Dokument ten służy wyłącznie do celów dokumentacyjnych i instytucje nie ponoszą żadnej odpowiedzialności za jego zawar-tość

►B DYREKTYWA 95/46/WE PARLAMENTU EUROPEJSKIEGO I RADY

z dnia 24 października 1995 r.

w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnegoprzepływu tych danych

(Dz.U. L 281 z 23.11.1995, str. 31)

zmienione przez:

Dziennik Urzędowy

nr strona data

►M1 Rozporządzenie (WE) nr 1882/2003 Parlamentu Europejskiego iRady z dnia 29 września 2003 r.

L 284 1 31.10.2003

1995L0046 — PL — 20.11.2003 — 001.001 — 1

▼BDYREKTYWA 95/46/WE PARLAMENTU EUROPEJSKIEGO I

RADY

z dnia 24 października 1995 r.

w sprawie ochrony osób fizycznych w zakresie przetwarzaniadanych osobowych i swobodnego przepływu tych danych

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szcze-gólności jego art. 100a,

uwzględniając wniosek Komisji (1),

uwzględniając opinię Komitetu Ekonomiczno-Społecznego (2),

stanowiąc zgodnie z procedurą określoną w art. 189b Traktatu (3),

a także mając na uwadze, co następuje:

(1) Cele Wspólnoty, określone w Traktacie, zmienionym Traktatem oUnii Europejskiej, obejmują tworzenie coraz ściślejszego związkumiędzy narodami Europy, kształtowanie bliższych stosunkówmiędzy państwami należącymi do Wspólnoty, zapewnieniepostępu gospodarczego i społecznego poprzez wspólne działaniana rzecz likwidacji barier dzielących Europę, pobudzanie ciągłejpoprawy warunków życia jej narodów, ochronę i umacnianiepokoju i wolności oraz wspieranie demokracji w oparciu o prawapodstawowe uznane w konstytucji i ustawodawstwach PaństwCzłonkowskich oraz w Europejskiej Konwencji o ochronie prawczłowieka i podstawowych wolności.

(2) Systemy przetwarzania danych są tworzone po to, aby służyłyczłowiekowi; muszą one, niezależnie od obywatelstwa czymiejsca stałego zamieszkania osób fizycznych, szanować ichpodstawowe prawa i wolności, szczególnie prawo do prywat-ności, oraz przyczyniać się do postępu gospodarczego i społecz-nego, rozwoju handlu oraz dobrobytu jednostek.

(3) Ustanowienie i funkcjonowanie rynku wewnętrznego, na którymzgodnie z art. 7a Traktatu, zapewniony jest swobodny przepływtowarów, osób, usług i kapitału, wymaga nie tylko zapewnieniaswobodnego przepływu danych osobowych z jednego PaństwaCzłonkowskiego do drugiego, lecz również ochrony praw podsta-wowych osób fizycznych.

(4) Coraz częściej we Wspólnocie korzysta się z przetwarzaniadanych osobowych w różnych sferach życia gospodarczego ispołecznego; postęp w dziedzinie technologii informatycznychsprawia, że przetwarzanie i wymiana takich danych stają się corazłatwiejsze.

(5) Integracja gospodarcza i społeczna będąca wynikiem ustano-wienia i funkcjonowania rynku wewnętrznego w rozumieniu art.7a Traktatu będzie prowadzić do znacznego zwiększenia transgra-nicznego przepływu danych osobowych między wszystkimipodmiotami zaangażowanymi prywatnie lub publicznie w działal-ność gospodarczą i społeczną w Państwach Członkowskich;wzrośnie wymiana danych osobowych między przedsiębior-stwami działającymi w różnych Państwach Członkowskich;władze krajowe poszczególnych Państw Członkowskich podej-mują się na mocy prawa wspólnotowego współpracy i wymianydanych osobowych dla celu wykonywania swoich obowiązków

1995L0046 — PL — 20.11.2003 — 001.001 — 2

(1) Dz.U. C 277 z 5.11.1990, str. 3 oraz Dz.U. C 311 z 27.11.1992, str. 30.(2) Dz.U. C 159 z 17.6.1991, str. 38.(3) Opinia Parlamentu Europejskiego z dnia 11 marca 1992 r. (Dz.U. C 94 z

13.4.1992, str. 198), potwierdzona dnia 2 grudnia 1993 r. (Dz.U. C 342 z20.12.1993, str. 30); wspólne stanowisko Rady z dnia 20 lutego 1995 r. (Dz.U. C 93 z 13.4.1995, str. 1) i decyzja Parlamentu Europejskiego z dnia 15czerwca 1995 r. (Dz.U. C 166 z 3.7.1995).

▼Boraz realizacji zadań w imieniu władz innego Państwa Członkow-skiego w kontekście obszaru bez granic wewnętrznych, ustano-wionego przez rynek wewnętrzny.

(6) Ponadto zwiększenie współpracy naukowej i technicznej orazproces skoordynowanego wprowadzania nowych sieci telekomu-nikacyjnych we Wspólnocie narzuca konieczność i ułatwia trans-graniczny przepływ danych osobowych.

(7) Różnica w stopniu ochrony praw i wolności jednostek, szcze-gólnie prawa do prywatności, w odniesieniu do przetwarzaniadanych osobowych, zapewnionego w poszczególnych PaństwachCzłonkowskich może uniemożliwiać przesyłanie tych danych zterytorium jednego Państwa Członkowskiego do drugiegoPaństwa Członkowskiego; różnica ta może zatem stanowić prze-szkodę w realizacji szeregu przedsięwzięć ekonomicznych napoziomie wspólnotowym, zakłócać konkurencję i utrudniaćwładzom wykonywanie ich obowiązków wynikających z prze-pisów prawa wspólnotowego; wspomniana różnica w stopniuochrony jest wynikiem istnienia wielkiej różnorodności krajo-wych przepisów ustawowych, wykonawczych i administracyj-nych.

(8) W celu zniesienia przeszkód w przepływie danych osobowych,stopień ochrony praw i wolności jednostek w zakresie przetwa-rzania tych danych musi być jednakowy we wszystkichPaństwach Członkowskich; cel ten ma żywotne znaczenie dlarynku wewnętrznego, lecz nie może on być osiągnięty przez samePaństwa Członkowskie, szczególnie mając na uwadze skalęrozbieżności, jakie obecnie występują między odpowiednimi usta-wodawstwami krajowymi oraz potrzebę dokonania koordynacjiustawodawstw Państw Członkowskich w celu zapewnienia jedno-litej regulacji transgranicznego przepływu danych osobowych,zgodnie z celem rynku wewnętrznego przewidzianego w art. 7aTraktatu; konieczne są wspólnotowe działania na rzecz zbliżeniaustawodawstw.

(9) Biorąc pod uwagę równoważną ochronę wynikającą ze zbliżaniaustawodawstw krajowych, Państwa Członkowskie nie będą jużmogły utrudniać między sobą swobodnego przepływu danychosobowych na podstawie ochrony praw i wolności jednostek, azwłaszcza prawa do prywatności; Państwa Członkowskie będąmiały pozostawiony margines swobody działania, z którego mogąrównież, w kontekście wykonania dyrektywy korzystać partnerzyhandlowi i społeczni; Państwa Członkowskie będą zatem mogłyokreślić w swoim ustawodawstwie ogólne zasady regulującelegalność procesu przetwarzania danych; podejmując te działania,Państwa Członkowskie będą dokładać starań w celu poprawyochrony gwarantowanej przez ich obecne ustawodawstwo; wgranicach wspomnianego marginesu swobody działania orazzgodnie z prawem wspólnotowym mogą wystąpić rozbieżności wwykonaniu dyrektywy, co może mieć wpływ na przepływ danychw Państwie Członkowskim jak również we Wspólnocie.

(10) Celem krajowych przepisów prawa dotyczących przetwarzaniadanych osobowych jest ochrona podstawowych praw i wolności,szczególnie prawa do prywatności, które zostało uznane zarównow art. 8 Europejskiej Konwencji o ochronie praw człowieka ipodstawowych wolności oraz w zasadach ogólnych prawa wspól-notowego; z tego powodu zbliżanie przepisów prawa nie powinnowpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz prze-ciwnie, musi dążyć do zapewnienia jak najwyższego stopniaochrony we Wspólnocie.

(11) Zasady ochrony praw i wolności jednostek, szczególnie prawa doprywatności, które zawarte są w niniejszej dyrektywie, utrwalają iumacniają zasady wyrażone w Konwencji Rady Europy z dnia 28stycznia 1981 r. w sprawie ochrony jednostek w zakresie automa-tycznego przetwarzania danych osobowych.

1995L0046 — PL — 20.11.2003 — 001.001 — 3

▼B(12) Zasady ochrony muszą odnosić się do całokształtu przetwarzania

danych osobowych przez każdą osobę, której działania podlegająprzepisom prawa wspólnotowego; należy wyłączyć przetwarzaniedanych dokonywane przez osobę fizyczną w wykonywaniudziałań o charakterze wyłącznie osobistym lub domowym, jak np.korespondencja i przechowywanie spisów adresów.

(13) Działania określone w tytułach V i VI Traktatu o Unii Europej-skiej dotyczące bezpieczeństwa publicznego, obronności, bezpie-czeństwa państwa w dziedzinie prawa karnego nie wchodzą wzakres stosowania prawa wspólnotowego, bez wpływu naobowiązki nałożone na Państwa Członkowskie na mocy art. 56ust. 2, art. 57 i art. 100a Traktatu ustanawiającego WspólnotęEuropejską; przetwarzanie danych osobowych konieczne dlazapewnienia ochrony dobrego stanu gospodarczego państwa niewchodzi w zakres stosowania niniejszej dyrektywy, o ile takieprzetwarzanie dotyczy spraw bezpieczeństwa państwa.

(14) Jeżeli w ramach społeczeństwa informacyjnego ma znaczenierozwój technik gromadzenia, przekazywania, kompilowania,rejestrowania, przechowywania i przesyłania danych dźwięko-wych i obrazowych osób fizycznych, niniejsza dyrektywapowinna mieć zastosowanie do przetwarzania takich danych.

(15) Przetwarzanie tych danych jest objęte niniejszą dyrektywą tylkowówczas, gdy jest ono zautomatyzowane lub jeśli dane zawartesą lub przeznaczone do umieszczenia w zamkniętym układziezbiorów, zorganizowanym według określonych kryteriów doty-czących osób fizycznych w celu zapewnienia łatwego dostępu dowspomnianych danych osobowych.

(16) Przetwarzanie danych dźwiękowych i obrazowych, np. w przy-padku nadzoru kamer wideo, nie wchodzi w zakres stosowanianiniejszej dyrektywy, jeśli dokonywane jest dla potrzeb bezpie-czeństwa publicznego, obronności, bezpieczeństwa narodowegolub też w trakcie działań państwowych w dziedzinie prawakarnego lub innych działań niewchodzących w zakres prawawspólnotowego.

(17) Jeśli chodzi o przetwarzanie danych dźwiękowych i obrazowychdla potrzeb dziennikarstwa lub dla potrzeb literackich lub artys-tycznych, zwłaszcza w dziedzinie techniki audiowizualnej, zasadydyrektywy mają ograniczone zastosowanie, zgodnie z przepisamiprzewidzianymi w art. 9.

(18) Aby nie dopuścić do pozbawienia jednostek ochrony, do którejmają prawo na mocy niniejszej dyrektywy, wszelkie przetwa-rzanie danych osobowych we Wspólnocie musi być przeprowa-dzane zgodnie z ustawodawstwem jednego z Państw Członkow-skich; w związku z tym przetwarzanie danych przeprowadzane naodpowiedzialność administratora danych, który prowadzi działal-ność gospodarczą na terenie Państwa Członkowskiego, powinnobyć regulowane przez ustawodawstwo tego państwa.

(19) Prowadzenie działalności gospodarczej na terytorium PaństwaCzłonkowskiego zakłada efektywne i rzeczywiste prowadzeniedziałań poprzez stabilne rozwiązania; forma prawna prowadzonejdziałalności gospodarczej, niezależnie czy jest to oddział lub filiaposiadająca osobowość prawną, nie jest w tym względzie czynni-kiem decydującym; w przypadku ustanowienia jednego admini-stratora danych na terytorium kilku Państw Członkowskich,szczególnie w postaci filii, musi on zapewnić, w celu uniknięciaobejścia przepisów krajowych, że każda z prowadzonych działal-ności gospodarczych będzie spełniać obowiązki wynikające zprawa krajowego.

(20) Przetwarzanie danych przez osobę prowadzącą działalność wpaństwie trzecim nie może stać na przeszkodzie ochronie osóbfizycznych przewidzianej w niniejszej dyrektywie; w tych przy-padkach przetwarzanie danych powinno podlegać przepisomprawa Państwa Członkowskiego, w którym znajdują się wyko-

1995L0046 — PL — 20.11.2003 — 001.001 — 4

▼Brzystywane do tego celu środki oraz powinny istnieć gwarancjezapewniające przestrzeganie w praktyce praw i obowiązków prze-widzianych w niniejszej dyrektywie.

(21) Niniejsza dyrektywa pozostaje bez uszczerbku dla zasad teryto-rialności, stosowanych w sprawach karnych.

(22) Państwa Członkowskie dokładniej sprecyzują w ogłaszanychprawach lub przy wprowadzaniu w życie środków podjętych napodstawie niniejszej dyrektywy ogólne warunki, w których prze-twarzanie danych jest zgodne z prawem; w szczególności art. 5 wpołączeniu z art. 7 i 8, umożliwia Państwom Członkowskim,niezależnie od zasad ogólnych, zapewnienie szczególnychwarunków przetwarzania danych dla poszczególnych sektoróworaz dla różnych kategorii danych objętych art. 8.

(23) Państwa Członkowskie są upoważnione do zapewnienia ochronyosobom fizycznym zarówno poprzez ogólne przepisy prawa oochronie jednostek w odniesieniu do przetwarzania danychosobowych oraz poprzez ustawodawstwo sektorowe, jak np.odnoszące się do urzędów statystycznych.

(24) Niniejsza dyrektywa nie dotyczy ustawodawstwa dotyczącegoochrony osób prawnych w odniesieniu do przetwarzania ichdanych.

(25) Zasady ochrony muszą znajdować odzwierciedlenie, z jednejstrony w obowiązkach nałożonych na osoby, władze publiczne,przedsiębiorstwa, agencje i inne organy odpowiedzialne za prze-twarzanie danych, zwłaszcza w zakresie jakości danych, bezpie-czeństwa technicznego, zawiadamiania organu nadzorczego orazokoliczności, w których może odbywać się przetwarzanie danych,jak również, z drugiej strony, w prawie osób, których dane sąprzedmiotem przetwarzania, do uzyskania informacji, że takieprzetwarzanie danych ma miejsce, do konsultowania danych,żądania poprawek lub nawet sprzeciwu wobec przetwarzaniadanych w niektórych przypadkach.

(26) Zasady ochrony danych muszą odnosić się do wszelkich infor-macji dotyczących zidentyfikowanych lub możliwych do zidenty-fikowania osób; w celu ustalenia, czy daną osobę można zidenty-fikować, należy wziąć pod uwagę wszystkie sposoby, jakimimoże posłużyć się administrator danych lub inna osoba w celuzidentyfikowania owej osoby; zasady ochrony danych nie majązastosowania do danych, którym nadano anonimowy charakter wtaki sposób, że podmiot danych nie będzie mógł być zidentyfiko-wany; zasady postępowania w rozumieniu art. 27 mogą być przy-datnym instrumentem w udzielaniu wskazówek co do sposobównadawania danym charakteru anonimowego oraz zachowania wformie, w której identyfikacja osoby, której dane dotyczą, nie jestdłużej możliwa.

(27) Ochrona osób fizycznych musi odnosić się zarówno do automa-tycznego przetwarzania danych, jak i ręcznego przetwarzania;zakres tej ochrony nie może w swym skutku być zależny odzastosowanych technik, ponieważ w przeciwnym razie wystąpi-łoby poważne ryzyko obchodzenia zasad; niemniej odnośnie doręcznego przetwarzania danych, niniejsza dyrektywa obejmujejedynie zbiory danych, nie zaś niezorganizowane zbiory; w szcze-gólności zawartość zbiorów musi być zorganizowana wedługokreślonych kryteriów dotyczących osób fizycznych, zapewniają-cych łatwy dostęp do danych; zgodnie z definicją zawartą w art.2 lit. c), poszczególne Państwa Członkowskie mogą określićróżne kryteria określania części składowych zorganizowanegozestawu danych oraz różne kryteria dostępu do takiego zestawu;zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie sązorganizowane według określonych kryteriów nie powinny wżadnych okolicznościach wchodzić w zakres niniejszej dyrek-tywy.

1995L0046 — PL — 20.11.2003 — 001.001 — 5

▼B(28) Przetwarzanie danych osobowych musi być zgodne z prawem i

rzetelne wobec zainteresowanych osób; w szczególności danemuszą być adekwatne, właściwe i nie wykraczać poza cele, dlaktórych są przetwarzane; cele takie muszą być jednoznaczne iuzasadnione oraz określone w czasie gromadzenia danych;potrzeby dalszego przetwarzania danych dla potrzeb ich groma-dzenia nie mogą być niezgodne z pierwotnie określonymi celami.

(29) Dalsze przetwarzanie danych osobowych do celów historycznych,statystycznych i naukowych nie jest na ogół uważane zaniezgodne z celami, dla których dane były pierwotnie groma-dzone, pod warunkiem zapewnienia przez Państwo Członkowskieodpowiednich środków zabezpieczających; środki te muszą wszczególności wykluczać wykorzystywanie danych na rzeczdziałań lub decyzji dotyczących konkretnej osoby.

(30) Zgodnie z prawem proces przetwarzania danych osobowychwymaga ponadto, aby dokonywane było ono za zgodą osoby,której dane dotyczą lub było konieczne dla zawarcia lub realizacjiumowy wiążącej w sprawie osoby, której dane dotyczą, bądźmiało charakter wymogu prawnego, lub też służyło realizacjizadania wykonywanego w interesie publicznym lub wykony-waniu władzy publicznej, bądź też w uzasadnionym interesieosoby fizycznej lub prawnej, pod warunkiem że interesy lubprawa i wolności osoby, której dane dotyczą, nie mają charakterunadrzędnego; w celu utrzymania równowagi między wspomnia-nymi interesami a gwarantowaniem skutecznej konkurencji,Państwa Członkowskie mogą określić okoliczności, w którychdane osobowe mogą być wykorzystane lub ujawnione osobietrzeciej w kontekście uprawnionych zwykłych czynności handlo-wych spółek i innych instytucji; Państwa Członkowskie mogą wpodobny sposób określać warunki, w jakich dane osobowe mogąbyć ujawnione osobie trzeciej do celów marketingu o charakterzekomercyjnym, lub realizowanego przez organizację charytatywną,lub też przez inne stowarzyszenie lub fundację, np. o charakterzepolitycznym, z zastrzeżeniem przepisów dopuszczających prawosprzeciwu przysługujące osobie, której te dane dotyczą wobecprzetwarzania tych danych, bezpłatnie i bez konieczności podaniauzasadnienia.

(31) Przetwarzanie danych osobowych musi być również uznawane zazgodne z prawem, kiedy dokonywane jest w celu zapewnieniaochrony interesu, który jest niezbędny dla życia osoby, którejdane dotyczą.

(32) Ustawodawstwo krajowe powinno określić, czy administratordanych wykonujący zadanie realizowane w interesie publicznympowinien być organem administracji publicznej czy inną osobąfizyczną lub prawną podlegającą prawu publicznemu lub prawuprywatnemu, jak np. stowarzyszenie zawodowe.

(33) Dane mogące ze względu na ich charakter powodować naruszeniepodstawowych wolności lub prywatności nie powinny być prze-twarzane, o ile osoba, której dotyczą, nie udzieli wyraźnej zgody;należy jednak przewidzieć odstępstwa od tego zakazu dla szcze-gólnych potrzeb, zwłaszcza w przypadkach gdy przetwarzaniedanych odbywa się w określonych celach zdrowotnych przezosoby podlegające prawnemu obowiązkowi zachowania tajem-nicy zawodowej, lub też w trakcie legalnych działań niektórychstowarzyszeń lub fundacji, których celem jest umożliwienie reali-zacji podstawowych wolności.

(34) Państwa Członkowskie muszą być również uprawnione, w sytua-cjach, kiedy jest to uzasadnione ważnym interesem publicznym,do uchylania zakazu przetwarzania sensytywnych kategoriidanych w takich dziedzinach, jak zdrowie publiczne i ochronasocjalna – szczególnie w celu zapewnienia odpowiedniej jakości izasadności ekonomicznej procedur stosowanych do rozstrzyganiaroszczeń w sprawie świadczeń i usług w ramach systemu ubez-pieczeń zdrowotnych – badania naukowe i statystyka rządowa;

1995L0046 — PL — 20.11.2003 — 001.001 — 6

▼Bobowiązkiem ich jest jednak stworzenie konkretnych i odpowied-nich zabezpieczeń dla ochrony podstawowych praw i prywatnościosób.

(35) Ponadto przetwarzanie danych osobowych przez władzepubliczne dla osiągnięcia określonych w prawie konstytucyjnymlub międzynarodowym prawie publicznym, celów oficjalnie uzna-nych związków religijnych jest dokonywane z ważnychwzględów wynikających z interesu publicznego.

(36) W przypadku gdy w trakcie czynności wyborczych, funkcjono-wanie systemu demokratycznego w niektórych Państwach Człon-kowskich wymaga gromadzenia przez partie polityczne danychna temat opinii politycznych obywateli, przetwarzanie tychdanych może być dozwolone ze względu na ważny interespubliczny, pod warunkiem ustanowienia odpowiednich środkówzabezpieczających.

(37) Przetwarzanie danych osobowych dla potrzeb dziennikarstwa lubwypowiedzi o charakterze literackim lub artystycznym, zwłaszczaw dziedzinie techniki audiowizualnej, powinno kwalifikować siędo zwolnienia z wymagań niektórych przepisów niniejszej dyrek-tywy, o ile jest to konieczne, aby pogodzić prawa podstawoweosób fizycznych z wolnością informacji, a zwłaszcza prawem douzyskiwania i udzielania informacji, co gwarantuje w szczegól-ności art. 10 Europejskiej Konwencji o ochronie praw człowieka ipodstawowych wolności; Państwa Członkowskie powinny wzwiązku z tym ustalić zwolnienia i odstępstwa konieczne dlazapewnienia równowagi pomiędzy prawami podstawowymi odno-szącymi się do ogólnych środków w sprawie legalności przetwa-rzania danych, środków w sprawie przesyłania danych do państwtrzecich i kompetencjami organów nadzorczych; nie powinno tojednak powodować wprowadzenia przez Państwa Członkowskieuregulowań stanowiących odstępstwo od obowiązku zapewnieniabezpieczeństwa przetwarzania danych; przynajmniej organnadzorczy odpowiedzialny za tę dziedzinę powinien być równieżwyposażony w niektóre uprawnienia ex post, np. publikowaniaregularnych sprawozdań lub kierowania spraw do władz sądo-wych.

(38) Jeżeli przetwarzanie danych ma być rzetelne, osoba, której danedotyczą, musi mieć możliwość dotarcia do informacji o wystą-pieniu czynności przetwarzania danych oraz, jeżeli dane są uzys-kiwane od niej, musi otrzymać dokładne i pełne informacje,uwzględniające okoliczności pozyskiwania danych.

(39) Niektóre czynności w zakresie przetwarzania danych angażujądane, których administrator danych nie uzyskał bezpośrednio odosoby, której te dane dotyczą; ponadto dane mogą być legalnieujawnione osobie trzeciej, nawet jeżeli ich ujawnienie nie byłoprzewidywane w czasie, kiedy uzyskiwano dane od osoby, którejdotyczą; we wszystkich tych przypadkach osoba, której danedotyczą, powinna być informowana przy rejestracji danych lubteż najpóźniej kiedy dane są po raz pierwszy ujawnione osobietrzeciej.

(40) Nie jest jednak konieczne nakładanie takiego obowiązku, kiedyosoba, której dane dotyczą, posiada już tę informację; ponadtoobowiązek taki nie występuje wówczas, gdy rejestracja lub ujaw-nianie danych jest wyraźnie przewidziane przez prawo lub jeżelidostarczanie informacji osobie, której dane dotyczą, okazuje sięniemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, comoże mieć miejsce w przypadku przetwarzania danych do celówhistorycznych, statystycznych lub naukowych; pod tym względemmożna brać pod uwagę liczbę osób, których dane dotyczą, wiekdanych oraz przyjęte środki wyrównawcze.

(41) Każda osoba musi mieć możliwość skorzystania z prawa dostępudo dotyczących jej danych, które poddane są przetwarzaniu, wcelu zweryfikowania zwłaszcza prawidłowości danych oraz legal-ności ich przetwarzania; z tych samych powodów każda osoba,której dane dotyczą, musi również mieć prawo zapoznania się z

1995L0046 — PL — 20.11.2003 — 001.001 — 7

▼Bzasadami automatycznego przetwarzania danych, które jejdotyczą, przynajmniej w przypadku zautomatyzowanego procesudecyzyjnego określonego w art. 15 ust. 1; prawo to nie powinnow niekorzystny sposób wpływać na stan tajemnicy handlowej lubwłasności intelektualnej, w szczególności na prawo autorskiechroniące oprogramowanie; względy te nie powinny jednakpowodować odmowy udzielenia osobie, której dane dotycząwszystkich informacji.

(42) Państwa Członkowskie mogą, w interesie osoby, której danedotyczą, lub w celu zapewnienia ochrony praw i wolności innychosób, ograniczać prawo dostępu do danych i informacji; mogąone np. postanowić, że dostęp do danych medycznych możeuzyskać tylko personel medyczny.

(43) Ograniczenia prawa dostępu i informacji oraz niektórychobowiązków administratora danych mogą w podobny sposób byćwprowadzane przez Państwa Członkowskie, o ile jest tokonieczne dla zapewnienia np. ochrony bezpieczeństwa narodo-wego, obronności, bezpieczeństwa publicznego lub ważnychekonomicznych lub finansowych interesów Państwa Członkow-skiego lub Unii, jak również dla ochrony dochodzenia i prowa-dzenia spraw karnych oraz działań w związku z naruszeniemzasad etyki w zawodach podlegających regulacji; wykaz wyłą-czeń i ograniczeń powinien obejmować zadania z zakresu monito-rowania, kontroli i regulacji koniecznych w trzech wymienionychwyżej dziedzinach dotyczących bezpieczeństwa publicznego, inte-resów ekonomicznych lub finansowych oraz walki z przestęp-czością; sporządzenie wykazu zadań we wspomnianych trzechdziedzinach nie wpływa na zasadność wprowadzenia wyłączeń iograniczeń ze względu na bezpieczeństwo lub obronnośćpaństwa.

(44) Państwa Członkowskie mogą również, na mocy przepisów prawawspólnotowego, odstąpić od przepisów niniejszej dyrektywyodnośnie do prawa dostępu, obowiązku informowania obywatelioraz jakości danych w celu zapewnienia realizacji niektórychcelów określonych powyżej.

(45) W przypadkach gdy dane mogą być legalnie przetwarzane zewzględu na interes publiczny, władzę publiczną, oficjalne upraw-nienia lub uzasadnione prawo osoby fizycznej lub prawnej,osoba, której dane te dotyczą powinna jednakże mieć prawo dosprzeciwienia się przetwarzaniu tych danych, ze względu nauzasadnione i ważkie przyczyny związane z jej sytuacją; PaństwaCzłonkowskie mogą jednak ustalić przepisy prawa krajowego oprzeciwnej treści.

(46) Ochrona praw i wolności osób, których dotyczą przetwarzanedane osobowe wymaga przyjęcia odpowiednich rozwiązań tech-nicznych i organizacyjnych, zarówno przy opracowywaniusystemu przetwarzania danych, jak i podczas samego ich przetwa-rzania, szczególnie w celu utrzymania bezpieczeństwa i niedo-puszczenia do niedozwolonego przetwarzania danych; naPaństwie Członkowskim spoczywa obowiązek zapewnienia stoso-wania tych rozwiązań przez administratora danych; uregulowaniate muszą zapewnić odpowiedni stopień bezpieczeństwa, uwzględ-niając stan wiedzy w tej dziedzinie oraz koszty ich realizacji wodniesieniu do ryzyka wynikającego z przetwarzania danych orazcharakteru danych podlegających ochronie.

(47) W przypadku przekazywania komunikatu zawierającego daneosobowe przy pomocy urządzeń telekomunikacyjnych lub pocztyelektronicznej, których wyłącznym przeznaczeniem jest przekazy-wanie takich komunikatów, za administratora danych osobowychzawartych w takim komunikacie uważać się będzie osobę, odktórej komunikat wychodzi, nie zaś osobę wykonującą usługę wzakresie transmisji danych; podmioty wykonujące takie usługi sąz reguły uważane za administratorów danych w odniesieniu doprzetwarzania dodatkowych danych osobowych potrzebnych dowykonywania usług.

1995L0046 — PL — 20.11.2003 — 001.001 — 8

▼B(48) Procedury dotyczące zawiadamiania organu nadzorczego są skon-

struowane w taki sposób, aby zapewnić ujawnienie celów i głów-nych cech operacji przetwarzania danych dla ustalenia, czyoperacja taka jest zgodna z krajowymi przepisami przyjętymi napodstawie niniejszej dyrektywy.

(49) W celu uniknięcia zbędnych formalności Państwa Członkowskiemogą wprowadzić zwolnienia z obowiązku zawiadamiania orazuproszczenia procedury zawiadamiania w przypadkach gdy małoprawdopodobne jest, aby przetwarzanie danych mogło nieko-rzystnie wpłynąć na prawa i wolności osób, których danedotyczą, jeżeli jest to zgodne ze środkiem podjętym przezPaństwo Członkowskie określającym jego zakres; Państwa Człon-kowskie mogą również wprowadzić zwolnienia i uproszczenia wprzypadku gdy osoba wyznaczona przez administratora zapewni,że przetwarzanie danych wpłynie niekorzystnie na prawa iwolności osób, których dane dotyczą; urzędnik odpowiedzialnyza ochronę danych będący lub niebędący pracownikiem admini-stratora danych, musi mieć możliwość wykonywania swoichfunkcji w sposób całkowicie niezależny.

(50) Wspomniane zwolnienie lub uproszczenie procedury mogłobybyć stosowane w przypadku operacji przetwarzania danych,których wyłącznym celem jest prowadzenie rejestru mającegosłużyć, zgodnie z prawem krajowym, za źródło informacji dlaogółu społeczeństwa, otwarte dla obywateli i każdej osoby wyka-zującej uzasadniony interes.

(51) Jednak uproszczenie procedury lub zwolnienie z obowiązkuzawiadamiania nie będzie zwalniać administratora danych zinnych obowiązków wynikających z niniejszej dyrektywy.

(52) W tym kontekście kontrola ex post przeprowadzana przez właś-ciwe organy musi z reguły być uznawana za wystarczającyśrodek.

(53) Jednak niektóre operacje przetwarzania danych mogą stwarzaćokreślone zagrożenia dla praw i wolności osób, których danedotyczą ze względu na ich charakter, ich zakres lub przezna-czenie, jak np. pozbawienie jednostki przysługującego jej prawa,korzyści lub kontraktu, lub ze względu na szczególne zastoso-wanie nowych technologii; do Państw Członkowskich należy,jeżeli tego sobie życzą, określenie takich zagrożeń w ich ustawo-dawstwie.

(54) W stosunku do wszystkich operacji przetwarzania danych podej-mowanych w społeczeństwie, liczba tych, które niosą ze sobąokreślone zagrożenia, jest bardzo ograniczona; Państwa Człon-kowskie muszą zapewnić kontrolę przetwarzania danych przezorgan nadzorczy lub urzędnika odpowiedzialnego za ochronędanych, współpracującego z tym organem przed ich przetworze-niem; po takiej wstępnej kontroli, organ nadzorczy może, zgodniez prawem krajowym, wydać opinię lub zezwolenie na przetwa-rzanie danych; kontrola taka może również następować w trakcieopracowywania środka ustawodawczego wydanego przez parla-ment narodowy lub środka opartego na takim środku prawnym,który określa charakter przetwarzania danych oraz stwarza odpo-wiednie zabezpieczenia.

(55) Na wypadek nieprzestrzegania przez administratora danych prawosób, których dane dotyczą, ustawodawstwa krajowe muszą prze-widywać odpowiednie środki zaskarżenia; szkody, jakie osobamoże ponieść wskutek niezgodnego z prawem przetwarzaniadanych, muszą być wyrównane przez administratora danych,który może być zwolniony z odpowiedzialności w przypadkuudowodnienia, że szkoda nie powstała z jego winy, szczególniewówczas gdy stwierdzi wystąpienie winy po stronie osoby, którejdane dotyczą lub w przypadku siły wyższej; należy nakładaćsankcje na każdą osobę, podlegającą prawu prywatnemu lubpublicznemu, która nie spełnia wymagań wynikających z przyję-tych krajowych przepisów wprowadzonych na podstawie niniej-szej dyrektywy.

1995L0046 — PL — 20.11.2003 — 001.001 — 9

▼B(56) Transgraniczny przepływ danych osobowych jest koniecznym

warunkiem rozwoju handlu międzynarodowego; ochrona osóbjaką niniejsza dyrektywa gwarantuje we Wspólnocie nie stanowiprzeszkody dla przekazywania danych osobowych do państwtrzecich, które zapewniają odpowiedni stopień ochrony; prawidło-wość stopnia ochrony danych zapewnianej przez państwo trzecienależy oceniać w świetle wszystkich okoliczności dotyczącychoperacji przekazywania danych lub zestawu takich operacji.

(57) Z drugiej strony należy zakazać przekazywania danych osobo-wych do państwa trzeciego, które nie zapewnia odpowiedniegostopnia ochrony.

(58) Należy ustanowić, w niektórych okolicznościach, przepisy dlazwolnienia z tego zakazu, jeżeli osoba, której dane dotyczą,wyrazi na to zgodę, jeżeli przekazanie danych jest konieczne wzwiązku z umową lub roszczeniem prawnym, jeżeli wymagaćtego będzie ochrona ważnego interesu publicznego, jak np. prze-syłanie danych za granicę przez władze podatkowe lub admini-strację celną lub przez służby odpowiedzialne za sprawy ubezpie-czeń społecznych, lub w przypadku przekazania danych z rejestruutworzonego na mocy prawa i przeznaczonego do wglądu dlaogółu społeczeństwa lub osób wykazujących uzasadniony interes;w tym przypadku przekazanie danych nie powinno obejmowaćich całości lub całych kategorii danych oraz, jeżeli rejestr jestprzeznaczony do wglądu dla osób wykazujących uzasadnionyinteres, przekazanie danych powinno nastąpić jedynie na wniosektych osób, lub wówczas gdy osoby te mają być odbierającymidane.

(59) Podejmowane mogą być konkretne działania w celu zrekompen-sowania braku ochrony w państwie trzecim, jeżeli administratordanych oferuje właściwe środki zabezpieczające; ponadto, należyuwzględnić procedury negocjacji między Wspólnotą a państwamitrzecimi.

(60) W każdym przypadku przekazywanie danych do państw trzecichmoże następować jedynie w pełnej zgodności z przepisami przy-jętymi przez Państwa Członkowskie na podstawie niniejszejdyrektywy, w szczególności jej art. 8.

(61) Państwa Członkowskie i Komisja muszą, w zakresie swoichkompetencji, zachęcać zainteresowane stowarzyszenia handlowe iinne zainteresowane organizacje reprezentatywne do opracowaniakodeksów postępowania w celu ułatwienia stosowania niniejszejdyrektywy, biorąc pod uwagę szczególne cechy procesu przetwa-rzania danych w niektórych sektorach, z poszanowaniem prze-pisów prawa krajowego przyjętych w celu jej wykonania.

(62) Utworzenie w Państwach Członkowskich organów nadzorczych,wykonujących swoje funkcje w sposób całkowicie niezależny jestzasadniczym elementem ochrony osób fizycznych w zakresieprzetwarzania danych osobowych.

(63) Organy te muszą dysponować określonymi środkami do realizacjiswoich obowiązków, włączając uprawnienia do przeprowadzaniadochodzenia i interwencji, szczególnie w przypadkach skarg odobywateli, jak również uprawnienia do brania udziału w postępo-waniu sądowym; organy te muszą przyczyniać się do zapewnieniaprzejrzystości przetwarzania danych w Państwach Członkow-skich, których właściwości podlegają.

(64) Władze różnych Państw Członkowskich muszą wspierać sięwzajemnie w wykonywaniu swoich obowiązków w celu zapew-nienia właściwego poszanowania zasad ochrony danych w całejUnii Europejskiej.

(65) Na poziomie wspólnotowym należy powołać zespół roboczy dospraw ochrony osób fizycznych w zakresie przetwarzania danychosobowych, który będzie całkowicie niezależny w realizacjiswoich funkcji; ze względu na jego szczególny charakter, musi

1995L0046 — PL — 20.11.2003 — 001.001 — 10

▼Bon służyć radą Komisji oraz, w szczególności, przyczyniać się dojednolitego stosowania przepisów krajowych przyjętych na mocyniniejszej dyrektywy.

(66) W odniesieniu do przekazywania danych do państw trzecich,stosowanie niniejszej dyrektywy wymaga nadania Komisji upraw-nień wykonawczych oraz ustanowienia procedury zgodnie zdecyzją Rady 87/373/EWG (1).

(67) Dnia 20 grudnia 1994 r. zawarta została między ParlamentemEuropejskim, Radą i Komisją umowa w sprawie modus vivendidotycząca środków wykonawczych do aktów przyjętych w trybieokreślonym w art. 189b Traktatu WE.

(68) Zasady ustanowione w niniejszej dyrektywie dotyczące ochronypraw i wolności osób fizycznych, szczególnie ich prawa doprywatności w odniesieniu do przetwarzania danych osobowych,mogą być uzupełniane lub wyjaśniane, zwłaszcza w przypadkuniektórych sektorów, w formie szczegółowych przepisów opar-tych na wspomnianych zasadach.

Należy wyznaczyć Państwom Członkowskim okres nie dłuższy niż trzylata od wejścia w życie krajowych środków wykonującychdyrektywę, w którym będą one zobowiązane do (69) progresyw-nego stosowania nowych przepisów krajowych w odniesieniu dowszystkich realizowanych już operacji przetwarzania danych; dlaułatwienia ich realizacji przy uzasadnionych ekonomicznie kosz-tach, kolejny okres 12 lat od daty przyjęcia niniejszej dyrektywywyznaczony zostanie Państwom Członkowskim w celu zapew-nienia zgodności istniejących ręcznych systemów ewidencjidanych z niektórymi przepisami dyrektywy; jeżeli we wspom-nianym przedłużonym okresie przejściowym dane zawarte wowych systemach będą przetwarzane ręcznie, konieczne będziedoprowadzenie do zgodności tych systemów ze wspomnianymiprzepisami w czasie przetwarzania danych.

(70) Nie jest konieczne, aby osoba, której dane dotyczą, udzieliłaponownej zgody dla umożliwienia administratorowi danychdalsze przetwarzanie, po wejściu w życie krajowych przepisówprzyjętych na mocy niniejszej dyrektywy, wszelkich sensytyw-nych danych koniecznych do realizacji umowy zawartej nawarunkach dobrowolnej zgody stron przed wejściem w życiewspomnianych przepisów.

(71) Niniejsza dyrektywa nie stanowi przeszkody dla wprowadzaniaprzez Państwo Członkowskie regulującej działalności marketin-gowej, skierowanej na konsumentów zamieszkałych na jego tery-torium, o ile regulacja ta nie będzie dotyczyć ochrony osóbfizycznych w zakresie przetwarzania danych osobowych.

(72) Niniejsza dyrektywa zezwala na uwzględnianie zasady publicz-nego dostępu do oficjalnych dokumentów przy realizacji zasadustanowionych w niniejszej dyrektywie,

PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Cel dyrektywy

1. Zgodnie z przepisami niniejszej dyrektywy, Państwa Członkowskiezobowiązują się chronić podstawowe prawa i wolności osób fizycznych,w szczególności ich prawo do prywatności w odniesieniu do przetwa-rzania danych osobowych.

1995L0046 — PL — 20.11.2003 — 001.001 — 11

(1) Dz.U. L 197 z 18.7.1987, str. 33.

▼B2. Państwa Członkowskie nie będą ograniczać ani zakazywaćswobodnego przepływu danych osobowych między Państwami Człon-kowskimi ze względów związanych z ochroną przewidzianą w ust. 1.

Artykuł 2

Definicje

Do celów niniejszej dyrektywy:

a) „dane osobowe” oznacza wszelkie informacje dotyczące zidentyfiko-wanej lub możliwej do zidentyfikowania osoby fizycznej („osoby,której dane dotyczą”); osoba możliwa do zidentyfikowania to osoba,której tożsamość można ustalić bezpośrednio lub pośrednio, szcze-gólnie przez powołanie się na numer identyfikacyjny lub jeden bądźkilka szczególnych czynników określających jej fizyczną, fizjolo-giczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;

b) „przetwarzanie danych osobowych” („przetwarzanie”) oznacza każdąoperację lub zestaw operacji dokonywanych na danych osobowychprzy pomocy środków zautomatyzowanych lub innych, jak np.gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacjalub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie,ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianiew inny sposób, układanie lub kompilowanie, blokowanie, usuwanielub niszczenie;

c) „zbiór danych” („zbiór”) oznacza każdy uporządkowany zestawdanych osobowych, dostępnych według określonych kryteriów, scen-tralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnielub geograficznie;

d) „administrator danych” oznacza osobę fizyczną lub prawną, władzępubliczną, agencję lub inny organ, który samodzielnie lub wspólnie zinnymi podmiotami określa cele i sposoby przetwarzania danych;jeżeli cele i sposoby przetwarzania danych są określane w przepisachustawowych i wykonawczych lub przepisach wspólnotowych, admi-nistrator danych może być powoływany lub kryteria jego powołaniamogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;

e) „przetwarzający” oznacza osobę fizyczną lub prawną, władzępubliczną, agencję lub inny organ przetwarzający dane osobowe wimieniu administratora danych;

f) „osoba trzecia” oznacza osobę fizyczną lub prawną, władzępubliczną, agencję lub inny organ niebędący osobą, której danedotyczą, ani administratorem danych, ani przetwarzającym lub jednąz osób, które pod bezpośrednim zwierzchnictwem administratoradanych lub przetwarzającego upoważnione są do przetwarzaniadanych;

g) „odbierający dane” oznacza osobę fizyczną lub prawną, władzępubliczną, agencję lub inny organ, któremu ujawniane są dane,będący lub niebędący osobą trzecią; jednakże władze, które mogąotrzymywać dane w ramach konkretnego dochodzenia, nie sąuważane za odbiorcę;

h) „zgoda osoby, której dane dotyczą” oznacza konkretne i świadome,dobrowolne wskazanie przez osobę, której dane dotyczą na to, żewyraża przyzwolenie na przetwarzanie odnoszących się do niejdanych osobowych.

Artykuł 3

Zakres obowiązywania

1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobo-wych w całości lub w części w sposób zautomatyzowany oraz innegoprzetwarzania danych osobowych, stanowiących część zbioru danychlub mających stanowić część zbioru danych.

2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danychosobowych:

1995L0046 — PL — 20.11.2003 — 001.001 — 12

▼B— w ramach działalności wykraczającej poza zakres prawa Wspólnoty,

jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europej-skiej, a w żadnym razie do działalności na rzecz bezpieczeństwapublicznego, obronności, bezpieczeństwa państwa (łącznie z dobrąkondycją gospodarcza państwa, gdy działalność ta dotyczy sprawzwiązanych z bezpieczeństwem państwa) oraz działalności państwaw obszarach prawa karnego,

— przez osobę fizyczną w trakcie czynności o czysto osobistym lubdomowym charakterze.

Artykuł 4

Odpowiednie prawo krajowe

1. Każde Państwo Członkowskie stosuje, w odniesieniu do przetwa-rzania danych osobowych, przepisy prawa krajowego przyjmowane namocy niniejszej dyrektywy wówczas, gdy:

a) przetwarzanie danych odbywa się w kontekście prowadzenia przezadministratora danych działalności gospodarczej na terytoriumPaństwa Członkowskiego; jeżeli ten sam administrator danychprowadzi działalność gospodarczą na terytorium kilku Państw Człon-kowskich, musi on podjąć niezbędne działania, aby zapewnić, żekażde z tych przedsiębiorstw wywiązuje się z obowiązków przewi-dzianych w odpowiednich przepisach prawa krajowego;

b) administrator danych nie prowadzi działalności gospodarczej na tery-torium Państwa Członkowskiego, lecz w miejscu, gdzie jego prawokrajowe obowiązuje na mocy międzynarodowego prawa publicznego;

c) administrator danych nie prowadzi działalności gospodarczej na tery-torium Wspólnoty a do celów przetwarzania danych osobowychwykorzystuje środki, zarówno zautomatyzowane jak i inne, znajdu-jące się na terytorium wymienionego Państwa Członkowskiego, o ileśrodki te nie są wykorzystywane wyłącznie do celów tranzytu przezterytorium Wspólnoty.

2. W okolicznościach określonych w ust. 1 lit. c), administratordanych musi wyznaczyć swojego przedstawiciela na terytorium tegoPaństwa Członkowskiego, bez uszczerbku dlapostępowań sądowych,jakie mogłyby być podjęte przeciwko samemu administratorowi danych.

ROZDZIAŁ II

OGÓLNE ZASADY LEGALNOŚCI PRZETWARZANIA DANYCHOSOBOWYCH

Artykuł 5

Państwa Członkowskie określą, w granicach przepisów zawartych wniniejszym rozdziale, bardziej szczegółowe warunki ustalania legalnościprzetwarzania danych osobowych.

SEKCJA 1

ZASADY DOTYCZĄCE JAKOŚCI DANYCH

Artykuł 6

1. Państwa Członkowskie zapewniają, aby dane osobowe były:

a) przetwarzane rzetelnie i legalnie;

b) gromadzone do określonych, jednoznacznych i legalnych celów oraznie były poddawane dalszemu przetwarzaniu w sposób niezgodny ztym celem. Dalsze przetwarzanie danych w celach historycznych,statystycznych lub naukowych nie jest uważane za niezgodne z prze-pisami pod warunkiem ustanowienia przez Państwa Członkowskieodpowiednich środków zabezpieczających;

c) prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku docelów, dla których zostały zgromadzone i/lub dalej przetworzone;

1995L0046 — PL — 20.11.2003 — 001.001 — 13

▼B

d) prawidłowe oraz, w razie konieczności, aktualizowane; należy podjąćwszelkie uzasadnione działania, aby zapewnić usunięcie lub popra-wienie nieprawidłowych lub niekompletnych danych, biorąc poduwagę cele, dla których zostały zgromadzone lub dla których są dalejprzetwarzane;

e) przechowywane w formie umożliwiającej identyfikację osób, którychdane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów,dla których dane zostały zgromadzone lub dla których są dalej prze-twarzane. Państwa Członkowskie ustanowią odpowiednie środkizabezpieczające dla danych przechowywanych przez dłuższe okresydla potrzeb historycznych, statystycznych i naukowych.

2. Na administratorze danych spoczywa obowiązek zapewnieniaprzestrzegania przepisów ust. 1.

SEKCJA II

KRYTERIA LEGALNOŚCI PRZETWARZANIA DANYCH

Artykuł 7

Państwa Członkowskie zapewniają, że dane osobowe mogą być prze-twarzane tylko wówczas gdy:

a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub

b) przetwarzanie danych jest konieczne dla realizacji umowy, którejstroną jest osoba, której dane dotyczą, lub w celu podjęcia działań nażyczenie osoby, której dane dotyczą, przed zawarciem umowy; lub

c) przetwarzanie danych jest konieczne dla wykonania zobowiązanieaprawnego, któremu administrator danych podlega; lub

d) przetwarzanie danych jest konieczne dla ochrony żywotnych inte-resów osób, których dane dotyczą; lub

e) przetwarzanie danych jest konieczne dla realizacji zadania wykony-wanego w interesie publicznym lub dla wykonywania władzypublicznej przekazanej administratorowi danych lub osobie trzeciej,przed którą ujawnia się dane; lub

f) przetwarzanie danych jest konieczne dla potrzeb wynikających zuzasadnionych interesów administratora danych lub osoby trzeciej,lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedyinteresy takie podporządkowane są interesom związanym z podsta-wowymi prawami i wolnościami osoby, której dane dotyczą, któregwarantują ochronę na podstawie art. 1 ust. 1.

SEKCJA III

SZCZEGÓLNE KATEGORIE PRZETWARZANIA DANYCH

Artykuł 8

Przetwarzanie szczególnych kategorii danych

1. Państwa Członkowskie zabraniają przetwarzania danych osobo-wych ujawniających pochodzenie rasowe lub etniczne, opinie poli-tyczne, przekonania religijne lub filozoficzne, przynależność dozwiązków zawodowych, jak również przetwarzanie danych dotyczącychzdrowia i życia seksualnego.

2. Ustęp 1 nie ma zastosowania w przypadku gdy:

a) osoba, której dane dotyczą, udzieliła wyraźnej zgody na ich przetwa-rzanie, chyba że ustawodawstwo Państwa Członkowskiego przewi-duje, że zakaz określony w ust. 1 nie może być uchylony mimoudzielonej zgody przez osobę, której dane dotyczą; lub

b) przetwarzanie danych jest konieczne do wypełniania obowiązków iszczególnych uprawnień administratora danych w dziedzinie prawapracy, o ile jest to dozwolone przez prawo krajowe przewidująceodpowiednie środki zabezpieczające; lub

1995L0046 — PL — 20.11.2003 — 001.001 — 14

▼B

c) przetwarzanie danych jest konieczne dla ochrony żywotnych inte-resów osoby, której dane dotyczą lub innej osoby, w przypadku gdyosoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna doudzielenia zgody; lub

d) przetwarzanie danych jest dokonywane w ramach legalnej działal-ności wspartej odpowiednimi gwarancjami przez fundację, stowarzy-szenie lub inną instytucję nienastawioną na osiąganie zysku, którejcele mają charakter polityczny, filozoficzny, religijny lub związkowy,pod warunkiem że przetwarzanie danych odnosi się wyłącznie doczłonków tej instytucji lub osób mających z nią regularny kontakt wzwiązku z jej celami oraz, że dane nie zostaną ujawnione osobie trze-ciej bez zgody osób, których dane dotyczą; lub

e) przetwarzanie dotyczy danych, które są podawane do wiadomościpublicznej przez osobę, której dane dotyczą, lub jest konieczne doustalenia, wykonania lub ochrony roszczeń prawnych.

3. Ustęp 1 nie ma zastosowania w przypadku gdy przetwarzaniedanych wymagane jest do celów medycyny prewencyjnej, diagnostykimedycznej, świadczenia opieki lub leczenia, lub też zarządzania opiekązdrowotną, jak również w przypadkach, gdy dane są przetwarzane przezpracownika służby zdrowia zgodnie z przepisami prawa krajowego lubzasadami określonymi przez właściwe krajowe instytucje, podlegają-cemu obowiązkowi zachowania tajemnicy zawodowej lub przez innąosobę również zobowiązaną do zachowania tajemnicy.

4. Pod warunkiem ustanowienia odpowiednich środków zabezpiecza-jących, Państwa Członkowskie mogą, ze względu na istotny interespubliczny, ustalić dodatkowe wyłączenia, poza tymi, które zostały prze-widziane w ust. 2, na mocy ustawy krajowej lub decyzji organu nadzor-czego.

5. Przetwarzanie danych dotyczących przestępstw, wyroków skazują-cych lub środków bezpieczeństwa może być dokonywane jedynie podkontrolą władz publicznych, lub też, jeżeli zgodnie z prawem krajowymustanowiono określone środki zabezpieczające, z zachowaniemodstępstw, które Państwo Członkowskie może udzielić zgodnie zobowiązującymi przepisami prawa krajowego, zapewniając zachowanieodpowiednich zabezpieczeń. Jednak kompletny rejestr przestępstwkryminalnych może być prowadzony tylko pod kontrolą władzypublicznej.

Państwa Członkowskie mogą ustanowić przepisy zobowiązująceoficjalny organ do sprawowania kontroli nad przetwarzaniem danychdotyczących sankcji administracyjnych lub orzeczeń w sprawach cywil-nych.

6. Odstępstwa od ust. 1, przewidziane w ust. 4 i 5, są notyfikowaneKomisji.

7. Państwa Członkowskie określą warunki, w których może nastę-pować przetwarzanie krajowego numeru identyfikacyjnego lub innegoidentyfikatora ogólnego stosowania.

Artykuł 9

Przetwarzanie danych osobowych i wolność wypowiedzi

Państwa Członkowskie wprowadzają możliwość wyłączenia lub odstą-pienia od przepisów niniejszego rozdziału, rozdziału IV i VI w przy-padku przetwarzania danych osobowych wyłącznie w celach dziennikar-skich lub w celu uzyskania wyrazu artystycznego lub literackiegojedynie wówczas, gdy jest to konieczne dla pogodzenia prawa do zacho-wania prywatności z przepisami dotyczącymi wolności wypowiedzi.

1995L0046 — PL — 20.11.2003 — 001.001 — 15

▼BSEKCJA IV

PRZEKAZYWANIE INFORMACJI OSOBIE, KTÓREJ DANE DOTYCZĄ

Artykuł 10

Informacje w przypadku gromadzeniadanych od osoby, której danedotyczą

Państwa Członkowskie zapewniają, aby administrator danych lub jegoprzedstawiciel miał obowiązek przedstawienia osobie, której danedotyczą i od której gromadzone są dane, co najmniej następującychinformacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:

a) tożsamości administratora danych i ewentualnie jego przedstawiciela;

b) celów przetwarzania danych, do których dane są przeznaczone;

c) wszelkich dalszych informacji, jak np.:

— odbiorcy lub kategorie odbierających dane,

— tego, czy odpowiedzi na pytania są obowiązkowe czy dobrowolneoraz ewentualne konsekwencje nieudzielenia odpowiedzi,

— istnienie prawa wglądu do swoich danych oraz ich sprostowania,

o ile takie dalsze informacje są potrzebne, biorąc od uwagę szcze-gólne okoliczności, w których dane są gromadzone, w celu zagwa-rantowania rzetelnego przetwarzania danych w stsunku doosoby,której dane dotyczą.

Artykuł 11

Informacje w przypadku uzyskiwania danych z innych źródeł niżosoba, której dane dotyczą

1. W przypadku gdy dane uzyskiwane są z innych źródeł niż osoba,której dane dotyczą, Państwa Członkowskie zapewniają, aby admini-strator danych lub jego przedstawiciel był zobowiązany od początkugromadzenia danych osobowych lub w przypadku ujawnienia danychosobie trzeciej, nie później niż do momentu, gdy dane są ujawniane poraz pierwszy, dostarczyć osobie, której dane dotyczą, co najmniej nastę-pujące informacje, z wyjątkiem przypadku, kiedy posiada już ona takieinformacje:

— tożsamość administratora i ewentualnie jego przedstawiciela;

— cele przetwarzania danych;

— wszelkie dalsze informacji, jak np.:

— kategorie potrzebnych danych,

— odbiorcy lub kategorie odbierających dane,

— istnienie prawa wglądu do swoich danych oraz ichsprostowania,

o ile takie dalsze informacje są konieczne, biorąc od uwagę szcze-gólne okoliczności, w których dane są gromadzone, w celu zagwa-rantowania rzetelnego przetwarzania danych w stosunku doosoby,której dane dotyczą.

2. Ustęp 1 nie ma zastosowania w przypadku gdy, szczególnie wprzypadku przetwarzania danych do celów statystycznych, historycz-nych lub naukowych, dostarczenie takich informacji wymagałobyniewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianieinformacji jest wyraźnie przewidziane przez prawo. W takich przypad-kach Państwa Członkowskie zapewniają odpowiednie środki zabezpie-czające.

1995L0046 — PL — 20.11.2003 — 001.001 — 16

▼BSEKCJAV

PRAWO UZYSKANIA PRZEZ OSOBĘ, KTÓREJ DANE DOTYCZĄDOSTĘPU DO DANYCH

Artykuł 12

Prawo dostępu do danych

Państwa Członkowskie zapewniają każdej osobie, której dane dotyczą,prawo do uzyskania od administratora danych:

a) bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmier-nego opóźnienia lub kosztów:

— potwierdzenia, czy dotyczące jej dane są przetwarzane oraz conajmniej informacji o celach przetwarzania danych, kategoriachdanych oraz odbiorcach lub kategoriach odbiorców, którym danete są ujawniane,

— wyrażonej w zrozumiałej formie informacji o danych przechodzą-cych przetwarzanie oraz posiadanych informacji o ich źródłach,

— wiadomości na temat zasad automatycznego przetwarzania doty-czących jej danych przynajmniej w przypadku zautomatyzowa-nego procesu decyzyjnego określonego w art. 15 ust. 1;

b) odpowiednio do przypadku, sprostowania, usunięcia lub zabloko-wania danych, których przetwarzanie jest niezgodne z przepisamininiejszej dyrektywy, szczególnie ze względu na niekompletność lubniedokładność danych;

c) zawiadomienia osób trzecich, którym dane zostały ujawnione, oewentualnym sprostowaniu, usunięciu lub zablokowaniu danychzgodnie z lit. b), o ile nie okaże się to niemożliwe lub nie będziewymagało niewspółmiernie dużego wysiłku.

SEKCJAVI

WYŁĄCZENIA I OGRANICZENIA

Artykuł 13

Zwolnienia i ograniczenia

1. Państwo Członkowskie może przyjąć środki ustawodawcze w celuograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust.1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowiśrodek konieczny dla zabezpieczenia:

a) bezpieczeństwa narodowego;

b) obronności;

c) bezpieczeństwa publicznego;

d) działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach onaruszenie zasad etyki w zawodach podlegających regulacji;

e) ważnego interesu ekonomicznego lub finansowego Państwa Człon-kowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi,budżetowymi i podatkowymi;

f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych,nawet sporadycznie, z wykonywaniem władzy publicznej w przypad-kach wymienionych w lit. c)–e);

g) ochrony osoby, której dane dotyczą oraz praw i wolności innychosób.

2. Z zastrzeżeniem obowiązku zapewnienia odpowiedniego stopniaochronyprawnej, w szczególności, aby dane nie były wykorzystywanedo podejmowania działań lub decyzji dotyczących konkretnych osób,Państwa Członkowskie mogą w przypadku gdy wyraźnie nie występujeryzyko naruszenia prywatności osoby, której dane dotyczą, ograniczyćprzy pomocy środków legislacyjnych prawa przewidziane w art. 12, gdy

1995L0046 — PL — 20.11.2003 — 001.001 — 17

▼Bdane są przetwarzane wyłącznie do celów badań naukowych lub prze-chowywane są w formie osobistej przez okres nieprzekraczający okresukoniecznegowyłącznie w celusporządzenia statystyk.

SEKCJAVII

PRAWO SPRZECIWU PRZYSŁUGUJĄCE OSOBIE, KTÓREJ DANEDOTYCZĄ

Artykuł 14

Prawo sprzeciwu przysługujące osobie, której dane dotyczą

Państwa Członkowskie przyznają osobie, której dane dotyczą, prawo:

a) przynajmniej w przypadkach wymienionych w art. 7 lit. e) i f), wdowolnym czasie z ważnych i uzasadnionych przyczyn wynikającychz jego konkretnej sytuacji, sprzeciwu co do przetwarzania dotyczą-cych jej danych, z zastrzeżeniem odmiennych postanowień ustawo-dawstwa krajowego. W przypadku uzasadnionego sprzeciwu prze-twarzanie danych przez administratora danych nie może już obej-mować tych danych;

b) sprzeciwu, na wniosek i bez opłaty, wobec przetwarzania dotyczą-cych jej danych osobowych, dla potrzeb bezpośredniego obrotu, lubprawo bycia poinformowanym przed ujawnieniem danych osobo-wych po raz pierwszy osobom trzecim lub ich wykorzystaniem w ichimieniu dla potrzeb bezpośredniego obrotu, jak również prawowyraźnego powoływania się na prawo sprzeciwu, bez opłat, wobecujawniania lub wykorzystywania danych.

Państwa Członkowskie podejmują konieczne działania, aby osoby,których dane dotyczą, były świadome istnienia praw wymienionych wlit. b) akapit pierwszy.

Artykuł 15

Zautomatyzowane decyzje indywidualne

1. Państwa Członkowskie przyznają każdej osobie prawo do nieob-jęcia jej decyzją, która wywołuje skutki prawne, które jej dotyczą lubmają na nią istotny wpływ, oraz która oparta jest wyłącznie na zautoma-tyzowanym przetwarzaniu danych, którego celem jest dokonanie ocenyniektórych dotyczących ją aspektów o charakterze osobistym, jak np.wyniki osiągane w pracy, zdolność kredytowa, wiarygodność, sposóbzachowania itp.

2. Z zastrzeżeniem przepisów innych artykułów niniejszej dyrektywy,Państwa Członkowskie zapewniają, że każda osoba będzie mogła byćwyłączona z zakresu objętego decyzją określoną w ust. 1, jeżeli decyzjataka:

a) zostanie podjęta w trakcie zawierania lub realizacji umowy, podwarunkiem że wniosek w sprawie zawarcia lub realizacji umowy,wniesiony przez osobę, której dane dotyczą, zostanie przyjęty, lub żeistnieją odpowiednie sposoby zabezpieczenia jego uzasadnionychinteresów, jak np. uregulowania umożliwiające mu przedstawienieswojego punktu widzenia; lub

b) zostanie dozwolona przez prawo, które określa również sposobyzabezpieczenia uzasadnionych interesów osoby, której dane dotyczą.

SEKCJAVIII

POUFNOŚĆ I BEZPIECZEŃSTWO PRZETWARZANIA DANYCH

Artykuł 16

Poufność przetwarzania danych

Żadna osoba działająca z upoważnienia administratora danych lub prze-twarzającego, włączając samego przetwarzającego, który ma dostęp dodanych osobowych, nie może przetwarzać ich bez polecenia administra-tora danych, chyba że wymaga tego prawo.

1995L0046 — PL — 20.11.2003 — 001.001 — 18

▼BArtykuł 17

Bezpieczeństwo przetwarzania danych

1. Państwa Członkowskie zapewniają, aby administrator danychwprowadził odpowiednie środki techniczne i organizacyjne w celuochrony danych osobowych przed przypadkowym lub nielegalnymzniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnie-niem lub dostępem, szczególnie wówczas gdy przetwarzanie danychobejmuje transmisję danych w sieci, jak również przed wszelkimiinnymi nielegalnymi formami przetwarzania.

Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, przy-jęte zostaną takie środki, które zapewnią poziom bezpieczeństwa odpo-wiedni do zagrożeń wynikających z przetwarzania danych oraz charak-teru danych objętych ochroną.

2. Państwa Członkowskie zobowiązują administratora danych, wprzypadku przetwarzania danych w jego imieniu, do wybrania przetwa-rzającego, o wystarczających gwarancjach odnośnie do technicznychśrodków bezpieczeństwa oraz rozwiązań organizacyjnych, regulującychprzetwarzanie danych, oraz zapewnienia stosowania tych środków irozwiązań.

3. Przetwarzanie danych przez przetwarzającego musi być regulo-wane przez umowę lub akt prawny, na mocy których przetwarzającypodlega administratorowi danych i które w szczególności postanawiają,że:

— przetwarzający działa wyłącznie na polecenie administratora danych,

— obowiązki wymienione w ust. 1, określone przez ustawodawstwoPaństwa Członkowskiego, w którym przetwarzający prowadzi dzia-łalność gospodarczą, dotyczą również przetwarzającego.

4. Do celów zachowania dowodów, części umowy lub aktu prawnegodotyczącego ochrony danych i wymagań dotyczących środków wymie-nionych w ust. 1 są sporządzane na piśmie lub w innej równorzędnejformie.

SEKCJA IX

ZAWIADOMIENIE

Artykuł 18

Obowiązek zawiadamiania organu nadzorczego

1. Państwa Członkowskie zobowiązują administratora danych lubjego ewentualnego przedstawiciela do zawiadomienia organu nadzor-czego, wymienionego w art. 28, przed przeprowadzeniem całościowejlub częściowej operacji automatycznego przetwarzania danych lubzestawu takich operacji mających służyć jednemu celowi lub wielupowiązanym ze sobą celom.

2. Państwa Członkowskie mogą wprowadzić uproszczenie procedurylub zwolnienie z obowiązku zawiadomienia tylko w następującychsytuacjach oraz na następujących warunkach:

— jeżeli, w przypadku kategorii operacji przetwarzania, co do którychmało prawdopodobne jest, biorąc pod uwagę dane przeznaczone doprzetworzenia, aby niekorzystnie wpłynęły na prawa i wolności osób,których dane dotyczą, określą cele przetwarzania danych, dane lubkategorie danych przechodzących proces przetwarzania, kategorięlub kategorie osób, których dane dotyczą, odbiorców lub kategorieodbiorców, którym dane mają być ujawnione oraz długość okresuprzechowywania danych i/lub

— jeżeli administrator danych, zgodnie z dotyczącymi go przepisamikrajowymi, powoła urzędnika do spraw ochrony danych osobowych,odpowiedzialnego w szczególności:

— za zapewnienie w niezależny sposób wewnętrznego stosowaniaprzepisów prawa krajowego przyjętych na mocy niniejszej dyrek-tywy,

1995L0046 — PL — 20.11.2003 — 001.001 — 19

▼B— za prowadzenie rejestru operacji przetwarzania danych wykony-

wanych przez administratora danych i zawierających informacjeokreślone w art. 21 ust. 2,

zapewniając przy tym, że nie zostaną naruszone prawa i wolnościosób, których dane dotyczą.

3. Państwa Członkowskie mogą ustalić, że ust. 1 nie odnosi się doprzetwarzania danych, którego wyłącznym celem jest prowadzenierejestru, który zgodnie z obowiązującymi przepisami ustawowymi lubwykonawczymi ma służyć za źródło informacji dla społeczeństwa orazktóry będzie przeznaczony do wglądu dla ogółu społeczeństwa lub osóbwykazujących uzasadniony interes.

4. Państwa Członkowskie mogą wprowadzić wyłączenie odobo-wiązku zawiadamiania lub uprościć procedurę zawiadamiania w przy-padku operacji przetwarzania danych określonych w art. 8 ust. 2 lit. d).

5. Państwa Członkowskie mogą postanowić, że niektóre lubwszystkie niezautomatyzowane operacje przetwarzania danych osobo-wych będą zgłaszane lub ustalą dla takich operacji uproszczony trybzawiadamiania.

Artykuł 19

Treść zawiadomienia

1. Państwa Członkowskie ustalają, jakie informacje zostaną podanew zawiadomieniu. Obejmują one, co najmniej:

a) nazwę (nazwisko) i adres administratora danych i ewentualnie jegoprzedstawiciela;

b) cel lub cele przetwarzania danych;

c) opis kategorii osób, których dane dotyczą oraz danych lub kategoriidanych, które się do nich odnoszą;

d) odbiorcę lub kategorie odbiorców, którym dane mogą być ujawnione;

e) propozycje przekazania danych do państw trzecich;

f) ogólny opis umożliwiający dokonanie wstępnej oceny prawidłowościuregulowań przyjętych w związku z art. 17 w celu zapewnieniabezpieczeństwa przetwarzania danych.

2. Państwa Członkowskie określą procedury w myśl, którychwszelkie zmiany mające wpływ na informacje określone w ust. 1 musząbyć zgłaszane organowi nadzorczemu.

Artykuł 20

Kontrola wstępna

1. Państwa Członkowskie definiują operacje przetwarzania danychmogące stwarzać określone zagrożenia dla praw i wolności osób,których dane dotyczą oraz kontrolują, czy dane te są badane przed ichrozpoczęciem.

2. Kontrole wstępne są przeprowadzane przez organ nadzorczy poprzyjęciu od administratora danych lub urzędnika odpowiedzialnego zaochronę danych zawiadomienia, którzy w razie wątpliwości powinnizasięgać opinii organu nadzorczego.

3. Państwa Członkowskie mogą również przeprowadzać takiekontrole w kontekście opracowywania odpowiedniego środka w parla-mencie narodowym lub środka opartego na takim rozwiązaniu legisla-cyjnym, które określa charakter przetwarzania danych oraz stwarzaodpowiednie zabezpieczenia.

1995L0046 — PL — 20.11.2003 — 001.001 — 20

▼BArtykuł 21

Podawanie do wiadomości publicznej operacji przetwarzaniadanych

1. Państwa Członkowskie podejmują odpowiednie środki, abyzapewnić podanie do wiadomości publicznej operacji przetwarzaniadanych.

2. Państwa Członkowskie zapewniają, aby organ nadzorczy prowa-dził rejestr operacji przetwarzania danych zgłoszonych zgodnie z art. 18.

Rejestr zawiera co najmniej informacje wymienione w art. 19 ust. 1 lit.a)–e).

Rejestr może być sprawdzany przez dowolną osobę.

3. Państwa Członkowskie zapewniają, w odniesieniu do operacjiprzetwarzania danych niepodlegających zgłoszeniu, aby administratorzydanych lub inne instytucje powołane przez Państwa Członkowskieudostępniały przynajmniej informacje określone w art. 19 ust. 1 lit. a)–e), w odpowiedniej formie każdej osobie na żądanie.

Państwa Członkowskie mogą ustalić, że przepis ten nie będzie dotyczyćprzetwarzania danych, którego wyłącznym celem jest prowadzenierejestru mającego służyć, na mocy przepisów ustawowych i wykona-wczych, za źródło informacji dla ogółu społeczeństwa, otwartego dlaobywateli i każdej osoby wykazującej uzasadniony interes.

ROZDZIAŁ III

ŚRODKI SĄDOWE, ODPOWIEDZIALNOŚĆ I SANKCJE

Artykuł 22

Środki sądowe

Bez uszczerbku dla wszystkich odwoławczych środków administracyj-nych, które mogą być wprowadzone przez organ nadzorczy określony wart. 28, przed wszczęciem postępowania sądowego Państwa Członkow-skie zapewnią każdej osobie prawo do korzystania ze środków praw-nych w związku z naruszeniem praw zagwarantowanych jej przez prze-pisy krajowe dotyczące przetwarzania danych.

Artykuł 23

Odpowiedzialność

1. Państwa Członkowskie zapewniają, że każdej osobie, któraponiosła szkodę wskutek niezgodnej z prawem operacji przetwarzaniadanych lub innej czynności niezgodnej z przepisami krajowymi przyję-tymi zgodnie z niniejszą dyrektywą, przysługuje od administratoradanych odszkodowanie za poniesioną szkodę.

2. Administrator danych może zastać zwolniony od tej odpowiedzial-ności w całości lub w części, jeżeli udowodni, że nie jest odpowie-dzialny za zdarzenie, które spowodowało szkodę.

Artykuł 24

Sankcje

Państwa Członkowskie przyjmą odpowiednie środki w celu zapewnieniapełnej realizacji przepisów niniejszej dyrektywy oraz w szczególnościokreślą sankcje, jakie należy nałożyć w przypadku naruszenia przepisówprzyjętych zgodnie z niniejszą dyrektywą.

1995L0046 — PL — 20.11.2003 — 001.001 — 21

▼BROZDZIAŁ IV

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

Artykuł 25

Zasady

1. Państwa Członkowskie zapewniają, aby przekazywanie do państwatrzeciego danych osobowych poddawanych przetwarzaniu lub przezna-czonych do przetwarzania po ich przekazaniu mogło nastąpić tylkowówczas gdy, niezależnie od zgodności z krajowymi przepisami przyję-tymi na podstawie innych przepisów niniejszej dyrektywy, dane państwotrzecie zapewni odpowiedni stopień ochrony.

2. Odpowiedni stopień ochrony danych zapewnianej przez państwotrzecie należy oceniać w świetle wszystkich okoliczności dotyczącychoperacji przekazania danych lub zbiorutakich operacji; szczególnąuwagę zwracać się będzie na charakter danych, cel i czas trwania propo-nowanych operacji przetwarzania danych, kraj pochodzenia i kraj osta-tecznego przeznaczenia, przepisy prawa, zarówno ogólne jak i bran-żowe, obowiązujące w państwie trzecim oraz przepisy zawodowe iśrodki bezpieczeństwa stosowane w tym państwie.

3. Państwa Członkowskie i Komisja będą informować się wzajemnieo przypadkach, kiedy uznają, że państwo trzecie nie zapewnia odpo-wiedniego stopnia ochrony w znaczeniu ust. 2.

4. Jeżeli Komisja stwierdzi, na podstawie procedury przewidzianej wart. 31 ust. 2, że państwo trzecie nie zapewnia odpowiedniego stopniaochrony w znaczeniu ust. 2 niniejszego artykułu, Państwa Członkowskiepodejmą konieczne środki, aby nie dopuścić do przekazania jakichkol-wiek danych tego samego rodzaju do wspomnianego państwa trzeciego.

5. We właściwym czasie Komisja przystąpi do negocjacji w celuzaradzenia sytuacji stwierdzonej na podstawie ust. 4.

6. Komisja może stwierdzić, zgodnie z procedurą określoną w art. 31ust. 2, że państwo trzecie zapewnia prawidłowy stopień ochrony wznaczeniu ust. 2 niniejszego artykułu, co wynika z jego prawa krajo-wego lub międzynarodowych zobowiązań, jakie państwo to przyjęło,szczególnie po zakończeniu negocjacji określonych w ust. 5, w zakresieochrony życia prywatnego i podstawowych praw i wolności osób fizycz-nych.

Państwa Członkowskie podejmują środki niezbędne w celu wykonaniadecyzji Komisji.

Artykuł 26

Odstępstwa

1. W drodze odstępstwa od przepisów art. 25 oraz, z zastrzeżeniemodmiennych przepisów prawa krajowego dotyczącego konkretnychprzypadków, Państwa Członkowskie zapewnią, że przekazanie lub prze-kazywanie danych osobowych do państwa trzeciego, który nie zapewniaodpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2 możenastąpić pod warunkiem że:

a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na propono-wane przekazanie danych; lub

b) przekazanie danych jest konieczne dla realizacji umowy międzyosobą, której dane dotyczą i administratorem danych lub dla wprowa-dzenia w życie ustaleń poprzedzających zawarcie umowy na wniosekosoby, której dane dotyczą; lub

c) przekazanie danych jest konieczne dla zawarcia lub wykonaniaumowy zawartej między administratorem danych i osobą trzecią, winteresie osoby, której dane dotyczą, lub

d) przekazanie danych jest konieczne lub wymagane przez prawo zważnych względów publicznych lub w celu ustanowienia, wykonanialub obrony tytułu prawnego; lub

1995L0046 — PL — 20.11.2003 — 001.001 — 22

▼B

e) przekazanie danych jest konieczne dla zapewnienia ochrony żywot-nych interesów osoby, której dane dotyczą; lub

f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie zobowiązującymi przepisami ustawowymi lub wykonawczymi, zaźródło informacji dla ogółu społeczeństwa, udostępnionego dokonsultacji obywateli i każdej osoby wykazującej uzasadnionyinteres, o ile warunki określone przez prawo odnośnie do wglądu dotakiego rejestru zostały w danym przypadku spełnione.

2. Bez uszczerbku dla ust. 1, Państwo Członkowskie może zezwolićna przekazanie lub przekazywanie danych osobowych do państwa trze-ciego, które nie zapewnia odpowiedniego stopnia ochrony w znaczeniuart. 25 ust. 2, jeżeli administrator danych zaleci odpowiednie zabezpie-czenia odnośnie do ochrony prywatności oraz podstawowych praw iwolności osoby oraz odnośnie do wykonywania odpowiednich praw;takie środki zabezpieczające mogą w szczególności wynikać z odpo-wiednich klauzul umownych.

3. Państwo Członkowskie powiadamia Komisję i inne PaństwaCzłonkowskie o upoważnieniach wydanych na podstawie ust. 2.

Jeżeli Państwo Członkowskie lub Komisja zgłaszają sprzeciw w oparciuo uzasadnione przyczyny związane z ochroną prywatności oraz podsta-wowych praw i wolności osób fizycznych, Komisja podejmuje właściweśrodki zgodnie z procedurą określoną w art. 31 ust. 2.

Państwa Członkowskie podejmą konieczne środki w celu zastosowaniasię do decyzji Komisji.

4. Jeżeli Komisja postanowi, zgodnie z procedurą określoną w art. 31ust. 2, że określone klauzule umowne zapewniają odpowiednie środkizabezpieczające wymagane w ust. 2, Państwa Członkowskie podejmąkonieczne środki w celu zastosowania się do decyzji Komisji.

ROZDZIAŁ V

KODEKSY POSTĘPOWANIA

Artykuł 27

1. Państwa Członkowskie i Komisja zachęcają do opracowywaniakodeksów postępowania, których celem będzie usprawnienie procesuprawidłowego wprowadzania krajowych przepisów przyjętych przezPaństwa Członkowskie na mocy niniejszej dyrektywy, uwzględniającszczególne cechy różnych sektorów.

2. Państwa Członkowskie umożliwiają związkom zawodowym iinnym instytucjom reprezentującym inne kategorie administratorówdanych, które opracowały projekty krajowych kodeksów postępowanialub, które zamierzają dokonać zmiany lub uzupełnienia istniejącychkrajowych kodeksów postępowania, przedstawienie ich do zaopinio-wania władzy publicznej.

Państwa Członkowskie doprowadzą do ustalenia przez wspomnianyorgan, m.in. czy przedstawiony mu projekt jest zgodny z przepisamikrajowymi przyjętymi zgodnie z niniejszą dyrektywą. Jeżeli wspom-niany organ uzna to za stosowne, będzie zwracać się o opinie osób,których dane dotyczą lub ich przedstawicieli.

3. Projekty kodeksów wspólnotowych, jak również zmiany i uzupeł-nienia istniejących kodeksów wspólnotowych, mogą być przedstawionegrupie roboczej określonej w art. 29. Grupa robocza ustali m.in., czyprzedstawione jej projekty są zgodne z przepisami krajowymi przyję-tymi zgodnie z niniejszą dyrektywą. Komisja może zapewnić odpo-wiednie rozpowszechnienie kodeksów zatwierdzonych przez grupęroboczą.

1995L0046 — PL — 20.11.2003 — 001.001 — 23

▼BROZDZIAŁ VI

ORGAN NADZORCZY I GRUPA ROBOCZA DS. OCHRONY OSÓBFIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBO-

WYCH

Artykuł 28

Organ nadzorczy

1. Każde Państwo Członkowskie zapewni, że jeden lub więcejorganów władzy publicznej będzie odpowiedzialnych za kontrolę stoso-wania na jego terytorium przepisów przyjętych przez Państwa Człon-kowskie na mocy niniejszej dyrektywy.

Organy te postępują w sposób całkowicie niezależny przy wykonywaniupowierzonych im funkcji.

2. Każde Państwo Członkowskie wprowadza obowiązek konsulto-wania się z organami nadzorczymi przy opracowywaniu środków admi-nistracyjnych lub przepisów dotyczących ochrony praw i wolności osóbfizycznych w zakresie przetwarzania danych osobowych.

3. Każdy organ jest w szczególności wyposażony w:

— uprawienia dochodzeniowe, jak np. prawo dostępu do danych stano-wiących przedmiot operacji przetwarzania danych oraz prawo groma-dzenia wszelkich informacji potrzebnych do wykonywania jegofunkcji nadzorczych,

— skuteczne uprawnienia interwencyjne, jak np. prawo do wyrażaniaopinii przed przystąpieniem do operacji przetwarzania danychzgodnie z art. 20, oraz zapewnienia odpowiedniej publikacji swoichopinii, zarządzania blokady, usunięcia lub zniszczenia danych, nakła-dania czasowego lub ostatecznego zakazu przetwarzania danych,ostrzegania lub upominania administratora danych, lub też prawokierowania sprawy do parlamentów narodowych lub innych insty-tucji politycznych,

— prawo pozywania w przypadku naruszenia krajowych przepisówprzyjętych zgodnie z niniejszą dyrektywą lub powiadomienieorganów sądowych o takim naruszeniu.

Od decyzji organu nadzorczego, co do którego zgłaszane są zastrze-żenia, przysługuje odwołanie do właściwego sądu.

4. Każdy organ nadzorczy rozpatruje skargi zgłaszane przez dowolnąosobę lub przez stowarzyszenie ją reprezentujące, odnośnie do ochronyjej praw i wolności w zakresie przetwarzania danych osobowych. Zain-teresowana osoba zostanie poinformowana o wyniku sprawy.

Każdy organ nadzorczy w szczególności rozpatruje skargi dotyczącekontroli legalności przetwarzania danych, zgłaszane przez dowolnąosobę, kiedy mają zastosowanie krajowe przepisy przyjęte zgodnie z art.13 niniejszej dyrektywy. Osoba ta zostanie w każdym przypadku poin-formowana o przeprowadzeniu kontroli.

5. Każdy organ nadzorczy regularnie sporządza sprawozdanie zeswojej działalności. Sprawozdanie jest podawane do wiadomościpublicznej.

6. Każdy organ nadzorczy jest właściwy, niezależnie od krajowychprzepisów dotyczących danego przypadku przetwarzania danych, dowykonywaniana terytorium Państwa Członkowskiego uprawnieńpowierzonych mu zgodnie z ust. 3. Do każdego organu można siezwrócić z żądaniem wykonania jegou prawnień przez odpowiedni organinnego Państwa Członkowskiego.

Organy nadzorcze współpracują ze sobą w zakresie koniecznym dowykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszel-kich przydatnych informacji.

1995L0046 — PL — 20.11.2003 — 001.001 — 24

▼B7. Państwa Członkowskie dopilnują, aby członkowie kierownictwa ipersonel organu nadzorczego podlegali obowiązkowi zachowania tajem-nicy zawodowej również po rozwiązaniu stosunku pracy, w odniesieniudo poufnych informacji, do których mają dostęp.

Artykuł 29

Grupa robocza ds. ochrony osób fizycznych w zakresie przetwa-rzania danych osobowych

1. Niniejszym powołuje się grupę roboczą ds. ochrony osób fizycz-nych w zakresie przetwarzania danych osobowych, zwaną dalej „grupąroboczą”.

Ma ona charakter doradczy i działa w sposób niezależny.

2. W skład grupy roboczej wchodzą przedstawiciele organu luborganów nadzorczych, powołanych przez każde Państwo Członkowskieoraz przedstawiciel organu lub organów ustanowionych dla instytucji iorganów wspólnotowych, oraz przedstawiciel Komisji.

Każdy członek grupy roboczej jest powoływany przez instytucję, organlub organy, które reprezentuje. Jeżeli Państwo Członkowskie powoławięcej niż jeden organ nadzorczy, organy te wyznaczają wspólnegoprzedstawiciela. Ta sama zasada dotyczy organów utworzonych przezinstytucje i organy wspólnotowe.

3. Grupa robocza podejmuje decyzje zwykłą większością głosówprzedstawicieli organów nadzorczych.

4. Grupa robocza wybiera swojego przewodniczącego. Kadencjaprzewodniczącego trwa dwa lata. Jego mandat jest odnawialny.

5. Komisja zapewnia obsługę sekretariatu grupy roboczej.

6. Grupa robocza przyjmuje swój regulamin.

7. Grupa robocza rozważa pozycje zamieszczone w porządkudziennym przez przewodniczącego, z jego inicjatywy bądź na wniosekprzedstawiciela organu nadzorczego lub na wniosek Komisji.

Artykuł 30

1. Grupa robocza:

a) bada każdą kwestię dotyczącą stosowania krajowych środków przyję-tych na mocy niniejszej dyrektywy, aby przyczynić się w ten sposóbdo jednolitego stosowania tych środków;

b) przekazuje Komisji opinie na temat stopnia ochrony we Wspólnocie iw państwach trzecich;

c) doradza Komisji w sprawie wszelkich proponowanych zmian niniej-szej dyrektywy, dodatkowych lub szczególnych środków mającychna celu zabezpieczenie praw i wolności osób fizycznych w zakresieprzetwarzania danych osobowych oraz innych proponowanychśrodków wspólnotowych dotyczących praw i wolności;

d) wydaje opinie na temat kodeksów postępowania opracowywanych napoziomie wspólnotowym.

2. Jeżeli grupa robocza stwierdza występowanie rozbieżności międzyprzepisami i praktyką przyjętą w poszczególnych Państwach Członkow-skich, mogących wpływać na równoważność ochrony osób fizycznychw zakresie przetwarzania danych osobowych we Wspólnocie, grupapowiadamia o tym Komisję.

3. Grupa robocza może z własnej inicjatywy formułować zaleceniawe wszystkich sprawach dotyczących ochrony osób fizycznych wzakresie przetwarzania danych osobowych we Wspólnocie.

4. Opinie i zalecenia grupy roboczej są przekazywane Komisji orazkomitetowi, określonemu w art. 31.

1995L0046 — PL — 20.11.2003 — 001.001 — 25

▼B5. Komisja informuje grupę roboczą o podejmowanych działaniach wodpowiedzi na jego opinie i zalecenia. Czyni to w formie sprawozdania,które przekazywane jest również Parlamentowi Europejskiemu i Radzie.Sprawozdanie jest udostępniane opinii publicznej.

6. Grupa robocza sporządza roczne sprawozdanie na temat sytuacjidotyczącej ochrony osób fizycznych w zakresie przetwarzania danychosobowych we Wspólnocie oraz w państwach trzecich, które przekazujeKomisji, Parlamentowi Europejskiemu i Radzie. Sprawozdanie jestudostępniane opinii publicznej.

ROZDZIAŁ VII

WSPÓLNOTOWE ŚRODKI WYKONAWCZE

▼M1

Artykuł 31

1. Komisję wspomaga Komitet.

2. W przypadku odniesienia się do niniejszego artykułu – art. 4 i 7decyzji 1999/468/WE (1) stosuje się z uwagi na przepisy zawarte w jejart. 8.

Okres ustanowiony w art. 4 ust. 3 decyzji 1999/468/WE ustala się natrzy miesiące.

3. Komitet uchwala swój regulamin wewnętrzny.

▼BPRZEPISY KOŃCOWE

Artykuł 32

1. Państwa Członkowskie wprowadzą w życie przepisy ustawowe,wykonawcze i administracyjne niezbędne do wykonania niniejszejdyrektywy nie później niż w trzy lata od daty jej przyjęcia.

Wymienione środki zawierają odniesienie do niniejszej dyrektywy lubodniesienie to towarzyszy ich urzędowej publikacji. Metody dokony-wania takiego odniesienia ustanawiane są przez Państwa Członkowskie.

2. Państwa Członkowskie zapewniają, aby przetwarzanie danych,będące już w toku w dniu, w którym przepisy krajowe przyjęte zgodniez niniejszą dyrektywą weszły w życie, zostało dostosowane do tychprzepisów w terminie trzech lat od wspomnianej daty.

W drodze odstępstwa od poprzedniego akapitu Państwa Członkowskiemogą wprowadzić wymóg, aby przetwarzanie danych, które są już prze-chowywane w ręcznych systemach ewidencji w dniu wejścia w życiekrajowych przepisów przyjętych w ramach wykonania niniejszej dyrek-tywy zostały dostosowane do wymogów art. 6–8 niniejszej dyrektywyw ciągu 12 lat od daty ich przyjęcia. Państwa Członkowskie przyznająosobie, której dane dotyczą, prawo uzyskania, na jej wniosek, w szcze-gólności w czasie wykonywania przysługującego jej prawa dostępu,sprostowania, usunięcia lub zablokowania danych, które są niekom-pletne, nieprawidłowe lub przechowywane w sposób niezgodny zuzasadnionymi celami realizowanymi przez administratora danych.

3. W drodze odstępstwa od ust. 2, Państwa Członkowskie mogąustalić, z zastrzeżeniem odpowiednich zabezpieczeń, że dane przecho-wywane wyłącznie dla potrzeb badań historycznych nie muszą byćdostosowywane do wymogów art. 6–8 niniejszej dyrektywy.

4. Państwa Członkowskie przekażą Komisji teksty podstawowychprzepisów prawa krajowego, przyjętych w dziedzinach objętychniniejszą dyrektywą.

1995L0046 — PL — 20.11.2003 — 001.001 — 26

(1) Decyzja Rady 1999/468/WE z dnia 28 czerwca 1999 r. ustanawiająca warunkiwykonywania uprawnień wykonawczych przyznanych Komisji (Dz.U. L 184z 17.7.1999, str. 23).

▼BArtykuł 33

Komisja składa Radzie i Parlamentowi Europejskiemu regularne spra-wozdania, począwszy nie później niż trzy lata od daty wskazanej w art.32 ust. 1, na temat wykonania niniejszej dyrektywy, załączając do spra-wozdania, w razie potrzeby, odpowiednie propozycje zmian. Sprawozda-niejest podawane do publicznej wiadomości.

Komisja bada w szczególności stosowanie niniejszej dyrektywy wodniesieniu do przetwarzania danych dźwiękowych i obrazowych doty-czących osób fizycznych oraz przedstawia odpowiednie propozycje,jakie okażą się konieczne, biorąc pod uwagę rozwój technologii infor-matycznych oraz stan postępu zachodzącego w społeczeństwie informa-cyjnym.

Artykuł 34

Niniejsza dyrektywa skierowana jest do Państw Członkowskich.

1995L0046 — PL — 20.11.2003 — 001.001 — 27