(1) Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest prawem podstawowym. Artykuł 8 ust. 1 Karty praw podstawowych i art. 16 ust. 1 Traktatu stanowią, iż każda osoba ma prawo do ochrony danych osobowych, które jej dotyczą.

(2) Przetwarzanie danych osobowych ma służyć człowiekowi, zaś zasady i przepisy dotyczące ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych powinny, niezależnie od obywatelstwa czy miejsca stałego zamieszkania osób fizycznych, szanować ich podstawowe prawa i wolności, szczególnie prawo do ochrony danych osobowych. Powinno ono również przyczyniać się do stworzenia obszaru wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, osiągnięcia postępu gospodarczego i społecznego, wzmocnienia i konwergencji gospodarek na rynku wewnętrznym, a także do poprawy zamożności ludzi.

(3) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady 4  ma na celu harmonizację ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania danych oraz zagwarantowanie swobodnego przepływu danych osobowych między państwami członkowskimi.

(4) Integracja gospodarcza i społeczna będąca wynikiem funkcjonowania rynku wewnętrznego doprowadziła do znacznego zwiększenia transgranicznego przepływu danych osobowych. Zwiększyła się także wymiana danych między podmiotami gospodarczymi i społecznymi oraz publicznymi i prywatnymi w całej Unii. Prawo Unii wymaga, by organy krajowe poszczególnych państw członkowskich współpracowały ze sobą i prowadziły wymianę danych osobowych w celu wykonywania swoich obowiązków lub realizacji zadań w imieniu organów innych państw członkowskich.

(5) Szybki rozwój technologiczny i globalizacja przyniosły nowe wyzwania w zakresie ochrony danych osobowych. Niezwykle wzrosła skala wymiany i zbierania danych. Technologia umożliwia zarówno przedsiębiorcom prywatnym, jak i organom publicznym wykorzystywanie danych osobowych do wykonywania powierzonych im zadań na niespotykaną dotąd skalę. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia całkowicie zmieniła zarówno gospodarkę, jak i życie społeczne, i wymaga dalszego ułatwienia swobodnego przepływu danych w Unii oraz przekazywania ich do państw trzecich i organizacji międzynarodowych, przy równoczesnym zagwarantowaniu wysokiego poziomu ochrony danych osobowych.

(6) Przemiany te wymagają stworzenia stabilnych i bardziej spójnych ram ochrony danych w Unii, popartych zdecydowanym egzekwowaniem, uwzględniając wagę zbudowania zaufania, które umożliwi rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Należy ponadto wzmocnić poczucie pewności prawa i jego praktycznego stosowania u osób fizycznych, podmiotów gospodarczych i organów publicznych.

(7) Cele i zasady dyrektywy 96/45/WE nie zmieniły się, co jednak nie zapobiegło rozdrobnieniu wdrażania przepisów dotyczących ochrony danych w Unii, ugruntowaniu niepewności prawnej oraz upowszechnieniu istniejącego w społeczeństwie poglądu, zgodnie z którym z ochroną osób fizycznych wiążą się istotne zagrożenia, dotyczące w szczególności działalności w internecie. Różnice w zakresie poziomu ochrony praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych, w zakresie przetwarzania danych osobowych, udzielanej w państwach członkowskich mogą uniemożliwić swobodny przepływ danych osobowych w całej Unii. Różnice te mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję i utrudniać organom wykonywanie ich obowiązków wynikających z przepisów prawa unijnego. Ta różnica w poziomie ochrony wynika z istnienia różnic we wdrażaniu i stosowaniu dyrektywy 95/46/WE.

(8) Aby zapewnić spójny i wysoki poziom ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych, należy zapewnić we wszystkich państwach członkowskich równorzędny poziom ochrony praw i wolności osób fizycznych w zakresie przetwarzania tych danych. Spójne i jednolite stosowanie przepisów dotyczących ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych powinno być zagwarantowane w całej Unii.

(9) Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia i doprecyzowania praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe i kierują tym procesem, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami w zakresie ochrony danych osobowych oraz równorzędnych sankcji wobec osób naruszających te przepisy w państwach członkowskich.

(10) Artykuł 16 ust. 2 Traktatu powierza Parlamentowi Europejskiemu i Radzie ustanowienie przepisów dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu takich danych.

(11) W celu zapewnienia spójnego poziomu ochrony osób fizycznych w całej Unii oraz zapobiegania różnicom, które hamowałyby swobodny przepływ danych w ramach rynku wewnętrznego, należy przyjąć rozporządzenie, które zagwarantuje przedsiębiorcom, w tym mikroprzedsiębiorcom oraz małym i średnim przedsiębiorcom pewność prawną i przejrzystość i które zapewni ten sam poziom prawnie egzekwowalnych uprawnień i obowiązków administratorów i podmiotów przetwarzających osobom fizycznym we wszystkich państwach członkowskich, umożliwi spójne monitorowanie przetwarzania danych osobowych, stosowanie równoważnych sankcji we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych różnych państw członkowskich. W związku ze szczególną sytuacją mikroprzedsiębiorców oraz małych i średnich przedsiębiorców niniejsze rozporządzenia przewiduje szereg odstępstw. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by wzięły pod uwagę szczególne potrzeby mikroprzedsiębiorców oraz małych i średnich przedsiębiorców, jeśli chodzi o zastosowanie niniejszego rozporządzenia. Pojęcie mikroprzedsiębiorców oraz małych i średnich przedsiębiorców powinno opierać się na zaleceniu Komisji 2003/361/WE 5 .

(12) Ochrona zapewniona na mocy niniejszego rozporządzenia dotyczy osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania, w zakresie przetwarzania danych osobowych. Jeśli chodzi o przetwarzanie danych, które dotyczą osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych dotyczących firmy, formy prawnej i danych kontaktowych osoby prawnej, nie podlegają one ochronie udzielanej na mocy niniejszego rozporządzenia. Przepis ten powinien mieć także zastosowanie wtedy, gdy firma osoby prawnej obejmuje nazwisko jednej lub większej liczby osób fizycznych.

(13) Ochrona osób fizycznych powinna być technologicznie neutralna i nie powinna zależeć od stosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszego rozporządzenia.

(14) Rozporządzenie nie odnosi się do kwestii ochrony podstawowych praw i wolności lub swobodnego przepływu danych dotyczących działalności, która nie wchodzi w zakres prawa unijnego, ani też nie obejmuje przetwarzania danych osobowych przez instytucje, organy i jednostki administracyjne Unii, które podlegają przepisom rozporządzenia. Rozporządzenie (WE) nr 45/2001 lub przetwarzania danych osobowych przez państwa członkowskie podczas prowadzenia działalności związanej ze wspólną polityką zagraniczną i bezpieczeństwa Unii Parlamentu Europejskiego i Rady 6  należy dostosować do niniejszego rozporządzenia i stosować zgodnie z niniejszym rozporządzeniem. [Popr. 1]

(15) Niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania przez osobę fizyczną danych osobowych o charakterze wyłącznie osobistym, rodzinnym lub domowym, takich jak korespondencja i przechowywanie adresów, które są przetwarzane w celach niezarobkowych, zatem lub sprzedaż prywatna, bez związku z działalnością zawodową lub handlową. Wyjątek ten nie powinien mieć także zastosowania do administratorów lub podmiotów przetwarzających, którzy zapewniają środki na przetwarzanie danych osobowych w celach osobistych lub domowych. Niniejsze rozporządzenie powinno jednak mieć zastosowanie do administratorów i podmiotów przetwarzających dających możliwość przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej. [Popr. 2]

(16) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, ich ścigania, wykrywania lub karania albo w celu wykonywania kar kryminalnych oraz swobodnym przepływem takich danych podlegają szczególnemu instrumentowi prawnemu na szczeblu Unii. Z tego względu niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania do wyżej wspomnianych celów. Jednak dane przetwarzane przez organy publiczne na mocy niniejszego rozporządzenia, wykorzystywane w celu zapobiegania przestępstwom, ich ścigania, wykrywania lub karania albo w celu wykonywania kar kryminalnych, powinny podlegać bardziej szczegółowemu instrumentowi prawnemu na szczeblu Unii (dyrektywa Parlamentu Europejskiego i Rady 2014/.../UE w sprawie ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, ustalania, wykrywania lub ścigania przestępstw lub wykonywania kar oraz swobodnego przepływu takich danych).

(17) Przepisy niniejszego rozporządzenia pozostają bez uszczerbku dla stosowania dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady 7 , w szczególności zasad odpowiedzialności usługodawców będących pośrednikami, o których mowa w art. 12-15 tej dyrektywy.

(18) Niniejsze rozporządzenie pozwala na uwzględnienie zasady publicznego dostępu do dokumentów urzędowych przy stosowaniu przepisów tego rozporządzenia. Dane osobowe zawarte w dokumentach znajdujących się w posiadaniu organu publicznego lub podmiotu publicznego mogą zostać ujawnione przez dany organ lub podmiot zgodnie z prawem UE lub państwa członkowskiego dotyczącym publicznego dostępu do dokumentów urzędowych, co godzi prawo do ochrony danych z prawem publicznego dostępu do dokumentów urzędowych oraz stanowi właściwe wyważenie różnych występujących interesów. [Popr. 3]

(19) Każde przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii powinno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii czy poza nią. Siedziba zakłada skuteczne i faktycznie prowadzenie działalności poprzez stabilne rozwiązania. Forma prawna takich rozwiązań, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.

(20) By nie dopuścić do pozbawienia osób fizycznych ochrony, która przysługuje im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych podmiotów danych, które mają miejsce zamieszkania w Unii, przez administratora niemającego siedziby w Unii, powinno podlegać niniejszemu rozporządzeniu, w przypadku gdy przetwarzanie wiąże się z oferowaniem towarów lub usług - niezależnie od tego, czy wiąże się to z płatnością, czy też nie - podmiotom danych lub monitorowaniem zachowania tych osób. Aby stwierdzić, czy administrator oferuje takim podmiotom danych w Unii towary lub usługi, należy ustalić, czy jest oczywiste, że planuje on oferować usługi podmiotom danych w co najmniej jednym państwie członkowskim Unii. [Popr. 4]

(21) Aby stwierdzić, czy przetwarzanie można uznać za "monitorowanie zachowania" podmiotów danych, należy upewnić się, czy osoby fizyczne można wyszukać w internecie, korzystając z - niezależnie od pochodzenia danych - lub czy zbierane są inne dane na ich temat, w tym z publicznych rejestrów i ogłoszeń w Unii, które są dostępne poza Unią, w tym z zamiarem wykorzystania lub potencjalnego późniejszego wykorzystania technik przetwarzania danych, które polegają na przypisaniu "profilu", w szczególności w celu podejmowania decyzji dotyczących tej osoby, analizowania jej preferencji osobistych, zachowań i postaw lub ich przewidywania. [Popr. 5]

(22) W miejscu, w którym na mocy prawa międzynarodowego publicznego stosuje się prawo krajowe państwa członkowskiego, na przykład na terenie misji dyplomatycznej lub placówki konsularnej, niniejsze rozporządzenie powinno także mieć zastosowanie do administratora niemającego siedziby w Unii.

(23) Zasady ochrony danych należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie racjonalnie prawdopodobne sposoby, jakimi mogą posłużyć się administrator lub inna osoba ktokolwiek w celu bezpośredniego lub pośredniego zidentyfikowania lub wyodrębnienia tej osoby. Aby ustalić, czy dany sposób może z racjonalnym prawdopodobieństwem posłużyć do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania danej osoby, oraz uwzględnić zarówno technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony nie powinny być zatem stosowane do danych zanonimizowanych w taki sposób, że podmiot danych nie może być już zidentyfikowany anonimowych, które są informacjami nieodnoszącymi się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych danych, w tym do celów statystycznych i naukowych. [Popr. 6]

(24) Osoby fizyczne korzystające z usług internetowych można identyfikować na podstawie Niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania z użyciem identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie, oraz identyfikatory radiowe, chyba że identyfikatory te nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Mogą one zostawiać ślady, które, w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskanymi przez serwery, mogą być wykorzystywane do tworzenia profili poszczególnych osób i ich identyfikacji. W wyniku tego numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekonieczne muszą być uważane za dane osobowe w każdych okolicznościach. [Popr. 7]

(25) Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu będącego konsekwencją wyboru dokonanego przez podmiot danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie. Wyraźne działanie potwierdzające może polegać na zaznaczeniu okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie na innym oświadczeniu bądź zachowanie zachowaniu, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie, samo skorzystanie z usługi lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy. [Popr. 8]

(26) Dane osobowe dotyczące zdrowia powinny w szczególności obejmować wszelkie dane dotyczące stanu zdrowia podmiotu danych, informacje na temat rejestracji osoby fizycznej w celu świadczenia usług zdrowotnych; informacje o płatnościach danej osoby fizycznej za opiekę zdrowotną lub kwalifikowaniu się danej osoby do korzystania z opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie wyłącznie w celu identyfikowania jej dla potrzeb świadczenia opieki zdrowotnej; wszelkie informacje na temat tej osoby zebrane w okresie świadczenia opieki zdrowotnej na jej rzecz; informacje pochodzące z badań laboratoryjnych lub lekarskich dotyczących części ciała lub płynów ustrojowych, w tym próbek biologicznych; informacje umożliwiające identyfikację osoby świadczącej usługi opieki zdrowotnej na rzecz danego pacjenta oraz wszelkie informacje np. na temat choroby, niepełnosprawności, ryzyka choroby, historii medycznej, leczenia klinicznego lub aktualnego stanu fizjologicznego lub biomedycznego podmiotu danych, niezależnie od ich źródła, którym może być np. lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne, badanie diagnostyczne in vitro.

(27) Siedzibę administratora w Unii należy ustalić na podstawie obiektywnych kryteriów. Powinna ona zakładać skuteczne i faktycznie zarządzanie, polegające na podejmowaniu najważniejszych decyzji dotyczących celów, warunków i środków przetwarzania w drodze stabilnych rozwiązań. Takie kryterium nie powinno zależeć od tego, czy przetwarzanie danych osobowych jest faktycznie dokonywane w tej lokalizacji; obecność i wykorzystanie środków technicznych i technologii do celów przetwarzania danych osobowych lub działalności w zakresie przetwarzania nie stanowią, same w sobie, takiej siedziby, nie są więc kryteriami wyznaczającymi siedzibę. Siedzibą podmiotu przetwarzającego powinno być miejsce jego zarządu w Unii.

(28) Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które wywiera dominujący wpływ na inne przedsiębiorstwa ze względu, między innymi, na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność lub też uprawnienia do wdrożenia przepisów dotyczących ochrony danych osobowych.

(29) Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych. Aby stwierdzić, czy dana osoba jest dzieckiem, w niniejszym rozporządzeniu należy przyjąć definicję określoną w Konwencji Narodów Zjednoczonych o prawach dziecka. Jeżeli przetwarzanie danych opiera się na zgodzie podmiotu danych dotyczącej oferowania towarów lub usług bezpośrednio dziecku, zgoda powinna być udzielana lub aprobowana przez rodzica lub opiekuna dziecka, w przypadku gdy dziecko nie przekroczyło 13 roku życia. Gdy zamierzonymi odbiorcami są dzieci, należy używać języka dostosowanego do wieku. W mocy powinny pozostawać inne podstawy do zgodnego z prawem przetwarzania, takie jak względy interesu publicznego, np. w kontekście usług w zakresie zapobiegania lub doradztwa oferowanych bezpośrednio dziecku. [Popr. 9]

(30) Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem, prowadzone rzetelnie i uczciwie wobec zainteresowanych osób. W szczególności konkretne cele przetwarzania danych powinny być jednoznaczne, zgodne z prawem i określone w momencie zbierania danych. Dane powinny być ścisłe, właściwe i ograniczone do minimum niezbędnego do celów, dla których dane są przetwarzane, co wymaga w szczególności dopilnowania, by zebrane dane nie wykraczały poza określony zakres i by okres przechowywania danych był ograniczony do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Należy podjąć wszelkie stosowne kroki gwarantujące poprawienie lub usunięcie nieścisłych danych osobowych. Aby uniknąć przechowywania danych przez czas dłuższy niż jest to konieczne, administrator powinien ustalić termin usuwania danych lub okresowego przeglądu.

(31) Aby przetwarzanie danych osobowych było zgodne z prawem, powinno odbywać się na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej przez prawo: czy to przepisów niniejszego rozporządzenia czy to innych przepisów prawa Unii lub państw członkowskich, o których mowa w tym rozporządzeniu. W przypadku dziecka lub osoby nieposiadającej zdolności do czynności prawnych właściwe prawo Unii lub państwa członkowskiego powinno określać warunki udzielania lub aprobowania zgody przez tę osobę. [Popr. 10]

(32) Jeśli przetwarzanie odbywa się na podstawie zgody podmiotu danych, ciężar udowodnienia, że podmiot danych wyraził zgodę na operację przetwarzania, spoczywa na administratorze. W szczególności w przypadku pisemnego oświadczenia złożonego w innej sprawie odpowiednie gwarancje powinny zapewniać, aby podmiot danych był świadomy wyrażenia zgody oraz jej zakresu. Aby zapewnić zgodność z zasadą minimalizacji danych, ciężaru dowodu nie należy rozumieć jako wymogu pozytywnej identyfikacji podmiotów danych, chyba że jest to konieczne. Podobnie jak warunki prawa cywilnego (np. dyrektywa Rady 93/13/EWG 8 ), zasady ochrony danych powinny być jak najbardziej jasne i przejrzyste. Nie powinny one obejmować klauzul ukrytych lub niekorzystnych. Nie można udzielić zgody na przetwarzanie danych osobowych osób trzecich. [Popr. 11]

(33) W celu zapewnienia dobrowolnej zgody należy wyjaśnić, że zgoda nie stanowi ważnej podstawy prawnej, jeśli dana osoba nie może dokonać rzeczywistego i wolnego wyboru, a następnie nie może odmówić ani odwołać zgody bez poniesienia szkody. Chodzi tu zwłaszcza o przypadek, gdy administrator jest organem publicznym, który może nałożyć obowiązek na mocy swoich odpowiednich uprawnień publicznych, i zgoda nie może być uznana za udzieloną dobrowolnie. Wykorzystanie domyślnych opcji, które podmiot danych zobowiązany jest zmodyfikować w celu wniesienia sprzeciwu wobec przetwarzania, takich jak z góry zaznaczone pola wyboru, nie oznacza dobrowolnej zgody. Zgoda na przetwarzanie dodatkowych danych osobowych, które nie są konieczne do świadczenia usługi, nie powinna być wymagana w celu skorzystania z usługi. Gdy zgoda zostaje wycofana, może to umożliwić zaprzestanie świadczenia lub niewykonanie usługi, która jest zależna od tych danych. Jeżeli zrealizowanie zamierzonego celu nie jest jasno stwierdzone, administrator powinien w regularnych odstępach czasu przekazywać podmiotowi danych informacje o przetwarzaniu oraz zwracać się o ponowne potwierdzenie zgody. [Popr. 12]

(34) Zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia Jeśli administrator jest organem publicznym, brak równowagi wystąpiłby wyłącznie w przypadku operacji przetwarzania szczególnych danych, gdy organ publiczny może nałożyć obowiązek na mocy odpowiednich uprawnień publicznych a zgody nie można uznać za wyrażoną dobrowolnie, uwzględniając interes podmiotu danych. [Popr. 13]

(35) Przetwarzanie powinno być zgodne z prawem tam, gdzie jest konieczne w kontekście umowy lub zamiaru zawarcia umowy.

(36) Jeśli przetwarzanie odbywa się w ramach wypełnienia przez administratora ciążącego na nim obowiązku prawnego lub jeśli przetwarzanie jest konieczne w celu wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej, podstawę prawną przetwarzania powinny stanowić przepisy prawa Unii lub państwa członkowskiego, które spełniają wymagania Karty w zakresie ograniczeń praw i wolności. Powinno to obejmować również układy zbiorowe, które mogą być uznane na mocy prawa krajowego za ogólnie obowiązujące. Prawo Unii lub prawo krajowe powinno określić, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w celu wykonania władzy publicznej powinien być organ administracji publicznej czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, jak np. zrzeszenie zawodowe. [Popr. 14]

(37) Przetwarzanie danych osobowych powinno być również uznawane za zgodne z prawem, jeśli jest konieczne w celu ochrony interesu, który ma istotne znaczenie dla życia podmiotu danych.

(38) Słuszny Uzasadniony interes administratora lub - w przypadku ujawnienia - strony trzeciej, której ujawniono dane, może stanowić podstawę prawną przetwarzania, pod warunkiem że odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem oraz że interesy lub podstawowe prawa i wolności podmiotu danych, nie mają charakteru nadrzędnego. Wymagałoby to przeprowadzenia rzetelnej oceny, w szczególności w sytuacji, gdy podmiotem danych jest dziecko, zważywszy że dzieci wymagają szczególnej ochrony. O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie ograniczone do danych pseudonimicznych odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. Podmiot danych powinien mieć prawo wniesienia sprzeciwu wobec przetwarzania ze względu na swoją szczególną sytuacją i w sposób wolny od opłat. Aby zapewnić przejrzystość, administrator powinien być zobowiązany do wyraźnego poinformowania podmiotu danych o słusznych uzasadnionych interesach realizowanych przez administratora, oraz o prawie wniesienia sprzeciwu, a także powinien być zobowiązany do udokumentowania tych słusznych uzasadnionych interesów. Interesy i prawa podstawowe podmiotu danych mogłyby w szczególności być nadrzędne w stosunku do interesu administratora danych, jeżeli dane osobowe są przetwarzane w sytuacji, gdy podmioty danych nie mają racjonalnych podstaw, by oczekiwać dalszego przetwarzania. Zważywszy, że ustawodawca określa w przepisach podstawę prawną przetwarzania danych przez organy publiczne, ta podstawa prawa określa w przepisach ustawodawca, ten argument prawny nie powinna powinien mieć zastosowania do przetwarzania danych przez organy publiczne w ramach wykonywania powierzonych im zadań. [Popr. 15]

(39) Przetwarzanie danych w zakresie bezwzględnie koniecznym i proporcjonalnym do celów zapewnienia bezpieczeństwa sieci i informacji, tj. zapewnienia odporności sieci lub systemu informacyjnego, na danym poziomie ufności, na zdarzenia przypadkowe lub podstępne działania niezgodne z prawem albo podstępne, naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy, przez organy publiczne, zespoły reagowania na incydenty komputerowe (CERT), zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo (CSIRT), dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa, stanowi słuszny uzasadniony interes danego administratora. Mogłoby to na przykład obejmować zapobieganie nieupoważnionemu dostępowi do sieci łączności elektronicznej oraz rozprowadzaniu złośliwych kodów oraz przerywanie ataków wywołujących "blokadę usługi", a także przeciwdziałanie uszkodzeniu systemów komputerowych i łączności elektronicznej. Zasada ta ma także zastosowanie do przetwarzania danych osobowych w celu ograniczenia niewłaściwego dostępu do publicznie dostępnych sieci lub systemów informacyjnych oraz ich niewłaściwego wykorzystywania, jak tworzenie czarnych list identyfikatorów elektronicznych. [Popr. 16]

(39a) O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że zapobieganie szkodom lub ograniczanie szkód po stronie administratora danych jest prowadzone w uzasadnionym interesie administratora danych lub - w przypadku ujawnienia - strony trzeciej, której ujawniono dane, oraz że odpowiada ono racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. Ta sama zasada ma zastosowanie również do egzekwowania roszczeń prawnych przeciw podmiotowi danych, jak ściąganie należności lub roszczenie o odszkodowanie cywilne i wyrównanie szkody. [Popr. 17]

(39b) O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie danych osobowych do celu marketingu bezpośredniego dotyczącego własnych lub podobnych produktów i usług lub do celów bezpośredniego marketingu drogą pocztową jest prowadzone w uzasadnionym interesie administratora lub - w przypadku ujawnienia - strony trzeciej, której ujawniono dane, oraz odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem, jeżeli zamieszczono bardzo wyraźnie widoczne informacje na temat prawa do sprzeciwu i na temat źródła danych osobowych. Przetwarzanie biznesowych danych kontaktowych powinno być ogólnie uznawane za prowadzone w uzasadnionym interesie administratora lub - w przypadku ujawnienia - strony trzeciej, której ujawniono dane, oraz za odpowiadające racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. To samo powinno mieć zastosowanie do przetwarzania danych osobowych wyraźnie ujawnionych przez podmiot danych. [Popr. 18]

(40) Przetwarzanie danych osobowych do innych celów powinno być dozwolone jedynie wtedy, gdy jest ono zgodne z celami, dla których dane zostały pierwotnie zebrane, w szczególności jeśli przetwarzanie jest niezbędne do celów badań historycznych, statystycznych lub naukowych. Jeśli ten inny cel nie jest zgodny z celem pierwotnym, w którym dane zostały zebrane, administrator powinien uzyskać zgodę podmiotu danych na realizację tego celu lub powinien oprzeć przetwarzanie na innej uzasadnionej podstawie zgodnego z prawem przetwarzania, w szczególności przewidzianej przez prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. W każdym przypadku należy zapewnić stosowanie zasad wskazanych w niniejszym rozporządzeniu, w szczególności w zakresie poinformowania podmiotu danych o tych innych celach. [Popr. 19]

(41) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe i narażone na ryzyko w kontekście podstawowych praw lub prywatność, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że podmiot danych wyraźnie wyrazi na to zgodę. Należy jednak wyraźnie wskazać odstępstwa od tego zakazu ze względu na szczególne potrzeby, zwłaszcza wtedy gdy przetwarzanie danych odbywa się w ramach zgodnych z prawem działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie realizacji podstawowych wolności. [Popr. 20]

(42) Należy także zezwolić na odstępstwa od zakazu przetwarzania wrażliwych kategorii danych, jeśli odbywa się ono na podstawie przepisów prawa i z zastrzeżeniem odpowiednich gwarancji, w celu ochrony danych osobowych i innych podstawowych praw, jeśli jest to uzasadnione interesem publicznym, w szczególności w celach związanych z opieką zdrowotną, w tym zdrowiem publicznym i ochroną socjalną oraz zarządzaniem usługami opieki zdrowotnej, zwłaszcza by zapewnić odpowiednią jakość i zasadność ekonomiczną procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub w celach badań historycznych, statystycznych i naukowych lub dla służb archiwistycznych. [Popr. 21]

(43) Ponadto przetwarzanie danych osobowych przez organy publiczne dla osiągnięcia przez oficjalnie uznane związki religijne celów określonych w prawie konstytucyjnym lub prawie międzynarodowym publicznym, odbywa się ze względu na interes publiczny.

(44) W przypadku gdy w trakcie działań wyborczych funkcjonowanie systemu demokratycznego w niektórych państwach członkowskich wymaga zbierania przez partie polityczne danych na temat opinii politycznych obywateli, przetwarzanie tych danych może być dozwolone ze względu na interes publiczny, pod warunkiem ustanowienia odpowiednich gwarancji.

(45) Jeśli dane przetwarzane przez administratora nie pozwalają mu na zidentyfikowanie osoby fizycznej, nie ma on obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność przestrzegania przepisu niniejszego rozporządzenia. W przypadku wniosku o dostęp, administrator powinien być upoważniony do zwracania się do podmiotu danych o udzielenie dalszych informacji, które umożliwią mu znalezienie danych osobowych, o które zwraca się wnioskodawca. Jeśli istnieje możliwość, aby podmiot danych udzielił takich informacji, administratorzy nie powinni przywoływać braku informacji jako powodu odmownego rozpatrzenia wniosku o dostęp. [Popr. 22]

(46) Zasada przejrzystości wymaga, by wszelkie informacje przekazywane zarówno opinii publicznej, jak i podmiotowi danych, były łatwo dostępne i zrozumiałe, oraz by napisano je jasnym i prostym językiem. Dotyczy to w szczególności takich sytuacji jak np. reklama w internecie, w których duża liczba podmiotów i złożoność technologiczna praktyki utrudnia podmiotowi danych uzyskanie wiadomości o tym, że dane osobowe go dotyczące są zbierane, kto je zbiera oraz w jakich celach, oraz zrozumienie tego. Zważywszy, że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty, których przetwarzanie jest adresowane konkretnie do dziecka, powinny być tworzone w jasnym i prostym języku, który jest zrozumiały dla dziecka.

(47) Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszego rozporządzenia, włączając w tym mechanizmy składania wniosków, wolnych od opłat, dotyczących zapewniające uzyskiwanie, bezpłatnie, w szczególności dostępu do danych, oraz możliwości ich poprawiania ich, i usuwania oraz wykonywania, a także wykonywanie prawa do wniesienia sprzeciwu. Administrator powinien być zobowiązany do udzielania odpowiedzi na wnioski podmiotów danych w określonym rozsądnym terminie oraz podania przyczyn ewentualnego braku zastosowania się do wniosku danego podmiotu danych. [Popr. 23]

(48) Zasady rzetelnego i przejrzystego przetwarzania wymagają, by podmiot danych był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, o prawdopodobnym okresie przechowywania danych do poszczególnych celów, o tym, czy dane mają być przekazane stronom trzecim lub krajom trzecim, o istnieniu środków umożliwiających wniesienie sprzeciwu i o przysługującym mu prawie dostępu, poprawienia lub usunięcia danych oraz prawie do złożenia skargi. W przypadku konieczności uzyskania danych od podmiotu danych, należy go także poinformować o tym, że czy ma on obowiązek przekazać dane, oraz o konsekwencjach braku przekazania takich danych. Informacje te powinny być przekazywane - co może również oznaczać dostępne w każdej chwili - podmiotowi danych po przekazaniu uproszczonych informacji w formie standardowych ikon. Powinno to również oznaczać, że dane osobowe są przetwarzane w taki sposób, aby skutecznie umożliwić podmiotowi danych korzystanie z przysługujących mu praw. [Popr. 24]

(49) Informacje dotyczące przetwarzania danych osobowych odnoszących się do podmiotu danych powinny być mu przekazane w momencie zbierania danych lub, jeśli dane nie są uzyskiwane od tego podmiotu, w rozsądnym terminie, zależnie od okoliczności sprawy. Jeśli dane można zgodnie z prawem ujawnić innemu odbiorcy, w momencie pierwszorazowego ujawnienia danych temu odbiorcy należy przekazać stosowne informacje podmiotowi danych.

(50) Nakładanie tego obowiązku nie jest jednak konieczne, jeśli podmiot danych dysponuje zapoznał się już tymi informacjami z tymi informacjami lub jeśli rejestracja bądź ujawnienie danych są wyraźnie przewidziane przez przepisy prawa, lub jeśli przekazanie informacji podmiotowi danych okazuje się niemożliwe lub wiąże się z niewspółmiernie dużym wysiłkiem. Ten ostatni wariant dotyczy sytuacji, w której przetwarzanie odbywa się w celach związanych z dokumentacją, statystyką lub w celach badań naukowych - w takim przypadku można wziąć pod uwagę liczbę podmiotów danych, wiek danych oraz przyjęte środki wyrównawcze. [Popr. 25]

(51) Każdej osobie powinno przysługiwać prawo dostępu do danych zebranych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do wiedzy i uzyskania wiadomości w szczególności o celach, dla których dane są przetwarzane, przez jaki szacowany okres, jacy odbiorcy otrzymują dane, o ogólnych zasadach przetwarzania danych oraz ewentualnych skutkach tego przetwarzania, nawet tylko na podstawie profilowania. Prawo to nie powinno negatywnie wpływać na prawa i wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące na przykład w odniesieniu do praw autorskich chroniących oprogramowanie. Powyżej omówione względy nie powinny jednak powodować odmowy udzielenia podmiotowi danych wszystkich informacji. [Popr. 26]

(52) Administrator powinien skorzystać ze wszystkich uzasadnionych środków w celu weryfikacji tożsamości podmiotu danych, który żąda dostępu, w szczególności w kontekście usług internetowych i identyfikatorów internetowych. Administrator nie powinien zatrzymywać danych osobowych wyłącznie po to, by móc odpowiadać na potencjalne wnioski.

(53) Każda osoba powinna mieć prawo do poprawienia dotyczących jej danych osobowych oraz "prawo do bycia zapomnianym usunięcia danych", jeśli przechowywanie tych danych nie jest zgodne z niniejszym rozporządzeniem. W szczególności podmioty danych powinny mieć prawo do tego, by ich dane osobowe zostały usunięte i nie były dalej przetwarzane, jeśli dane te nie są już konieczne do celów, dla których dane są zbierane lub przetwarzane w inny sposób, jeśli podmioty danych odwołały zgodę na przetwarzanie lub jeśli wnoszą sprzeciw wobec przetwarzania danych osobowych ich dotyczących, lub jeśli przetwarzanie ich danych osobowych nie jest zgodne z niniejszym rozporządzeniem z innego powodu. Prawo to ma szczególne znaczenie wtedy, gdy podmiot danych wyraził zgodę jako dziecko, nie będąc w pełni świadomy ryzyk związanych z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, zwłaszcza z internetu. Dalsze przechowywanie danych powinno być jednak dopuszczalne, jeśli jest ono niezbędne do celów dokumentacji, statystyki i badań naukowych, realizacji interesu publicznego w dziedzinie zdrowia publicznego, wykonania prawa wolności wypowiedzi, jeśli wymagają tego przepisy prawa lub jeśli są powody ograniczenia przetwarzania danych zamiast ich usunięcia. Prawo do usunięcia danych nie ma również zastosowania, gdy zatrzymanie danych osobowych jest niezbędne w celu wykonania umowy z podmiotem danych lub gdy istnieje obwiązek prawny zatrzymania tych danych. [Popr. 27]

(54) Aby wzmocnić "prawo do bycia zapomnianym usunięcia danych" w internecie, prawo do usunięcia danych powinno być także rozszerzone w taki sposób, by administrator, który upublicznił dane bez uzasadnienia prawnego, miał obowiązek poinformować osoby trzecie, które przetwarzają te dane, że podmiot przetwarzający dane złożył wniosek o usunięcie wszelkich linków do danych, kopii lub replikacji tych danych osobowych. Aby zapewnić przekazanie tych informacji, administrator powinien podjąć wszelkie racjonalne kroki, w tym środki techniczne, dotyczące danych, za których publikację odpowiada administrator. Jeśli chodzi o publikowanie danych osobowych przez osoby trzecie, administratora należy uznać za odpowiedzialnego za publikację tych danych, jeśli wyraził on zgodę na publikację tych danych przez osobę trzecią poczynić wszelkie niezbędne kroki w celu doprowadzenia do usunięcia danych, w tym przez strony trzecie, bez uszczerbku dla przysługującego podmiotowi danych prawa do wystąpienia o odszkodowanie. [Popr. 28]

(54a) Dane, które kwestionuje podmiot danych i których ścisłość lub nieścisłość nie może zostać stwierdzona, należy zablokować do wyjaśnienia sprawy. [Popr. 29]

(55) W celu dalszego wzmocnienia kontroli nad własnymi danymi oraz prawa dostępu, podmioty danych powinny mieć prawo, w przypadku gdy dane osobowe są przetwarzane w sposób elektroniczny oraz w zorganizowanym i powszechnie używanym formacie, do otrzymania kopii dotyczących ich danych także w takim powszechnie używanym formacie elektronicznym. Podmiot danych powinien także móc przekazywać dane, które dostarczył, ze zautomatyzowanej aplikacji, takiej jak sieć społeczna, do innej. Administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów umożliwiających przenoszenie danych. Powinno to mieć zastosowanie wtedy, gdy podmiot danych dostarczył dane do automatycznego systemu przetwarzania na podstawie swojej zgody lub w związku z wykonaniem umowy. Dostawcy usług społeczeństwa informacyjnego nie powinni uzależniać świadczenia swoich usług od przekazywania tych danych. [Popr. 30]

(56) W przypadkach, w których dane osobowe mogłyby być przetwarzane zgodnie z prawem w celu ochrony żywotnych interesów podmiotu danych lub gdy jest to uzasadnione interesem publicznym, wykonywaniem władzy publicznej lub słusznymi interesami administratora, każdemu podmiotowi danych powinno jednak przysługiwać prawo wniesienia sprzeciwu wobec przetwarzania danych go dotyczących w prosty, skuteczny i wolny od opłat sposób. Ciężar dowodu w zakresie wykazania, że słuszne uzasadnione interesy administratora mogą mieć charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych, spoczywa na administratorze. [Popr. 31]

(57) Jeśli dane osobowe przetwarzane są do celów marketingu bezpośredniego, podmiot danych powinien mieć ma prawo wniesienia sprzeciwu wobec takiego przetwarzania w prosty, skuteczny i wolny od opłat, administrator powinien wyraźnie poinformować o nim podmiot danych w zrozumiały sposób i w zrozumiałej formie, jasnym i prostym językiem, oraz powinien wyraźnie wyodrębnić tę informację od innych informacji. [Popr. 32]

(58) Bez uszczerbku dla zgodności przetwarzania danych z prawem, każda osoba fizyczna powinna mieć prawo niepodlegania środkowi opartemu na profilowaniu dokonywanym poprzez automatyczne przetwarzanie do sprzeciwu wobec profilowania. Taki środek powinien Profilowanie, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, powinno być jednak dozwolony dozwolone jedynie wtedy, gdy jest wyraźnie przewidziany przewidziane przez przepisy prawa, stosowany stosowane w toku zawierania lub wykonywania umowy lub gdy podmiot danych wyraził na niego nie zgodę. W każdym przypadku takie przetwarzanie powinno stanowić przedmiot odpowiednich gwarancji, w tym konkretnych informacji podmiotu danych i prawa do interwencji oceny ze strony człowieka, a środek ten nie powinien dotyczyć dzieci. Takie środki nie powinny prowadzić do dyskryminacji osób ze względu na rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, członkostwo w związkach zawodowych, orientację seksualną lub tożsamość płciową. [Popr. 33]

(58a) Należy zakładać, że profilowanie oparte wyłącznie na przetwarzaniu danych pseudonimicznych nie ma istotnego wpływu na interesy, prawa lub wolności podmiotu danych. Gdy profilowanie - niezależnie od tego, czy jest oparte na pojedynczym źródle danych pseudonimicznych, czy też na agregacji danych pseudonimicznych z różnych źródeł - umożliwia administratorowi przypisanie danych pseudonimicznych do konkretnego podmiotu danych, przetwarzane dane nie mogą już być uznawane za pseudonimiczne. [Popr. 34]

(59) Ograniczenia dotyczące szczególnych zasad i praw do informacji, dostępu, poprawiania i usuwania lub prawa przenoszenia dostępu do danych i ich otrzymywania, prawa wniesienia sprzeciwu, środków opartych na profilowaniu profilowania, a także informowania podmiotu danych o naruszeniu ochrony danych osobowych oraz pewnych powiązanych obowiązków administratorów mogą być nałożone przez prawo Unii lub państwa członkowskiego, w zakresie w jakim jest to konieczne i proporcjonalne w demokratycznym społeczeństwie, by zagwarantować bezpieczeństwo publiczne, w tym ochronę życia ludzkiego, zwłaszcza w ramach reagowania na klęski żywiołowe lub katastrofy wywołane przez człowieka, możliwość zapobiegania przestępstwom lub naruszeniom zasad etyki w przypadku zawodów regulowanych, ich ścigania i karania, inne szczególne i dobrze zdefiniowane publiczne interesy Unii lub państwa członkowskiego, w szczególności ważny interes gospodarczy lub finansowy Unii lub państwa członkowskiego, ochronę podmiotu danych lub też prawa i wolności innych osób. Ograniczenia te powinny być zgodne z wymogami Karty oraz Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. [Popr. 35]

(60) Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu, w szczególności w kwestiach takich jak dokumentacja, bezpieczeństwo danych, ocena skutków, inspektor ochrony danych oraz nadzór sprawowany przez organy do spraw ochrony. W szczególności administrator powinien zapewnić zgodność takiej operacji przetwarzania z niniejszym rozporządzeniem i mieć obowiązek wykazania tej zgodności być w stanie wykazać tę zgodność. Powinno to być weryfikowane przez niezależnych audytorów wewnętrznych lub zewnętrznych. [Popr. 36]

(61) Ochrona praw i wolności podmiotów danych w zakresie przetwarzania danych osobowych wymaga podjęcia odpowiednich środków technicznych i organizacyjnych, zarówno przy przygotowywaniu przetwarzania, jak i podczas samego przetwarzania, w celu zagwarantowania spełnienia wymogów niniejszego rozporządzenia. By zapewnić i wykazać zgodność z niniejszym rozporządzeniem, administrator powinien przyjąć wewnętrzne zasady polityki i wdrożyć odpowiednie środki, które są w szczególności zgodne z zasadą uwzględnienia ochrony danych już w fazie projektowania oraz zasadą domyślnej ochrony danych. Zasada uwzględniania ochrony danych już w fazie projektowania wymaga wbudowania ochrony danych w cały cykl życia technologii, od wczesnego etapu projektowania, aż po ostateczne uruchamianie, stosowanie i ostateczne usuwanie. Powinno to obejmować również odpowiedzialność za produkty i usługi, z których korzysta administrator lub podmiot przetwarzający. Zasada domyślnej ochrony danych wymaga, aby ustawienia dotyczące prywatności w usługach i produktach były domyślnie zgodne z ogólnymi zasadami ochrony danych, takimi jak zasada minimalizacji danych i zasada celowości. [Popr. 37]

(62) Ochrona praw i wolności podmiotów danych, a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających, także w odniesieniu do monitorowania przez organy nadzorcze i środków przez nie stosowanych, wymaga dokonania w niniejszym rozporządzeniu jasnego przydziału obowiązków, w tym w przypadku gdy administrator określa cele, warunki i sposoby przetwarzania wspólnie z innymi administratorami oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora. Porozumienie między współadmini-stratorami powinno odzwierciedlać faktyczną rolę i wzajemne relacje współadministratorów. Przetwarzanie danych osobowych zgodnie z niniejszym rozporządzeniem powinno obejmować zezwolenie administratorowi na przekazywanie danych współadministratorowi lub podmiotowi przetwarzającemu w celu przetworzenia danych w jego imieniu. [Popr. 38]

(63) Jeśli administrator niemający siedziby w Unii przetwarza dane osobowe podmiotów danych mających miejsce zamieszkania w Unii, a jego działalność w zakresie przetwarzania wiąże się z oferowaniem towarów lub usług tym podmiotom lub monitorowaniem ich zachowania, powinien on wyznaczyć przedstawiciela, chyba że administrator ma siedzibę w państwie trzecim zapewniającym odpowiedni poziom ochrony, lub przetwarzanie dotyczy mniej niż 5 000 podmiotów danych w dowolnym okresie kolejnych 12 miesięcy i nie jest prowadzone w odniesieniu do specjalnych kategorii danych osobowych lub administrator jest małym lub średnim przedsiębiorcą, organem lub podmiotem publicznym, lub chyba że gdy jedynie okazjonalnie oferuje towary lub usługi tym podmiotom. Przedstawiciel powinien działać w imieniu administratora, a organ nadzorczy może się do niego zwracać.

[Popr. 39]

(64) By stwierdzić, czy administrator jedynie okazjonalnie oferuje towary i usługi podmiotom danych mającym miejsce zamieszkania w Unii, należy się upewnić, czy z całości działalności administratora wynika, że oferowanie towarów i usług tym osobom, stanowi działalność dodatkową do działalności głównej. [Popr. 40]

(65) By móc wykazać zgodność z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni dokumentować każdą operację przetwarzania prowadzić dokumentację niezbędną do spełnienia wymogów określonych w niniejszym rozporządzeniu. Każdy administrator i podmiot przetwarzający powinni powinien być zobowiązani zobowiązany do współpracy z organem nadzorczym oraz do udostępniania mu, na żądanie, dokumentacji, tak by mogła ona służyć do monitorowania tych operacji przetwarzania oceny zgodności z niniejszym rozporządzeniem. Należy jednak położyć równy nacisk na znaczenie dobrej praktyki i zgodności z przepisami, a nie na samo wypełnianie dokumentacji. [Popr. 41]

(66) W celu utrzymania bezpieczeństwa i zapobiegania naruszaniu przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający powinni ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, uwzględniając stan wiedzy naukowej oraz koszty wdrożenia środków w odniesieniu do ryzyka oraz charakteru danych osobowych podlegających ochronie. Ustanawiając standardy techniczne i środki organizacyjne, by zapewnić bezpieczeństwo przetwarzania, Komisja powinna należy promować neutralność technologiczną, interoperacyjność i innowacyjność oraz, w razie potrzeby, współpracować zachęcać do współpracy z państwami trzecimi. [Popr. 42]

(67) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może prowadzić do znacznej straty ekonomicznej i szkód społecznych u danej osoby, w tym oszustwa dotyczącego tożsamości. Z tego względu administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, jeśli to możliwe, w ciągu 24 godzin powinien zawiadomić organ nadzorczy o naruszeniu niezwłocznie, przy czym zakłada się, że oznacz to nie później niż po72 godzinach. Jeśli nie jest to możliwe w ciągu 24 godzin, W stosownym przypadku do zawiadomienia należy dołączyć stosowne wyjaśnienie powodów opóźnienia. Osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie zawiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za wywierające niekorzystny wpływ na dane osobowe lub prywatność podmiotu danych, jeżeli jego skutkiem mogą być np. kradzież lub oszustwo dotyczące tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia. Zawiadomienie powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla osoby zainteresowanej dotyczące ograniczenia potencjalnych niekorzystnych skutków naruszenia. Zawiadomienia powinny być przekazywane podmiotom danych tak szybko jak to racjonalnie możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych przekazanych przez ten organ lub inne właściwe organy (np. organy ścigania). Na przykład szansa ograniczenia przez podmioty danych bezpośredniego ryzyka szkody wymagałaby szybkiego zawiadomienia podmiotów danych, zaś potrzeba wdrożenia właściwych środków w przypadku powtarzających się lub podobnych naruszeń ochrony danych może usprawiedliwiać dłuższe opóźnienie. [Popr. 43]

(68) By ustalić, czy organ nadzorczy i podmiot danych zostali niezwłocznie zawiadomieni o naruszeniu ochrony danych osobowych, należy sprawdzić, czy administrator wdrożył i zastosował odpowiednią ochronę technologiczną i środki organizacyjne pozwalające od razu stwierdzić, czy wystąpiło naruszenie ochrony danych osobowych, oraz niezwłocznie poinformować organ nadzorczy i podmiot danych, przed narażeniem na szwank interesu osobistego lub gospodarczego, uwzględniając zwłaszcza charakter i wagę naruszenia ochrony danych osobowych i jego konsekwencje oraz niekorzystne skutki dla podmiotu danych.

(69) Przy określaniu szczegółowych przepisów dotyczących formy i procedur mających zastosowanie przy zawiadamianiu o naruszeniach ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy organów ścigania, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia.

(70) Dyrektywa 95/46/WE przewidziała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powoduje jednak obciążenia administracyjne i finansowe i nie w każdym przypadku przyczynia się do ochrony danych osobowych. Z tego względu należałoby znieść ten ogólny obowiązek zawiadomienia i zastąpić go skutecznymi procedurami i mechanizmami, które zamiast tego koncentrowałyby się na operacjach przetwarzania, które mogą stwarzać określone ryzyko dla praw i wolności podmiotów danych, ze względu na swój charakter, zakres lub cele. W takich przypadkach administrator lub podmiot przetwarzający powinni przeprowadzić ocenę skutków w zakresie ochrony danych przed przetwarzaniem, która powinna w szczególności obejmować przewidywane środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych oraz wykazanie zgodności z niniejszym rozporządzeniem.

(71) Powinno to w szczególności mieć zastosowanie do nowo ustanowionych wielkoskalowych zbiorów danych, które mają na celu przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogłyby mieć wpływ na dużą liczbę podmiotów danych.

(71a) Oceny skutków są niezbędnym centralnym elementem wszelkich zrównoważonych ram ochrony danych, gdyż dzięki nim przedsiębiorstwa są od samego początku świadome wszelkich możliwych konsekwencji prowadzonych przez nie operacji przetwarzania danych. Jeżeli oceny skutków są starannie przeprowadzane, prawdopodobieństwo operacji naruszającej ochronę danych lub ochronę prywatności może zostać zasadniczo ograniczone. Ocena skutków w zakresie ochrony danych powinna konsekwentnie uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, opisując przy tym szczegółowo planowane operacje przetwarzania, ryzyko dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzyku, gwarancje, środki bezpieczeństwa i mechanizmy mające na celu zapewnienie zgodności z niniejszym rozporządzeniem. [Popr. 44]

(71b) Administratorzy powinni skupić się na ochronie danych osobowych w całym cyklu życia danych - od ich zebrania, przez przetwarzanie, do ich usunięcia - inwestując od samego początku w zrównoważone ramy zarządzania danymi, a następnie wprowadzając kompleksowy mechanizm zgodności. [Popr. 45]

(72) W niektórych okolicznościach może być rozsądne i korzystne, by temat oceny skutków w zakresie ochrony danych był szerszy niż tylko pojedynczy projekt, na przykład gdy organy lub podmioty publiczne zamierzają ustanowić wspólną aplikację lub platformę służącą do przetwarzania lub gdy kilku administratorów planuje wprowadzić wspólną aplikację lub środowisko przetwarzania obejmujące sektor lub segment przemysłu lub do celów powszechnie stosowanej działalności międzysektorowej.

(73) Ocenę skutków w zakresie ochrony danych powinien przeprowadzić organ publiczny lub podmiot publiczny, o ile takiej oceny nie dokonano do tej pory w kontekście przyjęcia przepisów prawa krajowego, na których opiera się wykonanie zadań organu publicznego lub podmiotu publicznego i które regulują szczególną operację przetwarzania lub zestaw omawianych operacji. [Popr. 46]

(74) Jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania wiążą się z wysokim poziomem konkretnych ryzyk konkretnego ryzyka dla praw i wolności podmiotów danych, takich takiego jak pozbawienie osób fizycznych przysługującego im prawa lub korzystanie z konkretnych nowych technologii, przed rozpoczęciem operacji należy zasięgnąć opinii inspektora ochrony danych lub organu nadzorczego na temat ryzykownego przetwarzania, które mogłoby być niezgodne z niniejszym rozporządzeniem oraz przedstawić propozycje naprawienia tej sytuacji. Opinii organu nadzorczego należy zasięgnąć również w trakcie przygotowywania środka ustawodawczego przez parlament narodowy lub środka opartego na takim środku prawnym, który określa charakter przetwarzania danych oraz daje odpowiednie gwarancje. [Popr. 47]

(74a) Oceny skutków mogą być pomocne jedynie wtedy, gdy administratorzy dopilnują spełnienia obietnic początkowo w nich poczynionych. Administratorzy danych powinni w związku z tym dokonywać okresowych przeglądów pod kątem zgodności z zasadami ochrony danych w celu wykazania, że stosowane mechanizmy przetwarzania danych są zgodne z zapewnieniami sformułowanymi w ocenie skutków w zakresie ochrony danych. Przegląd ten powinien również wykazać zdolność administratora danych do respektowania niezależnych wyborów dokonanych przez podmioty danych. Ponadto w przypadku, gdy w wyniku przeglądu wykazane zostaną niezgodności, należy je podkreślić oraz przedstawić zalecenia dotyczące sposobu osiągnięcia pełnej zgodności. [Popr. 48]

(75) Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze prywatnym prowadzi duże przedsiębiorstwo odnosi się do ponad 5 000 podmiotów danych w ciągu 12 miesięcy, lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania dotyczące danych wrażliwych lub operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Określając, czy przetwarzane są dane dotyczące dużej liczby podmiotów danych, nie powinno się uwzględniać danych zarchiwizowanych, które są ograniczone w ten sposób, że nie podlegają normalnemu dostępowi do danych ani operacjom przetwarzania prowadzonym przez administratora oraz nie mogą być już zmieniane. Taki inspektor ochrony danych, który może być pracownikiem administratora, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania oraz korzystać ze specjalnej ochrony przed odwołaniem z funkcji. Ostateczna odpowiedzialność powinna nadal spoczywać na kierownictwie danej organizacji. Opinii inspektora ochrony danych należy zasięgnąć w szczególności przed zaprojektowaniem, zamówieniem, opracowaniem i ustanowieniem systemów automatycznego przetwarzania danych osobowych, aby zapewnić zgodność z zasadami ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności. [Popr. 49]

(75a) Inspektor ochrony danych powinien mieć co najmniej następujące kwalifikacje: obszerną wiedzę na temat treści i stosowania prawa o ochronie danych, w tym na temat technicznych i organizacyjnych środków i procedur; znajomość wymogów technicznych odnoszących się do ochrony prywatności w fazie projektowania, do domyślnej ochrony prywatności oraz do bezpieczeństwa danych; wiedzę branżową odpowiadającą wielkości działalności administratora lub podmiotu przetwarzającego oraz poufnemu charakterowi danych, które mają być przetwarzane; umiejętność prowadzenia inspekcji, konsultacji, dokumentacji i analizowania plików dziennika; umiejętność współpracy z przedstawicielami pracowników. Administrator powinien umożliwiać inspektorowi ochrony danych udział w zaawansowanych szkoleniach mających na celu utrzymanie poziomu specjalistycznej wiedzy niezbędnej do wykonywania jego obowiązków. Wyznaczenie do pełnienia funkcji inspektora ochrony danych nie musi wymagać pracy danego pracownika w pełnym wymiarze. [Popr. 50]

(76) Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów należy zachęcać do sporządzenia kodeksów postępowania, po konsultacji z przedstawicielami pracowników, w granicach niniejszego rozporządzenia, by ułatwiać skuteczne stosowanie niniejszego rozporządzenia, uwzględniając szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Kodeksy takie powinny ułatwić branży zachowanie zgodności z niniejszym rozporządzeniem. [Popr. 51]

(77) By zwiększyć przejrzystość i zgodność z niniejszym rozporządzeniem, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz wprowadzenia pieczęci i standaryzowanych oznaczeń w zakresie ochrony danych, umożliwiając w ten sposób podmiotom danych szybką, wiarygodną i weryfikowalną ocenę poziomu ochrony danych odnośnych produktów i usług. Należy ustanowić "europejską pieczęć w zakresie ochrony danych" na szczeblu europejskim, aby zapewnić zaufanie wśród podmiotów danych, pewność prawa dla administratorów, a jednocześnie promować europejskie standardy ochrony danych poza UE przez ułatwienie pozaeuropejskim przedsiębiorstwom dostępu do rynków europejskich po przejściu procedury certyfikacji. [Popr. 52]

(78) Transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. Zwiększenie tego przepływu wiąże się z nowymi wyzwaniami i problemami w zakresie ochrony danych osobowych. Przekazując dane osobowe z Unii do państw trzecich lub organizacji międzynarodowych, nie należy jednak zmniejszać poziomu ochrony osób fizycznych gwarantowanego w Unii na mocy niniejszego rozporządzenia. W każdym razie przekazywanie danych do państw trzecich może odbywać się jedynie w pełnej zgodności z niniejszym rozporządzeniem.

(79) Niniejsze rozporządzenie nie narusza postanowień umów międzynarodowych zawartych między Unią a państwami trzecimi, regulujących przekazywanie danych osobowych, przewidujących odpowiednie gwarancje dla podmiotów danych zapewaniające dostateczny poziom ochrony podstawowych praw obywateli. [Popr. 53]

(80) Komisja może podjąć decyzję, która będzie obowiązywać w całej Unii, że niektóre państwa trzecie lub też jakieś terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, bądź organizacja międzynarodowa oferują odpowiedni poziom ochrony danych, gwarantując tym samym pewność prawną i jednolitość w całej Unii, jeśli chodzi o państwa trzecie lub organizacje międzynarodowe uważane za zapewniające taki poziom ochrony. W takich przypadkach przekazywanie danych osobowych do tych państw może odbywać się bez potrzeby uzyskania dalszego zezwolenia. Komisja może także zdecydować, wcześniej informując o tym państwo trzecie i przedstawiając mu kompletne uzasadnienie, o odwołaniu takiej decyzji. [Popr. 54]

(81) Zgodnie z podstawowymi wartościami, na których opiera się Unia, w szczególności ochroną praw człowieka, w swej ocenie państwa trzeciego Komisja powinna wziąć pod uwagę sposób, w jaki dane państwo trzecie przestrzega zasad praworządności, dostępu do wymiaru sprawiedliwości, a także międzynarodowych norm i standardów ochrony praw człowieka.

(82) Komisja może również uznać, że państwo trzecie lub terytorium bądź sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, albo organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. Wszelkie przepisy, które wymagają dostępu pozaterytorialnego do danych osobowych w Unii bez zezwolenia na mocy prawa państwa członkowskiego lub Unii, należy uznawać za świadczące o braku odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane. W takim przypadku należałoby przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi. [Popr. 55]

(83) W braku decyzji stwierdzającej odpowiedni poziom ochrony administrator lub podmiot przetwarzający powinni podjąć środki mające na celu zrekompensowanie braku ochrony w państwie trzecim poprzez zaoferowanie podmiotowi danych odpowiednich gwarancji. Takie odpowiednie gwarancje mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy, lub klauzul umownych dopuszczonych przez organ nadzorczy lub innych właściwych i proporcjonalnych środków uzasadnionych w świetle wszystkich okoliczności związanych z jedną operacją przekazania danych lub zestawem takich operacji przekazania, o ile zezwoli na to organ nadzorczy. Te odpowiednie gwarancje powinny zapewniać poszanowanie praw podmiotów danych w stopniu odpowiednim do przetwarzania wewnątrz UE, w szczególności w kwestiach takich jak zasada celowości, prawo dostępu, poprawianie, usuwanie danych i występowanie o odszkodowanie. Gwarancje te powinny w szczególności zapewniać przestrzeganie zasad przetwarzania danych osobowych, chronić prawa podmiotów danych oraz przewidywać skuteczne mechanizmy dochodzenia roszczeń, zapewniać przestrzeganie zasad ochrony danych w fazie projektowania i domyślnej ochrony danych, zapewniać istnienie inspektora ochrony danych. [Popr. 56]

(84) Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna uniemożliwiać włączenia przez nich standardowych klauzul ochrony danych do szerszej umowy ani dodania innych klauzul lub dodatkowych gwarancji, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub organ nadzorczy lub też nie naruszają podstawowych praw lub wolności podmiotów danych. Standardowe klauzule dotyczące ochrony danych przyjęte przez Komisję mogłyby obejmować różne sytuacje, to jest przekazywanie przez administratorów mających siedzibę w Unii do administratorów poza Unią oraz przez administratorów mających siedzibę w Unii do podmiotów przetwarzających - w tym podwykonawców podmiotów przetwarzających - mających siedzibę poza Unią. Należy zachęcać administratorów i podmioty przetwarzające do zapewnienia jeszcze mocniejszych gwarancji za pomocą dodatkowych zobowiązań umownych, uzupełniających standardowe klauzule dotyczące ochrony. [Popr. 57]

(85) Grupa korporacyjna powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych do międzynarodowego przekazywania danych z Unii do organizacji w ramach tej samej korporacyjnej grupy przedsiębiorstw, o ile takie reguły korporacyjne obejmują wszystkie istotne zasady i egzekwowalne prawa mające na celu zapewnienie odpowiednich standardów gwarancji dotyczących przekazywania lub kategorii przekazywania danych osobowych. [Popr. 58]

(86) Należy przewidzieć możliwość przekazywania danych w niektórych okolicznościach, jeżeli podmiot danych wyraził na to zgodę, jeżeli przekazanie danych jest konieczne w związku z umową lub roszczeniem prawnym, jeżeli wymagać tego będzie ochrona ważnego interesu publicznego wskazanego przez Unię lub państwo członkowskie lub w przypadku przekazania danych z rejestru utworzonego na mocy przepisów prawa i przeznaczonego do wglądu dla ogółu społeczeństwa lub osób wykazujących słuszny uzasadniony interes. W tym ostatnim przypadku przekazanie nie powinno obejmować całości danych lub całych kategorii danych z rejestru oraz, jeżeli rejestr jest przeznaczony do wglądu dla osób wykazujących słuszny uzasadniony interes, przekazanie danych powinno nastąpić jedynie na wniosek tych osób lub wówczas, gdy osoby te mają być odbiorcami, przy pełnym uwzględnieniu interesów i praw podstawowych podmiotu danych. [Popr. 59]

(87) Odstępstwa te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego do ochrony istotnego interesu publicznego, na przykład w przypadkach przesyłania danych za granicę między organami ds. konkurencji, organami podatkowymi lub administracją celną, finansowymi organami nadzorczymi, między służbami odpowiedzialnymi za sprawy ubezpieczeń społecznych lub za zdrowie publiczne lub do właściwych organów publicznych odpowiedzialnych za zapobieganie przestępstwom, ich ściganie, wykrywanie lub i karanie, w tym za zapobieganie praniu pieniędzy i za walkę z finansowaniem terroryzmu. Przekazywanie danych osobowych należy uznać za zgodne z prawem również wtedy, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla życia podmiotu danych lub innej osoby, a podmiot danych nie jest w stanie udzielić zgody. Przekazywanie danych osobowych związane z takim istotnym interesem publicznym powinno mieć charakter sporadyczny. W każdym przypadku należy przeprowadzić dokładną ocenę wszystkich okoliczności takiego przekazywania. [Popr. 60]

(88) Przekazywanie, którego nie można określić jako częste lub masowe, mogłoby także być możliwe ze względu na słuszne interesy administratora lub podmiotu przetwarzającego, przy założeniu, że dokonali oni oceny wszystkich okoliczności związanych z przekazaniem danych. W przypadku przetwarzania do celów dokumentacji, statystyki i badań naukowych należy wziąć pod uwagę słuszne oczekiwania społeczeństwa w zakresie zwiększenia wiedzy. [Popr. 61]

(89) W każdym przypadku, jeśli Komicja Komisja nie podjęła decyzji stwierdzającej odpowiedni poziomu poziom ochrony danych w państwie trzecim, administrator lub podmiot przetwarzający powinni skorzystać z rozwiązań, które dają podmiotom danych prawnie wiążącą gwarancję, że będą one nadal podlegać podstawowym prawom i gwarancjom w zakresie przetwarzania ich danych w Unii, także po przekazaniu danych, o ile przetwarzanie nie jest masowe, powtarzalne ani strukturalne. Taka gwarancja powinna obejmować odszkodowanie finansowe w przypadkach utraty, niedozwolonego dostępu lub przetwarzania danych oraz obowiązek udzielenia wszelkich szczegółowych informacji dotyczących dostępu organów publicznych do danych w państwie trzecim, niezależnie od przepisów krajowych. [Popr. 62]

(90) Niektóre państwa trzecie uchwalają ustawy, rozporządzenia i inne instrumenty prawne, które mają bezpośrednio regulować działalność w zakresie przetwarzania danych osób fizycznych i prawnych podlegających jurysdykcji państw członkowskich. Ekstraterytorialne stosowanie tych ustaw, rozporządzeń i innych instrumentów prawnych może naruszać prawo międzynarodowe i uniemożliwiać osiągnięcie celu ochrony osób fizycznych zagwarantowanej przez Unię w niniejszym rozporządzeniu. Przekazywanie nie powinno być dopuszczalne, jeśli nie są spełnione warunki przekazywania danych do państw trzecich wskazane w niniejszym rozporządzeniu. Może to może między innymi dotyczyć sytuacji, w której ujawnienie jest niezbędne ze względu na ważny interes publiczny uznany w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator. Warunki istnienia ważnego interesu publicznego powinny zostać następnie określone przez Komisję w akcie delegowanym. W przypadkach gdy administratorzy lub podmioty przetwarzające stają wobec konfliktu związanego z wymogami zgodności między jurysdykcją Unii a jurysdykcją państwa trzeciego, Komisja powinna zapewnić, aby przepisy Unii miały zawsze pierwszeństwo. Komisja powinna zapewnić administratorowi i podmiotowi przetwarzającemu wytyczne i wsparcie, a także powinna dążyć do rozwiązania konfliktów jurysdykcji z danym państwem trzecim. [Popr. 63]

(91) Przenoszenie danych osobowych ponad granicami może wiązać się z jeszcze większym ryzykiem niemożności wykonywania przez osoby fizyczne praw do ochrony danych osobowych, w szczególności by chronić się przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych informacji. Organy nadzorcze mogą jednocześnie uznać, że nie są w stanie rozpatrywać skarg lub prowadzić dochodzeń związanych z działalnością, która ma miejsce poza granicami ich państwa. Ich wysiłki zmierzające do wspólnej pracy w kontekście transgranicznym mogą także być hamowane przez niewystarczające uprawnienia w zakresie zapobiegania powyżej opisanym zjawiskom lub zaradzenia im, niespójne systemy prawne oraz przeszkody praktyczne, takie jak ograniczone środki. Z tego względu należy promować ściślejszą współpracę między organami nadzorującymi ochronę danych, by pomagać im w wymianie informacji i prowadzeniu dochodzeń z ich międzynarodowymi odpowiednikami.

(92) Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny, jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, by odzwierciedlić swoją strukturę konstytucyjną, organizacyjną i administracyjną. Organ dysponuje odpowiednimi zasobami finansowymi i kadrowymi umożliwiającymi sprawowanie jego funkcji w pełnym zakresie, z uwzględnieniem liczby ludności oraz liczby operacji przetwarzania danych osobowych. [Popr. 64]

(93) Jeśli państwo członkowskie ustanowi kilka organów nadzorczych, powinno także w swoich przepisach ustanowić mechanizmy zapewnienia skutecznego udziału tych organów nadzorczych w mechanizmie zgodności. Takie państwo członkowskie powinno w szczególności wskazać organ nadzorczy, który działa jako pojedynczy punkt kontaktowy do celów skutecznego udziału tych organów w omawianym mechanizmie, by zapewnić sprawną i płynną współpracę z innymi organami nadzorczymi, Europejską Radą Ochrony Danych i Komisją.

(94) Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, ze szczególnym uwzględnieniem zapewnienia odpowiednich umiejętności technicznych i prawniczych personelu, a także w pomieszczenia i infrastrukturę, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii. [Popr. 65]

(95) Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinni być wyznaczeni przez parlament albo lub przez rząd państwa członkowskiego, przy zachowaniu należytej staranności w zakresie ograniczania do minimum możliwości wpływu politycznego, oraz obejmować zasady dotyczące kwalifikacji tych członków, unikania przez nich konfliktów interesów i ich stanowiska tych członków. [Popr. 66]

(96) Organy nadzorcze powinny monitorować stosowanie przepisów w sposób zgodny z niniejszym rozporządzeniem oraz przyczyniać się do jego spójnego stosowania w całej Unii, w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych oraz ułatwienia swobodnego przepływu danych osobowych w ramach rynku wewnętrznego. W tym celu organy nadzorcze powinny współpracować ze sobą oraz z Komisją.

(97) Jeśli przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii odbywa się w kilku państwach, jeden organ nadzorczy powinien być właściwy w zakresie monitorowania działalności pełnić rolę pojedynczego punktu kontaktowego oraz organu głównego odpowiedzialnego za nadzorowanie administratora lub podmiotu przetwarzającego w całej Unii oraz podejmowania podejmowanie odnośnych decyzji, by zwiększyć spójne stosowanie, zagwarantować pewność prawną oraz ograniczyć obciążenie administracyjne administratorów i podmiotów przetwarzających. [Popr. 67]

(98) Właściwym Głównym organem, zapewniającym taki punkt kompleksowej obsługi, powinien być organ nadzorczy państwa członkowskiego, w którym administrator lub podmiot przetwarzający ma siedzibę główną lub przedstawiciela. Europejska Rada Ochrony Danych może wyznaczyć organ główny za pomocą mechanizmu zgodności w określonych przypadkach na wniosek właściwego organu. [Popr. 68]

(98a) Podmioty danych, których dane osobowe są przetwarzane przez administratora danych lub podmiot przetwarzający w innym państwie członkowskim, powinny mieć możliwość wniesienia skargi do wybranego przez siebie organu nadzorczego. Główny organ do spraw ochrony danych powinien koordynować swoją pracę z pracą innych zaangażowanych organów. [Popr. 69]

(99) Niniejsze rozporządzenie ma zastosowanie także do działalności sądów krajowych, natomiast właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych wykorzystywanych przez sądy w ramach sprawowania wymiaru sprawiedliwości, by chronić niezawisłość sędziów podczas wykonywania przez nich zadań sądowych. Wyjątek ten powinien być jednak ściśle ograniczony do rzeczywistych działań sądowych w sprawach sądowych i nie powinien mieć zastosowania do innych działań, w których sędziowie mogą brać udział, zgodnie z prawem krajowym.

(100) By zapewnić spójne monitorowanie i wykonanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same obowiązki i faktyczne uprawnienia, w tym uprawnienie do przeprowadzania dochodzenia i prawnie wiążącej interwencji, podejmowania decyzji i nakładania sankcji, w szczególności w sprawach skarg od osób fizycznych oraz do udziału w postępowaniu sądowym. Uprawnienia dochodzeniowe organów nadzorczych, jeśli chodzi o dostęp do pomieszczeń, powinny być wykonywane zgodnie z prawem unijnym i prawem krajowym. W szczególności dotyczy to wymogu uprzedniego uzyskania zezwolenia sądu.

(101) Każdy organ nadzorczy powinien rozpatrywać skargi złożone przez podmiot danych lub zrzeszenie działające w interesie publicznym oraz przeprowadzić stosowne dochodzenie. Dochodzenie na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiednim do konkretnej sprawy. Organ nadzorczy powinien poinformować podmiot danych lub zrzeszenie o postępach i wyniku skargi w rozsądnym terminie. Jeśli dana sprawa wymaga prowadzenia dalszego dochodzenia lub koordynacji z innym organem nadzorczym, podmiot danych powinien być o tym poinformowany. [Popr. 70]

(102) Działania w zakresie podnoszenia świadomości prowadzone przez organy nadzorcze i skierowane do opinii publicznej powinny obejmować szczególne środki adresowane do administratorów i podmiotów przetwarzających, w tym mikroprzedsiębiorców oraz małych i średnich przedsiębiorców, a także podmiotów danych.

(103) Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie przepisów niniejszego rozporządzenia na rynku wewnętrznym.

(104) Każdy organ nadzorczy powinien mieć prawo udziału w operacjach prowadzonych wspólnie przez organy nadzorcze. Organ nadzoru, który otrzyma stosowny wniosek, powinien mieć obowiązek udzielenia odpowiedzi w ściśle określonym terminie.

(105) By zapewnić spójne stosowanie przepisów niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm zgodności w zakresie współpracy między organami nadzorczymi i Komisją. Mechanizm ten powinien mieć w szczególności zastosowanie tam, gdzie organ nadzorczy zamierza podjąć środek w zakresie operacji przetwarzania powiązanych z oferowaniem towarów lub usług podmiotom danych w kilku państwach członkowskich, lub też monitorowaniem podmiotów danych, lub który mógłby mieć istotny wpływ na swobodny przepływ danych. Powinien także mieć zastosowanie wtedy, gdy organ nadzorczy lub Komisja wnioskują o rozwiązanie danej kwestii w ramach mechanizmu zgodności. Ponadto podmioty danych powinny mieć prawo wymagać zgodności, jeżeli uważają one, że środek zastosowany przez organ ochrony danych państwa członkowskiego nie spełnił tego kryterium. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może podjąć w ramach wykonywania swoich uprawnień na mocy Traktatu. [Popr. 71]

(106) W ramach stosowania mechanizmu zgodności Europejska Rada Ochrony Danych powinna, w określonym terminie, wydać opinię, o ile tak postanowią jej członkowie w głosowaniu zwykłą większością głosów lub jeśli zażądają tego organ nadzorczy lub Komisja.

(106a) Aby zapewnić spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych może w indywidualnych przypadkach przyjąć decyzję wiążącą dla właściwych organów nadzorczych. [Popr. 72]

(107) By zapewnić zgodność z przepisami niniejszego rozporządzenia, Komisja może przyjąć opinię lub podjąć decyzję w tej sprawie, żądając od organu nadzorczego zawieszenia tego projektu środka. [Popr. 73]

(108) Może zaistnieć nagła potrzeba działania w celu ochrony interesów podmiotów danych, w szczególności gdy istnieje niebezpieczeństwo, że egzekwowanie prawa przysługującego podmiotowi danych może być istotnie utrudnione. Z tego względu organ nadzorczy, stosując mechanizm zgodności, powinien być w stanie przyjąć środki tymczasowe o określonym czasie obowiązywania.

(109) Stosowanie tego mechanizmu powinno być warunkiem ważności prawnej i egzekwowania odnośnej decyzji przez organ nadzorczy. W innych przypadkach o charakterze transgranicznym wzajemna współpraca i wspólne dochodzenia mogą być prowadzone przez zainteresowane organy nadzorcze na zasadzie dwustronnej lub wielostronnej bez stosowania mechanizmu zgodności.

(110) Na szczeblu Unii należy ustanowić Europejską Radę Ochrony Danych. Powinna ona zastąpić Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych. Komisja powinna uczestniczyć w jej działaniach. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów niniejszego rozporządzenia na terytorium całej Unii, w tym poprzez doradzanie Komisji instytucjom Unii i promowanie współpracy organów nadzorczych na terytorium całej Unii, co obejmuje koordynację wspólnych operacji. Wypełniając swoje zadania, Europejska Rada Ochrony Danych powinna działać niezależnie. Europejska Rada Ochrony Danych powinna zintensyfikować dialog z zainteresowanymi stronami, takimi jak zrzeszenia podmiotów danych, organizacje konsumenckie, administratorzy danych i inne zainteresowane podmioty oraz eksperci. [Popr. 74]

(111) Każdy podmiotPodmioty danych powinien powinny mieć prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim oraz prawo do skutecznego sądowego środka ochrony prawnej zgodnie z art. 47 Karty, jeśli uzna uznają, że jego ich prawa wynikające z niniejszego rozporządzenia są naruszane lub jeśli organ nadzorczy nie reaguje na skargę lub nie podejmuje działania, pomimo iż jest ono niezbędne w celu ochrony praw podmiotu danych. [Popr. 75]

(112) Każdy organ, organizacja Wszelkie organy, organizacje lub zrzeszenie zrzeszenia, które ma na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych działają w interesie publicznym i które zostało zostały utworzone zgodnie z prawem państwa członkowskiego, powinno powinny mieć prawo do złożenia skargi do organu nadzorczego w imieniu podmiotów danych za ich zgodą lub wykonania prawa do sądowego środka ochrony prawnej w imieniu podmiotów, z upoważnienia podmiotu danych, lub też złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uzna uznają, iż doszło do naruszenia ochrony danych osobowych przepisów niniejszego rozporządzenia. [Popr. 76]

(113) Każda osoba fizyczna lub prawna powinna mieć prawo do sądowego środka ochrony prawnej przeciwko dotyczącej jej decyzji organu nadzorczego. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

(114) By wzmocnić ochronę sądową podmiotu danych w sytuacjach, w których gdy właściwy organ nadzorczy ma siedzibę w innym państwie członkowskim niż to, w którym mieszka podmiot danych, podmiot danych może zwrócić się do podmiotu, organizacji upoważnić podmiot, organizację lub zrzeszenia mającego na celu ochronę praw i interesów podmiotu danych w zakresie ochrony jego danych z wnioskiem o wszczęcie w jego imieniu zrzeszenie działające w interesie publicznym do wszczęcia postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. [Popr. 77]

(115) W sytuacji, w której właściwy organ nadzorczy mający siedzibę w innym państwie członkowskim nie podejmuje działania lub podjął niewystarczające środki w odniesieniu do skargi, podmiot danych może zwrócić się do organu nadzorczego w państwie członkowskim, w którym ma miejsce zwykłego pobytu, o wszczęcie postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. Nie dotyczy do osób mieszkających poza UE. Organ nadzorczy, do którego złożono wniosek, może podjąć decyzję, z zastrzeżeniem kontroli sądowej, czy przyjęcie wniosku jest właściwe. [Popr. 78]

(116) W przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu, powód powinien mieć możliwość wniesienia pozwu do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający mają siedzibę lub - w razie zamieszkiwania w UE - w którym mieszka podmiot danych, chyba że administrator jest organem publicznym Unii lub państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych. [Popr. 79]

(117) Jeśli istnieją przesłanki, by sądzić, że w sądach w różnych państwach członkowskich toczą się równoległe postępowania, sądy powinny być zobowiązane do kontaktowania się ze sobą. Sądy powinny mieć możliwość zawieszenia postępowania, w sytuacji gdy w innym państwie członkowskim toczy się postępowanie równoległe. W celu zapewnienia skuteczności postępowań sądowych państwa członkowskie powinny zagwarantować szybkie przyjmowanie środków mających zaradzić lub zapobiec naruszeniom niniejszego rozporządzenia.

(118) Szkoda finansowa lub niefinansowa, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać naprawiona przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia tylko wtedy, gdy udowodni, że szkoda nie powstała z jego winy, szczególnie wówczas gdy udowodni winę podmiotu danych lub w przypadku siły wyższej. [Popr. 80]

(119) Na wszystkie osoby fizyczne i prawne, która nie przestrzegają niniejszego rozporządzenia, niezależnie od tego czy działają na podstawie prawa prywatnego czy publicznego, powinny zostać nałożone kary. Państwa członkowskie powinny dopilnować, by kary były skuteczne, proporcjonalne i odstraszające, oraz podjąć wszelkie środki mające na celu wykonanie tych kar. Przepisy dotyczące kar powinny podlegać odpowiednim gwarancjom proceduralnym zgodnie z ogólnymi zasadami prawa Unii i Karty, w tym z zasadami dotyczącymi prawa do skutecznego środka prawnego i należytego procesu oraz z zasadą ne bis in idem. [Popr. 81]

(119a) Stosując kary, państwa członkowskie powinny w pełni respektować odpowiednie gwarancje proceduralne, w tym prawo do skutecznego środka prawnego i należytego procesu oraz zasadę ne bis in idem. [Popr. 82]

(120) W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenia przepisów niniejszego rozporządzenia, każdy organ nadzorczy powinien być uprawniony do nakładania sankcji administracyjnych. Niniejsze rozporządzenie powinno wymieniać te przestępstwa oraz wskazywać górną granicę wysokości grzywien administracyjnych, którą należy ustalić oddzielnie dla każdego przypadku, odpowiednio do danej sytuacji, ze szczególnym uwzględnieniem charakteru, wagi i czasu trwania naruszenia. Z mechanizmu zgodności można także korzystać do zniesienia różnic w stosowaniu sankcji administracyjnych.

(121) Przetwarzanie danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego powinno kwalifikować się do Gdy tylko to konieczne, należy przewidzieć zwolnienia z wymogów niektórych przepisów niniejszego rozporządzenia dotyczących przetwarzania danych osobowych lub odstępstwa od tych wymogów, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi, a zwłaszcza prawem do uzyskiwania i udzielania informacji, co gwarantuje w szczególności art. 11 Karty. Powinno mieć to w szczególności zastosowanie do przetwarzania danych osobowych w dziedzinie techniki audiowizualnej oraz w archiwach danych i bibliotekach prasowych. Z tego względu państwa członkowskie powinny przyjąć środki ustawodawcze, które powinny określać wyjątki i odstępstwa konieczne do zapewnienia równowagi pomiędzy prawami podstawowymi. Państwa członkowskie powinny przyjąć takie wyjątki i odstępstwa, jeśli chodzi o zasady ogólne, prawa podmiotów danych, administratora i podmiot przetwarzający, przekazywanie danych do państw trzecich lub organizacji międzynarodowych, niezależne organy nadzorcze oraz, współpracę i zgodność oraz szczególne sytuacje dotyczące przetwarzania danych. Nie powinno to jednak powodować wprowadzenia przez państwa członkowskie wyjątków od innych przepisów rozporządzenia. W celu uwzględnienia znaczenia prawa do wolności wypowiedzi w każdym demokratycznym społeczeństwie, należy dokonać wykładni pojęć dotyczących tej wolności, takich jak szeroko rozumiane dziennikarstwo. Państwa członkowskie powinny zatem zaklasyfikować jako działalność "dziennikarską" do celów wyjątków i odstępstw określonych w niniejszym rozporządzeniu, w szerokim rozumieniu, aby objąć wszelką działalność, której przedmiotem celem jest ujawnianie opinii publicznej informacji, opinii lub pomysłów idei, niezależnie od nośnika wykorzystanego do ich przekazania, z uwzględnieniem również rozwoju technologicznego. Działalność ta nie powinna być ograniczona do agencji medialnych i może być podejmowana zarówno w celach dochodowych, jak i w celach niedochodowych. [Popr. 83]

(122) Przetwarzanie danych osobowych dotyczących zdrowia, jako szczególnej kategorii danych, które zasługują na wyższy poziom ochrony, może być często uzasadnione wieloma względami przemawiającymi na korzyść poszczególnych osób i społeczeństwa jako całości, zwłaszcza w kontekście zapewnienia ciągłości transgranicznej opieki zdrowotnej. Z tego względu niniejsze rozporządzenie powinno przewidywać zharmonizowane warunki przetwarzania danych dotyczących zdrowia, z zastrzeżeniem szczególnych i odpowiednich gwarancji w celu ochrony podstawowych praw i danych osobowych osób fizycznych. Obejmuje to prawo osób fizycznych do dostępu do ich danych osobowych dotyczących zdrowia, na przykład danych w dokumentacji medycznej zawierających takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących leczenie oraz informacje na temat wszelkich stosowanych terapii lub przeprowadzonych zabiegów.

(122a) Osoba przetwarzająca dane osobowe dotyczące stanu zdrowia powinna w miarę możliwości otrzymywać dane anonimowo lub pod pseudonimem, a wiedzę na temat tożsamości powinien posiadać jedynie lekarz ogólny lub specjalista, który zwrócił się z wnioskiem dotyczącym przetworzenia takich danych. [Popr. 84]

(123) Przetwarzanie danych osobowych dotyczących zdrowia bez zgody podmiotu danych może być konieczne ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym kontekście "zdrowie publiczne" należy interpretować zgodnie z definicją w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 1338/2008 9  Parlamentu Europejskiego i Rady z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy, według której oznacza ono wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, opiekę zdrowotną, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Takie przetwarzanie danych osobowych dotyczących zdrowia w celu realizacji interesu publicznego nie powinno skutkować przetwarzaniem danych do innych celów przez osoby trzecie, takie jak pracownicy, zakłady ubezpieczeń i banki. [Popr. 85]

(123a) Przetwarzanie danych osobowych dotyczących zdrowia, które stanowią specjalną kategorię danych, może być potrzebne do celów historycznych bądź statystycznych lub do celów badań naukowych. W związku z tym niniejsze rozporządzenie przewiduje odstępstwo od wymogu zgody w przypadkach badań służących istotnemu interesowi publicznemu. [Popr. 86]

(124) Zasady ogólne ochrony osób fizycznych w zakresie przetwarzania danych osobowych powinny mieć także zastosowanie w kontekście zatrudnienia i zabezpieczenia społecznego. Zatem w celu regulacji przetwarzania danych osobowych pracowników w kontekście zatrudnienia Państwa członkowskie powinny mieć możliwość, w granicach niniejszego rozporządzenia, przyjmowania w drodze ustawy przepisów szczególnych dotyczących przetwarzania regulacji przetwarzania danych osobowych pracowników w kontekście zatrudnienia oraz przetwarzania danych osobowych w kontekście zabezpieczenia społecznego zgodnie z zasadami i minimalnymi standardami określonymi w niniejszym rozporządzeniu. Jeżeli w danym państwie członkowskim przewidziano ustawową podstawę dla uregulowania spraw z zakresu stosunku zatrudnienia w drodze porozumienia między przedstawicielami pracowników i kierownictwem przedsiębiorstwa lub przedsiębiorstwa dominującego w grupie przedsiębiorstw (układ zbiorowy) lub na mocy dyrektywy Parlamentu Europejskiego i Rady 2009/38/WE1 10 , porozumienie takie może również regulować przetwarzanie danych osobowych w sektorze kontekście zatrudnienia. [Popr. 87]

(125) Zgodne z prawem przetwarzanie danych osobowych do celów dokumentacji, statystyki lub badań naukowych powinno także respektować inne odnośne przepisy, takie jak dotyczące prób klinicznych.

(125a) Dane osobowe mogą być również przetwarzane następnie przez służby archiwistyczne, których głównym lub obowiązkowym zadaniem jest gromadzenie i przechowywanie archiwów, udzielanie o nich informacji, ich wykorzystywanie i upowszechnianie w interesie publicznym. Prawodawstwo państwa członkowskiego powinno godzić prawo do ochrony danych osobowych z przepisami dotyczącymi archiwów oraz publicznego dostępu do informacji administracyjnych. Państwa członkowskie powinny zachęcać do opracowywania, w szczególności przez Europejski Zespół ds. Archiwów, przepisów mających gwarantować poufność danych względem stron trzecich oraz autentyczność, integralność i właściwe przechowywanie danych. [Popr. 88]

(126) Do celów niniejszego rozporządzenia badania naukowe powinny obejmować badania podstawowe, badania stosowane oraz badania finansowane ze środków prywatnych, a ponadto powinny uwzględniać cel Unii określony w art. 179 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej polegający na ustanowieniu Europejskiej Przestrzeni Badawczej. Przetwarzanie danych osobowych do celów historycznych bądź statystycznych lub do celów badań naukowych nie powinno skutkować przetwarzaniem danych osobowych do innych celów, chyba że odbywa się to za zgodą podmiotu danych lub na podstawie prawa Unii bądź państwa członkowskiego. [Popr. 89]

(127) Jeśli chodzi o uprawnienia organów nadzorczych w zakresie uzyskania od administratora lub podmiotu przetwarzającego dostępu do danych osobowych oraz dostępu do ich pomieszczeń, państwa członkowskie mogą przyjąć w drodze ustawy, w granicach niniejszego rozporządzenia, przepisy szczególne mające na celu ochronę obowiązku zachowania tajemnicy służbowej lub innej równoważnej tajemnicy, w zakresie w jakim jest to konieczne, by pogodzić prawo do ochrony danych osobowych z obowiązkiem zachowania tajemnicy służbowej.

(128) Niniejsze rozporządzenie szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w państwach członkowskich i nie narusza tego statusu, jak uznano w art. 17 Traktatu o funkcjonowaniu Unii Europejskiej. W związku z tym, jeśli kościół w państwie członkowskim stosuje, w momencie wejścia w życie niniejszego rozporządzenia, kompleksowe odpowiednie przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych, te obowiązujące przepisy powinny mieć zastosowanie, jeżeli zostaną dostosowane do niniejszego rozporządzenia i uznane za zgodne. Kościoły i stowarzyszenia religijne powinny być zobowiązane do ustanowienia całkowicie niezależnego organu nadzorczego. [Popr. 90]

(129) By spełnić cele niniejszego rozporządzenia, mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. Akty delegowane powinny być w szczególności przyjmowane z poszanowaniem zgodności przetwarzania z prawem; określania kryteriów i warunków zgody dziecka, przetwarzania szczególnych kategorii danych; określania kryteriów i warunków wyraźnie przesadnych wniosków i nadmiernych opłat za wykonanie prawa podmiotu danych; kryteriów i wymogów dotyczących informacji przekazywanych podmiotowi danych oraz w zakresie prawa dostępu; uwzględnieniem określenia warunków piktograficznego przekazywania informacji prawa do bycia zapomnianym i do usunięcia danych; środków opartych na profilowaniu; kryteriów i wymogów w zakresie odpowiedzialności administratora, uwzględnienia danych już w fazie projektowania oraz ochrony danych jako opcji domyślnej; podmiotu przetwarzającego; kryteriów i wymogów w zakresie dokumentacji oraz bezpieczeństwa przetwarzania; kryteriów i wymogów w zakresie stwierdzenia naruszenia ochrony danych osobowych i zawiadomienia organu nadzorczego oraz warunków, w których naruszenie danych osobowych może niekorzystnie wpłynąć na podmiot danych; kryteriów i warunków operacji przetwarzania wymagających przeprowadzenia oceny skutków w zakresie ochrony danych; kryteriów i wymogów określenia wysokiego stopnia szczególnych zagrożeń, które wymagają uprzedniej konsultacji; wskazania i określenia zadań inspektora ochrony danych; kodeksów deklaracji, że kodeksy postępowania są zgodne z niniejszym rozporządzeniem; kryteriów i wymogów w zakresie mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie bądź organizację międzynarodową; kryteriów i wymogów w zakresie przekazywania danych na podstawie wiążących reguł korporacyjnych; odstępstw dotyczących przetwarzania; sankcji administracyjnych; przetwarzania w celach zdrowotnych; oraz przetwarzania w kontekście zatrudnienia oraz przetwarzania do celów badań historycznych, statystycznych i naukowych. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, w szczególności z Europejską Radą Ochrony Danych. W trakcie przygotowywania i opracowywania aktów delegowanych Przygotowując i opracowując akty delegowane Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazanie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie. [Popr. 91]

(130) Aby zagwarantować jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze w zakresie: opracowania standardowych formularzy dotyczących szczególnych metod uzyskiwania możliwej do zweryfikowania zgody w zakresie przetwarzania danych osobowych dziecka; standardowych procedur i formularzy w zakresie wykonywania praw przez podmioty służących zawiadamianiu podmiotów danych o przysługujących im prawach; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy i procedur dotyczących prawa dostępu, w tym do celów przekazywania danych osobowych podmiotowi danych; prawa przenoszenia danych; standardowych formularzy dotyczących odpowiedzialności administratora za uwzględnienie ochrony danych już w fazie projektowania, domyślną ochronę danych oraz dokumentację dokumentacji, którą muszą prowadzić administrator i podmiot przetwarzający; szczególnych wymogów w zakresie bezpieczeństwa przetwarzania; standardowego formatu i procedur dotyczących zawiadomienia formularza służącego zawiadamianiu organu nadzorczego o naruszeniu ochrony danych osobowych oraz przekazywania informacji o naruszeniu dokumentowaniu naruszenia ochrony danych osobowych podmiotowi danych; standardów i procedur w zakresie oceny skutków w zakresie ochrony danych; formularzy i procedur dotyczących uprzedniego zezwolenia i do celów uprzedniej konsultacji; technicznych standardów i mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie, na jego terytorium bądź przez sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim bądź też organizację międzynarodową; ujawnień, na które Unia nie wyraziła zgody; wzajemnej pomocy, wspólnych operacji; decyzji podejmowanych na mocy mechanizmu współpracy. oraz informowania organu nadzorczego. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającym przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję 11 . W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców. [Popr. 92]

(131) Procedurę sprawdzającą należy stosować w przypadku przyjmowania standardowych formularzy: dotyczących szczególnych form uzyskiwania możliwej do zweryfikowania zgody w zakresie przetwarzania danych osobowych dziecka; standardowych procedur i formularzy w zakresie wykonywania praw przez podmioty zawiadamianiu podmiotów danych o przysługujących im prawach; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy i procedur dotyczących prawa dostępu; prawa przenoszenia danych; standardowych formularzy dotyczących odpowiedzialności administratora za uwzględnienie ochrony danych już w fazie projektowania, domyślną ochronę danych oraz dokumentację; szczególnych wymogów w zakresie bezpieczeństwa przetwarzania; standardowego formatu i procedur dotyczących zawiadamiania, w tym do celów przekazywania danych osobowych podmiotowi danych; dokumentacji, którą muszą prowadzić administrator i podmiot przetwarzający; zawiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych oraz przekazywania informacji o naruszeniu dokumentowania naruszenia ochrony danych osobowych podmiotowi danych; standardów i procedur dotyczących oceny skutków w zakresie ochrony danych; formularzy i procedur dotyczących uprzedniego zezwolenia i do celów uprzedniej konsultacji; technicznych standardów i mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie, terytorium bądź sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim bądź też organizację międzynarodową; ujawnień, na które Unia nie wyraziła zgody; wzajemnej pomocy; wspólnych operacji; decyzji podejmowanych w ramach mechanizmu zgodności oraz informowania organu nadzorczego, zważywszy że akty te mają charakter ogólny. [Popr. 93]

(132) Komisja powinna przyjąć akty wykonawcze mające natychmiastowe zastosowanie, jeśli, w uzasadnionych przypadkach dotyczących państwa trzeciego, terytorium lub sektora, w którym przetwarzane są dane w tym państwie trzecim lub w organizacji międzynarodowej, które nie zapewniają odpowiedniego poziomu ochrony, oraz w odniesieniu do kwestii, o których poinformowały organy nadzorcze w ramach mechanizmu zgodności, jest to uzasadnione szczególnie pilną potrzebą. [Popr. 94]

(133) Ponieważ cele niniejszego rozporządzenia, mianowicie zapewnienie odpowiedniego poziomu ochrony osób fizycznych i swobodnego przepływu danych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wychodzi poza zakres niezbędny do osiągnięcia tego celu.

(134) Dyrektywa 95/46/WE powinna zostać uchylona niniejszym rozporządzeniem. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE powinny jednak pozostać w mocy. Decyzje Komisji oraz zezwolenia organów nadzorczych dotyczące przekazywania danych osobowych do państw trzecich na mocy art. 41 ust. 8 powinny pozostawać w mocy w okresie przejściowym pięciu lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylone przez Komisję przed upływem tego okresu. [Popr. 95]

(135) Niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich kwestii dotyczących ochrony podstawowych praw i wolności w zakresie przetwarzania danych osobowych, które nie podlegają szczególnym obowiązkom służącym realizacji tego samego celu określonego w dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady 12 , włączając obowiązki nałożone na administratora oraz prawa osób fizycznych. W celu wyjaśnienia związku między niniejszym rozporządzeniem a dyrektywą 2002/58/WE należy odpowiednio zmienić tę dyrektywę.

(136) W odniesieniu do Islandii i Norwegii, niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w zakresie w jakim ma ono zastosowanie do przetwarzania danych osobowych przez organy zaangażowane we wdrożenie tych przepisów, w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 13 .

(137) W odniesieniu do Szwajcarii, niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w zakresie w jakim ma ono zastosowanie do przetwarzania danych osobowych przez organy zaangażowane we wdrożenie tych przepisów, w rozumieniu Umowy zawartej między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 14 .

(138) W odniesieniu do Lichtensteinu, niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w zakresie w jakim ma ono zastosowanie do przetwarzania danych osobowych przez organy zaangażowane we wdrożenie tych przepisów, w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 15 .

(139) Biorąc pod uwagę, jak podkreślił Trybunał Sprawiedliwości Unii Europejskiej, iż prawo do ochrony danych osobowych nie jest prawem bezwzględnym, lecz musi być rozpatrywane w odniesieniu do funkcji, jaką pełni w społeczeństwie i równoważone innymi podstawowymi prawami, zgodnie z zasadą proporcjonalności, niniejsze rozporządzenie respektuje podstawowe prawa i przestrzega zasad uznanych w Karcie zapisanych w Traktacie, zwłaszcza prawa do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, prawa do ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka ochrony prawnej, rzetelnego procesu sądowego oraz różnorodności kulturowej, religijnej i językowej,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: