Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
355
DYREKTYWA 95/46/WE PARLAMENTU EUROPEJSKIEGO I RADY
z dnia 24 pa
ździernika 1995 r.
w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego
przep
ływu tych danych
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzgl
ędniając Traktat ustanawiający Wspólnotę Europejską, w
szczególno
ści jego art. 100a,
uwzgl
ędniając wniosek Komisji (
1
),
uwzgl
ędniając opinię Komitetu Ekonomiczno-Społecznego (
2
),
stanowi
ąc zgodnie z procedurą określoną w art. 189b Trakta-
tu (
3
),
a tak
że mając na uwadze, co następuje:
(1)
Cele Wspólnoty, okre
ślone w Traktacie, zmienionym
Traktatem o Unii Europejskiej, obejmuj
ą tworzenie coraz
ściślejszego związku między narodami Europy, kształto-
wanie bli
ższych stosunków między państwami należący-
mi do Wspólnoty, zapewnienie post
ępu gospodarczego i
spo
łecznego poprzez wspólne działania na rzecz likwi-
dacji barier dziel
ących Europę, pobudzanie ciągłej po-
prawy warunków
życia jej narodów, ochronę i umacnia-
nie pokoju i wolno
ści oraz wspieranie demokracji w
oparciu o prawa podstawowe uznane w konstytucji i
ustawodawstwach Pa
ństw Członkowskich oraz w Euro-
pejskiej Konwencji o ochronie praw cz
łowieka i podsta-
wowych wolno
ści.
(2)
Systemy przetwarzania danych s
ą tworzone po to, aby
s
łużyły człowiekowi; muszą one, niezależnie od obywa-
telstwa czy miejsca sta
łego zamieszkania osób fizycz-
nych, szanowa
ć ich podstawowe prawa i wolności,
szczególnie prawo do prywatno
ści, oraz przyczyniać się
do post
ępu gospodarczego i społecznego, rozwoju
handlu oraz dobrobytu jednostek.
(3)
Ustanowienie i funkcjonowanie rynku wewn
ętrznego, na
którym zgodnie z art. 7a Traktatu, zapewniony jest
swobodny przep
ływ towarów, osób, usług i kapitału,
wymaga nie tylko zapewnienia swobodnego przep
ływu
danych osobowych z jednego Pa
ństwa Członkowskiego
do drugiego, lecz równie
ż ochrony praw podstawowych
osób fizycznych.
(4)
Coraz cz
ęściej we Wspólnocie korzysta się z przetwa-
rzania danych osobowych w ró
żnych sferach życia gos-
podarczego i spo
łecznego; postęp w dziedzinie techno-
logii informatycznych sprawia,
że przetwarzanie i wy-
miana takich danych staj
ą się coraz łatwiejsze.
(5)
Integracja gospodarcza i spo
łeczna będąca wynikiem
ustanowienia i funkcjonowania rynku wewn
ętrznego w
rozumieniu art. 7a Traktatu b
ędzie prowadzić do znacz-
nego zwi
ększenia transgranicznego przepływu danych
osobowych mi
ędzy wszystkimi podmiotami zaangażo-
wanymi prywatnie lub publicznie w dzia
łalność gospo-
darcz
ą i społeczną w Państwach Członkowskich; wzroś-
nie wymiana danych osobowych mi
ędzy przedsiębior-
stwami
dzia
łającymi
w
ró
żnych
Pa
ństwach
Cz
łonkowskich; władze krajowe poszczególnych Państw
Cz
łonkowskich podejmują się na mocy prawa wspólno-
towego wspó
łpracy i wymiany danych osobowych dla
celu wykonywania swoich obowi
ązków oraz realizacji
zada
ń w imieniu władz innego Państwa Członkowskiego
w kontek
ście obszaru bez granic wewnętrznych, ustano-
wionego przez rynek wewn
ętrzny.
(6)
Ponadto zwi
ększenie współpracy naukowej i technicznej
oraz proces skoordynowanego wprowadzania nowych
sieci telekomunikacyjnych we Wspólnocie narzuca ko-
nieczno
ść i ułatwia transgraniczny przepływ danych
osobowych.
(7)
Ró
żnica w stopniu ochrony praw i wolności jednostek,
szczególnie prawa do prywatno
ści, w odniesieniu do
przetwarzania danych osobowych, zapewnionego w po-
szczególnych Pa
ństwach Członkowskich może uniemoż-
liwia
ć przesyłanie tych danych z terytorium jednego
Pa
ństwa Członkowskiego do drugiego Państwa Człon-
kowskiego; ró
żnica ta może zatem stanowić przeszkodę
w realizacji szeregu przedsi
ęwzięć ekonomicznych na
poziomie wspólnotowym, zak
łócać konkurencję i utrud-
nia
ć władzom wykonywanie ich obowiązków wynikają-
cych z przepisów prawa wspólnotowego; wspomniana
ró
żnica w stopniu ochrony jest wynikiem istnienia wiel-
kiej ró
żnorodności krajowych przepisów ustawowych,
wykonawczych i administracyjnych.
31995L0046
23.11.1995
DZIENNIK URZ
ĘDOWY WSPÓLNOT EUROPEJSKICH
L 281/31
(
1
) Dz.U. C 277 z 5.11.1990, str. 3 oraz Dz.U. C 311 z 27.11.1992,
str. 30.
(
2
) Dz.U. C 159 z 17.6.1991, str. 38.
(
3
) Opinia Parlamentu Europejskiego z dnia 11 marca 1992 r. (Dz.U. C
94 z 13.4.1992, str. 198), potwierdzona dnia 2 grudnia 1993 r.
(Dz.U. C 342 z 20.12.1993, str. 30); wspólne stanowisko Rady z
dnia 20 lutego 1995 r. (Dz.U. C 93 z 13.4.1995, str. 1) i decyzja
Parlamentu Europejskiego z dnia 15 czerwca 1995 r. (Dz.U. C 166
z 3.7.1995).
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
356
(8)
W celu zniesienia przeszkód w przep
ływie danych oso-
bowych, stopie
ń ochrony praw i wolności jednostek w
zakresie przetwarzania tych danych musi by
ć jednakowy
we wszystkich Pa
ństwach Członkowskich; cel ten ma
żywotne znaczenie dla rynku wewnętrznego, lecz nie
mo
że on być osiągnięty przez same Państwa Członkow-
skie, szczególnie maj
ąc na uwadze skalę rozbieżności,
jakie obecnie wyst
ępują między odpowiednimi ustawo-
dawstwami krajowymi oraz potrzeb
ę dokonania koordy-
nacji ustawodawstw Pa
ństw Członkowskich w celu za-
pewnienia jednolitej regulacji transgranicznego przep
ły-
wu danych osobowych, zgodnie z celem
rynku
wewn
ętrznego przewidzianego w art. 7a Traktatu; ko-
nieczne s
ą wspólnotowe działania na rzecz zbliżenia
ustawodawstw.
(9)
Bior
ąc pod uwagę równoważną ochronę wynikającą ze
zbli
żania ustawodawstw krajowych, Państwa Członkow-
skie nie b
ędą już mogły utrudniać między sobą swobod-
nego przep
ływu danych osobowych na podstawie ochro-
ny praw i wolno
ści jednostek, a zwłaszcza prawa do
prywatno
ści; Państwa Członkowskie będą miały pozos-
tawiony margines swobody dzia
łania, z którego mogą
równie
ż, w kontekście wykonania dyrektywy korzystać
partnerzy handlowi i spo
łeczni; Państwa Członkowskie
b
ędą zatem mogły określić w swoim ustawodawstwie
ogólne zasady reguluj
ące legalność procesu przetwarza-
nia danych; podejmuj
ąc te działania, Państwa Członkow-
skie b
ędą dokładać starań w celu poprawy ochrony
gwarantowanej przez ich obecne ustawodawstwo; w
granicach wspomnianego marginesu swobody dzia
łania
oraz zgodnie z prawem wspólnotowym mog
ą wystąpić
rozbie
żności w wykonaniu dyrektywy, co może mieć
wp
ływ na przepływ danych w Państwie Członkowskim
jak równie
ż we Wspólnocie.
(10)
Celem krajowych przepisów prawa dotycz
ących przetwa-
rzania danych osobowych jest ochrona podstawowych
praw i wolno
ści, szczególnie prawa do prywatności,
które zosta
ło uznane zarówno w art. 8 Europejskiej
Konwencji o ochronie praw cz
łowieka i podstawowych
wolno
ści oraz w zasadach ogólnych prawa wspólnoto-
wego; z tego powodu zbli
żanie przepisów prawa nie
powinno wp
łynąć na zmniejszenie ochrony, jaką gwa-
rantuj
ą, lecz przeciwnie, musi dążyć do zapewnienia jak
najwy
ższego stopnia ochrony we Wspólnocie.
(11)
Zasady ochrony praw i wolno
ści jednostek, szczególnie
prawa do prywatno
ści, które zawarte są w niniejszej
dyrektywie, utrwalaj
ą i umacniają zasady wyrażone w
Konwencji Rady Europy z dnia 28 stycznia 1981 r. w
sprawie ochrony jednostek w zakresie automatycznego
przetwarzania danych osobowych.
(12)
Zasady ochrony musz
ą odnosić się do całokształtu
przetwarzania danych osobowych przez ka
żdą osobę,
której dzia
łania podlegają przepisom prawa wspólnoto-
wego; nale
ży wyłączyć przetwarzanie danych dokonywa-
ne przez osob
ę fizyczną w wykonywaniu działań o
charakterze wy
łącznie osobistym lub domowym, jak
np. korespondencja i przechowywanie spisów adresów.
(13)
Dzia
łania określone w tytułach V i VI Traktatu o Unii
Europejskiej dotycz
ące bezpieczeństwa publicznego, ob-
ronno
ści, bezpieczeństwa państwa w dziedzinie prawa
karnego nie wchodz
ą w zakres stosowania prawa wspól-
notowego, bez wp
ływu na obowiązki nałożone na Pań-
stwa Cz
łonkowskie na mocy art. 56 ust. 2, art. 57 i
art. 100a Traktatu ustanawiaj
ącego Wspólnotę Europej-
sk
ą; przetwarzanie danych osobowych konieczne dla
zapewnienia ochrony dobrego stanu gospodarczego pa
ń-
stwa nie wchodzi w zakres stosowania niniejszej dyrek-
tywy, o ile takie przetwarzanie dotyczy spraw bezpie-
cze
ństwa państwa.
(14)
Je
żeli w ramach społeczeństwa informacyjnego ma zna-
czenie rozwój technik gromadzenia, przekazywania,
kompilowania, rejestrowania, przechowywania i przesy-
łania danych dźwiękowych i obrazowych osób fizycz-
nych, niniejsza dyrektywa powinna mie
ć zastosowanie
do przetwarzania takich danych.
(15)
Przetwarzanie tych danych jest obj
ęte niniejszą dyrekty-
w
ą tylko wówczas, gdy jest ono zautomatyzowane lub
je
śli dane zawarte są lub przeznaczone do umieszczenia
w zamkni
ętym układzie zbiorów, zorganizowanym wed-
ług określonych kryteriów dotyczących osób fizycznych
w celu zapewnienia
łatwego dostępu do wspomnianych
danych osobowych.
(16)
Przetwarzanie danych d
źwiękowych i obrazowych, np. w
przypadku nadzoru kamer wideo, nie wchodzi w zakres
stosowania niniejszej dyrektywy, je
śli dokonywane jest
dla potrzeb bezpiecze
ństwa publicznego, obronności,
bezpiecze
ństwa narodowego lub też w trakcie działań
pa
ństwowych w dziedzinie prawa karnego lub innych
dzia
łań niewchodzących w zakres prawa wspólnotowe-
go.
(17)
Je
śli chodzi o przetwarzanie danych dźwiękowych i
obrazowych dla potrzeb dziennikarstwa lub dla potrzeb
literackich lub artystycznych, zw
łaszcza w dziedzinie
techniki audiowizualnej, zasady dyrektywy maj
ą ograni-
czone zastosowanie, zgodnie z przepisami przewidzia-
nymi w art. 9.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
357
(18)
Aby nie dopu
ścić do pozbawienia jednostek ochrony, do
której maj
ą prawo na mocy niniejszej dyrektywy, wszel-
kie przetwarzanie danych osobowych we Wspólnocie
musi by
ć przeprowadzane zgodnie z ustawodawstwem
jednego z Pa
ństw Członkowskich; w związku z tym
przetwarzanie danych przeprowadzane na odpowiedzial-
no
ść administratora danych, który prowadzi działalność
gospodarcz
ą na terenie Państwa Członkowskiego, powin-
no by
ć regulowane przez ustawodawstwo tego państwa.
(19)
Prowadzenie dzia
łalności gospodarczej na terytorium
Pa
ństwa Członkowskiego zakłada efektywne i rzeczywis-
te prowadzenie dzia
łań poprzez stabilne rozwiązania;
forma prawna prowadzonej dzia
łalności gospodarczej,
niezale
żnie czy jest to oddział lub filia posiadająca
osobowo
ść prawną, nie jest w tym względzie czynni-
kiem decyduj
ącym; w przypadku ustanowienia jednego
administratora danych na terytorium kilku Pa
ństw
Cz
łonkowskich, szczególnie w postaci filii, musi on
zapewni
ć, w celu uniknięcia obejścia przepisów krajo-
wych,
że każda z prowadzonych działalności gospodar-
czych b
ędzie spełniać obowiązki wynikające z prawa
krajowego.
(20)
Przetwarzanie danych przez osob
ę prowadzącą działal-
no
ść w państwie trzecim nie może stać na przeszkodzie
ochronie osób fizycznych przewidzianej w niniejszej
dyrektywie; w tych przypadkach przetwarzanie danych
powinno podlega
ć przepisom prawa Państwa Członkow-
skiego, w którym znajduj
ą się wykorzystywane do tego
celu
środki oraz powinny istnieć gwarancje zapewniające
przestrzeganie w praktyce praw i obowi
ązków przewi-
dzianych w niniejszej dyrektywie.
(21)
Niniejsza dyrektywa pozostaje bez uszczerbku dla zasad
terytorialno
ści, stosowanych w sprawach karnych.
(22)
Pa
ństwa Członkowskie dokładniej sprecyzują w ogłasza-
nych prawach lub przy wprowadzaniu w
życie środków
podj
ętych na podstawie niniejszej dyrektywy ogólne
warunki, w których przetwarzanie danych jest zgodne z
prawem; w szczególno
ści art. 5 w połączeniu z art. 7 i
8, umo
żliwia Państwom Członkowskim, niezależnie od
zasad ogólnych, zapewnienie szczególnych warunków
przetwarzania danych dla poszczególnych sektorów
oraz dla ró
żnych kategorii danych objętych art. 8.
(23)
Pa
ństwa Członkowskie są upoważnione do zapewnienia
ochrony osobom fizycznym zarówno poprzez ogólne
przepisy prawa o ochronie jednostek w odniesieniu do
przetwarzania danych osobowych oraz poprzez ustawo-
dawstwo sektorowe, jak np. odnosz
ące się do urzędów
statystycznych.
(24)
Niniejsza dyrektywa nie dotyczy ustawodawstwa doty-
cz
ącego ochrony osób prawnych w odniesieniu do prze-
twarzania ich danych.
(25)
Zasady ochrony musz
ą znajdować odzwierciedlenie, z
jednej strony w obowi
ązkach nałożonych na osoby,
w
ładze publiczne, przedsiębiorstwa, agencje i inne orga-
ny odpowiedzialne za przetwarzanie danych, zw
łaszcza
w zakresie jako
ści danych, bezpieczeństwa technicznego,
zawiadamiania organu nadzorczego oraz okoliczno
ści, w
których mo
że odbywać się przetwarzanie danych, jak
równie
ż, z drugiej strony, w prawie osób, których dane
s
ą przedmiotem przetwarzania, do uzyskania informacji,
że takie przetwarzanie danych ma miejsce, do konsulto-
wania danych,
żądania poprawek lub nawet sprzeciwu
wobec przetwarzania danych w niektórych przypadkach.
(26)
Zasady ochrony danych musz
ą odnosić się do wszelkich
informacji dotycz
ących zidentyfikowanych lub możli-
wych do zidentyfikowania osób; w celu ustalenia, czy
dan
ą osobę można zidentyfikować, należy wziąć pod
uwag
ę wszystkie sposoby, jakimi może posłużyć się
administrator danych lub inna osoba w celu zidentyfi-
kowania owej osoby; zasady ochrony danych nie maj
ą
zastosowania do danych, którym nadano anonimowy
charakter w taki sposób,
że podmiot danych nie będzie
móg
ł być zidentyfikowany; zasady postępowania w ro-
zumieniu art. 27 mog
ą być przydatnym instrumentem
w udzielaniu wskazówek co do sposobów nadawania
danym charakteru anonimowego oraz zachowania w
formie, w której identyfikacja osoby, której dane doty-
cz
ą, nie jest dłużej możliwa.
(27)
Ochrona osób fizycznych musi odnosi
ć się zarówno do
automatycznego przetwarzania danych, jak i r
ęcznego
przetwarzania; zakres tej ochrony nie mo
że w swym
skutku by
ć zależny od zastosowanych technik, ponieważ
w przeciwnym razie wyst
ąpiłoby poważne ryzyko ob-
chodzenia zasad; niemniej odno
śnie do ręcznego prze-
twarzania danych, niniejsza dyrektywa obejmuje jedynie
zbiory danych, nie za
ś niezorganizowane zbiory; w
szczególno
ści zawartość zbiorów musi być zorganizo-
wana wed
ług określonych kryteriów dotyczących osób
fizycznych, zapewniaj
ących łatwy dostęp do danych;
zgodnie z definicj
ą zawartą w art. 2 lit. c), poszczególne
Pa
ństwa Członkowskie mogą określić różne kryteria
okre
ślania części składowych zorganizowanego zestawu
danych oraz ró
żne kryteria dostępu do takiego zestawu;
zbiory lub zestawy zbiorów oraz ich strony tytu
łowe,
które nie s
ą zorganizowane według określonych kryte-
riów nie powinny w
żadnych okolicznościach wchodzić
w zakres niniejszej dyrektywy.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
358
(28)
Przetwarzanie danych osobowych musi by
ć zgodne z
prawem i rzetelne wobec zainteresowanych osób; w
szczególno
ści dane muszą być adekwatne, właściwe i
nie wykracza
ć poza cele, dla których są przetwarzane;
cele takie musz
ą być jednoznaczne i uzasadnione oraz
okre
ślone w czasie gromadzenia danych; potrzeby dal-
szego przetwarzania danych dla potrzeb ich gromadze-
nia nie mog
ą być niezgodne z pierwotnie określonymi
celami.
(29)
Dalsze przetwarzanie danych osobowych do celów his-
torycznych, statystycznych i naukowych nie jest na ogó
ł
uwa
żane za niezgodne z celami, dla których dane były
pierwotnie gromadzone, pod warunkiem zapewnienia
przez Pa
ństwo Członkowskie odpowiednich środków
zabezpieczaj
ących; środki te muszą w szczególności wy-
klucza
ć wykorzystywanie danych na rzecz działań lub
decyzji dotycz
ących konkretnej osoby.
(30)
Zgodnie z prawem proces przetwarzania danych osobo-
wych wymaga ponadto, aby dokonywane by
ło ono za
zgod
ą osoby, której dane dotyczą lub było konieczne
dla zawarcia lub realizacji umowy wi
ążącej w sprawie
osoby, której dane dotycz
ą, bądź miało charakter wy-
mogu prawnego, lub te
ż służyło realizacji zadania wy-
konywanego w interesie publicznym lub wykonywaniu
w
ładzy publicznej, bądź też w uzasadnionym interesie
osoby fizycznej lub prawnej, pod warunkiem
że interesy
lub prawa i wolno
ści osoby, której dane dotyczą, nie
maj
ą charakteru nadrzędnego; w celu utrzymania rów-
nowagi mi
ędzy wspomnianymi interesami a gwaranto-
waniem skutecznej konkurencji, Pa
ństwa Członkowskie
mog
ą określić okoliczności, w których dane osobowe
mog
ą być wykorzystane lub ujawnione osobie trzeciej w
kontek
ście uprawnionych zwykłych czynności handlo-
wych spó
łek i innych instytucji; Państwa Członkowskie
mog
ą w podobny sposób określać warunki, w jakich
dane osobowe mog
ą być ujawnione osobie trzeciej do
celów marketingu o charakterze komercyjnym, lub reali-
zowanego przez organizacj
ę charytatywną, lub też przez
inne stowarzyszenie lub fundacj
ę, np. o charakterze
politycznym, z zastrze
żeniem przepisów dopuszczają-
cych prawo sprzeciwu przys
ługujące osobie, której te
dane dotycz
ą wobec przetwarzania tych danych, bez-
p
łatnie i bez konieczności podania uzasadnienia.
(31)
Przetwarzanie danych osobowych musi by
ć również
uznawane za zgodne z prawem, kiedy dokonywane jest
w celu zapewnienia ochrony interesu, który jest niezb
ęd-
ny dla
życia osoby, której dane dotyczą.
(32)
Ustawodawstwo krajowe powinno okre
ślić, czy admi-
nistrator danych wykonuj
ący zadanie realizowane w
interesie publicznym powinien by
ć organem administra-
cji publicznej czy inn
ą osobą fizyczną lub prawną pod-
legaj
ącą prawu publicznemu lub prawu prywatnemu, jak
np. stowarzyszenie zawodowe.
(33)
Dane mog
ące ze względu na ich charakter powodować
naruszenie podstawowych wolno
ści lub prywatności nie
powinny by
ć przetwarzane, o ile osoba, której dotyczą,
nie udzieli wyra
źnej zgody; należy jednak przewidzieć
odst
ępstwa od tego zakazu dla szczególnych potrzeb,
zw
łaszcza w przypadkach gdy przetwarzanie danych
odbywa si
ę w określonych celach zdrowotnych przez
osoby podlegaj
ące prawnemu obowiązkowi zachowania
tajemnicy zawodowej, lub te
ż w trakcie legalnych dzia-
łań niektórych stowarzyszeń lub fundacji, których celem
jest umo
żliwienie realizacji podstawowych wolności.
(34)
Pa
ństwa Członkowskie muszą być również uprawnione,
w sytuacjach, kiedy jest to uzasadnione wa
żnym intere-
sem publicznym, do uchylania zakazu przetwarzania
sensytywnych kategorii danych w takich dziedzinach,
jak zdrowie publiczne i ochrona socjalna
– szczególnie
w celu zapewnienia odpowiedniej jako
ści i zasadności
ekonomicznej procedur stosowanych do rozstrzygania
roszcze
ń w sprawie świadczeń i usług w ramach syste-
mu ubezpiecze
ń zdrowotnych – badania naukowe i
statystyka rz
ądowa; obowiązkiem ich jest jednak stwo-
rzenie konkretnych i odpowiednich zabezpiecze
ń dla
ochrony podstawowych praw i prywatno
ści osób.
(35)
Ponadto przetwarzanie danych osobowych przez w
ładze
publiczne dla osi
ągnięcia określonych w prawie konsty-
tucyjnym lub mi
ędzynarodowym prawie publicznym,
celów oficjalnie uznanych zwi
ązków religijnych jest do-
konywane z wa
żnych względów wynikających z interesu
publicznego.
(36)
W przypadku gdy w trakcie czynno
ści wyborczych,
funkcjonowanie systemu demokratycznego w niektórych
Pa
ństwach Członkowskich wymaga gromadzenia przez
partie polityczne danych na temat opinii politycznych
obywateli, przetwarzanie tych danych mo
że być dozwo-
lone ze wzgl
ędu na ważny interes publiczny, pod wa-
runkiem ustanowienia odpowiednich
środków zabezpie-
czaj
ących.
(37)
Przetwarzanie danych osobowych dla potrzeb dzienni-
karstwa lub wypowiedzi o charakterze literackim lub
artystycznym, zw
łaszcza w dziedzinie techniki audiowi-
zualnej, powinno kwalifikowa
ć się do zwolnienia z wy-
maga
ń niektórych przepisów niniejszej dyrektywy, o ile
jest to konieczne, aby pogodzi
ć prawa podstawowe osób
fizycznych z wolno
ścią informacji, a zwłaszcza prawem
do uzyskiwania i udzielania informacji, co gwarantuje w
szczególno
ści art. 10 Europejskiej Konwencji o ochronie
praw cz
łowieka i podstawowych wolności; Państwa
Cz
łonkowskie powinny w związku z tym ustalić zwol-
nienia i odst
ępstwa konieczne dla zapewnienia równo-
wagi pomi
ędzy prawami podstawowymi odnoszącymi
si
ę do ogólnych środków w sprawie legalności przetwa-
rzania danych,
środków w sprawie przesyłania danych
do pa
ństw trzecich i kompetencjami organów nadzor-
czych; nie powinno to jednak powodowa
ć wprowadze-
nia przez Pa
ństwa Członkowskie uregulowań stanowią-
cych odst
ępstwo od obowiązku zapewnienia bezpieczeń-
stwa
przetwarzania
danych;
przynajmniej
organ
nadzorczy odpowiedzialny za t
ę dziedzinę powinien
by
ć również wyposażony w niektóre uprawnienia ex
post, np. publikowania regularnych sprawozda
ń lub kie-
rowania spraw do w
ładz sądowych.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
359
(38)
Je
żeli przetwarzanie danych ma być rzetelne, osoba,
której dane dotycz
ą, musi mieć możliwość dotarcia do
informacji o wyst
ąpieniu czynności przetwarzania da-
nych oraz, je
żeli dane są uzyskiwane od niej, musi
otrzyma
ć dokładne i pełne informacje, uwzględniające
okoliczno
ści pozyskiwania danych.
(39)
Niektóre czynno
ści w zakresie przetwarzania danych
anga
żują dane, których administrator danych nie uzyskał
bezpo
średnio od osoby, której te dane dotyczą; ponadto
dane mog
ą być legalnie ujawnione osobie trzeciej, nawet
je
żeli ich ujawnienie nie było przewidywane w czasie,
kiedy uzyskiwano dane od osoby, której dotycz
ą; we
wszystkich tych przypadkach osoba, której dane doty-
cz
ą, powinna być informowana przy rejestracji danych
lub te
ż najpóźniej kiedy dane są po raz pierwszy
ujawnione osobie trzeciej.
(40)
Nie jest jednak konieczne nak
ładanie takiego obowiązku,
kiedy osoba, której dane dotycz
ą, posiada już tę infor-
macj
ę; ponadto obowiązek taki nie występuje wówczas,
gdy rejestracja lub ujawnianie danych jest wyra
źnie
przewidziane przez prawo lub je
żeli dostarczanie infor-
macji osobie, której dane dotycz
ą, okazuje się niemożli-
we lub wymaga
łoby niewspółmiernie dużego wysiłku,
co mo
że mieć miejsce w przypadku przetwarzania da-
nych do celów historycznych, statystycznych lub nauko-
wych; pod tym wzgl
ędem można brać pod uwagę liczbę
osób, których dane dotycz
ą, wiek danych oraz przyjęte
środki wyrównawcze.
(41)
Ka
żda osoba musi mieć możliwość skorzystania z prawa
dost
ępu do dotyczących jej danych, które poddane są
przetwarzaniu, w celu zweryfikowania zw
łaszcza pra-
wid
łowości danych oraz legalności ich przetwarzania; z
tych samych powodów ka
żda osoba, której dane doty-
cz
ą, musi również mieć prawo zapoznania się z zasada-
mi automatycznego przetwarzania danych, które jej do-
tycz
ą, przynajmniej w przypadku zautomatyzowanego
procesu decyzyjnego okre
ślonego w art. 15 ust. 1; pra-
wo to nie powinno w niekorzystny sposób wp
ływać na
stan tajemnicy handlowej lub w
łasności intelektualnej, w
szczególno
ści na prawo autorskie chroniące oprogramo-
wanie; wzgl
ędy te nie powinny jednak powodować od-
mowy udzielenia osobie, której dane dotycz
ą wszystkich
informacji.
(42)
Pa
ństwa Członkowskie mogą, w interesie osoby, której
dane dotycz
ą, lub w celu zapewnienia ochrony praw i
wolno
ści innych osób, ograniczać prawo dostępu do
danych i informacji; mog
ą one np. postanowić, że
dost
ęp do danych medycznych może uzyskać tylko
personel medyczny.
(43)
Ograniczenia prawa dost
ępu i informacji oraz niektó-
rych obowi
ązków administratora danych mogą w pod-
obny sposób by
ć wprowadzane przez Państwa Człon-
kowskie, o ile jest to konieczne dla zapewnienia np.
ochrony bezpiecze
ństwa narodowego, obronności, bez-
piecze
ństwa publicznego lub ważnych ekonomicznych
lub finansowych interesów Pa
ństwa Członkowskiego lub
Unii, jak równie
ż dla ochrony dochodzenia i prowadze-
nia spraw karnych oraz dzia
łań w związku z narusze-
niem zasad etyki w zawodach podlegaj
ących regulacji;
wykaz wy
łączeń i ograniczeń powinien obejmować za-
dania z zakresu monitorowania, kontroli i regulacji
koniecznych w trzech wymienionych wy
żej dziedzinach
dotycz
ących bezpieczeństwa publicznego, interesów eko-
nomicznych lub finansowych oraz walki z przest
ępczoś-
ci
ą; sporządzenie wykazu zadań we wspomnianych
trzech dziedzinach nie wp
ływa na zasadność wprowa-
dzenia wy
łączeń i ograniczeń ze względu na bezpieczeń-
stwo lub obronno
ść państwa.
(44)
Pa
ństwa Członkowskie mogą również, na mocy przepi-
sów prawa wspólnotowego, odst
ąpić od przepisów ni-
niejszej dyrektywy odno
śnie do prawa dostępu, obo-
wi
ązku informowania obywateli oraz jakości danych w
celu zapewnienia realizacji niektórych celów okre
ślonych
powy
żej.
(45)
W przypadkach gdy dane mog
ą być legalnie przetwa-
rzane ze wzgl
ędu na interes publiczny, władzę publicz-
n
ą, oficjalne uprawnienia lub uzasadnione prawo osoby
fizycznej lub prawnej, osoba, której dane te dotycz
ą
powinna jednak
że mieć prawo do sprzeciwienia się
przetwarzaniu tych danych, ze wzgl
ędu na uzasadnione
i wa
żkie przyczyny związane z jej sytuacją; Państwa
Cz
łonkowskie mogą jednak ustalić przepisy prawa kra-
jowego o przeciwnej tre
ści.
(46)
Ochrona praw i wolno
ści osób, których dotyczą prze-
twarzane dane osobowe wymaga przyj
ęcia odpowied-
nich rozwi
ązań technicznych i organizacyjnych, zarówno
przy opracowywaniu systemu przetwarzania danych, jak
i podczas samego ich przetwarzania, szczególnie w celu
utrzymania bezpiecze
ństwa i niedopuszczenia do niedo-
zwolonego przetwarzania danych; na Pa
ństwie Człon-
kowskim spoczywa obowi
ązek zapewnienia stosowania
tych rozwi
ązań przez administratora danych; uregulowa-
nia te musz
ą zapewnić odpowiedni stopień bezpieczeń-
stwa, uwzgl
ędniając stan wiedzy w tej dziedzinie oraz
koszty ich realizacji w odniesieniu do ryzyka wynikaj
ą-
cego z przetwarzania danych oraz charakteru danych
podlegaj
ących ochronie.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
360
(47)
W przypadku przekazywania komunikatu zawieraj
ącego
dane osobowe przy pomocy urz
ądzeń telekomunikacyj-
nych lub poczty elektronicznej, których wy
łącznym
przeznaczeniem jest przekazywanie takich komunikatów,
za administratora danych osobowych zawartych w takim
komunikacie uwa
żać się będzie osobę, od której komu-
nikat wychodzi, nie za
ś osobę wykonującą usługę w
zakresie transmisji danych; podmioty wykonuj
ące takie
us
ługi są z reguły uważane za administratorów danych
w odniesieniu do przetwarzania dodatkowych danych
osobowych potrzebnych do wykonywania us
ług.
(48)
Procedury dotycz
ące zawiadamiania organu nadzorczego
s
ą skonstruowane w taki sposób, aby zapewnić ujawnie-
nie celów i g
łównych cech operacji przetwarzania da-
nych dla ustalenia, czy operacja taka jest zgodna z
krajowymi przepisami przyj
ętymi na podstawie niniej-
szej dyrektywy.
(49)
W celu unikni
ęcia zbędnych formalności Państwa Człon-
kowskie mog
ą wprowadzić zwolnienia z obowiązku
zawiadamiania oraz uproszczenia procedury zawiada-
miania w przypadkach gdy ma
ło prawdopodobne jest,
aby przetwarzanie danych mog
ło niekorzystnie wpłynąć
na prawa i wolno
ści osób, których dane dotyczą, jeżeli
jest to zgodne ze
środkiem podjętym przez Państwo
Cz
łonkowskie określającym jego zakres; Państwa Człon-
kowskie mog
ą również wprowadzić zwolnienia i upro-
szczenia w przypadku gdy osoba wyznaczona przez
administratora zapewni,
że przetwarzanie danych wpły-
nie niekorzystnie na prawa i wolno
ści osób, których
dane dotycz
ą; urzędnik odpowiedzialny za ochronę da-
nych b
ędący lub niebędący pracownikiem administratora
danych, musi mie
ć możliwość wykonywania swoich
funkcji w sposób ca
łkowicie niezależny.
(50)
Wspomniane zwolnienie lub uproszczenie procedury
mog
łoby być stosowane w przypadku operacji przetwa-
rzania danych, których wy
łącznym celem jest prowadze-
nie rejestru maj
ącego służyć, zgodnie z prawem krajo-
wym, za
źródło informacji dla ogółu społeczeństwa,
otwarte dla obywateli i ka
żdej osoby wykazującej uza-
sadniony interes.
(51)
Jednak uproszczenie procedury lub zwolnienie z obo-
wi
ązku zawiadamiania nie będzie zwalniać admi-
nistratora danych z innych obowi
ązków wynikających z
niniejszej dyrektywy.
(52)
W tym kontek
ście kontrola ex post przeprowadzana
przez w
łaściwe organy musi z reguły być uznawana za
wystarczaj
ący środek.
(53)
Jednak niektóre operacje przetwarzania danych mog
ą
stwarza
ć określone zagrożenia dla praw i wolności
osób, których dane dotycz
ą ze względu na ich charakter,
ich zakres lub przeznaczenie, jak np. pozbawienie jed-
nostki przys
ługującego jej prawa, korzyści lub kontraktu,
lub ze wzgl
ędu na szczególne zastosowanie nowych
technologii; do Pa
ństw Członkowskich należy, jeżeli
tego sobie
życzą, określenie takich zagrożeń w ich
ustawodawstwie.
(54)
W stosunku do wszystkich operacji przetwarzania da-
nych podejmowanych w spo
łeczeństwie, liczba tych,
które nios
ą ze sobą określone zagrożenia, jest bardzo
ograniczona; Pa
ństwa Członkowskie muszą zapewnić
kontrol
ę przetwarzania danych przez organ nadzorczy
lub urz
ędnika odpowiedzialnego za ochronę danych,
wspó
łpracującego z tym organem przed ich przetworze-
niem; po takiej wst
ępnej kontroli, organ nadzorczy
mo
że, zgodnie z prawem krajowym, wydać opinię lub
zezwolenie na przetwarzanie danych; kontrola taka
mo
że również następować w trakcie opracowywania
środka ustawodawczego wydanego przez parlament na-
rodowy lub
środka opartego na takim środku prawnym,
który okre
śla charakter przetwarzania danych oraz stwa-
rza odpowiednie zabezpieczenia.
(55)
Na wypadek nieprzestrzegania przez administratora da-
nych praw osób, których dane dotycz
ą, ustawodawstwa
krajowe musz
ą przewidywać odpowiednie środki zaska-
r
żenia; szkody, jakie osoba może ponieść wskutek nie-
zgodnego z prawem przetwarzania danych, musz
ą być
wyrównane przez administratora danych, który mo
że
by
ć zwolniony z odpowiedzialności w przypadku udo-
wodnienia,
że szkoda nie powstała z jego winy, szcze-
gólnie wówczas gdy stwierdzi wyst
ąpienie winy po
stronie osoby, której dane dotycz
ą lub w przypadku
si
ły wyższej; należy nakładać sankcje na każdą osobę,
podlegaj
ącą prawu prywatnemu lub publicznemu, która
nie spe
łnia wymagań wynikających z przyjętych krajo-
wych przepisów wprowadzonych na podstawie niniejszej
dyrektywy.
(56)
Transgraniczny przep
ływ danych osobowych jest ko-
niecznym warunkiem rozwoju handlu mi
ędzynarodowe-
go; ochrona osób jak
ą niniejsza dyrektywa gwarantuje
we Wspólnocie nie stanowi przeszkody dla przekazywa-
nia danych osobowych do pa
ństw trzecich, które za-
pewniaj
ą odpowiedni stopień ochrony; prawidłowość
stopnia ochrony danych zapewnianej przez pa
ństwo
trzecie nale
ży oceniać w świetle wszystkich okoliczności
dotycz
ących operacji przekazywania danych lub zestawu
takich operacji.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
361
(57)
Z drugiej strony nale
ży zakazać przekazywania danych
osobowych do pa
ństwa trzeciego, które nie zapewnia
odpowiedniego stopnia ochrony.
(58)
Nale
ży ustanowić, w niektórych okolicznościach, przepi-
sy dla zwolnienia z tego zakazu, je
żeli osoba, której
dane dotycz
ą, wyrazi na to zgodę, jeżeli przekazanie
danych jest konieczne w zwi
ązku z umową lub roszcze-
niem prawnym, je
żeli wymagać tego będzie ochrona
wa
żnego interesu publicznego, jak np. przesyłanie da-
nych za granic
ę przez władze podatkowe lub admini-
stracj
ę celną lub przez służby odpowiedzialne za sprawy
ubezpiecze
ń społecznych, lub w przypadku przekazania
danych z rejestru utworzonego na mocy prawa i prze-
znaczonego do wgl
ądu dla ogółu społeczeństwa lub
osób wykazuj
ących uzasadniony interes; w tym przy-
padku przekazanie danych nie powinno obejmowa
ć ich
ca
łości lub całych kategorii danych oraz, jeżeli rejestr
jest przeznaczony do wgl
ądu dla osób wykazujących
uzasadniony interes, przekazanie danych powinno nast
ą-
pi
ć jedynie na wniosek tych osób, lub wówczas gdy
osoby te maj
ą być odbierającymi dane.
(59)
Podejmowane mog
ą być konkretne działania w celu
zrekompensowania braku ochrony w pa
ństwie trzecim,
je
żeli administrator danych oferuje właściwe środki za-
bezpieczaj
ące; ponadto, należy uwzględnić procedury
negocjacji mi
ędzy Wspólnotą a państwami trzecimi.
(60)
W ka
żdym przypadku przekazywanie danych do państw
trzecich mo
że następować jedynie w pełnej zgodności z
przepisami przyj
ętymi przez Państwa Członkowskie na
podstawie niniejszej dyrektywy, w szczególno
ści jej
art. 8.
(61)
Pa
ństwa Członkowskie i Komisja muszą, w zakresie
swoich kompetencji, zach
ęcać zainteresowane stowarzy-
szenia handlowe i inne zainteresowane organizacje re-
prezentatywne do opracowania kodeksów post
ępowania
w celu u
łatwienia stosowania niniejszej dyrektywy, bio-
r
ąc pod uwagę szczególne cechy procesu przetwarzania
danych w niektórych sektorach, z poszanowaniem prze-
pisów prawa krajowego przyj
ętych w celu jej wykonania.
(62)
Utworzenie w Pa
ństwach Członkowskich organów nad-
zorczych, wykonuj
ących swoje funkcje w sposób całko-
wicie niezale
żny jest zasadniczym elementem ochrony
osób fizycznych w zakresie przetwarzania danych oso-
bowych.
(63)
Organy te musz
ą dysponować określonymi środkami do
realizacji swoich obowi
ązków, włączając uprawnienia do
przeprowadzania dochodzenia i interwencji, szczególnie
w przypadkach skarg od obywateli, jak równie
ż upraw-
nienia do brania udzia
łu w postępowaniu sądowym;
organy te musz
ą przyczyniać się do zapewnienia prze-
jrzysto
ści przetwarzania danych w Państwach Członkow-
skich, których w
łaściwości podlegają.
(64)
W
ładze różnych Państw Członkowskich muszą wspierać
si
ę wzajemnie w wykonywaniu swoich obowiązków w
celu
zapewnienia
w
łaściwego poszanowania zasad
ochrony danych w ca
łej Unii Europejskiej.
(65)
Na poziomie wspólnotowym nale
ży powołać zespół
roboczy do spraw ochrony osób fizycznych w zakresie
przetwarzania danych osobowych, który b
ędzie całkowi-
cie niezale
żny w realizacji swoich funkcji; ze względu na
jego szczególny charakter, musi on s
łużyć radą Komisji
oraz, w szczególno
ści, przyczyniać się do jednolitego
stosowania przepisów krajowych przyj
ętych na mocy
niniejszej dyrektywy.
(66)
W odniesieniu do przekazywania danych do pa
ństw
trzecich, stosowanie niniejszej dyrektywy wymaga nad-
ania Komisji uprawnie
ń wykonawczych oraz ustanowie-
nia procedury zgodnie z decyzj
ą Rady 87/373/EWG (
1
).
(67)
Dnia 20 grudnia 1994 r. zawarta zosta
ła między Parla-
mentem Europejskim, Rad
ą i Komisją umowa w sprawie
modus vivendi dotycz
ąca środków wykonawczych do ak-
tów przyj
ętych w trybie określonym w art. 189b Trak-
tatu WE.
(68)
Zasady ustanowione w niniejszej dyrektywie dotycz
ące
ochrony praw i wolno
ści osób fizycznych, szczególnie
ich prawa do prywatno
ści w odniesieniu do przetwarza-
nia danych osobowych, mog
ą być uzupełniane lub wy-
ja
śniane, zwłaszcza w przypadku niektórych sektorów, w
formie szczegó
łowych przepisów opartych na wspom-
nianych zasadach.
(
1
) Dz.U. L 197 z 18.7.1987, str. 33.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
362
Nale
ży
wyznaczy
ć Państwom Członkowskim okres nie dłuższy
ni
ż trzy lata od wejścia w życie krajowych środków
wykonuj
ących dyrektywę, w którym będą one zobowią-
zane do (69) progresywnego stosowania nowych prze-
pisów krajowych w odniesieniu do wszystkich realizo-
wanych ju
ż operacji przetwarzania danych; dla ułatwie-
nia ich realizacji przy uzasadnionych ekonomicznie
kosztach, kolejny okres 12 lat od daty przyj
ęcia niniej-
szej dyrektywy wyznaczony zostanie Pa
ństwom Człon-
kowskim w celu zapewnienia zgodno
ści istniejących
r
ęcznych systemów ewidencji danych z niektórymi prze-
pisami dyrektywy; je
żeli we wspomnianym przedłużo-
nym okresie przej
ściowym dane zawarte w owych sys-
temach b
ędą przetwarzane ręcznie, konieczne będzie
doprowadzenie do zgodno
ści tych systemów ze wspom-
nianymi przepisami w czasie przetwarzania danych.
(70)
Nie jest konieczne, aby osoba, której dane dotycz
ą,
udzieli
ła ponownej zgody dla umożliwienia admi-
nistratorowi danych dalsze przetwarzanie, po wej
ściu w
życie krajowych przepisów przyjętych na mocy niniej-
szej dyrektywy, wszelkich sensytywnych danych koniecz-
nych do realizacji umowy zawartej na warunkach do-
browolnej zgody stron przed wej
ściem w życie wspom-
nianych przepisów.
(71)
Niniejsza dyrektywa nie stanowi przeszkody dla wpro-
wadzania przez Pa
ństwo Członkowskie regulującej dzia-
łalności marketingowej, skierowanej na konsumentów
zamieszka
łych na jego terytorium, o ile regulacja ta nie
b
ędzie dotyczyć ochrony osób fizycznych w zakresie
przetwarzania danych osobowych.
(72)
Niniejsza dyrektywa zezwala na uwzgl
ędnianie zasady
publicznego dost
ępu do oficjalnych dokumentów przy
realizacji zasad ustanowionych w niniejszej dyrektywie,
PRZYJMUJ
Ą NINIEJSZĄ DYREKTYWĘ:
ROZDZIA
Ł I
PRZEPISY OGÓLNE
Artyku
ł 1
Cel dyrektywy
1.
Zgodnie z przepisami niniejszej dyrektywy, Pa
ństwa
Cz
łonkowskie zobowiązują się chronić podstawowe prawa i
wolno
ści osób fizycznych, w szczególności ich prawo do
prywatno
ści w odniesieniu do przetwarzania danych osobo-
wych.
2.
Pa
ństwa Członkowskie nie będą ograniczać ani zakazy-
wa
ć swobodnego przepływu danych osobowych między Pań-
stwami Cz
łonkowskimi ze względów związanych z ochroną
przewidzian
ą w ust. 1.
Artyku
ł 2
Definicje
Do celów niniejszej dyrektywy:
a)
„dane osobowe” oznacza wszelkie informacje dotyczące
zidentyfikowanej lub mo
żliwej do zidentyfikowania osoby
fizycznej (
„osoby, której dane dotyczą”); osoba możliwa do
zidentyfikowania to osoba, której to
żsamość można ustalić
bezpo
średnio lub pośrednio, szczególnie przez powołanie
si
ę na numer identyfikacyjny lub jeden bądź kilka szczegól-
nych czynników okre
ślających jej fizyczną, fizjologiczną,
umys
łową, ekonomiczną, kulturową lub społeczną tożsa-
mo
ść;
b)
„przetwarzanie danych osobowych” („przetwarzanie”) ozna-
cza ka
żdą operację lub zestaw operacji dokonywanych na
danych osobowych przy pomocy
środków zautomatyzowa-
nych lub innych, jak np. gromadzenie, rejestracja, porz
ądko-
wanie, przechowywanie, adaptacja lub modyfikacja, odzyski-
wanie, konsultowanie, wykorzystywanie, ujawnianie poprzez
transmisj
ę, rozpowszechnianie lub udostępnianie w inny
sposób, uk
ładanie lub kompilowanie, blokowanie, usuwanie
lub niszczenie;
c)
„zbiór danych” („zbiór”) oznacza każdy uporządkowany
zestaw danych osobowych, dost
ępnych według określonych
kryteriów, scentralizowanych, zdecentralizowanych lub roz-
proszonych funkcjonalnie lub geograficznie;
d)
„administrator danych” oznacza osobę fizyczną lub prawną,
w
ładzę publiczną, agencję lub inny organ, który samodziel-
nie lub wspólnie z innymi podmiotami okre
śla cele i
sposoby przetwarzania danych; je
żeli cele i sposoby prze-
twarzania danych s
ą określane w przepisach ustawowych i
wykonawczych
lub
przepisach
wspólnotowych,
admi-
nistrator danych mo
że być powoływany lub kryteria jego
powo
łania mogą być ustalane przez ustawodawstwo krajo-
we lub wspólnotowe;
e)
„przetwarzający” oznacza osobę fizyczną lub prawną, wła-
dz
ę publiczną, agencję lub inny organ przetwarzający dane
osobowe w imieniu administratora danych;
f)
„osoba trzecia” oznacza osobę fizyczną lub prawną, władzę
publiczn
ą, agencję lub inny organ niebędący osobą, której
dane dotycz
ą, ani administratorem danych, ani przetwarza-
j
ącym lub jedną z osób, które pod bezpośrednim zwierz-
chnictwem administratora danych lub przetwarzaj
ącego
upowa
żnione są do przetwarzania danych;
g)
„odbierający dane” oznacza osobę fizyczną lub prawną,
w
ładzę publiczną, agencję lub inny organ, któremu ujawnia-
ne s
ą dane, będący lub niebędący osobą trzecią; jednakże
w
ładze, które mogą otrzymywać dane w ramach konkret-
nego dochodzenia, nie s
ą uważane za odbiorcę;
h)
„zgoda osoby, której dane dotyczą” oznacza konkretne i
świadome, dobrowolne wskazanie przez osobę, której dane
dotycz
ą na to, że wyraża przyzwolenie na przetwarzanie
odnosz
ących się do niej danych osobowych.
Artyku
ł 3
Zakres obowi
ązywania
1.
Niniejsza dyrektywa stosuje si
ę do przetwarzania danych
osobowych w ca
łości lub w części w sposób zautomatyzowany
oraz innego przetwarzania danych osobowych, stanowi
ących
cz
ęść zbioru danych lub mających stanowić część zbioru
danych.
2.
Niniejsza dyrektywa nie ma zastosowania do przetwarza-
nia danych osobowych:
— w ramach działalności wykraczającej poza zakres prawa
Wspólnoty, jak np. dane, o których stanowi tytu
ł V i VI
Traktatu o Unii Europejskiej, a w
żadnym razie do działal-
no
ści na rzecz bezpieczeństwa publicznego, obronności,
bezpiecze
ństwa państwa (łącznie z dobrą kondycją gospo-
darcza pa
ństwa, gdy działalność ta dotyczy spraw związa-
nych z bezpiecze
ństwem państwa) oraz działalności pań-
stwa w obszarach prawa karnego,
— przez osobę fizyczną w trakcie czynności o czysto osobis-
tym lub domowym charakterze.
Artyku
ł 4
Odpowiednie prawo krajowe
1.
Ka
żde Państwo Członkowskie stosuje, w odniesieniu do
przetwarzania danych osobowych, przepisy prawa krajowego
przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:
a) przetwarzanie danych odbywa si
ę w kontekście prowadzenia
przez administratora danych dzia
łalności gospodarczej na
terytorium Pa
ństwa Członkowskiego; jeżeli ten sam admi-
nistrator danych prowadzi dzia
łalność gospodarczą na tery-
torium kilku Pa
ństw Członkowskich, musi on podjąć nie-
zb
ędne działania, aby zapewnić, że każde z tych przedsię-
biorstw wywi
ązuje się z obowiązków przewidzianych w
odpowiednich przepisach prawa krajowego;
b) administrator danych nie prowadzi dzia
łalności gospodar-
czej na terytorium Pa
ństwa Członkowskiego, lecz w miejs-
cu, gdzie jego prawo krajowe obowi
ązuje na mocy między-
narodowego prawa publicznego;
c) administrator danych nie prowadzi dzia
łalności gospodar-
czej na terytorium Wspólnoty a do celów przetwarzania
danych osobowych wykorzystuje
środki, zarówno zautoma-
tyzowane jak i inne, znajduj
ące się na terytorium wymie-
nionego Pa
ństwa Członkowskiego, o ile środki te nie są
wykorzystywane wy
łącznie do celów tranzytu przez teryto-
rium Wspólnoty.
2.
W okoliczno
ściach określonych w ust. 1 lit. c), admi-
nistrator danych musi wyznaczy
ć swojego przedstawiciela na
terytorium tego Pa
ństwa Członkowskiego, bez uszczerbku dla-
post
ępowań sądowych, jakie mogłyby być podjęte przeciwko
samemu administratorowi danych.
ROZDZIA
Ł II
OGÓLNE ZASADY LEGALNO
ŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Artyku
ł 5
Pa
ństwa Członkowskie określą, w granicach przepisów zawartych w niniejszym rozdziale, bardziej
szczegó
łowe warunki ustalania legalności przetwarzania danych osobowych.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
363
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
364
SEKCJA 1
ZASADY DOTYCZ
ĄCE JAKOŚCI DANYCH
Artyku
ł 6
1.
Pa
ństwa Członkowskie zapewniają, aby dane osobowe
by
ły:
a) przetwarzane rzetelnie i legalnie;
b) gromadzone do okre
ślonych, jednoznacznych i legalnych
celów oraz nie by
ły poddawane dalszemu przetwarzaniu w
sposób niezgodny z tym celem. Dalsze przetwarzanie da-
nych w celach historycznych, statystycznych lub naukowych
nie jest uwa
żane za niezgodne z przepisami pod warunkiem
ustanowienia przez Pa
ństwa Członkowskie odpowiednich
środków zabezpieczających;
c) prawid
łowe, stosowne oraz nienadmierne ilościowo w sto-
sunku do celów, dla których zosta
ły zgromadzone i/lub
dalej przetworzone;
d) prawid
łowe oraz, w razie konieczności, aktualizowane; na-
le
ży podjąć wszelkie uzasadnione działania, aby zapewnić
usuni
ęcie lub poprawienie nieprawidłowych lub niekomplet-
nych danych, bior
ąc pod uwagę cele, dla których zostały
zgromadzone lub dla których s
ą dalej przetwarzane;
e) przechowywane w formie umo
żliwiającej identyfikację osób,
których dane dotycz
ą, przez czas nie dłuższy niż jest to
konieczne do celów, dla których dane zosta
ły zgromadzone
lub dla których s
ą dalej przetwarzane. Państwa Członkow-
skie ustanowi
ą odpowiednie środki zabezpieczające dla da-
nych przechowywanych przez d
łuższe okresy dla potrzeb
historycznych, statystycznych i naukowych.
2.
Na administratorze danych spoczywa obowi
ązek zapew-
nienia przestrzegania przepisów ust. 1.
SEKCJA II
KRYTERIA LEGALNO
ŚCI PRZETWARZANIA DANYCH
Artyku
ł 7
Pa
ństwa Członkowskie zapewniają, że dane osobowe mogą być
przetwarzane tylko wówczas gdy:
a) osoba, której dane dotycz
ą, jednoznacznie wyraziła na to
zgod
ę; lub
b) przetwarzanie danych jest konieczne dla realizacji umowy,
której stron
ą jest osoba, której dane dotyczą, lub w celu
podj
ęcia działań na życzenie osoby, której dane dotyczą,
przed zawarciem umowy; lub
c) przetwarzanie danych jest konieczne dla wykonania zobo-
wi
ązaniea prawnego, któremu administrator danych podlega;
lub
d) przetwarzanie danych jest konieczne dla ochrony
żywotnych
interesów osób, których dane dotycz
ą; lub
e) przetwarzanie danych jest konieczne dla realizacji zadania
wykonywanego w interesie publicznym lub dla wykonywa-
nia w
ładzy publicznej przekazanej administratorowi danych
lub osobie trzeciej, przed któr
ą ujawnia się dane; lub
f) przetwarzanie danych jest konieczne dla potrzeb wynikaj
ą-
cych z uzasadnionych interesów administratora danych lub
osoby trzeciej, lub osobom, którym dane s
ą ujawniane, z
wyj
ątkiem sytuacji, kiedy interesy takie podporządkowane są
interesom zwi
ązanym z podstawowymi prawami i wolnoś-
ciami osoby, której dane dotycz
ą, które gwarantują ochronę
na podstawie art. 1 ust. 1.
SEKCJA III
SZCZEGÓLNE
KATEGORIE
PRZETWARZANIA
DA-
NYCH
Artyku
ł 8
Przetwarzanie szczególnych kategorii danych
1.
Pa
ństwa Członkowskie zabraniają przetwarzania danych
osobowych ujawniaj
ących pochodzenie rasowe lub etniczne,
opinie polityczne, przekonania religijne lub filozoficzne, przy-
nale
żność do związków zawodowych, jak również przetwarza-
nie danych dotycz
ących zdrowia i życia seksualnego.
2.
Ust
ęp 1 nie ma zastosowania w przypadku gdy:
a) osoba, której dane dotycz
ą, udzieliła wyraźnej zgody na ich
przetwarzanie, chyba
że ustawodawstwo Państwa Członkow-
skiego przewiduje,
że zakaz określony w ust. 1 nie może
by
ć uchylony mimo udzielonej zgody przez osobę, której
dane dotycz
ą; lub
b) przetwarzanie danych jest konieczne do wype
łniania obo-
wi
ązków i szczególnych uprawnień administratora danych w
dziedzinie prawa pracy, o ile jest to dozwolone przez prawo
krajowe przewiduj
ące odpowiednie środki zabezpieczające;
lub
c) przetwarzanie danych jest konieczne dla ochrony
żywotnych
interesów osoby, której dane dotycz
ą lub innej osoby, w
przypadku gdy osoba, której dane dotycz
ą, jest fizycznie lub
prawnie niezdolna do udzielenia zgody; lub
d) przetwarzanie danych jest dokonywane w ramach legalnej
dzia
łalności wspartej odpowiednimi gwarancjami przez fun-
dacj
ę, stowarzyszenie lub inną instytucję nienastawioną na
osi
ąganie zysku, której cele mają charakter polityczny, filo-
zoficzny, religijny lub zwi
ązkowy, pod warunkiem że prze-
twarzanie danych odnosi si
ę wyłącznie do członków tej
instytucji lub osób maj
ących z nią regularny kontakt w
zwi
ązku z jej celami oraz, że dane nie zostaną ujawnione
osobie trzeciej bez zgody osób, których dane dotycz
ą; lub
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
365
e) przetwarzanie dotyczy danych, które s
ą podawane do wia-
domo
ści publicznej przez osobę, której dane dotyczą, lub
jest konieczne do ustalenia, wykonania lub ochrony ro-
szcze
ń prawnych.
3.
Ust
ęp 1 nie ma zastosowania w przypadku gdy przetwa-
rzanie danych wymagane jest do celów medycyny prewencyj-
nej, diagnostyki medycznej,
świadczenia opieki lub leczenia,
lub te
ż zarządzania opieką zdrowotną, jak również w przy-
padkach, gdy dane s
ą przetwarzane przez pracownika służby
zdrowia zgodnie z przepisami prawa krajowego lub zasadami
okre
ślonymi przez właściwe krajowe instytucje, podlegającemu
obowi
ązkowi zachowania tajemnicy zawodowej lub przez inną
osob
ę również zobowiązaną do zachowania tajemnicy.
4.
Pod warunkiem ustanowienia odpowiednich
środków za-
bezpieczaj
ących, Państwa Członkowskie mogą, ze względu na
istotny interes publiczny, ustali
ć dodatkowe wyłączenia, poza
tymi, które zosta
ły przewidziane w ust. 2, na mocy ustawy
krajowej lub decyzji organu nadzorczego.
5.
Przetwarzanie danych dotycz
ących przestępstw, wyroków
skazuj
ących lub środków bezpieczeństwa może być dokonywa-
ne jedynie pod kontrol
ą władz publicznych, lub też, jeżeli
zgodnie z prawem krajowym ustanowiono okre
ślone środki
zabezpieczaj
ące, z zachowaniem odstępstw, które Państwo
Cz
łonkowskie może udzielić zgodnie z obowiązującymi prze-
pisami prawa krajowego, zapewniaj
ąc zachowanie odpowied-
nich zabezpiecze
ń. Jednak kompletny rejestr przestępstw kry-
minalnych mo
że być prowadzony tylko pod kontrolą władzy
publicznej.
Pa
ństwa Członkowskie mogą ustanowić przepisy zobowiązują-
ce oficjalny organ do sprawowania kontroli nad przetwarza-
niem danych dotycz
ących sankcji administracyjnych lub orze-
cze
ń w sprawach cywilnych.
6.
Odst
ępstwa od ust. 1, przewidziane w ust. 4 i 5, są
notyfikowane Komisji.
7.
Pa
ństwa Członkowskie określą warunki, w których może
nast
ępować przetwarzanie krajowego numeru identyfikacyjnego
lub innego identyfikatora ogólnego stosowania.
Artyku
ł 9
Przetwarzanie danych osobowych i wolno
ść wypowiedzi
Pa
ństwa Członkowskie wprowadzają możliwość wyłączenia lub
odst
ąpienia od przepisów niniejszego rozdziału, rozdziału IV i
VI w przypadku przetwarzania danych osobowych wy
łącznie w
celach dziennikarskich lub w celu uzyskania wyrazu artystycz-
nego lub literackiego jedynie wówczas, gdy jest to konieczne
dla pogodzenia prawa do zachowania prywatno
ści z przepisa-
mi dotycz
ącymi wolności wypowiedzi.
SEKCJA IV
PRZEKAZYWANIE
INFORMACJI
OSOBIE,
KTÓREJ
DANE DOTYCZ
Ą
Artyku
ł 10
Informacje w przypadku gromadzeniadanych od osoby,
której dane dotycz
ą
Pa
ństwa Członkowskie zapewniają, aby administrator danych
lub jego przedstawiciel mia
ł obowiązek przedstawienia osobie,
której dane dotycz
ą i od której gromadzone są dane, co
najmniej nast
ępujących informacji, z wyjątkiem przypadku,
kiedy informacje takie ju
ż posiada:
a) to
żsamości administratora danych i ewentualnie jego przed-
stawiciela;
b) celów przetwarzania danych, do których dane s
ą przezna-
czone;
c) wszelkich dalszych informacji, jak np.:
— odbiorcy lub kategorie odbierających dane,
— tego, czy odpowiedzi na pytania są obowiązkowe czy
dobrowolne oraz ewentualne konsekwencje nieudzielenia
odpowiedzi,
— istnienie prawa wglądu do swoich danych oraz ich
sprostowania,
o ile takie dalsze informacje s
ą potrzebne, biorąc od uwagę
szczególne okoliczno
ści, w których dane są gromadzone, w
celu zagwarantowania rzetelnego przetwarzania danych w
stsunku doosoby, której dane dotycz
ą.
Artyku
ł 11
Informacje w przypadku uzyskiwania danych z innych
źródeł niż osoba, której dane dotyczą
1.
W przypadku gdy dane uzyskiwane s
ą z innych źródeł
ni
ż osoba, której dane dotyczą, Państwa Członkowskie zapew-
niaj
ą, aby administrator danych lub jego przedstawiciel był
zobowi
ązany od początku gromadzenia danych osobowych
lub w przypadku ujawnienia danych osobie trzeciej, nie pó
źniej
ni
ż do momentu, gdy dane są ujawniane po raz pierwszy,
dostarczy
ć osobie, której dane dotyczą, co najmniej następujące
informacje, z wyj
ątkiem przypadku, kiedy posiada już ona
takie informacje:
— tożsamość administratora i ewentualnie jego przedstawicie-
la;
— cele przetwarzania danych;
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
366
— wszelkie dalsze informacji, jak np.:
— kategorie potrzebnych danych,
— odbiorcy lub kategorie odbierających dane,
— istnienie prawa wglądu do swoich danych oraz ichspros-
towania,
o ile takie dalsze informacje s
ą konieczne, biorąc od uwagę
szczególne okoliczno
ści, w których dane są gromadzone, w
celu zagwarantowania rzetelnego przetwarzania danych w
stosunku doosoby, której dane dotycz
ą.
2.
Ust
ęp 1 nie ma zastosowania w przypadku gdy, szcze-
gólnie w przypadku przetwarzania danych do celów statystycz-
nych, historycznych lub naukowych, dostarczenie takich infor-
macji wymaga
łoby niewspółmiernie dużego wysiłku lub jeżeli
gromadzenie lub ujawnianie informacji jest wyra
źnie przewi-
dziane przez prawo. W takich przypadkach Pa
ństwa Człon-
kowskie zapewniaj
ą odpowiednie środki zabezpieczające.
SEKCJA V
PRAWO UZYSKANIA PRZEZ OSOB
Ę, KTÓREJ DANE
DOTYCZ
Ą DOSTĘPU DO DANYCH
Artyku
ł 12
Prawo dost
ępu do danych
Pa
ństwa Członkowskie zapewniają każdej osobie, której dane
dotycz
ą, prawo do uzyskania od administratora danych:
a) bez ogranicze
ń, w odpowiednich odstępach czasu oraz bez
nadmiernego opó
źnienia lub kosztów:
— potwierdzenia, czy dotyczące jej dane są przetwarzane
oraz co najmniej informacji o celach przetwarzania
danych, kategoriach danych oraz odbiorcach lub katego-
riach odbiorców, którym dane te s
ą ujawniane,
— wyrażonej w zrozumiałej formie informacji o danych
przechodz
ących przetwarzanie oraz posiadanych infor-
macji o ich
źródłach,
— wiadomości na temat zasad automatycznego przetwarza-
nia dotycz
ących jej danych przynajmniej w przypadku
zautomatyzowanego procesu decyzyjnego okre
ślonego w
art. 15 ust. 1;
b) odpowiednio do przypadku, sprostowania, usuni
ęcia lub
zablokowania danych, których przetwarzanie jest niezgodne
z przepisami niniejszej dyrektywy, szczególnie ze wzgl
ędu
na niekompletno
ść lub niedokładność danych;
c) zawiadomienia osób trzecich, którym dane zosta
ły ujawnio-
ne, o ewentualnym sprostowaniu, usuni
ęciu lub zablokowa-
niu danych zgodnie z lit. b), o ile nie oka
że się to
niemo
żliwe lub nie będzie wymagało niewspółmiernie du-
żego wysiłku.
SEKCJA VI
WY
ŁĄCZENIA I OGRANICZENIA
Artyku
ł 13
Zwolnienia i ograniczenia
1.
Pa
ństwo Członkowskie może przyjąć środki ustawoda-
wcze w celu ograniczenia zakresu praw i obowi
ązków, przewi-
dzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz
21, kiedy ograniczenie takie stanowi
środek konieczny dla
zabezpieczenia:
a) bezpiecze
ństwa narodowego;
b) obronno
ści;
c) bezpiecze
ństwa publicznego;
d) dzia
łań prewencyjnych, prowadzonych czynności dochodze-
niowo-
śledczych i prokuratorskich w sprawach karnych lub
sprawach o naruszenie zasad etyki w zawodach podlegaj
ą-
cych regulacji;
e) wa
żnego interesu ekonomicznego lub finansowego Państwa
Cz
łonkowskiego lub Unii Europejskiej, łącznie z kwestiami
pieni
ężnymi, budżetowymi i podatkowymi;
f) funkcji kontrolnych, inspekcyjnych i regulacyjnych zwi
ąza-
nych, nawet sporadycznie, z wykonywaniem w
ładzy pu-
blicznej w przypadkach wymienionych w lit. c)
–e);
g) ochrony osoby, której dane dotycz
ą oraz praw i wolności
innych osób.
2.
Z zastrze
żeniem obowiązku zapewnienia odpowiedniego
stopnia ochronyprawnej, w szczególno
ści, aby dane nie były
wykorzystywane do podejmowania dzia
łań lub decyzji doty-
cz
ących konkretnych osób, Państwa Członkowskie mogą w
przypadku gdy wyra
źnie nie występuje ryzyko naruszenia
prywatno
ści osoby, której dane dotyczą, ograniczyć przy po-
mocy
środków legislacyjnych prawa przewidziane w art. 12,
gdy dane s
ą przetwarzane wyłącznie do celów badań nauko-
wych lub przechowywane s
ą w formie osobistej przez okres
nieprzekraczaj
ący okresu koniecznegowyłącznie w celusporzą-
dzenia statystyk.
SEKCJA VII
PRAWO SPRZECIWU PRZYS
ŁUGUJĄCE OSOBIE, KTÓ-
REJ DANE DOTYCZ
Ą
Artyku
ł 14
Prawo sprzeciwu przys
ługujące osobie, której dane doty-
cz
ą
Pa
ństwa Członkowskie przyznają osobie, której dane dotyczą,
prawo:
a) przynajmniej w przypadkach wymienionych w art. 7 lit. e) i
f), w dowolnym czasie z wa
żnych i uzasadnionych przyczyn
wynikaj
ących z jego konkretnej sytuacji, sprzeciwu co do
przetwarzania dotycz
ących jej danych, z zastrzeżeniem od-
miennych postanowie
ń ustawodawstwa krajowego. W przy-
padku uzasadnionego sprzeciwu przetwarzanie danych
przez administratora danych nie mo
że już obejmować tych
danych;
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
367
b) sprzeciwu, na wniosek i bez op
łaty, wobec przetwarzania
dotycz
ących jej danych osobowych, dla potrzeb bezpośred-
niego obrotu, lub prawo bycia poinformowanym przed
ujawnieniem danych osobowych po raz pierwszy osobom
trzecim lub ich wykorzystaniem w ich imieniu dla potrzeb
bezpo
średniego obrotu, jak również prawo wyraźnego po-
wo
ływania się na prawo sprzeciwu, bez opłat, wobec ujaw-
niania lub wykorzystywania danych.
Pa
ństwa Członkowskie podejmują konieczne działania, aby
osoby, których dane dotycz
ą, były świadome istnienia praw
wymienionych w lit. b) akapit pierwszy.
Artyku
ł 15
Zautomatyzowane decyzje indywidualne
1.
Pa
ństwa Członkowskie przyznają każdej osobie prawo do
nieobj
ęcia jej decyzją, która wywołuje skutki prawne, które jej
dotycz
ą lub mają na nią istotny wpływ, oraz która oparta jest
wy
łącznie na zautomatyzowanym przetwarzaniu danych, któ-
rego celem jest dokonanie oceny niektórych dotycz
ących ją
aspektów o charakterze osobistym, jak np. wyniki osi
ągane w
pracy, zdolno
ść kredytowa, wiarygodność, sposób zachowania
itp.
2.
Z zastrze
żeniem przepisów innych artykułów niniejszej
dyrektywy, Pa
ństwa Członkowskie zapewniają, że każda osoba
b
ędzie mogła być wyłączona z zakresu objętego decyzją okreś-
lon
ą w ust. 1, jeżeli decyzja taka:
a) zostanie podj
ęta w trakcie zawierania lub realizacji umowy,
pod warunkiem
że wniosek w sprawie zawarcia lub realiza-
cji umowy, wniesiony przez osob
ę, której dane dotyczą,
zostanie przyj
ęty, lub że istnieją odpowiednie sposoby za-
bezpieczenia jego uzasadnionych interesów, jak np. uregulo-
wania umo
żliwiające mu przedstawienie swojego punktu
widzenia; lub
b) zostanie dozwolona przez prawo, które okre
śla również
sposoby zabezpieczenia uzasadnionych interesów osoby,
której dane dotycz
ą.
SEKCJA VIII
POUFNO
ŚĆ I BEZPIECZEŃSTWO PRZETWARZANIA
DANYCH
Artyku
ł 16
Poufno
ść przetwarzania danych
Żadna osoba działająca z upoważnienia administratora danych
lub przetwarzaj
ącego, włączając samego przetwarzającego, któ-
ry ma dost
ęp do danych osobowych, nie może przetwarzać ich
bez polecenia administratora danych, chyba
że wymaga tego
prawo.
Artyku
ł 17
Bezpiecze
ństwo przetwarzania danych
1.
Pa
ństwa Członkowskie zapewniają, aby administrator da-
nych wprowadzi
ł odpowiednie środki techniczne i organizacyj-
ne w celu ochrony danych osobowych przed przypadkowym
lub nielegalnym zniszczeniem lub przypadkow
ą utratą, zmianą,
niedozwolonym ujawnieniem lub dost
ępem, szczególnie wów-
czas gdy przetwarzanie danych obejmuje transmisj
ę danych w
sieci, jak równie
ż przed wszelkimi innymi nielegalnymi forma-
mi przetwarzania.
Uwzgl
ędniając stan wiedzy w tej dziedzinie oraz koszt realiza-
cji, przyj
ęte zostaną takie środki, które zapewnią poziom
bezpiecze
ństwa odpowiedni do zagrożeń wynikających z prze-
twarzania danych oraz charakteru danych obj
ętych ochroną.
2.
Pa
ństwa Członkowskie zobowiązują administratora da-
nych, w przypadku przetwarzania danych w jego imieniu, do
wybrania przetwarzaj
ącego, o wystarczających gwarancjach od-
no
śnie do technicznych środków bezpieczeństwa oraz rozwią-
za
ń organizacyjnych, regulujących przetwarzanie danych, oraz
zapewnienia stosowania tych
środków i rozwiązań.
3.
Przetwarzanie danych przez przetwarzaj
ącego musi być
regulowane przez umow
ę lub akt prawny, na mocy których
przetwarzaj
ący podlega administratorowi danych i które w
szczególno
ści postanawiają, że:
— przetwarzający działa wyłącznie na polecenie administratora
danych,
— obowiązki wymienione w ust. 1, określone przez ustawo-
dawstwo Pa
ństwa Członkowskiego, w którym przetwarzają-
cy prowadzi dzia
łalność gospodarczą, dotyczą również
przetwarzaj
ącego.
4.
Do celów zachowania dowodów, cz
ęści umowy lub aktu
prawnego dotycz
ącego ochrony danych i wymagań dotyczą-
cych
środków wymienionych w ust. 1 są sporządzane na
pi
śmie lub w innej równorzędnej formie.
SEKCJA IX
ZAWIADOMIENIE
Artyku
ł 18
Obowi
ązek zawiadamiania organu nadzorczego
1.
Pa
ństwa Członkowskie zobowiązują administratora da-
nych lub jego ewentualnego przedstawiciela do zawiadomienia
organu nadzorczego, wymienionego w art. 28, przed przepro-
wadzeniem ca
łościowej lub częściowej operacji automatycznego
przetwarzania danych lub zestawu takich operacji maj
ących
s
łużyć jednemu celowi lub wielu powiązanym ze sobą celom.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
368
2.
Pa
ństwa Członkowskie mogą wprowadzić uproszczenie
procedury lub zwolnienie z obowi
ązku zawiadomienia tylko w
nast
ępujących sytuacjach oraz na następujących warunkach:
— jeżeli, w przypadku kategorii operacji przetwarzania, co do
których ma
ło prawdopodobne jest, biorąc pod uwagę dane
przeznaczone do przetworzenia, aby niekorzystnie wp
łynę-
ły na prawa i wolności osób, których dane dotyczą, określą
cele przetwarzania danych, dane lub kategorie danych prze-
chodz
ących proces przetwarzania, kategorię lub kategorie
osób, których dane dotycz
ą, odbiorców lub kategorie od-
biorców, którym dane maj
ą być ujawnione oraz długość
okresu przechowywania danych i/lub
— jeżeli administrator danych, zgodnie z dotyczącymi go
przepisami krajowymi, powo
ła urzędnika do spraw ochrony
danych osobowych, odpowiedzialnego w szczególno
ści:
— za zapewnienie w niezależny sposób wewnętrznego
stosowania przepisów prawa krajowego przyj
ętych na
mocy niniejszej dyrektywy,
— za prowadzenie rejestru operacji przetwarzania danych
wykonywanych przez administratora danych i zawiera-
j
ących informacje określone w art. 21 ust. 2,
zapewniaj
ąc przy tym, że nie zostaną naruszone prawa i
wolno
ści osób, których dane dotyczą.
3.
Pa
ństwa Członkowskie mogą ustalić, że ust. 1 nie odnosi
si
ę do przetwarzania danych, którego wyłącznym celem jest
prowadzenie rejestru, który zgodnie z obowi
ązującymi przepi-
sami ustawowymi lub wykonawczymi ma s
łużyć za źródło
informacji dla spo
łeczeństwa oraz który będzie przeznaczony
do wgl
ądu dla ogółu społeczeństwa lub osób wykazujących
uzasadniony interes.
4.
Pa
ństwa Członkowskie mogą wprowadzić wyłączenie od-
obowi
ązku zawiadamiania lub uprościć procedurę zawiadamia-
nia w przypadku operacji przetwarzania danych okre
ślonych w
art. 8 ust. 2 lit. d).
5.
Pa
ństwa Członkowskie mogą postanowić, że niektóre lub
wszystkie niezautomatyzowane operacje przetwarzania danych
osobowych b
ędą zgłaszane lub ustalą dla takich operacji upro-
szczony tryb zawiadamiania.
Artyku
ł 19
Tre
ść zawiadomienia
1.
Pa
ństwa Członkowskie ustalają, jakie informacje zostaną
podane w zawiadomieniu. Obejmuj
ą one, co najmniej:
a) nazw
ę (nazwisko) i adres administratora danych i ewentual-
nie jego przedstawiciela;
b) cel lub cele przetwarzania danych;
c) opis kategorii osób, których dane dotycz
ą oraz danych lub
kategorii danych, które si
ę do nich odnoszą;
d) odbiorc
ę lub kategorie odbiorców, którym dane mogą być
ujawnione;
e) propozycje przekazania danych do pa
ństw trzecich;
f) ogólny opis umo
żliwiający dokonanie wstępnej oceny pra-
wid
łowości uregulowań przyjętych w związku z art. 17 w
celu zapewnienia bezpiecze
ństwa przetwarzania danych.
2.
Pa
ństwa Członkowskie określą procedury w myśl, których
wszelkie zmiany maj
ące wpływ na informacje określone w
ust. 1 musz
ą być zgłaszane organowi nadzorczemu.
Artyku
ł 20
Kontrola wst
ępna
1.
Pa
ństwa Członkowskie definiują operacje przetwarzania
danych mog
ące stwarzać określone zagrożenia dla praw i
wolno
ści osób, których dane dotyczą oraz kontrolują, czy
dane te s
ą badane przed ich rozpoczęciem.
2.
Kontrole wst
ępne są przeprowadzane przez organ nad-
zorczy po przyj
ęciu od administratora danych lub urzędnika
odpowiedzialnego za ochron
ę danych zawiadomienia, którzy w
razie w
ątpliwości powinni zasięgać opinii organu nadzorczego.
3.
Pa
ństwa Członkowskie mogą również przeprowadzać ta-
kie kontrole w kontek
ście opracowywania odpowiedniego środ-
ka w parlamencie narodowym lub
środka opartego na takim
rozwi
ązaniu legislacyjnym, które określa charakter przetwarza-
nia danych oraz stwarza odpowiednie zabezpieczenia.
Artyku
ł 21
Podawanie do wiadomo
ści publicznej operacji przetwarza-
nia danych
1.
Pa
ństwa Członkowskie podejmują odpowiednie środki,
aby zapewni
ć podanie do wiadomości publicznej operacji
przetwarzania danych.
2.
Pa
ństwa Członkowskie zapewniają, aby organ nadzorczy
prowadzi
ł rejestr operacji przetwarzania danych zgłoszonych
zgodnie z art. 18.
Rejestr zawiera co najmniej informacje wymienione w art. 19
ust. 1 lit. a)
–e).
Rejestr mo
że być sprawdzany przez dowolną osobę.
3.
Pa
ństwa Członkowskie zapewniają, w odniesieniu do ope-
racji przetwarzania danych niepodlegaj
ących zgłoszeniu, aby
administratorzy danych lub inne instytucje powo
łane przez
Pa
ństwa Członkowskie udostępniały przynajmniej informacje
okre
ślone w art. 19 ust. 1 lit. a)–e), w odpowiedniej formie
ka
żdej osobie na żądanie.
Pa
ństwa Członkowskie mogą ustalić, że przepis ten nie będzie
dotyczy
ć przetwarzania danych, którego wyłącznym celem jest
prowadzenie rejestru maj
ącego służyć, na mocy przepisów
ustawowych i wykonawczych, za
źródło informacji dla ogółu
spo
łeczeństwa, otwartego dla obywateli i każdej osoby wyka-
zuj
ącej uzasadniony interes.
ROZDZIA
Ł III
ŚRODKI SĄDOWE, ODPOWIEDZIALNOŚĆ I SANKCJE
Artyku
ł 22
Środki sądowe
Bez uszczerbku dla wszystkich odwo
ławczych środków administracyjnych, które mogą być wprowadzone
przez organ nadzorczy okre
ślony w art. 28, przed wszczęciem postępowania sądowego Państwa Człon-
kowskie zapewni
ą każdej osobie prawo do korzystania ze środków prawnych w związku z naruszeniem
praw zagwarantowanych jej przez przepisy krajowe dotycz
ące przetwarzania danych.
Artyku
ł 23
Odpowiedzialno
ść
1.
Pa
ństwa Członkowskie zapewniają, że każdej osobie, która poniosła szkodę wskutek niezgodnej z
prawem operacji przetwarzania danych lub innej czynno
ści niezgodnej z przepisami krajowymi przyjętymi
zgodnie z niniejsz
ą dyrektywą, przysługuje od administratora danych odszkodowanie za poniesioną
szkod
ę.
2.
Administrator danych mo
że zastać zwolniony od tej odpowiedzialności w całości lub w części, jeżeli
udowodni,
że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę.
Artyku
ł 24
Sankcje
Pa
ństwa Członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów
niniejszej dyrektywy oraz w szczególno
ści określą sankcje, jakie należy nałożyć w przypadku naruszenia
przepisów przyj
ętych zgodnie z niniejszą dyrektywą.
ROZDZIA
Ł IV
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PA
ŃSTW TRZECICH
Artyku
ł 25
Zasady
1.
Pa
ństwa Członkowskie zapewniają, aby przekazywanie do
pa
ństwa trzeciego danych osobowych poddawanych przetwa-
rzaniu lub przeznaczonych do przetwarzania po ich przekaza-
niu mog
ło nastąpić tylko wówczas gdy, niezależnie od zgod-
no
ści z krajowymi przepisami przyjętymi na podstawie innych
przepisów niniejszej dyrektywy, dane pa
ństwo trzecie zapewni
odpowiedni stopie
ń ochrony.
2.
Odpowiedni stopie
ń ochrony danych zapewnianej przez
pa
ństwo trzecie należy oceniać w świetle wszystkich okolicz-
no
ści dotyczących operacji przekazania danych lub zbioruta-
kich operacji; szczególn
ą uwagę zwracać się będzie na charak-
ter danych, cel i czas trwania proponowanych operacji prze-
twarzania danych, kraj pochodzenia i kraj ostatecznego
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
369
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
370
przeznaczenia, przepisy prawa, zarówno ogólne jak i bran
żo-
we, obowi
ązujące w państwie trzecim oraz przepisy zawodowe
i
środki bezpieczeństwa stosowane w tym państwie.
3.
Pa
ństwa Członkowskie i Komisja będą informować się
wzajemnie o przypadkach, kiedy uznaj
ą, że państwo trzecie
nie zapewnia odpowiedniego stopnia ochrony w znaczeniu
ust. 2.
4.
Je
żeli Komisja stwierdzi, na podstawie procedury przewi-
dzianej w art. 31 ust. 2,
że państwo trzecie nie zapewnia
odpowiedniego stopnia ochrony w znaczeniu ust. 2 niniejszego
artyku
łu, Państwa Członkowskie podejmą konieczne środki,
aby nie dopu
ścić do przekazania jakichkolwiek danych tego
samego rodzaju do wspomnianego pa
ństwa trzeciego.
5.
We w
łaściwym czasie Komisja przystąpi do negocjacji w
celu zaradzenia sytuacji stwierdzonej na podstawie ust. 4.
6.
Komisja mo
że stwierdzić, zgodnie z procedurą określoną
w art. 31 ust. 2,
że państwo trzecie zapewnia prawidłowy
stopie
ń ochrony w znaczeniu ust. 2 niniejszego artykułu, co
wynika z jego prawa krajowego lub mi
ędzynarodowych zobo-
wi
ązań, jakie państwo to przyjęło, szczególnie po zakończeniu
negocjacji okre
ślonych w ust. 5, w zakresie ochrony życia
prywatnego i podstawowych praw i wolno
ści osób fizycznych.
Pa
ństwa Członkowskie podejmują środki niezbędne w celu
wykonania decyzji Komisji.
Artyku
ł 26
Odst
ępstwa
1.
W drodze odst
ępstwa od przepisów art. 25 oraz, z
zastrze
żeniem odmiennych przepisów prawa krajowego doty-
cz
ącego konkretnych przypadków, Państwa Członkowskie za-
pewni
ą, że przekazanie lub przekazywanie danych osobowych
do pa
ństwa trzeciego, który nie zapewnia odpowiedniego
stopnia ochrony w znaczeniu art. 25 ust. 2 mo
że nastąpić
pod warunkiem
że:
a) osoba, której dane dotycz
ą, jednoznacznie udzieli zgody na
proponowane przekazanie danych; lub
b) przekazanie danych jest konieczne dla realizacji umowy
mi
ędzy osobą, której dane dotyczą i administratorem da-
nych lub dla wprowadzenia w
życie ustaleń poprzedzają-
cych zawarcie umowy na wniosek osoby, której dane doty-
cz
ą; lub
c) przekazanie danych jest konieczne dla zawarcia lub wyko-
nania umowy zawartej mi
ędzy administratorem danych i
osob
ą trzecią, w interesie osoby, której dane dotyczą, lub
d) przekazanie danych jest konieczne lub wymagane przez
prawo z wa
żnych względów publicznych lub w celu usta-
nowienia, wykonania lub obrony tytu
łu prawnego; lub
e) przekazanie danych jest konieczne dla zapewnienia ochrony
żywotnych interesów osoby, której dane dotyczą; lub
f) przekazanie danych nast
ępuje z rejestru, który ma służyć,
zgodnie z obowi
ązującymi przepisami ustawowymi lub wy-
konawczymi, za
źródło informacji dla ogółu społeczeństwa,
udost
ępnionego do konsultacji obywateli i każdej osoby
wykazuj
ącej uzasadniony interes, o ile warunki określone
przez prawo odno
śnie do wglądu do takiego rejestru zostały
w danym przypadku spe
łnione.
2.
Bez uszczerbku dla ust. 1, Pa
ństwo Członkowskie może
zezwoli
ć na przekazanie lub przekazywanie danych osobowych
do pa
ństwa trzeciego, które nie zapewnia odpowiedniego stop-
nia ochrony w znaczeniu art. 25 ust. 2, je
żeli administrator
danych zaleci odpowiednie zabezpieczenia odno
śnie do ochro-
ny prywatno
ści oraz podstawowych praw i wolności osoby
oraz odno
śnie do wykonywania odpowiednich praw; takie
środki zabezpieczające mogą w szczególności wynikać z od-
powiednich klauzul umownych.
3.
Pa
ństwo Członkowskie powiadamia Komisję i inne Pań-
stwa Cz
łonkowskie o upoważnieniach wydanych na podstawie
ust. 2.
Je
żeli Państwo Członkowskie lub Komisja zgłaszają sprzeciw w
oparciu o uzasadnione przyczyny zwi
ązane z ochroną prywat-
no
ści oraz podstawowych praw i wolności osób fizycznych,
Komisja podejmuje w
łaściwe środki zgodnie z procedurą okreś-
lon
ą w art. 31 ust. 2.
Pa
ństwa Członkowskie podejmą konieczne środki w celu za-
stosowania si
ę do decyzji Komisji.
4.
Je
żeli Komisja postanowi, zgodnie z procedurą określoną
w art. 31 ust. 2,
że określone klauzule umowne zapewniają
odpowiednie
środki zabezpieczające wymagane w ust. 2, Pań-
stwa Cz
łonkowskie podejmą konieczne środki w celu zastoso-
wania si
ę do decyzji Komisji.
ROZDZIA
Ł V
KODEKSY POST
ĘPOWANIA
Artyku
ł 27
1.
Pa
ństwa Członkowskie i Komisja zachęcają do opracowywania kodeksów postępowania, których
celem b
ędzie usprawnienie procesu prawidłowego wprowadzania krajowych przepisów przyjętych przez
Pa
ństwa Członkowskie na mocy niniejszej dyrektywy, uwzględniając szczególne cechy różnych sektorów.
2.
Pa
ństwa Członkowskie umożliwiają związkom zawodowym i innym instytucjom reprezentującym
inne kategorie administratorów danych, które opracowa
ły projekty krajowych kodeksów postępowania lub,
które zamierzaj
ą dokonać zmiany lub uzupełnienia istniejących krajowych kodeksów postępowania,
przedstawienie ich do zaopiniowania w
ładzy publicznej.
Pa
ństwa Członkowskie doprowadzą do ustalenia przez wspomniany organ, m.in. czy przedstawiony mu
projekt jest zgodny z przepisami krajowymi przyj
ętymi zgodnie z niniejszą dyrektywą. Jeżeli wspomniany
organ uzna to za stosowne, b
ędzie zwracać się o opinie osób, których dane dotyczą lub ich przedstawi-
cieli.
3.
Projekty kodeksów wspólnotowych, jak równie
ż zmiany i uzupełnienia istniejących kodeksów
wspólnotowych, mog
ą być przedstawione grupie roboczej określonej w art. 29. Grupa robocza ustali
m.in., czy przedstawione jej projekty s
ą zgodne z przepisami krajowymi przyjętymi zgodnie z niniejszą
dyrektyw
ą. Komisja może zapewnić odpowiednie rozpowszechnienie kodeksów zatwierdzonych przez
grup
ę roboczą.
ROZDZIA
Ł VI
ORGAN NADZORCZY I GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE
PRZETWARZANIA DANYCH OSOBOWYCH
Artyku
ł 28
Organ nadzorczy
1.
Ka
żde Państwo Członkowskie zapewni, że jeden lub
wi
ęcej organów władzy publicznej będzie odpowiedzialnych za
kontrol
ę stosowania na jego terytorium przepisów przyjętych
przez Pa
ństwa Członkowskie na mocy niniejszej dyrektywy.
Organy te post
ępują w sposób całkowicie niezależny przy
wykonywaniu powierzonych im funkcji.
2.
Ka
żde Państwo Członkowskie wprowadza obowiązek
konsultowania si
ę z organami nadzorczymi przy opracowywa-
niu
środków administracyjnych lub przepisów dotyczących
ochrony praw i wolno
ści osób fizycznych w zakresie przetwa-
rzania danych osobowych.
3.
Ka
żdy organ jest w szczególności wyposażony w:
— uprawienia dochodzeniowe, jak np. prawo dostępu do
danych stanowi
ących przedmiot operacji przetwarzania da-
nych oraz prawo gromadzenia wszelkich informacji po-
trzebnych do wykonywania jego funkcji nadzorczych,
— skuteczne uprawnienia interwencyjne, jak np. prawo do
wyra
żania opinii przed przystąpieniem do operacji przetwa-
rzania danych zgodnie z art. 20, oraz zapewnienia odpo-
wiedniej publikacji swoich opinii, zarz
ądzania blokady, usu-
ni
ęcia lub zniszczenia danych, nakładania czasowego lub
ostatecznego zakazu przetwarzania danych, ostrzegania lub
upominania administratora danych, lub te
ż prawo kierowa-
nia sprawy do parlamentów narodowych lub innych insty-
tucji politycznych,
— prawo pozywania w przypadku naruszenia krajowych prze-
pisów przyj
ętych zgodnie z niniejszą dyrektywą lub powia-
domienie organów s
ądowych o takim naruszeniu.
Od decyzji organu nadzorczego, co do którego zg
łaszane są
zastrze
żenia, przysługuje odwołanie do właściwego sądu.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
371
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
372
4.
Ka
żdy organ nadzorczy rozpatruje skargi zgłaszane przez
dowoln
ą osobę lub przez stowarzyszenie ją reprezentujące,
odno
śnie do ochrony jej praw i wolności w zakresie przetwa-
rzania danych osobowych. Zainteresowana osoba zostanie po-
informowana o wyniku sprawy.
Ka
żdy organ nadzorczy w szczególności rozpatruje skargi
dotycz
ące kontroli legalności przetwarzania danych, zgłaszane
przez dowoln
ą osobę, kiedy mają zastosowanie krajowe prze-
pisy przyj
ęte zgodnie z art. 13 niniejszej dyrektywy. Osoba ta
zostanie w ka
żdym przypadku poinformowana o przeprowa-
dzeniu kontroli.
5.
Ka
żdy organ nadzorczy regularnie sporządza sprawozda-
nie ze swojej dzia
łalności. Sprawozdanie jest podawane do
wiadomo
ści publicznej.
6.
Ka
żdy organ nadzorczy jest właściwy, niezależnie od
krajowych przepisów dotycz
ących danego przypadku przetwa-
rzania danych, do wykonywaniana terytorium Pa
ństwa Człon-
kowskiego uprawnie
ń powierzonych mu zgodnie z ust. 3. Do
ka
żdego organu można sie zwrócić z żądaniem wykonania
jegou prawnie
ń przez odpowiedni organ innego Państwa
Cz
łonkowskiego.
Organy nadzorcze wspó
łpracują ze sobą w zakresie koniecz-
nym do wykonywania swoich obowi
ązków, zwłaszcza poprzez
wymian
ę wszelkich przydatnych informacji.
7.
Pa
ństwa Członkowskie dopilnują, aby członkowie kierow-
nictwa i personel organu nadzorczego podlegali obowi
ązkowi
zachowania tajemnicy zawodowej równie
ż po rozwiązaniu
stosunku pracy, w odniesieniu do poufnych informacji, do
których maj
ą dostęp.
Artyku
ł 29
Grupa robocza ds. ochrony osób fizycznych w zakresie
przetwarzania danych osobowych
1.
Niniejszym powo
łuje się grupę roboczą ds. ochrony osób
fizycznych w zakresie przetwarzania danych osobowych, zwan
ą
dalej
„grupą roboczą”.
Ma ona charakter doradczy i dzia
ła w sposób niezależny.
2.
W sk
ład grupy roboczej wchodzą przedstawiciele organu
lub organów nadzorczych, powo
łanych przez każde Państwo
Cz
łonkowskie oraz przedstawiciel organu lub organów ustano-
wionych dla instytucji i organów wspólnotowych, oraz przed-
stawiciel Komisji.
Ka
żdy członek grupy roboczej jest powoływany przez instytu-
cj
ę, organ lub organy, które reprezentuje. Jeżeli Państwo Człon-
kowskie powo
ła więcej niż jeden organ nadzorczy, organy te
wyznaczaj
ą wspólnego przedstawiciela. Ta sama zasada dotyczy
organów utworzonych przez instytucje i organy wspólnotowe.
3.
Grupa robocza podejmuje decyzje zwyk
łą większością
g
łosów przedstawicieli organów nadzorczych.
4.
Grupa robocza wybiera swojego przewodnicz
ącego. Ka-
dencja przewodnicz
ącego trwa dwa lata. Jego mandat jest
odnawialny.
5.
Komisja zapewnia obs
ługę sekretariatu grupy roboczej.
6.
Grupa robocza przyjmuje swój regulamin.
7.
Grupa robocza rozwa
ża pozycje zamieszczone w porząd-
ku dziennym przez przewodnicz
ącego, z jego inicjatywy bądź
na wniosek przedstawiciela organu nadzorczego lub na wnio-
sek Komisji.
Artyku
ł 30
1.
Grupa robocza:
a) bada ka
żdą kwestię dotyczącą stosowania krajowych środ-
ków przyj
ętych na mocy niniejszej dyrektywy, aby przyczy-
ni
ć się w ten sposób do jednolitego stosowania tych środ-
ków;
b) przekazuje Komisji opinie na temat stopnia ochrony we
Wspólnocie i w pa
ństwach trzecich;
c) doradza Komisji w sprawie wszelkich proponowanych
zmian niniejszej dyrektywy, dodatkowych lub szczególnych
środków mających na celu zabezpieczenie praw i wolności
osób fizycznych w zakresie przetwarzania danych osobo-
wych oraz innych proponowanych
środków wspólnotowych
dotycz
ących praw i wolności;
d) wydaje opinie na temat kodeksów post
ępowania opracowy-
wanych na poziomie wspólnotowym.
2.
Je
żeli grupa robocza stwierdza występowanie rozbieżnoś-
ci mi
ędzy przepisami i praktyką przyjętą w poszczególnych
Pa
ństwach Członkowskich, mogących wpływać na równoważ-
no
ść ochrony osób fizycznych w zakresie przetwarzania da-
nych osobowych we Wspólnocie, grupa powiadamia o tym
Komisj
ę.
3.
Grupa robocza mo
że z własnej inicjatywy formułować
zalecenia we wszystkich sprawach dotycz
ących ochrony osób
fizycznych w zakresie przetwarzania danych osobowych we
Wspólnocie.
4.
Opinie i zalecenia grupy roboczej s
ą przekazywane Ko-
misji oraz komitetowi, okre
ślonemu w art. 31.
5.
Komisja informuje grup
ę roboczą o podejmowanych dzia-
łaniach w odpowiedzi na jego opinie i zalecenia. Czyni to w
formie sprawozdania, które przekazywane jest równie
ż Parla-
mentowi Europejskiemu i Radzie. Sprawozdanie jest udost
ęp-
niane opinii publicznej.
6.
Grupa robocza sporz
ądza roczne sprawozdanie na temat
sytuacji dotycz
ącej ochrony osób fizycznych w zakresie prze-
twarzania danych osobowych we Wspólnocie oraz w pa
ń-
stwach trzecich, które przekazuje Komisji, Parlamentowi Euro-
pejskiemu i Radzie. Sprawozdanie jest udost
ępniane opinii
publicznej.
ROZDZIA
Ł VII
WSPÓLNOTOWE
ŚRODKI WYKONAWCZE
Artyku
ł 31
Komitet
1.
Komisja wspierana jest przez komitet sk
ładający się z przedstawicieli Państw Członkowskich, na
którego czele stoi przedstawiciel Komisji.
2.
Przedstawiciel Komisji przedstawia komitetowi projekt
środków, które należy podjąć. Komitet wydaje
opini
ę o projekcie w terminie wyznaczonym przez przewodniczącego zależnie od pilności sprawy.
Opinia zostaje przyj
ęta większością głosów ustanowioną w art. 148 ust. 2 Traktatu. Głosy przedstawicieli
Pa
ństw Członkowskich w komitecie są ważone w sposób określony w tym artykule. Przewodniczący nie
bierze udzia
łu w głosowaniu.
Komisja przyjmuje
środki, które stosuje się niezwłocznie. Jeżeli jednak środki te nie są zgodne z opinią
komitetu, Komisja niezw
łocznie powiadamia o tym Radę. W takim przypadku:
— Komisja odracza stosowanie podjętych środków o trzy miesiące od daty takiego powiadomienia;
— Rada, stanowiąc większością kwalifikowaną, może podjąć inną decyzję w terminie określonym w tiret
pierwsze.
PRZEPISY KO
ŃCOWE
Artyku
ł 32
1.
Pa
ństwa Członkowskie wprowadzą w życie przepisy usta-
wowe, wykonawcze i administracyjne niezb
ędne do wykonania
niniejszej dyrektywy nie pó
źniej niż w trzy lata od daty jej
przyj
ęcia.
Wymienione
środki zawierają odniesienie do niniejszej dyrekty-
wy lub odniesienie to towarzyszy ich urz
ędowej publikacji.
Metody dokonywania takiego odniesienia ustanawiane s
ą przez
Pa
ństwa Członkowskie.
2.
Pa
ństwa Członkowskie zapewniają, aby przetwarzanie da-
nych, b
ędące już w toku w dniu, w którym przepisy krajowe
przyj
ęte zgodnie z niniejszą dyrektywą weszły w życie, zostało
dostosowane do tych przepisów w terminie trzech lat od
wspomnianej daty.
W drodze odst
ępstwa od poprzedniego akapitu Państwa Człon-
kowskie mog
ą wprowadzić wymóg, aby przetwarzanie danych,
które s
ą już przechowywane w ręcznych systemach ewidencji
w dniu wej
ścia w życie krajowych przepisów przyjętych w
ramach wykonania niniejszej dyrektywy zosta
ły dostosowane
do wymogów art. 6
–8 niniejszej dyrektywy w ciągu 12 lat od
daty ich przyj
ęcia. Państwa Członkowskie przyznają osobie,
której dane dotycz
ą, prawo uzyskania, na jej wniosek, w
szczególno
ści w czasie wykonywania przysługującego jej prawa
dost
ępu, sprostowania, usunięcia lub zablokowania danych,
które s
ą niekompletne, nieprawidłowe lub przechowywane w
sposób niezgodny z uzasadnionymi celami realizowanymi
przez administratora danych.
3.
W drodze odst
ępstwa od ust. 2, Państwa Członkowskie
mog
ą ustalić, z zastrzeżeniem odpowiednich zabezpieczeń, że
dane przechowywane wy
łącznie dla potrzeb badań historycz-
nych nie musz
ą być dostosowywane do wymogów art. 6–8
niniejszej dyrektywy.
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
373
Dziennik Urz
ędowy Unii Europejskiej
PL
13/t. 15
374
4.
Pa
ństwa Członkowskie przekażą Komisji teksty podstawo-
wych przepisów prawa krajowego, przyj
ętych w dziedzinach
obj
ętych niniejszą dyrektywą.
Artyku
ł 33
Komisja sk
łada Radzie i Parlamentowi Europejskiemu regularne
sprawozdania, pocz
ąwszy nie później niż trzy lata od daty
wskazanej w art. 32 ust. 1, na temat wykonania niniejszej
dyrektywy, za
łączając do sprawozdania, w razie potrzeby, od-
powiednie propozycje zmian. Sprawozdaniejest podawane do
publicznej wiadomo
ści.
Komisja bada w szczególno
ści stosowanie niniejszej dyrektywy
w odniesieniu do przetwarzania danych d
źwiękowych i obra-
zowych dotycz
ących osób fizycznych oraz przedstawia odpo-
wiednie propozycje, jakie oka
żą się konieczne, biorąc pod
uwag
ę rozwój technologii informatycznych oraz stan postępu
zachodz
ącego w społeczeństwie informacyjnym.
Artyku
ł 34
Niniejsza dyrektywa skierowana jest do Pa
ństw Członkowskich.
Sporz
ądzono w Luksemburgu, dnia 24 października 1995 r.
W imieniu Parlamentu Europejskiego
K. HÄNSCH
Przewodnicz
ący
W imieniu Rady
L. ATIENZA SERNA
Przewodnicz
ący
Wyszukiwarka
Podobne podstrony:
2351
Sue Peters Shadow of an?gle [HR 2351] (v0 9) (docx)
2351
2351
2351
2351
005 Segmentacjaid 2351 ppt
2351
De Corazon a Corazon 2351
więcej podobnych podstron