywy powinien być autonomicznym pojęciem prawa unijnego, zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej (zwanego dalej "Trybunałem Sprawiedliwości").

(14) Niniejsza dyrektywa nie powinna mieć zastosowania do przetwarzania danych osobowych w toku działalności wykraczającej poza zakres prawa Unii, dlatego czynności w zakresie bezpieczeństwa narodowego, czynności agencji lub jednostek zajmujących się bezpieczeństwem narodowym ani przetwarzania danych osobowych przez państwa członkowskie podczas czynności, które wchodzą w zakres zastosowania tytułu V rozdział 2 Traktatu o Unii Europejskiej (TUE), nie należy uznawać za czynności wchodzące w zakres niniejszej dyrektywy.

(15) Aby zapewnić jednakowy stopień ochrony osób fizycznych poprzez prawnie wykonalne prawa obowiązujące w całej Unii oraz aby zapobiec różnicom utrudniającym wymianę danych osobowych między właściwymi organami, niniejsza dyrektywa powinna przewidywać zharmonizowane zasady ochrony i swobodnego przepływu danych osobowych przetwarzanych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Zbliżenie przepisów państw członkowskich nie powinno skutkować osłabieniem gwarantowanej przez nie ochrony danych osobowych, a wręcz przeciwnie - powinno służyć zapewnieniu wysokiego stopnia ochrony w całej Unii. Państwa członkowskie powinny także móc ustanawiać gwarancje wyższe od przewidzianych w niniejszej dyrektywie dla ochrony praw i wolności osoby, której dane dotyczą, w związku z przetwarzaniem danych osobowych przez właściwe organy.

(16) Niniejsza dyrektywa nie narusza zasady publicznego dostępu do dokumentów urzędowych. W myśl rozporządzenia (UE) 2016/... * dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych.

(17) Ochrona przyznana niniejszą dyrektywą powinna być stosowana do osób fizycznych, bez względu na obywatelstwo czy miejsca zamieszkania, w związku z przetwarzaniem ich danych osobowych.

(18) W celu zapobieżenia wystąpieniu poważnego ryzyka obchodzenia prawa, ochrona osób fizycznych powinna być technologiczne neutralna i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów, jak i ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny wchodzić w zakres stosowania niniejszej dyrektywy.

(19) Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii ma zastosowanie rozporządzenie (WE) nr 45/2001 6 Parlamentu Europejskiego i Rady. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych należy dostosować do zasad i przepisów przyjętych w rozporządzeniu (UE) 2016/... * .

(20) Niniejsza dyrektywa nie powinna stanowić dla państw członkowskich przeszkody w określaniu - w krajowym prawie karnym procesowym - operacji i procedur przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości, zwłaszcza danych osobowych ujmowanych w orzeczeniach sądowych lub aktach związanych z postępowaniem karnym.

(21) Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Aby stwierdzić, czy daną osobę fizyczną można zidentyfikować, należy wziąć pod uwagę wszelkie sposoby, takie jak wyodrębnienie, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, mianowicie do informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osoby, której dane osobowe dotyczą, nie można już zidentyfikować.

(22) Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej, takich jak organy podatkowe, organy celne, jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych, nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonych czynności w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie o ujawnienie danych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, posiadać uzasadnienie, mieć charakter wyjątkowy i nie powinien dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając dane osobowe, takie organy publiczne powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania.

(23) Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby fizycznej i wynikające z analizy próbki biologicznej danej osoby, a w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy wszelkich innych materiałów umożliwiających pozyskanie równoważnych informacji. Biorąc pod uwagę złożoność i wrażliwość informacji genetycznych, istnieje wysokie ryzyko niewłaściwego i ponownego ich wykorzystania do nieuprawnionych celów przez administratora. Wszelka dyskryminacja oparta na danych genetycznych powinna być co do zasady zakazana.

(24) Do danych osobowych dotyczących zdrowia należy zaliczyć wszelkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego lub psychicznego osoby, której dane dotyczą. Do danych tych należą informacje o osobie fizycznej zebrane podczas jej rejestracji na potrzeby usług opieki zdrowotnej lub podczas świadczenia usług opieki zdrowotnej takiej osobie, jak to określa dyrektywa 2011/24/UE Parlamentu Europejskiego i Rady 7 ; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z laboratoryjnych lub lekarskich badań części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie inne informacje, przykładowo, o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu szpitalnym lub o stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

(25) Wszystkie państwa członkowskie należą do Międzynarodowej Organizacji Policji Kryminalnej (Interpol). Aby wypełnić swoją misję, Interpol otrzymuje, przechowuje i przekazuje dane osobowe w celu wspierania właściwych organów w zapobieganiu i zwalczaniu przestępczości międzynarodowej. W związku z tym należy wzmocnić współpracę między Unią a Interpolem poprzez promowanie sprawnej wymiany danych osobowych, jednocześnie zapewniając poszanowanie podstawowych praw i wolności w przypadku automatycznego przetwarzania danych osobowych. Gdy dane osobowe są przekazywane przez Unię Interpolowi oraz państwom, które oddelegowały swoich przedstawicieli do Interpolu, zastosowanie powinna mieć niniejsza dyrektywa, w szczególności przepisy o międzynarodowym przekazywaniu danych. Niniejsza dyrektywa nie powinna wpływać na stosowanie przepisów szczegółowych określonych we wspólnym stanowisku Rady 2005/69/WSiSW 8 oraz w decyzji Rady 2007/533/WSiSW 9 .

(26) Wszelkie przetwarzanie danych osobowych musi być zgodne z prawem, rzetelne i przejrzyste względem zainteresowanej osoby fizycznej oraz służyć wyłącznie konkretnym celom określonym prawem. Nie stanowi to dla organów ścigania przeszkody w prowadzeniu czynności takich jak nadzór niejawny lub monitoring wizyjny. Czynności takie można prowadzić do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jeżeli czynności te są określone prawem i stanowią środek niezbędny i proporcjonalny w społeczeństwie demokratycznym, z należytym uwzględnieniem uzasadnionych interesów danej osoby fizycznej. Zasada rzetelnego przetwarzania obowiązująca w ochronie danych jest pojęciem odrębnym względem prawa do rzetelnego procesu, które jest zdefiniowane w art. 47 Karty i w art. 6 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (zwanej dalej "EKPC"). Osobom fizycznym należy uświadomić ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. Wyraźne, uzasadnione i określone w momencie zbierania danych osobowych powinny być w szczególności konkretne cele ich przetwarzania. Dane osobowe powinny być adekwatne i właściwe w stosunku do celów przetwarzania. Należy w szczególności zapewnić, by zebrane dane osobowe nie były nadmierne i by okres ich przechowywania był nie dłuższy, niż jest to niezbędne do osiągnięcia celu ich przetwarzania. Dane osobowe powinny być przetwarzane tylko wtedy, gdy celu przetwarzania nie można rozsądnie osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Państwa członkowskie powinny ustanowić odpowiednie zabezpieczenia dla danych osobowych przechowywanych dłużej w celu archiwizacji w interesie publicznym, wykorzystania do celów naukowych, statystycznych lub historycznych.

(27) Zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych wymaga, aby właściwe organy przetwarzały dane osobowe - zebrane w kontekście zapobiegania konkretnym czynom zabronionym, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich lub ścigania - w kontekście szerszym, dla lepszego zrozumienia działalności przestępczej oraz ustalenia powiązań pomiędzy różnymi wykrytymi czynami zabronionymi.

(28) Aby zapewnić bezpieczeństwo w stosunku do przetwarzania i zapobiegać przetwarzaniu z naruszeniem niniejszej dyrektywy, dane osobowe należy przetwarzać tak, by zapewnić odpowiedni stopień bezpieczeństwa i poufności, w tym chronić przed nieuprawnionym dostępem do takich danych i do sprzętu służącego ich przetwarzaniu lub przed nieuprawnionym korzystaniem z takich danych i sprzętu, z uwzględnieniem stanu wiedzy technicznej w odnośnej dziedzinie, technologii i kosztów wdrożenia w stosunku do ryzyka naruszenia i charakteru danych osobowych wymagających ochrony.

(29) Dane osobowe należy zbierać w konkretnych, wyraźnych i prawnie uzasadnionych celach mieszczących się w zakresie zastosowania niniejszej dyrektywy i nie należy ich przetwarzać w celach niezgodnych z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych i wykonywaniem kar, w tym z ochroną przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiem takim zagrożeniom. Jeżeli dane osobowe przetwarza ten sam lub inny administrator w celu wchodzącym w zakres stosowania niniejszej dyrektywy, ale innym niż cel, w którym dane zostały zebrane, przetwarzanie takie powinno być dopuszczalne, pod warunkiem że przetwarzanie jest dozwolone na mocy mających zastosowanie przepisów prawa oraz jest niezbędne i proporcjonalne do tego innego celu.

(30) Zasadę prawidłowości danych należy stosować z uwzględnieniem charakteru i celu odnośnego przetwarzania. W szczególności w postępowaniu sądowym oświadczenia zawierające dane osobowe opierają się na subiektywnym osądzie osób fizycznych i nie zawsze są weryfikowalne. Dlatego wymóg prawidłowości danych nie powinien odnosić się do prawidłowości oświadczenia, lecz jedynie do faktu, że konkretne oświadczenie zostało złożone.

(31) Nieodłączną cechą przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe dotyczące różnych kategorii osób, których dane dotyczą. W stosownych przypadkach należy zatem w jak największym stopniu wyraźnie rozróżniać dane osobowe różnych kategorii osób, których dane dotyczą, takich jak osoby podejrzane, osoby skazane za czyn zabroniony, ofiary i inne osoby, np. świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy osób podejrzanych i skazanych przestępców. Nie powinno to uniemożliwiać stosowania - zgodnie z wykładnią przedstawioną odpowiednio w orzecznictwie Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka - zasady domniemania niewinności zagwarantowanej w Karcie oraz w EKPC.

(32) Właściwe organy powinny zapewnić, by nieprawidłowe, niekompletne lub nieaktualne dane osobowe nie były przesyłane ani udostępniane. Aby zapewnić ochronę osób fizycznych, prawidłowość, kompletność i stopień aktualności danych oraz wiarygodność przesyłanych lub udostępnianych danych osobowych, właściwe organy powinny w miarę możliwości opatrywać wszelkie przesyłane dane osobowe niezbędnymi informacjami.

(33) Jeżeli w niniejszej dyrektywie jest mowa o prawie państwa członkowskiego, podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Takie prawo państwa członkowskiego, podstawa prawna lub akt prawny powinny jednakże być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających - jak wymaga tego orzecznictwo Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. Prawo państwa członkowskiego regulujące przetwarzanie danych osobowych w ramach zakresu zastosowania niniejszej dyrektywy powinno co najmniej określać cele ogólne, dane osobowe mające podlegać przetwarzaniu, cele przetwarzania oraz procedury pozwalające chronić integralność i poufność danych osobowych oraz procedury niszczenia tych danych, a tym samym powinno zapewniać dostateczną ochronę przed ryzykiem nadużyć i arbitralności.

(34) Przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom powinno obejmować każdą operację lub każdy zestaw operacji, które wykonuje się do wspomnianych celów na danych osobowych lub na ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie, ograniczanie przetwarzania, usuwanie lub niszczenie. W szczególności przepisy niniejszej dyrektywy powinny mieć zastosowanie do przesyłania danych osobowych, które służy celom określonym w niniejszej dyrektywie, odbiorcom niepodlegającym niniejszej dyrektywie. Odbiorca taki powinien oznaczać osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, któremu właściwy organ ujawnia te dane zgodnie z prawem. Jeżeli właściwy organ pierwotnie zebrał dane osobowe do jednego z celów określonych w niniejszej dyrektywie, to do przetwarzania tych danych do celów innych niż określone w niniejszej dyrektywie - jeżeli przetwarzanie to jest dozwolone przez prawo Unii lub prawo państwa członkowskiego - powinno mieć zastosowanie rozporządzenie (UE) 2016/... * . W szczególności przepisy rozporządzenia (UE) 2016/... * powinny mieć zastosowanie do przesyłania danych osobowych do celów niewchodzących z zakres stosowania niniejszej dyrektywy. Do przetwarzania danych osobowych przez odbiorcę, który nie jest właściwym organem lub nie występuje w charakterze właściwego organu w rozumieniu niniejszej dyrektywy i któremu właściwy organ ujawnia dane osobowe zgodnie z prawem, zastosowanie powinno mieć rozporządzenie (UE) 2016/... * . Przy wdrażaniu niniejszej dyrektywy państwa członkowskie powinny też mieć możliwość dalszego doprecyzowania zastosowania przepisów rozporządzenia (UE) 2016/... * , na warunkach w nim określonych.

(35) Aby przetwarzanie danych osobowych w ramach niniejszej dyrektywy było zgodne z prawem, powinno ono być niezbędne do wykonania zadań realizowanych przez właściwy organ w interesie publicznym na podstawie prawa Unii lub prawa państwa członkowskiego do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Działania takie powinny obejmować ochronę żywotnych interesów osoby, której dane dotyczą. Wykonywanie zadań polegających na zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych, instytucjonalnie powierzonych na mocy prawa właściwym organom, pozwala tym organom wymagać lub nakazywać, aby osoby fizyczne zastosowały się do stawianych żądań. W takim przypadku zgoda osoby, której dane dotyczą, określona w rozporządzeniu (UE) 2016/... * , nie powinna stanowić podstawy prawnej przetwarzania danych osobowych przez właściwe organy. Jeżeli osoba, której dane dotyczą, musi wywiązać się z obowiązku prawnego, nie ma ona faktycznego, swobodnego wyboru, a tym samym nie można uznać, iż jej reakcja jest swobodnym wyrazem jej woli. Nie powinno to stanowić dla państw członkowskich przeszkody w ustanowieniu z mocy prawa, że osoba, której dane dotyczą, może wyrazić zgodę na przetwarzanie jej danych osobowych do celów określonych w niniejszej dyrektywie, takich jak badania DNA w postępowaniu przygotowawczym czy monitorowanie miejsca jej pobytu za pomocą aparatury elektronicznej na potrzeby wykonania kary.

(36) Państwa członkowskie powinny zapewnić, aby ilekroć prawo Unii lub prawo państwa członkowskiego mające zastosowanie do właściwego organu przesyłającego stawia w określonych sytuacjach szczególne wymogi co do przetwarzania danych osobowych, takie jak stosowanie kodeksów postępowania, właściwy organ przesyłający informował o takich wymogach i o obowiązku ich przestrzegania odbiorcę danych osobowych. Wymogi takie mogą przykładowo obejmować zakaz przesyłania danych osobowych innym odbiorcom lub wykorzystywania ich do innych celów niż cele, dla których przesłano je odbiorcy, lub udzielenia informacji osobie, której dane dotyczą, w przypadku ograniczenia prawa do informacji bez uprzedniej zgody właściwego organu przesyłającego. Obowiązki takie powinny także dotyczyć przekazywania danych przez właściwy organ przesyłający odbiorcom w państwach trzecich lub organizacjach międzynarodowych. Państwa członkowskie powinny zapewnić, by właściwy organ przesyłający nie stosował względem odbiorców w innych państwach członkowskich ani w organach i jednostkach organizacyjnych ustanowionych na mocy tytułu V rozdział 4 i 5 TFUE wymogów innych niż mające zastosowanie do podobnego przesyłania danych w obrębie państwa członkowskiego właściwego organu.

(37) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko naruszenia podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszej dyrektywie terminu "pochodzenie rasowe" nie oznacza, że Unia akceptuje teorie sugerujące istnienie osobnych ras ludzkich. Takich danych nie należy przetwarzać, chyba że przetwarzanie podlega odpowiednim, określonym prawem gwarancjom praw i wolności osoby, której dane dotyczą, i jest dozwolone w przypadkach dopuszczonych prawem, a jeżeli nie jest dotąd dopuszczone takim prawem - jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, albo też dotyczy danych ewidentnie upublicznionych przez samą osobę, której dane dotyczą. Odpowiednie zabezpieczenia praw i wolności osoby, której dane dotyczą, mogą obejmować możliwość zbierania takich danych tylko w połączeniu z innymi danymi dotyczącymi danej osoby fizycznej, możliwość odpowiedniego zabezpieczenia takich danych, ściślejsze uregulowanie dostępu pracowników właściwego organu do danych lub zakaz przesyłania danych. Przetwarzanie takich danych powinno być także dozwolone prawem, gdy osoba, której dane dotyczą, udzieliła wyraźnej zgody na szczególnie dla niej inwazyjne przetwarzanie. Niemniej sama zgoda osoby, której dane dotyczą, nie powinna stanowić podstawy prawnej przetwarzania takich wrażliwych danych osobowych przez właściwe organy.

(38) Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie stosowano względem niej decyzji analizującej jej cechy osobiste, opierającej się wyłącznie na przetwarzaniu automatycznym, która ma niekorzystne skutki prawne dla takiej osoby lub poważnie na nią wpływa. Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, wraz z konkretną informacją dla osoby, której dane dotyczą, i prawem do uzyskania interwencji ludzkiej, a zwłaszcza prawem do wyrażenia własnego stanowiska, uzyskania wyjaśnienia decyzji wydanej wskutek takiej analizy lub zaskarżenia tej decyzji. Profilowanie skutkujące dyskryminacją osób fizycznych na podstawie danych osobowych, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, jest zakazane na warunkach określonych w art. 21 i 52 Karty.

(39) Aby osoba, której dane dotyczą, mogła wykonywać swoje prawa, wszelkie kierowane do niej informacje powinny być łatwo dostępne, także na stronie internetowej administratora, i zrozumiałe, przy użyciu jasnego i prostego języka. Informacje takie powinny być dostosowane do potrzeb osób wymagających szczególnej opieki, np. dzieci.

(40) Należy wprowadzić ułatwienia pozwalające osobie, której dane dotyczą, na wykonywanie praw wynikających z przepisów przyjętych na podstawie niniejszej dyrektywy, w tym mechanizmy żądania - i w stosownych przypadkach bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz ograniczenia ich przetwarzania. Administrator powinien mieć obowiązek odpowiadania na żądania osoby, której dane dotyczą, bez zbędnej zwłoki, chyba że stosuje ograniczenia praw osoby, której dane dotyczą, zgodnie z niniejszą dyrektywą. Ponadto, jeżeli żądania są w sposób oczywisty nieuzasadnione lub nadmierne - tak jak wtedy, gdy osoba, której dane dotyczą, nieracjonalnie i ustawicznie żąda informacji lub gdy nadużywa przysługującego jej prawa do informacji, przykładowo podając fałszywe lub mylne dane przy występowaniu z żądaniem - administrator powinien mieć możliwość pobrania rozsądnej opłaty lub odmowy podjęcia działań w stosunku do tego żądania.

(41) W przypadku gdy administrator żąda dodatkowych informacji, aby potwierdzić tożsamość osoby, której dane dotyczą, informacje te powinny być przetwarzane wyłącznie w tym konkretnym celu i nie powinny być przechowywane dłużej niż to konieczne dla realizacji tego celu.

(42) Osobie, której dane dotyczą, należy udostępnić następujące informacje: tożsamość administratora, prowadzenie operacji przetwarzania, cele przetwarzania oraz prawo do wniesienia skargi, istnienie prawa do zażądania od administratora dostępu do danych, sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania. Można to uczynić na stronie internetowej właściwego organu. Ponadto w konkretnych przypadkach i w celu zapewnienia osobie, której dane dotyczą, możliwości wykonywania jej praw, osoba ta powinna być informowana o podstawie prawnej przetwarzania oraz o okresie przechowywania danych, o ile udzielenie takich informacji jest konieczne z uwzględnieniem konkretnych okolicznościach przetwarzania danych, dla zagwarantowania rzetelnego przetwarzania danych tej osoby.

(43) Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania danych i móc zweryfikować jego zgodność z prawem. Dlatego każda osoba, której dane dotyczą, powinna mieć prawo do poznania i uzyskania informacji na temat celów przetwarzania danych, okresu ich przetwarzania oraz odbiorców danych, także w państwach trzecich. Jeśli takie informacje obejmują informacje o pochodzeniu danych osobowych, nie powinny one ujawniać tożsamości osób fizycznych, w szczególności poufnych źródeł informacji. Dla realizacji tego prawa wystarczy przekazać osobie, której dane dotyczą, pełne podsumowanie tych danych w zrozumiałej formie, czyli w formie pozwalającej jej poznać te dane, sprawdzić ich prawidłowość oraz zweryfikować zgodność ich przetwarzania z niniejszą dyrektywą, tak by mogła ona wykonywać prawa przysługujące jej na mocy niniejszej dyrektywy. Takie podsumowanie może mieć formę kopii przetwarzanych danych osobowych.

(44) Państwa członkowskie powinny mieć możliwość przyjmowania aktów prawnych pozwalających opóźnić, ograniczyć lub pominąć informowanie osób, których dane dotyczą, lub ograniczyć, w całości lub w części, dostęp tych osób do ich własnych danych osobowych w takim zakresie i przez taki czas, w jakim odnośny środek jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym - przy należytym uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby fizycznej - tak aby uniemożliwić zakłócanie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub czynności procesowych, aby uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, aby chronić bezpieczeństwo publiczne lub narodowe lub aby chronić prawa i wolności innych osób. Administrator powinien dokonywać oceny - badając konkretnie i indywidualnie każdy przypadek - czy prawo dostępu powinno zostać częściowo lub całkowicie ograniczone.

(45) Co do zasady o każdej odmowie lub każdym ograniczeniu dostępu należy powiadomić pisemnie osobę, której dane dotyczą, z podaniem faktycznych lub prawnych podstaw decyzji.

(46) Każde ograniczenie praw osoby, której dane dotyczą, musi być zgodne z Kartą i EKPC, w myśl wykładni zawartej, odpowiednio, w orzecznictwie Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka, a zwłaszcza musi odbywać się z poszanowaniem istoty tych praw i wolności.

(47) Każda osoba fizyczna powinna mieć prawo do uzyskania sprostowania dotyczących jej nieprawidłowych danych osobowych, zwłaszcza danych dotyczących faktów, oraz prawo do usunięcia danych, jeżeli przetwarzanie takich danych narusza niniejszą dyrektywę. Niemniej prawo do sprostowania danych nie powinno dotyczyć, na przykład,

treści zeznania świadka. Każda osoba fizyczna powinna mieć również prawo do ograniczenia przetwarzania danych osobowych, gdy kwestionuje ona ich prawidłowość, której nie da się potwierdzić, lub gdy dane osobowe muszą zostać zachowane do celów dowodowych. W szczególności należy ograniczyć przetwarzanie danych osobowych zamiast ich usuwania, jeżeli w konkretnym przypadku uzasadnione przesłanki sugerują, że usunięcie mogłoby wpłynąć na uprawnione interesy osoby, której dane dotyczą. W takim przypadku ograniczone dane należy przetwarzać tylko w celu, który zapobiegł ich usunięciu. Metody ograniczonego przetwarzania danych osobowych obejmują między innymi przeniesienie wybranych danych do innego systemu przetwarzania - np. do celów archiwizacyjnych - lub uniemożliwienie użytkownikom dostępu do wybranych danych. W zautomatyzowanych zbiorach danych ograniczenie przetwarzania danych osobowych należy zasadniczo zapewnić środkami technicznymi. Fakt ograniczenia przetwarzania danych osobowych należy zaznaczyć w systemie w sposób jasno wskazujący, że przetwarzanie tych danych jest ograniczone. O takim sprostowaniu lub usunięciu danych osobowych lub ograniczeniu ich przetwarzania należy poinformować odbiorców, którym dane zostały ujawnione, oraz właściwe organy, od których pochodzą nieprawidłowe dane. Administratorzy powinni również powstrzymać się od dalszego rozpowszechniania tych danych.

(48) Jeżeli administrator odmawia osobie, której dane dotyczą, prawa do informacji, dostępu lub sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, osoba, której dane dotyczą, powinna mieć prawo wystąpienia do krajowego organu nadzorczego o weryfikację zgodności przetwarzania z prawem. O prawie tym należy poinformować osobę, której dane dotyczą. Jeżeli organ nadzorczy podejmie działanie w imieniu osoby, której dane dotyczą, spoczywa na nim obowiązek poinformowania tej osoby co najmniej o fakcie przeprowadzenia wszelkich niezbędnych przeglądów lub kontroli. Organ nadzorczy powinien także poinformować osobę, której dane dotyczą, o przysługującym jej prawie do środka prawnego przed sądem.

(49) Jeżeli dane osobowe przetwarza się w toku postępowania przygotowawczego i sądowego w sprawie karnej, państwa członkowskie powinny mieć możliwość zapewnienia wykonywania prawa do informacji, dostępu lub poprawienia, usunięcia i ograniczenia przetwarzania zgodnie z krajowymi przepisami o postępowaniu sądowym.

(50) Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszą dyrektywą. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Środki podejmowane przez administratora powinny obejmować opracowanie i wdrożenie szczególnych zabezpieczeń w odniesieniu do postępowania z danymi osobowymi osób fizycznych wymagających szczególnej opieki, takich jak dzieci.

(51) Z przetwarzania danych może wynikać ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, której dane dotyczą, to zaś może prowadzić do uszczerbku fizycznego oraz szkód majątkowych i niemajątkowych, w szczególności: jeżeli przetwarzanie może skutkować dyskryminacją, kradzieżą lub sfałszowaniem tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych chronionych tajemnicą służbową, niedozwolonym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych; jeżeli przetwarzane są dane genetyczne lub biometryczne w celu jednoznacznego zidentyfikowania osoby lub jeżeli przetwarzane są dane dotyczące zdrowia lub dane dotyczące seksualności i orientacji seksualnej lub dane o wyrokach skazujących i czynach zabronionych lub o odnośnych środkach zabezpieczających; jeżeli oceniane są cechy osobowe, w szczególności poprzez analizowanie i prognozowanie okoliczności dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się, w celu tworzenia lub wykorzystywania profili osobistych; jeżeli przetwarzane są dane osobowe osób fizycznych wymagających szczególnej opieki, zwłaszcza dzieci; lub jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

(52) Prawdopodobieństwo i wagę ryzyka naruszenia należy określić poprzez uwzględnienie charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko naruszenia należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy operacje przetwarzania danych niosą poważne zagrożenie. Wysokie ryzyko jest szczególnym ryzykiem naruszenia praw i wolności osób, których dane dotyczą.

(53) Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszej dyrektywy. Wdrożenie takich środków nie powinno zależeć wyłącznie od względów gospodarczych. Aby móc wykazać przestrzeganie przepisów niniejszej dyrektywy, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Jeśli administrator przeprowadził ocenę skutków dla ochrony danych zgodnie z niniejszą dyrektywą, jej wyniki uwzględnia się przy opracowywaniu wspomnianych środków i procedur. Środki takie mogą polegać między innymi na stosowaniu pseudonimizacji najszybciej, jak to możliwe. Stosowanie pseudonimizacji do celów niniejszej dyrektywy może być narzędziem ułatwiającym zwłaszcza swobodny przepływ danych osobowych w obszarze wolności, bezpieczeństwa i sprawiedliwości.

(54) Ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna administratorów i podmiotów przetwarzających - także w odniesieniu do monitorowania ze strony organów nadzorczych i do środków przez nie stosowanych - wymagają dokonania jasnego podziału obowiązków przyjętych w niniejszej dyrektywie, w tym w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora.

(55) Przetwarzanie przez podmiot przetwarzający powinno być regulowane aktem prawnym, w tym umową wiążącą podmiot przetwarzający z administratorem i przewidującą w szczególności, że podmiot przetwarzający powinien działać wyłącznie zgodnie z poleceniami administratora. Podmiot przetwarzający powinien uwzględniać zasadę ochrony danych w fazie projektowania oraz zasadę domyślnej ochrony danych.

(56) Dla zachowania zgodności z niniejszą dyrektywą administrator lub podmiot przetwarzający powinni prowadzić wykazy wszystkich kategorii czynności przetwarzania danych osobowych, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinien mieć obowiązek współpracy z organem nadzorczym i na jego żądanie udostępniać wskazane wykazy w celu monitorowania tych operacji przetwarzania. Administrator lub podmiot przetwarzający dane osobowe w niezautomatyzowanych systemach przetwarzania powinien dysponować skutecznymi metodami, które pozwolą mu wykazać zgodność przetwarzania danych z prawem, monitorować własną działalność i zapewnić integralność i bezpieczeństwo danych, takimi jak ewidencja lub inne formy zapisu.

(57) Należy ewidencjonować przynajmniej operacje dokonywane w zautomatyzowanych systemach przetwarzania, takie jak zbieranie, modyfikowanie, przeglądanie, ujawnianie wraz z przekazywaniem, łączenie lub usuwanie danych. Należy ewidencjonować tożsamość osoby, która przeglądała lub ujawniła dane osobowe, co powinno pozwolić na ustalenie uzasadnienia operacji przetwarzania. Ewidencja powinna być używana wyłącznie do weryfikacji zgodności przetwarzania danych z prawem, do monitorowania własnej działalności, zapewniania integralności i bezpieczeństwa danych oraz do celów postępowania karnego. Monitorowanie własnej działalności powinno także obejmować wewnętrzne postępowanie dyscyplinarne przeprowadzane przez właściwe organy.

(58) Ocena skutków dla ochrony danych powinna być przeprowadzana przez administratora, jeżeli operacje przetwarzania - z racji swego charakteru, zakresu lub celów - mogą stwarzać poważne zagrożenie dla praw i wolności osób, których dane dotyczą, i powinna obejmować w szczególności przewidywane środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych oraz wykazanie zgodności z niniejszą dyrektywą. Oceny skutków powinny dotyczyć stosownych systemów i procesów związanych z czynnościami przetwarzaniem danych osobowych, lecz nie indywidualnych przypadków.

(59) Aby zapewnić skuteczną ochronę praw i wolności osób, których dane dotyczą, administrator lub podmiot przetwarzający powinni w określonych przypadkach konsultować się z organem nadzorczym przed przetwarzaniem.

(60) W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu z naruszeniem niniejszej dyrektywy administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz powinni wdrożyć środki - takie jak szyfrowanie - minimalizujące takie ryzyko. Środki takie powinny zapewnić odpowiedni stopień bezpieczeństwa i poufności, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka naruszenia i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko naruszenia bezpieczeństwa danych, należy wziąć pod uwagę ryzyko cechujące przetwarzanie danych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego oraz szkód majątkowych i niemajątkowych. Administrator i podmiot przetwarzający powinni zapewnić, by przetwarzanie danych osobowych nie było prowadzone przez osoby nieuprawnione.

(61) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego oraz szkód majątkowych i niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą służbową lub wszelkie inne poważne szkody gospodarcze lub społeczne dla zainteresowanej osoby fizycznej. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki - jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by to naruszenie danych osobowych mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można wnieść zgłoszenia w terminie 72 godzin, powinno mu towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

(62) Jeżeli naruszenie ochrony danych może rodzić prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych, osoby fizyczne należy poinformować bez zbędnej zwłoki, tak by mogły podjąć niezbędne środki ostrożności. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym oraz zgodnie z zaleceniami przekazanymi przez ten organ lub inne właściwe organy. Przykładowo potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie. Jeżeli unikania zakłócania czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur, unikania zakłócania zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, ochrony bezpieczeństwa publicznego lub narodowego lub ochrony praw i wolności innych osób, nie można osiągnąć poprzez opóźnienie lub ograniczenie przekazania danej osobie fizycznej informacji o naruszeniu jej danych osobowych, w wyjątkowych okolicznościach można nie przekazywać takich informacji.

(63) Administrator powinien wyznaczyć osobę, która będzie pomagać mu w monitorowaniu wewnętrznego przestrzegania przepisów przyjętych na podstawie niniejszej dyrektywy, z wyjątkiem sytuacji, w której państwo członkowskie podejmie decyzję o zwolnieniu z tego obowiązku sądów i innych niezależnych organów wymiaru sprawiedliwości w toku sprawowania przez nie wymiaru sprawiedliwości. Osoba ta może być członkiem dotychczasowego personelu administratora po odbyciu specjalnego szkolenia z prawa i praktyki ochrony danych w celu uzyskania wiedzy fachowej w tej dziedzinie. Niezbędny poziom wiedzy fachowej należy ustalić zwłaszcza w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora. Swoje zadania osoba ta może wykonywać w niepełnym lub w pełnym wymiarze czasu pracy. Kilku administratorów może, uwzględniając swoją strukturę organizacyjną i wielkość, wspólnie wyznaczyć jednego inspektora ochrony danych, na przykład w przypadku dzielonych zasobów w jednostkach centralnych. Osoba ta może być również mianowana na różne stanowiska w ramach struktury poszczególnych administratorów. Osoba ta powinna pomagać administratorowi i pracownikom przetwarzającym dane osobowe, dostarczając im informacji i porad na temat przestrzegania spoczywających na nich obowiązków w zakresie ochrony danych. Inspektorzy ochrony danych powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, zgodnie z prawem państwa członkowskiego.

(64) Państwa członkowskie powinny zapewnić, by dane były przekazywane do państwa trzeciego lub organizacji międzynarodowej tylko wtedy, jeżeli jest to konieczne dla zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym dla ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, oraz gdy administrator w państwie trzecim lub w organizacji międzynarodowej jest organem właściwym w rozumieniu niniejszej dyrektywy. Wyłącznie organy właściwe pełniące funkcję administratora powinny dokonywać przekazania, z wyjątkiem sytuacji gdy podmiotom przetwarzającym jednoznacznie polecono dokonać przekazania w imieniu administratorów. Przekazanie takie może nastąpić w przypadkach, w których Komisja zdecydowała, że dane państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony, gdy wprowadzono odpowiednie zabezpieczenia lub gdy mają zastosowanie wyjątki w konkretnych sytuacjach. Przekazując dane osobowe z Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy jednak obniżać stopnia ochrony osób fizycznych przewidzianego w Unii na mocy niniejszej dyrektywy, także w przypadkach dalszego przekazywania danych osobowych z państwa trzeciego lub organizacji międzynarodowej administratorom lub podmiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej.

(65) Przekazywanie danych osobowych z któregokolwiek państwa członkowskiego do państw trzecich lub organizacji międzynarodowych powinno zasadniczo odbywać się wyłącznie za zgodą państwa członkowskiego, od którego te dane uzyskano. Jeżeli zagrożenie dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego lub dla ważnych interesów państwa członkowskiego jest tak nagłe, że nie da się na czas uzyskać uprzedniej zgody, wtedy z uwagi na efektywność współpracy w zakresie ścigania właściwy organ powinien móc przekazać odnośne dane osobowe do danego państwa trzeciego lub danej organizacji międzynarodowej bez takiej uprzedniej zgody. Państwa członkowskie powinny przyjąć, że należy informować państwa trzecie lub organizacje międzynarodowe o wszelkich specjalnych wymogach dotyczących przekazania. Dalsze przekazanie danych osobowych powinno podlegać uprzedniej zgodzie właściwego organu, który dokonał pierwotnego przekazania. Podejmując decyzję w sprawie wniosku o zgodę na dalsze przekazanie danych, właściwy organ, który dokonał pierwotnego przekazania, powinien odpowiednio uwzględnić wszelkie istotne czynniki, w tym wagę czynu zabronionego, szczególne warunki pierwotnego przekazania danych oraz cel tego przekazania, rodzaj i warunki wykonania kary oraz stopień ochrony danych osobowych w państwie trzecim lub organizacji międzynarodowej, którym dane osobowe są dalej przekazywane. Właściwy organ, który dokonał pierwotnego przekazania, powinien także mieć możliwość uzależnienia dalszego przekazania od spełnienia szczególnych warunków. Warunki te mogą zostać opisane na przykład w kodeksach postępowania.

(66) Komisja powinna mieć możliwość stwierdzenia ze skutkiem dla całej Unii, że niektóre państwa trzecie, lub terytorium lub co najmniej jeden określony sektor w państwie trzecim, lub organizacja międzynarodowa, zapewniają odpowiedni stopień ochrony danych, gwarantując tym samym pewność i jednolitość prawną w całej Unii w odniesieniu do państw trzecich lub organizacji międzynarodowych, które zostały uznane za zapewniające taki stopień ochrony. W takich przypadkach powinna istnieć możliwość przekazania danych osobowych do tych państw bez konieczności uzyskania specjalnego zezwolenia, z wyjątkiem sytuacji, gdy inne państwo członkowskie, od którego uzyskano dane, musi wydać zgodę na ich przekazanie.

(67) Zgodnie z podstawowymi wartościami, na których opiera się Unia, w szczególności z ochroną praw człowieka, w swojej ocenie państwa trzeciego lub terytorium lub określonego sektora w państwie trzecim Komisja powinna wziąć pod uwagę sposób, w jaki dane państwo trzecie przestrzega praworządności, dostępu do wymiaru sprawiedliwości oraz międzynarodowych norm i standardów ochrony praw człowieka, jego prawo ogólne i sektorowe, w tym ustawodawstwo dotyczące bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i porządku publicznego, a także w dziedzinie prawa karnego. Przy przyjmowaniu decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do terytorium lub w określonym sektorze w państwie trzecim jest odpowiedni, należy wziąć pod uwagę jasne i obiektywne kryteria, takie jak konkretne czynności przetwarzania, zakres mających zastosowanie standardów prawnych i ustawodawstwo obowiązujące w danym państwie trzecim. Państwo trzecie powinno dawać gwarancje zapewniające odpowiedni stopień ochrony, zasadniczo odpowiadający stopniowi przewidzianemu w Unii, w szczególności gdy dane są przetwarzane w jednym konkretnym sektorze lub większej ich liczbie. Państwo trzecie powinno w szczególności zapewnić skuteczny niezależny nadzór nad ochroną danych oraz powinno przewidzieć mechanizmy współpracy z organami ochrony danych państw członkowskich, a osoby, których dane dotyczą, powinny uzyskać skuteczne, egzekwowalne prawa oraz skuteczne administracyjne i sądowe środki zaskarżenia.

(68) Poza międzynarodowymi zobowiązaniami, które przyjęły państwo trzecie lub organizacja międzynarodowa, Komisja powinna brać pod uwagę także obowiązki wynikające z udziału państwa trzeciego lub organizacji międzynarodowej w systemach wielostronnych lub regionalnych, zwłaszcza w odniesieniu do ochrony danych osobowych, a także realizację takich obowiązków. W szczególności powinna wziąć pod uwagę przystąpienie państwa trzeciego do Konwencji Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych oraz do Protokołu dodatkowego do tej Konwencji. Oceniając stopień ochrony w państwach trzecich lub organizacjach międzynarodowych Komisja powinna konsultować się z Europejską Radą Ochrony Danych ustanowioną rozporządzeniem (UE) 2016/... * . Komisja powinna także brać pod uwagę wszelkie swoje decyzje stwierdzające odpowiedni stopień ochrony przyjęte na mocy art. 45 rozporządzenia (UE) 2016/... * .

(69) Komisja powinna monitorować obowiązywanie decyzji o stopniu ochrony w państwie trzecim, na terytorium lub na określonym sektorze w państwie trzecim, lub w organizacji międzynarodowej. W swoich decyzjach stwierdzających odpowiedni stopień ochrony Komisja powinna przewidzieć mechanizm okresowego przeglądu ich funkcjonowania. Takiego okresowego przeglądu Komisja powinna dokonywać w porozumieniu z danym państwem trzecim lub daną organizacją międzynarodową i powinna w nim uwzględniać wszelkie istotne zmiany w państwie trzecim lub organizacji międzynarodowej.

(70) Komisja powinna mieć również możliwość uznania, że państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizacja międzynarodowa przestały zapewniać odpowiedni stopień ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej powinno zostać zakazane, chyba że spełnione są wymogi niniejszej dyrektywy dotyczące przesyłania z zastrzeżeniem odpowiednich zabezpieczeń i wyjątków w konkretnych sytuacjach. Należy przewidzieć procedury konsultacji między Komisją a takimi państwami trzecimi lub organizacjami międzynarodowymi. Komisja powinna niezwłocznie poinformować to państwo trzecie lub tę organizację międzynarodową o powodach oraz podjąć z nimi konsultacje w celu rozwiązania sytuacji.

(71) Przekazania nieprzeprowadzone na podstawie decyzji stwierdzającej odpowiedni stopień ochrony powinny być dopuszczalne jedynie wtedy, gdy w prawnie wiążącym akcie przewidziano odpowiednie zabezpieczenia zapewniające ochronę danych osobowych, lub gdy administrator ocenił wszystkie okoliczności towarzyszące przekazaniu danych i na podstawie tej oceny stwierdza, że istnieją odpowiednie zabezpieczenia w odniesieniu do ochrony danych osobowych. Takim prawnie wiążącym aktem może być przykładowo prawnie wiążąca umowa dwustronna, która została zawarta przez państwo członkowskie i wprowadzona przez nie do jego porządku prawnego, i która może być egzekwowana przez osoby, których dane dotyczą, i która zapewnia przestrzeganie wymogów ochrony danych oraz praw osób, której dane dotyczą, w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia. Oceniając wszystkie okoliczności towarzyszące przekazaniu danych, administrator powinien mieć możliwość uwzględnienia umów o współpracy zawartych przez Europol lub Eurojust z państwami trzecimi, pozwalających na wymianę danych osobowych. Administrator powinien też mieć możliwość uwzględnienia tego, czy przekazanie danych osobowych będzie podlegać obowiązkom zachowania poufności i zasadzie ograniczonego celu, tak aby dane nie były przetwarzane do celów innych niż cele, w których zostały przekazane. Ponadto administrator powinien wziąć pod uwagę to, czy dane osobowe nie posłużą do zażądania, orzeczenia lub wykonania kary śmierci ani do innego rodzaju okrutnego lub nieludzkiego traktowania. Jakkolwiek kryteria te można uznać za odpowiednie zabezpieczenia umożliwiające przekazanie danych, administrator powinien mieć możliwość zażądania dodatkowych zabezpieczeń.

(72) Jeżeli nie wydano decyzji stwierdzającej odpowiedni stopień ochrony lub nie ma odpowiednich zabezpieczeń, przekazanie lub określona kategoria przekazań może nastąpić tylko w szczególnych sytuacjach, gdy jest to konieczne, dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, lub dla zabezpieczenia uzasadnionych prawnie interesów osoby, której dane dotyczą, zgodnie z wymogami prawa państwa członkowskiego przekazującego dane osobowe; dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; w indywidualnym przypadku dla celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kary, w tym dla ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegać takim zagrożeniom; w indywidualnym przypadku dla celów ustalenia roszczenia, jego dochodzenia lub obrony. Wyjątki te należy interpretować wąsko i nie powinny one umożliwiać częstego, masowego i zorganizowanego przekazywania danych osobowych ani przekazywania danych na dużą skalę; powinny też być ograniczone do danych ściśle niezbędnych. Takie operacje przekazywania powinny być udokumentowane, a dokumentacja ta powinna być udostępniana na żądanie organowi nadzorczemu w celu kontroli zgodności przekazania z prawem.

(73) Właściwe organy państw członkowskich stosują obowiązujące dwustronne lub wielostronne umowy międzynarodowe zawarte z państwami trzecimi w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, by wymieniać istotne informacje do wykonywania prawnie ciążących na nich obowiązków. Odbywa się to zasadniczo dzięki współpracy właściwych organów państw trzecich prowadzonej na potrzeby niniejszej dyrektywy, lub przynajmniej we współpracy z tymi organami, czasami nawet przy braku odpowiedniej dwustronnej lub wielostronnej umowy międzynarodowej. Niemniej w konkretnych indywidualnych przypadkach rutynowy tryb postępowania wymagający skontaktowania się z takim organem w państwie trzecim może okazać się nieskuteczny lub niewłaściwy, w szczególności ze względu na to, że przekazanie mogłoby ulec opóźnieniu, lub dlatego, że organ w państwie trzecim nie przestrzega praworządności lub międzynarodowych norm i standardów ochrony praw człowieka - w takiej sytuacji właściwe organy państw członkowskich mogą podjąć decyzję, że dane osobowe przekazane zostaną bezpośrednio odbiorcom znajdującym się w takich państwach trzecich. Może się tak zdarzyć wówczas, gdy zachodzi pilna potrzeba przekazania danych osobowych w celu ratowania życia osobie zagrożonej czynem zabronionym, lub gdy jest to konieczne do zapobieżenia spodziewanemu popełnieniu czynu zabronionego, w tym czynu terrorystycznego. Nawet jeżeli takie przekazanie między organami a odbiorcami mającymi siedzibę w państwach trzecich miałoby się odbywać tylko w konkretnych indywidualnych przypadkach, niniejsza dyrektywa powinna wskazać zasady służące uregulowaniu takich przypadków. Takich przepisów nie należy uznawać za wyjątki od obowiązujących dwustronnych lub wielostronnych umów międzynarodowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Zasady te powinny obowiązywać obok pozostałych przepisów dyrektywy, zwłaszcza przepisów o zgodności przetwarzania z prawem i przepisów rozdziału V.

(74) Transgraniczne przekazywanie danych osobowych może spowodować wzrost ryzyka, że osoby fizyczne nie będą mogły wykonywać praw do ochrony danych osobowych w celu ochrony przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych danych. Jednocześnie organy nadzorcze mogą uznać, że nie są w stanie rozpatrzyć skargi lub prowadzić postępowania w sprawie działań, która mają miejsce poza granicami ich państwa. Ich starania na rzecz współpracy w kontekście transgranicznym mogą także zostać zakłócone przez niewystarczające uprawnienia prewencyjne lub zaradcze oraz niespójne systemy prawne. Należy więc upowszechniać ściślejszą współpracę między organami nadzorującymi ochronę danych w celu wspierania wymiany informacji z ich zagranicznymi odpowiednikami.

(75) Zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, które mają możliwość wykonywania swych funkcji w sposób całkowicie niezależny. Organy nadzorcze powinny monitorować stosowanie niniejszej dyrektywy oraz powinny przyczyniać się do ich spójnego stosowania w całej Unii, po to by chronić osoby fizyczne w związku z przetwarzaniem jej danych osobowych. W tym celu organy nadzorcze powinny współpracować ze sobą oraz z Komisją.

(76) Odpowiedzialność za zadania, które mają być realizowane przez krajowe organy nadzorcze ustanowione na podstawie niniejszej dyrektywy, państwa członkowskie mogą powierzyć organom nadzorczym już ustanowionym na mocy rozporządzenia (UE) 2016/... * .

(77) Aby odzwierciedlić swoją strukturę konstytucyjną, organizacyjną i administracyjną, państwa członkowskie powinny mieć możliwość utworzenia więcej niż jednego organu nadzorczego. Każdy organ nadzorczy powinien zostać wyposażony w zasoby finansowe i kadrowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań, w tym zadań związanych z wzajemną pomocą i współpracą z innymi organami nadzorczymi z całej Unii. Każdy organ nadzorczy powinien dysponować odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu państwowego lub krajowego.

(78) Organy nadzorcze powinny pod względem swoich wydatków finansowych podlegać niezależnym mechanizmom kontroli lub monitorowania, pod warunkiem że taka kontrola finansowa nie wpływa na ich niezależność.

(79) Ogólne warunki członkostwa w organie nadzorczym powinny zostać określone w prawie państwa członkowskiego i powinny w szczególności zapewniać, by członków tego organu powoływał przy zastosowaniu procedury zapewniającej przejrzystość parlament, rząd lub szef danego państwa członkowskiego - na wniosek rządu, członka rządu, parlamentu lub izby parlamentu - lub niezależny organ, któremu zadanie to powierzono w prawie państwa członkowskiego. Aby zapewnić niezależność organu nadzorczego, jego członek lub członkowie powinni działać uczciwie, powstrzymać się od wszelkich czynności niezgodnych ze swoimi obowiązkami i nie powinni podczas swojej kadencji podejmować żadnego zajęcia zarobkowego ani niezarobkowego niezgodnego z tymi obowiązkami. Aby zapewnić niezależność organu nadzorczego, organ sam powinien dobierać swój personel, co może też oznaczać wybór personelu przez niezależny organ utworzony na mocy prawa państwa członkowskiego.

(80) Niniejsza dyrektywa ma zastosowanie także do działalności sądów krajowych i innych organów wymiaru sprawiedliwości, niemniej właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości, tak by chronić niezawisłość sędziów w wykonywaniu ich zadań sądowych. Wyjątek ten należy ograniczyć do czynności sądowych w sprawach sądowych i nie powinien on mieć zastosowania do innych czynności, w których sędziowie mogą brać udział zgodnie z prawem państwa członkowskiego. Państwa członkowskie powinny mieć również możliwość przyjęcia, że właściwość organu nadzorczego nie obejmuje przetwarzania danych osobowych przez inne niezależne organy wymiaru sprawiedliwości w toku sprawowania przez nie wymiaru sprawiedliwości, przykładowo przez prokuraturę. Niemniej przestrzeganie przepisów niniejszej dyrektywy przez sądy i inne niezależne organy wymiaru sprawiedliwości zawsze podlegają niezależnej kontroli zgodnie z art. 8 ust. 3 Karty.

(81) Każdy organ nadzorczy powinien rozpatrywać skargi wnoszone przez osoby, których dane dotyczą, oraz powinien zbadać taką sprawę lub przekazać ją do rozpatrzenia właściwemu organowi nadzorczemu. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone - z zastrzeżeniem kontroli sądowej - w zakresie odpowiadającym konkretnej sprawy. Organ nadzorczy powinien w rozsądnym terminie poinformować osobę, której dane dotyczą, o postępach i wynikach rozpatrywania skargi. Jeżeli dana sprawa wymaga przeprowadzenia dalszego postępowania lub koordynacji działań z innym organem nadzorczym, osoba, której dane dotyczą, powinna zostać o tym uprzednio poinformowana.

(82) Aby zapewnić skuteczne, rzetelne i spójnie przestrzeganie i wykonywanie niniejszej dyrektywy w całej Unii zgodnie z TFUE w interpretacji Trybunału Sprawiedliwości, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia w zakresie prowadzenia postępowań, uprawnienia naprawcze i doradcze, które umożliwiają wykonywanie powierzonych im zadań. Ich uprawnienia nie powinny jednak kolidować ze szczegółowymi przepisami postępowania karnego, w tym o prowadzeniu postępowań przygotowawczych i ściganiu czynów zabronionych, ani z niezawisłością sądów. Z zastrzeżeniem uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego organy nadzorcze powinny również mieć uprawnienie do wnoszenia naruszeń niniejszej dyrektywy przed organy sądowe lub do udziału w postępowaniu sądowym. Ze swoich uprawnień organ nadzorczy powinien korzystać zgodnie z odpowiednimi gwarancjami proceduralnymi przewidzianymi w prawie Unii i w prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny do zapewnienia przestrzegania niniejszej dyrektywy, z uwzględnieniem okoliczności danej sprawy, poszanowania prawa wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. Z uprawnień w zakresie prowadzenia postępowań wyjaśniających, jeżeli chodzi o dostęp do pomieszczeń, należy korzystać zgodnie ze szczegółowymi wymogami prawa państwa członkowskiego, takimi jak wymóg uzyskania wcześniejszej zgody sądu. Wydanie prawnie wiążącej decyzji powinno podlegać kontroli sądowej w państwie członkowskim organu nadzorczego, który ją wydał.

(83) Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i wykonanie niniejszej dyrektywy.

(84) Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania niniejszej dyrektywy w całej Unii, m.in. poprzez doradzanie Komisji i propagowanie współpracy organów nadzorczych w całej Unii.

(85) Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka prawnego przed sądem zgodnie z art. 47 Karty praw podstawowych, jeżeli uzna, że jej prawa wynikające z przepisów przyjętych na podstawie niniejszej dyrektywy są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, w części lub w całości ją odrzuca lub oddala lub nie podejmuje działania, choć jest ono niezbędne do ochrony praw osoby, której dane dotyczą. Postępowanie wyjaśniające w sprawie skargi powinno być prowadzone - z zastrzeżeniem kontroli sądowej - w zakresie odpowiednim do konkretnej sprawy. Właściwy organ nadzorczy powinien w rozsądnym terminie poinformować osobę, której dane dotyczą, o postępach i wynikach rozpatrywania skargi. Jeżeli dana sprawa wymaga przeprowadzenia dalszego postępowania wyjaśniającego lub koordynacji działań z innym organem nadzorczym, osoba, której dane dotyczą, powinna zostać o tym uprzednio poinformowana. Aby ułatwić wnoszenie skarg, każdy organ nadzorczy powinien przedsięwziąć takie środki, jak udostępnienie formularza skargi, który można wypełnić także elektronicznie, przy czym nie należy wykluczać innych sposobów komunikacji.

(86) Każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka prawnego przed właściwym sądem krajowym od decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć zwłaszcza wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg. Prawo to nie dotyczy jednak innych niewiążących prawnie środków organów nadzorczych, takich jak wydawane przez organ opinie czy zalecenia. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę, a postępowanie powinno się toczyć zgodnie z prawem tego państwa członkowskiego. Sądy te powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych istotnych dla rozstrzygnięcia sprawy.

(87) Jeżeli osoba, której dane dotyczą, uzna, że naruszane są jej prawa wynikające z niniejszej dyrektywy, powinna mieć prawo do umocowania podmiotu - którego celem jest ochrona praw i interesów osób w odniesieniu do ochrony ich danych osobowych oraz który został ustanowiony zgodnie z prawem państwa członkowskiego - do wniesienia skargi w swoim imieniu do organu nadzorczego oraz do wykonania prawa do środka prawnego przed sądem. Prawo osoby, której dane dotyczą, do reprezentacji nie powinno uchybiać prawu procesowemu państwa członkowskiego, które może wymagać, by osoba, której dane dotyczą, była przed sądami krajowymi obowiązkowo reprezentowana przez prawnika w rozumieniu dyrektywy Rady 77/249/EWG 10 .

(88) Za wszelką szkodę, którą dana osoba mogła ponieść wskutek przetwarzania z naruszeniem przepisów przyjętych na podstawie niniejszej dyrektywy, powinno przysługiwać odszkodowanie od administratora lub innego organu właściwego w świetle prawa państwa członkowskiego. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszej dyrektywy. Nie ma to wpływu na jakiekolwiek roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. W przypadku odwołania do przetwarzania niezgodnego z prawem lub z naruszeniem przepisów przyjętych na podstawie niniejszej dyrektywy, odwołanie obejmuje także przetwarzanie, które narusza akty wykonawcze przyjęte na podstawie niniejszej dyrektywy. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesioną szkodę.

(89) Każda osoba fizyczna lub prawna, niezależnie od tego czy działa na podstawie prawa prywatnego czy publicznego, która narusza niniejszą dyrektywę, powinna podlegać sankcjom. Państwa członkowskie powinny zapewnić, by sankcje były skuteczne, proporcjonalne i odstraszające, oraz powinny podjąć wszelkie środki służące wykonaniu sankcji.

(90) Aby zapewnić jednolite warunki wdrażania niniejszej dyrektywy, należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu do: stwierdzania odpowiedniego stopnia ochrony zapewnianego przez państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizację międzynarodową; określania formuły i trybu wzajemnej pomocy oraz ustalania zasad wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 11 .

(91) Należy stosować procedurę sprawdzającą dla przyjmowania aktów wykonawczych w sprawie stwierdzenia odpowiedniego stopnia ochrony zapewnianego przez państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizację międzynarodową oraz w sprawie formuły i trybu wzajemnej pomocy i ustalania zasad wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych, zważywszy że akty te mają zasięg ogólny.

(92) Komisja powinna przyjmować akty wykonawcze o natychmiastowym zastosowaniu, jeżeli jest to szczególnie pilne w należycie uzasadnionych przypadkach, dotyczących państwa trzeciego, terytorium lub określonego sektora w państwie trzecim, lub organizacji międzynarodowej, które nie zapewniają dłużej odpowiedniego stopnia ochrony.

(93) Ponieważ cele niniejszej dyrektywy - którymi są ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz zapewnienie swobodnego przepływu danych osobowych między właściwymi organami w ramach całej Unii - nie mogą w wystarczającym stopniu zostać osiągnięte przez państwa członkowskie, natomiast z uwagi na zakres i skutki działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 TUE. Zgodnie z zasadą proporcjonalności określoną w tym samym artykule niniejsza dyrektywa nie wykracza poza zakres niezbędny do osiągnięcia tych celów.

(94) Dyrektywa nie powinna wpływać na szczegółowe przepisy aktów unijnych przyjętych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, które zostały przyjęte przed datą przyjęcia niniejszej dyrektywy i regulują przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy traktatów - przepisy takie, jak np. szczegółowe przepisy o ochronie danych osobowych stosowane na mocy decyzji Rady 2008/615/WSiSW 12 czy art. 23 Konwencji o pomocy prawnej w sprawach karnych pomiędzy państwami członkowskimi Unii Europejskiej 13 . Jako że zgodnie z art. 8 Karty i art. 16 TFUE prawo podstawowe do ochrony danych osobowych powinno być spójnie stosowane w całej Unii, Komisja powinna ocenić sytuację pod kątem stosunku niniejszej dyrektywy do aktów, które zostały przyjęte przed datą przyjęcia niniejszej dyrektywy i regulują przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy traktatów, oraz ustalić, czy należy te szczegółowe przepisy dostosować do niniejszej dyrektywy. W razie potrzeby Komisja powinna przedstawić wnioski celem zapewnienia spójności przepisów dotyczących przetwarzania danych osobowych.

(95) Aby ochrona danych osobowych w Unii była kompleksowa i spójna, międzynarodowe porozumienia, które zostały zawarte przez państwa członkowskie przed wejściem niniejszej dyrektywy w życie i które są zgodne z odnośnym prawem Unii mającym zastosowanie przed tą datą, powinny pozostać w mocy do czasu ich zmiany, zastąpienia lub uchylenia.

(96) Na transponowanie niniejszej dyrektywy państwom członkowskim należy przyznać nie więcej niż dwa lata od dnia jej wejścia w życie. Przetwarzanie, które w tym dniu jest w toku, powinno w terminie dwóch lat od dnia wejścia w życie niniejszej dyrektywy zostać dostosowane do jej przepisów. Jeżeli jednak takie przetwarzanie jest zgodne z prawem Unii mającym zastosowanie przed dniem wejścia niniejszej dyrektywy w życie, wymogi niniejszej dyrektywy dotyczące uprzednich konsultacji z organem nadzorczym nie powinny mieć zastosowania do operacji przetwarzania, które już ma miejsce, gdyż z uwagi na ich charakter wymogi te powinny zostać spełnione przed przetwarzaniem. Jeżeli państwa członkowskie stosują dłuższy termin wdrożenia, upływający siedem lat po dniu wejścia niniejszej dyrektywy w życie, dla wypełnienia zobowiązań dotyczących ewidencjonowania w zautomatyzowanych systemach przetwarzania ustanowionych przed tą datą, administrator lub podmiot przetwarzający powinni dysponować skutecznymi metodami, które pozwolą im na wykazanie zgodności przetwarzania danych z prawem, monitorowanie własnej działalności i zapewnienie integralności i bezpieczeństwa danych, takimi jak ewidencja lub inne formy zapisu.

(97) Niniejsza dyrektywa nie wpływa na przepisy o zwalczaniu niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz o zwalczaniu pornografii dziecięcej ustanowione w dyrektywie 2011/93/UE Parlamentu Europejskiego i Rady. 14

(98) Należy zatem uchylić decyzję ramową 2008/977/WSiSW.

(99) Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, który jest załączony do TUE i TFUE, Zjednoczone Królestwo i Irlandia nie są związane przepisami ustanowionymi w niniejszej dyrektywie, dotyczącymi przetwarzania danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres zastosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, jeżeli państwa te nie są związane zasadami regulującymi formy współpracy wymiarów sprawiedliwości w sprawach karnych lub współpracy policyjnej, w ramach której należy przestrzegać przepisów ustanowionych na podstawie art. 16 TFUE.

(100) Zgodnie z art. 2 i 2a Protokołu nr 22 w sprawie stanowiska Danii, który jest załączony do TUE i TFUE, Dania nie jest związana przepisami ustanowionymi w niniejszej dyrektywie ani im nie podlega, o ile przepisy te dotyczą przetwarzania danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres zastosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE. Ponieważ niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu części trzeciej tytuł V TFUE, Dania zgodnie z art. 4 tego protokołu podejmie w terminie sześciu miesięcy od daty przyjęcia niniejszej dyrektywy decyzję, czy dokona jej transpozycji do swojego prawa krajowego.

(101) W odniesieniu do Islandii i Norwegii niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 15 .

(102) W odniesieniu do Szwajcarii niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 16 .

(103) W odniesieniu do Liechtensteinu niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 17 .

(104) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie umocowanej TFUE, w szczególności z prawem do poszanowania życia prywatnego i rodzinnego, prawem do ochrony danych osobowych oraz prawem do skutecznego środka prawnego i do rzetelnego procesu. Ograniczenia tych praw są zgodne z art. 52 ust. 1 karty, ponieważ są niezbędne do realizacji celów leżących w interesie ogólnym i uznanych przez Unię lub do ochrony praw i wolności innych osób.

(105) Zgodnie ze wspólną deklaracją polityczną państw członkowskich i Komisji z dnia 28 września 2011 r. dotyczącą dokumentów wyjaśniających państwa członkowskie zobowiązały się w uzasadnionych przypadkach dołączać do zawiadomienia o swoich środkach transpozycji przynajmniej jeden dokument wyjaśniający związek między elementami dyrektywy a odpowiadającymi im częściami krajowych środków transpozycyjnych. W odniesieniu do niniejszej dyrektywy prawodawca uznaje przekazywanie takich dokumentów za uzasadnione.

(106) Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 przeprowadzono konsultację z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 7 marca 2012 r. 18 .

(107) Niniejsza dyrektywa nie powinna uniemożliwiać państwom członkowskim wdrożenia praw osób, których dane dotyczą, do informacji, dostępu i do sprostowania lub usunięcia danych osobowych oraz ograniczenia przetwarzania w toku postępowania karnego, oraz ewentualnych ograniczeń tych praw, w krajowych przepisach procedury karnej,

PRZYJMUJE NINIEJSZĄ DYREKTYWĘ: