Serwisy SMS

Wiele jednostek samorządowych – głównie gmin – oferuje swoim mieszkańcom sms-owe  systemy powiadomień. Treść sms-ów może być różna, ale w głównej mierze dotyczy ona powiadomień alarmowych  (zagrożenia kryzysowe), bieżących (komunikaty urzędu gminy dotyczące np. dat odbioru śmieci, czy wyłączeń prądu), czy też wydarzeń kulturalnych.

Informacja o możliwości „zamówienia” usługi znajduje się na stronie internetowej gminy, gdzie z reguły  zamieszczony jest  regulamin usługi. Usługi powiadamiania realizowane są bezpłatne. Na ogół wyrażenie zgody na otrzymywanie sms z systemu powiadomień polega na wysłaniu sms aktywującego, który w treści może zawierać rodzaj zamawianego serwisu. W podobny sposób zgoda ta jest odwoływana.

Jakie problemy pojawiają się do rozwiązania w aspekcie ustawy o ochronie danych

1. Czy numery telefonów użytkowników serwisu sms tworzą zbiór danych osobowych?

TAK – niekiedy  wystarczy jeden typ danych by zestaw danych był zakwalifikowany jako zbiór  (tu numer telefonu).

2. Kto jest administratorem danych?

Administratorem danych osobowych jest gmina – to ona decyduje o celu i sposobie przetwarzania danych.

3. Czy zgłaszać zbiór do GIODO?

TAK/NIE – o ile Gmina nie powołała ABI zbiór należy głosić w GIODO, w przeciwnym razie zbiór rejestruje ABI we własnym rejestrze ze względu na jego formę (system informatyczny).

4. Czy zapis w Regulaminie usługi deklarujący przetwarzanie  danych osobowych zgodnie z ustawą o ochronie danych przy równoczesnym zapisie, że wysłanie sms aktywującego stanowi akceptację Regulaminu jest równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych?

NIE – zgoda na przetwarzanie danych osobowych powinna zostać wyrażona odrębnie i nie powinno być żadnych wątpliwości, że dotyczyła ona właśnie przetwarzania danych osobowych. Ponadto należy spełnić obowiązek informacyjny wobec użytkownika serwisu polegający między innymi na  zadeklarowaniu celu przetwarzania danych i poinformowania o jego prawach ( np. w zakresie wglądu do danych, ich poprawiania czy możliwości wstrzymania ich przetwarzania).

5. Co jeśli czynności techniczne związane z obsługą systemu wykonuje firma zewnętrzna?

Nie zmienia to pozycji Gminy jako Administratora Danych Osobowych. Natomiast konieczne jest zawarcie umowy powierzenia z firmą, która prowadzi obsługę techniczną serwisu. W umowie niezbędne jest zawarcie zapisów dotyczących m.in. przestrzegania przez firmę ustawy o ochronie danych osobowych, poufności, obowiązku usunięcia zbioru danych po zakończeniu umowy i/lub jej przekazania wskazanemu podmiotowi, możliwości kontroli ze strony gminy. Istotne jest, aby firma której powierzyliśmy dane była wiarygodna.

Należy podkreślić, że po rozpoczęciu obowiązywania RODO (05.2018) obowiązki informacyjne Administratora Danych Osobowych wobec właściciela danych osobowych podobnie jak wymagania w stosunku do firm, którym powierzymy dane, zostaną rozszerzone. Ponadto na Administratorze będzie ciążył obowiązek udowodnienia wyrażenia zgody na przetwarzanie. Dlatego już teraz należy zwrócić szczególną uwagę na te aspekty przetwarzania danych.

GDPR CX

Nowe Rozporządzenie w zakresie ochrony danych osobowych (GDPR/RODO) wymaga, aby system został zaprojektowany adekwatnie do ryzyka związanego z przetwarzaniem danych osobowych. Aby sprostać wymaganiom jednym z elementów Audytu przygotowującego do wdrożenia RODO powinna być weryfikacja posiadanych systemów w tym aplikacji w kierunku podatności mogących mieć wpływ na wyciek danych osobowych.

Trzeba również pamiętać, iż Rozporządzenie wymaga, aby środowisko było w sposób ciągły poddawane testom na podatności.
W celu wykonania analizy podatności i zagrożeń aplikacji, dla których posiadamy prawa autorskie, możemy skorzystać z rozwiązań pozwalających na wykonanie statycznej analizy kodu źródłowego. Wskażą nam one miejsca gdzie aplikacja jest napisana w sposób niezgodny ze standardami bezpieczeństwa. Rozwiązania te określą nam luki oraz zagrożenia wraz z możliwością ich poprawy. Analizę taką należy wykonywać w każdym momencie, gdy wprowadzamy zmiany do aplikacji oraz za każdym razem, gdy pojawia się nowa wersja oprogramowania, którym dokonujemy statycznej analizy kodu, ponieważ wraz z nową wersją implementowane są nowo poznane podatności.

W przypadku, gdy aplikacja jest dostarczana przez dostawcę zewnętrznego i nie posiadamy praw autorskich do kodu możemy żądać raportu ze statycznej analizy kodu źródłowego przez dostawcę. Raport taki powinien być udostępniony zarówno na etapie pierwszego audytu jak i później okresowo w trakcie użytkowania aplikacji.

W fazie wyboru aplikacji należy zadbać o to, aby software house, który ma dostarczyć dla nas aplikacje wytwarzał je w środowisku Secure-SDLC. Takie podejście gwarantować powinno zaimplementowanie wymagań GDPR związanych z privacy/secure by design po stronie software house’u i weryfikację jakości kodu aplikacji pod kątem bezpieczeństwa, właściwe zarządzanie zmianą oraz możliwość reagowania na nowo wykryte podatności.

Z jakich rozwiązań korzystać dla procesu statycznej analizy kodu ?

Na pewno powinny być to rozwiązania komercyjne, dzięki którym jesteśmy wstanie w razie nieszczęśliwego zdarzenia udowodnić, iż dopełniliśmy należytej staranności w procesie wytwarzania czy odbioru aplikacji. Rozwiązanie ma wspierać odpowiednie, uznane standardy bezpieczeństwa OWASP TOP-10, SANS-25, czy PCI-DSS dla aplikacji mających dostęp do systemów transakcyjnych. Producent powinien jak najczęściej udostępniać nowe wersje oprogramowania, biorąc pod uwagę jak często pojawiają się informacje o nowych podatnościach. Wydaje się, iż niezbędne minimum to update cztery razy do roku.

Jeżeli będziemy realizować statyczną analizę kodu źródłowego we własnym zakresie to rozwiązanie musi być dla nas jak najbardziej przyjazne, nie powinno wymagać dużego nakładu pracy na konfigurację, ma dawać możliwość szybkiego i łatwego przeglądu znalezionych podatności oraz umożliwiać testy inkrementalne tak, aby skrócić czas oczekiwania na wynik. Ponadto musimy mieć możliwość konfiguracji naszych wymagań biznesowych względem aplikacji takich jak ograniczanie liczby danych przetwarzanych w aplikacji.

Pamiętać należy, że mamy prawo umieścić odpowiednie zapisy w procesie zakupowym, tak, aby na etapie procesu zakupowego odpowiednimi zapisami w umowie zagwarantować sobie, że wykorzystywane oprogramowanie będzie pozbawione podatności i możliwość wycieku danych z aplikacji. Dostarczenie aplikacji jest swego rodzaju outsourcingiem.

Podsumowując mamy obowiązek:

  1. w architekturze IT w procesie dostarczania aplikacji uwzględnić statyczną analizę kodu źródłowego;
  2. dokonać przeglądu umów z zewnętrznymi software house’mi i umieścić w nich stosowne zapisy;
  3. testować okresowo aplikacje do których posiadamy kody źródłowe;
  4. wymagać dostarczenia stosownych raportów od zewnętrznych dostawców.

Monitoring w szkołach

W kręgu zainteresowań  Generalnego Inspektora Ochrony Danych Osobowych oraz Ministerstwa Edukacji Narodowej znalazła się kwestia zasad prowadzenia monitoringu na terenie szkół. Temat ten jest szczególnie nośny ze względu na brak szczegółowych uregulowań dot. prowadzenia monitoringu na poziomie ustawowym oraz zbliżającym się wejście w życie RODO, które kładzie duży nacisk na kwestie prywatności a także wykonywanie obowiązku informacyjnego wobec podmiotu danych.

Wydaje się, że użytecznym będzie przedstawienie zaleceń GIODO w formie instrukcyjnej, ułatwiającej ich wprowadzenie w życie przez administratorów danych osobowych w szkołach.

Administratorem  Danych przetwarzanych w ramach monitoringu jest Szkoła, a reprezentujący ją Dyrektor Szkoły odpowiada  za prawidłowość przetwarzania danych uczniów i ich opiekunów, nauczycieli i innych osób przebywających na terenie szkoły. Dane przetwarzane są na podstawie art. 23 ust. pkt. 5 ustawy o ochronie danych osobowych. Zbiór danych zawierający dane pochodzące z monitoringu, podlega obowiązkowi rejestracji w rejestrze prowadzonym przez GIODO, lub przez ABI, w przypadku jego powołania.

W stosunku do osób przebywających w strefie monitorowanej, należy spełnić obowiązek  informacyjny.  Informacja powinna być widoczna, czytelna i umieszczona w strefie objętym monitoringiem, np. na obrzeżu strefy tak, aby była  widoczna przed wejściem w strefę monitoringu.

Komunikat powinien zawierać następujące  informacje:

  • kto prowadzi monitoring (nazwa szkoły),
  • w jakim celu (np. ochrony osób i mienia),
  • o obszarze monitoringu (dokładne wskazanie obszaru),
  • o możliwości uzyskania dokładniejszych informacji o monitoringu np. : numer telefonu , adres poczty e-mail, czy adres strony internetowej szkoły.

Piktogramy mogą być traktowane jako informacja uzupełniająca, a nie jako podstawowy sposób informowania o monitoringu.

Prowadzenie monitoringu oraz jego zakres powinien być konsultowany ze środowiskiem szkoły. Warto rozważyć również wprowadzenie  Regulaminu Monitoringu zatwierdzonego przez Dyrektora Szkoły  i sygnowanego przez Radę Rodziców.

Monitoring instaluje się w miejscach , gdzie istnieje duże prawdopodobieństwo zajścia incydentów,  których równocześnie nie można objąć inną formą nadzoru. Monitoring nie może jednak obejmować obszarów przebieralni, szatni, toalet, natrysków czy łazienek. Nie powinien również obejmować  ekranów komputerów pracowników szkoły. Nie powinien być też stosowany do oceny pracy pracowników szkoły.

Co ciekawe, zgodnie z opinią GIODO powinno być zabronione instalowanie atrap kamer.

GIODO  stoi na stanowisku, że okres przechowywania nagrań nie powinien być dłuższy niż kilka dni. Okres ten jednak może być zbyt krótki, np. w sytuacji, gdy zdarzenie wystąpiło w piątek rano, to zgłoszeniu incydentu w poniedziałek popołudniu powoduje brak możliwości odtworzenia nagrania ze zdarzenia. Wydaje się, że okres retencji danych powinien być określony indywidualnie i wahać się w przedziale 7-14 dni. Wydłużenie okresu retencji należy wziąć pod uwagę, kiedy strefą monitoringu objęte są ogólnodostępne szkolne obiekty sportowe, czynne również w okresie ferii czy wakacji. Należy pamiętać, że wydłużenie czasu retencji powinno mieć racjonalne uzasadnienie.

Stosując monitoring, administrator powinien pamiętać o wydaniu upoważnień dla osób mających dostęp do systemu monitoringu, prowadzeniu ewidencji upoważnień, zabezpieczeniu urządzeń nagrywających przed dostępem osób nieupoważnionych (np. poprzez hasło do systemu i/lub fizyczne ograniczenie dostępu do pomieszczenia gdzie zlokalizowane jest urządzenie nagrywające). Jeśli do obsługi monitoringu angażujemy podmioty zewnętrzne, należy z nimi zawrzeć umowę powierzenia przetwarzania danych osobowych.

W opinii GIODO, stosowanie monitoringu w szkołach powinno być ograniczone do niezbędnego minimum – jedynie w sytuacjach, kiedy nie ma innych możliwości zapewnienia bezpieczeństwa, adekwatnie do celu jego zastosowania,  przy akceptacji całego środowiska związanego ze szkołą.

Ocena skutków dla ochrony danych (DPIA)

Ocena skutków przetwarzania stanowi nowe podejście do procesu przetwarzania danych osobowych. Dotychczasowe podejście oparte było o checklistę, na podstawie której dokonywano oceny, czy dany administrator danych spełnia wymogi prawne, czy też nie. W ujęciu RODO jest to podejście oparte na analizie ryzyka. Administratorzy danych już na etapie projektowania procesu przetwarzania danych będą musieli dokonać analizy danego procesu w celu określenia wszystkich zagrożeń, ryzyk z nim związanych i zastosowania adekwatnych zabezpieczeń organizacyjnych, fizycznych i technicznych.

DPIA jest narzędziem, które ma pomóc administratorowi danych w zapewnieniu zgodności przetwarzania z rozporządzeniem oraz stanowi podstawę do zapewnienia rozliczalności. Przeprowadzenie tego procesu będzie wymagało zaangażowania zarówno ze strony Zarządu,
jak i DPO oraz ekspertów zewnętrznych.

Ocenę skutków dla ochrony danych należy przeprowadzić wówczas kiedy:

  • istnieje duże prawdopodobieństwo wysokiego ryzyka dla praw lub wolności osób fizycznych (art. 35 ust. 1 RODO),
  • gdy operacja przetwarzania znajduje się w wykazie operacji objętych obowiązkiem DPIA, prowadzonym przez organ nadzorczy (art. 35 ust. 4 RODO),
  • w przypadkach wskazanych w RODO (art. 35 ust. 3).

Przeprowadzenie takiej oceny nie jest obowiązkowe, jeśli:

  • nie istnieje duże prawdopodobieństwo wysokiego ryzyka dla praw lub wolności osób fizycznych,
  • gdy operacja przetwarzania znajduje się w wykazie operacji niepodlegających DPIA (art. 35 ust. 5 RODO),
  • gdy przetwarzanie ma podstawę prawną w prawie UE lub państwa członkowskiego,
  • gdy charakter, kontekst i cele przetwarzania są bardzo podobne do przetwarzania, dla którego została dokonana ocena skutków przetwarzania (DPIA).

Obowiązek dokonania DPIA dotyczy operacji przetwarzania rozpoczętych po 25 maja 2018 r., ale również dla procesów przetwarzania, które rozpoczęły się przed tą datą i mają swój ciąg dalszy po tym terminie. Natomiast dla operacji przetwarzania, które zakończyły się przed
25 maja 2018 r. nie stosujemy DPIA.

Za przeprowadzenie DPIA odpowiedzialny jest administrator danych. Może konsultować się z inspektorem ochrony danych osobowych, jeśli takowy został wyznaczony. Taka konsultacja, jak i decyzja podjęta na jej podstawie, powinny zostać odnotowane w DPIA. W przypadku kiedy przetwarzanie całkowicie lub częściowo dokonywane jest przez podmiot przetwarzający, wówczas podmiot ten powinien uczestniczyć w ocenie skutków dla ochrony danych.

RODO określa jaki powinien być minimalny zakres DPIA:

  • opis planowanych operacji przetwarzania;
  • opis celów przetwarzania;
  • ocena niezbędności i proporcjonalności operacji;
  • ocena ryzyka naruszenia praw lub wolności podmiotów danych;
  • działania do podjęcia w celu minimalizacji ryzyk.

Wyniki przeprowadzonej oceny muszą być konsultowane z organem nadzorczym kiedy ryzyko szczątkowe jest nadal wysokie, mimo zastosowanych środków lub gdy prawo państwa członkowskiego wymaga, aby administratorzy konsultowali się z organem nadzorczym.

Motywy 161-173

(161) Do celów wyrażenia zgody na udział w badaniach naukowych podczas prób klinicznych zastosowanie powinny mieć stosowne przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 536/2014 (15).
(162) Jeżeli dane osobowe są przetwarzane do celów statystycznych, niniejsze rozporządzenie powinno mieć zastosowanie do takiego przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinny – w granicach niniejszego rozporządzenia – określać treść statystyczną, kontrolę dostępu, warunki przetwarzania danych osobowych do celów statystycznych oraz odpowiednie środki mające chronić prawa i wolności osoby, której dane dotyczą, oraz gwarantować poufność statystyczną. Wyrażenie „cele statystyczne” oznacza każdą operację zbierania i przetwarzania danych osobowych niezbędnych do badań statystycznych lub do opracowywania wyników statystycznych. Z kolei wyniki statystyczne mogą następnie służyć do dalszych celów, m.in. do celów badań naukowych. Wyrażenie „cel statystyczny” sugeruje, że wynikiem przetwarzania do celów statystycznych nie są dane osobowe, lecz dane zbiorcze, i że wynik ten lub te dane osobowe nie służą za podstawę środków czy decyzji dotyczących konkretnych osób fizycznych.
(163) Należy chronić informacje poufne, które organy statystyczne Unii i państw członkowskich gromadzą do celów opracowywania oficjalnych statystyk europejskich i krajowych. Statystyki europejskie należy projektować, tworzyć i rozpowszechniać zgodnie z zasadami statystycznymi przewidzianymi w art. 338 ust. 2 TFUE, przy czym statystyki krajowe powinny być także zgodne z prawem państwa członkowskiego. Dalsze szczegółowe informacje o statystycznej poufności statystyki europejskiej zawiera rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 223/2009 (16).
(164) W odniesieniu do uprawnień organów nadzorczych do uzyskania od administratora lub podmiotu przetwarzającego dostępu do danych osobowych oraz do pomieszczeń, państwa członkowskie mogą – w granicach niniejszego rozporządzenia – przyjąć przepisy szczegółowe mające chronić obowiązek zachowania tajemnicy zawodowej lub innej równoważnej tajemnicy, o ile jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z obowiązkiem zachowania tajemnicy zawodowej. Pozostaje to bez uszczerbku dla istniejących obowiązków państw członkowskich, by tam, gdzie tego wymaga prawo Unii, przyjąć przepisy o tajemnicy zawodowej.
(165) Niniejsze rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu – jak uznano w art. 17 TFUE.
(166) Aby spełnić cele niniejszego rozporządzenia, mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności prawo do ochrony danych osobowych, oraz zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE. Akty delegowane powinny zostać w szczególności przyjęte w odniesieniu do kryteriów i wymogów obowiązujących w mechanizmach certyfikacji, w odniesieniu do informacji przedstawianych za pomocą standardowych znaków graficznych oraz w odniesieniu do procedur ustanawiania takich znaków. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła odpowiednie konsultacje, w tym na szczeblu eksperckim. W trakcie przygotowywania i opracowywania aktów delegowanych Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie.
(167) Aby zapewnić jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze, tak jak to przewiduje niniejsze rozporządzenie. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011. W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
(168) Procedurę sprawdzającą należy stosować do przyjmowania aktów wykonawczych w odniesieniu do: standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi oraz między podmiotami przetwarzającymi; kodeksów postępowania; technicznych standardów i mechanizmów certyfikacji; odpowiedniego stopnia ochrony zapewnianego przez państwo trzecie, terytorium lub określony sektor w tym państwie trzecim lub organizację międzynarodową; standardowych klauzul ochrony danych; formatów i procedur wymiany informacji drogą elektroniczną między administratorami, pomiotami przetwarzającymi i organami nadzorczymi na potrzeby wiążących reguł korporacyjnych; wzajemnej pomocy; oraz uzgodnień w sprawie wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych.
(169) Komisja powinna przyjmować akty wykonawcze mające natychmiastowe zastosowanie, jeżeli z dostępnych dowodów wynika, że państwo trzecie, terytorium lub określony sektor w tym państwie trzecim lub organizacja międzynarodowa nie zapewniają odpowiedniego stopnia ochrony, i jeżeli zachodzi szczególnie pilna potrzeba działania.
(170) Ponieważ celu niniejszego rozporządzenia, mianowicie zapewnienia równoważnego stopnia ochrony osób fizycznych i swobodnego przepływu danych osobowych w całej Unii, nie mogą w wystarczającym stopniu osiągnąć państwa członkowskie, natomiast z uwagi na zakres i skutki proponowanego działania możliwe jest lepsze jego osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej (TUE). Zgodnie z zasadą proporcjonalności określoną w tym samym artykule niniejsze rozporządzenie nie wykracza poza zakres niezbędny do osiągnięcia tego celu.
(171) Niniejszym rozporządzeniem należy uchylić dyrektywę 95/46/WE. Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.
(172) Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 przeprowadzono konsultacje z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 7 marca 2012 r. (17).
(173) Niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich tych kwestii dotyczących ochrony podstawowych praw i wolności w związku z przetwarzaniem danych osobowych, które nie podlegają szczególnym obowiązkom mającym ten sam cel określonym w dyrektywie Parlamentu Europejskiego i Rady 2002/58/WE (18), w tym obowiązkom nałożonym na administratora oraz prawom osób fizycznych. Aby doprecyzować związek między niniejszym rozporządzeniem a dyrektywą 2002/58/WE, dyrektywę tę należy odpowiednio zmienić. Gdy niniejsze rozporządzenie zostanie przyjęte, dyrektywa 2002/58/WE powinna zostać poddana przeglądowi, w szczególności w celu zapewnienia jej spójności z niniejszym rozporządzeniem,

Motywy 151-165

(151) Systemy prawne Danii i Estonii nie przewidują administracyjnych kar pieniężnych określonych w niniejszym rozporządzeniu. Przepisy o administracyjnych karach pieniężnych można stosować tak, że w Danii właściwy sąd krajowy będzie nakładać grzywnę jako sankcję karną, a w Estonii organ nadzorczy będzie nakładać grzywnę w ramach postępowania o wykroczenie, pod warunkiem że takie stosowanie przepisów w tych państwach członkowskich będzie mieć skutek równoważny administracyjnej karze pieniężnej nakładanej przez organ nadzorczy. Dlatego właściwy sąd krajowy powinien brać pod uwagę zalecenie organu nadzorczego, który postuluje nałożenie grzywny. Nakładane grzywny muszą być w każdym przypadku skuteczne, proporcjonalne i odstraszające.
(152) W sytuacjach, w których niniejsze rozporządzenie nie harmonizuje sankcji administracyjnych, lub w razie potrzeby w innych przypadkach, na przykład w razie poważnego naruszenia niniejszego rozporządzenia, państwa członkowskie powinny wdrożyć system przewidujący skuteczne, proporcjonalne i odstraszające sankcje. Charakter takich sankcji (karny lub administracyjny) powinno określać prawo państwa członkowskiego.
(153) Prawo państw członkowskich powinno godzić przepisy regulujące wolność wypowiedzi i informacji, w tym wypowiedzi dziennikarskiej, akademickiej, artystycznej lub literackiej, z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Przetwarzanie danych osobowych jedynie do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej powinno podlegać wyjątkom lub odstępstwom od niektórych przepisów niniejszego rozporządzenia, jeżeli jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi i informacji, przewidzianymi w art. 11 Karty praw podstawowych. Powinno mieć to zastosowanie w szczególności do przetwarzania danych osobowych w dziedzinie audiowizualnej oraz w archiwach i bibliotekach prasowych. Państwa członkowskie powinny więc przyjąć akty prawne określające odstępstwa i wyjątki niezbędne do zapewnienia równowagi między tymi prawami podstawowymi. Państwa członkowskie powinny przyjąć takie odstępstwa i wyjątki w odniesieniu do zasad ogólnych, praw przysługujących osobie, której dane dotyczą, administratora i podmiotu przetwarzającego, przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, niezależnych organów nadzorczych, współpracy i spójności oraz szczególnych sytuacji przetwarzania danych. Jeżeli odstępstwa i wyjątki różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega administrator. Aby uwzględnić, jak ważna dla każdego demokratycznego społeczeństwa jest wolność wypowiedzi, pojęcia dotyczące tej wolności, takie jak dziennikarstwo, należy interpretować szeroko.
(154) Niniejsze rozporządzenie pozwala uwzględnić przy stosowaniu jego przepisów zasadę publicznego dostępu do dokumentów urzędowych. Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny. Organ publiczny lub podmiot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu organ ten lub podmiot podlegają. Przepisy takie powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych, i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie niniejszego rozporządzenia. Wzmianka o organach i podmiotach publicznych powinna w tym kontekście dotyczyć wszystkich organów lub innych podmiotów objętych prawem państwa członkowskiego dotyczącym publicznego dostępu do dokumentów. Dyrektywa Parlamentu Europejskiego i Rady 2003/98/WE (14) nie narusza ani w żaden sposób nie wpływa na stopień ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wynikający z przepisów prawa Unii i prawa państwa członkowskiego, a w szczególności nie zmienia obowiązków i praw przewidzianych w niniejszym rozporządzeniu. Dyrektywa ta nie powinna mieć zastosowania w szczególności do dokumentów, do których – w ramach systemów dostępu – dostęp jest wykluczony lub ograniczony z powodu ochrony danych osobowych, ani do fragmentów dokumentów dostępnych w ramach tych systemów, ale zawierających dane osobowe, których ponowne wykorzystanie zostało określone w prawie jako niezgodne z prawem o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych.
(155) W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.
(156) Przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych powinno podlegać odpowiednim zabezpieczeniom praw i wolności osoby, której dane dotyczą, zgodnie z niniejszym rozporządzeniem. Zabezpieczenia te powinny polegać na wdrożeniu środków technicznych i organizacyjnych zapewniających w szczególności poszanowanie zasady minimalizacji danych. Dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych można prowadzić, jeżeli administrator ocenił, czy celów tych nie można osiągnąć przetwarzaniem danych osobowych, które albo od początku albo już dłużej nie pozwalają identyfikować osób, których dane dotyczą, pod warunkiem że istnieją odpowiednie zabezpieczenia (takie jak pseudonimizacja danych osobowych). Państwa członkowskie powinny ustanowić odpowiednie zabezpieczenia w odniesieniu do przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Państwa członkowskie powinny mieć możliwość ustanowienia– na określonych warunkach i z zastrzeżeniem odpowiednich zabezpieczeń dla osób, których dane dotyczą – szczegółowych uregulowań i wyjątków od wymogu udzielenia informacji oraz prawa do sprostowania lub usuwania danych osobowych, do „bycia zapomnianym”, do ograniczenia przetwarzania i do przenoszenia danych oraz do sprzeciwu, gdy dane osobowe są przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Takie warunki i zabezpieczenia mogą skutkować szczegółowymi procedurami wykonywania tych praw przez osoby, których dane dotyczą – jeżeli jest to właściwe w świetle celów, którym służy konkretne przetwarzanie – oraz środkami technicznymi i organizacyjnymi mającymi ograniczyć przetwarzanie danych osobowych w myśl zasad proporcjonalności i konieczności. Przetwarzanie danych osobowych do celów naukowych powinno też być zgodne z innymi odpowiednimi przepisami, takimi jak przepisy o próbach klinicznych.
(157) Łącząc ze sobą informacje z rejestrów, naukowcy mogą uzyskać nową, wartościową wiedzę na przykład o częstych chorobach, takich jak choroba układu krążenia, rak czy depresja. Korzystając z rejestrów, można uściślić wyniki badań naukowych, gdyż będą się one opierać na większej próbie. W naukach społecznych badania oparte na rejestrach pozwalają naukowcom uzyskać kluczową wiedzę o długoterminowych współzależnościach wielu czynników społecznych, na przykład bezrobocia czy edukacji z innymi czynnikami bytowymi. Wyniki badań uzyskane z rejestrów dostarczają solidnej, dobrej jakościowo wiedzy, która może posłużyć do opracowywania i realizowania polityki opartej na wiedzy, podnieść jakość życia wielu osób, a także zwiększyć skuteczność usług społecznych itp. Dla ułatwienia badań naukowych dopuszcza się przetwarzanie danych osobowych do celów badań naukowych z zastrzeżeniem odpowiednich warunków i zabezpieczeń przewidzianych w prawie Unii lub w prawie państwa członkowskiego.
(158) Jeżeli dane osobowe są przetwarzane do celów archiwalnych, niniejsze rozporządzenie powinno mieć zastosowanie także do takiego przetwarzania; należy jednak pamiętać, że niniejsze rozporządzenie nie powinno mieć zastosowania do danych osobowych osób zmarłych. Organy lub podmioty publiczne lub podmioty prywatne posiadające wpisy będące przedmiotem interesu publicznego powinny zgodnie z prawem Unii lub prawem państwa członkowskiego mieć prawny obowiązek nabywania, ochrony, oszacowywania, systematyzowania, opisywania, przekazywania, promowania, rozpowszechniania i udostępniania wpisów o trwałej wartości dla ogólnego interesu publicznego. Państwa członkowskie powinny także mieć możliwość zezwolenia na dalsze przetwarzanie danych osobowych do celów archiwalnych, na przykład z myślą o dostarczeniu konkretnych informacji o postawie politycznej w dawnych systemach państw totalitarnych, o przypadkach ludobójstwa, zbrodniach przeciwko ludzkości (zwłaszcza holokauście) czy zbrodniach wojennych.
(159) Jeżeli dane osobowe są przetwarzane do celów badań naukowych, niniejsze rozporządzenie powinno mieć zastosowanie także do takiego przetwarzania. W niniejszym rozporządzeniu przetwarzanie danych osobowych do celów badań naukowych należy interpretować szeroko, obejmując tym pojęciem na przykład rozwój technologiczny i demonstrację, badania podstawowe, badania stosowane oraz badania finansowane ze środków prywatnych. Ponadto należy uwzględnić cel Unii określony w art. 179 ust. 1 TFUE, którym jest utworzenie europejskiej przestrzeni badawczej. Wyrażenie „do celów badań naukowych” powinno obejmować także badania prowadzone w interesie publicznym w dziedzinie zdrowia publicznego. Z uwagi na specyfikę przetwarzania danych osobowych do celów badań naukowych zastosowanie powinny mieć specjalne warunki, w szczególności w odniesieniu do publikacji lub innego ujawniania danych osobowych w kontekście celów badań naukowych. Jeżeli wynik badań naukowych, w szczególności w kontekście zdrowotnym, uzasadnia dalsze środki w interesie osoby, której dane dotyczą, do środków tych powinny mieć zastosowanie przepisy ogólne niniejszego rozporządzenia.
(160) Jeżeli dane osobowe są przetwarzane w celu badań historycznych, niniejsze rozporządzenie powinno mieć zastosowanie także do takiego przetwarzania. Powinno to dotyczyć m.in. badań historycznych i badań do celów genealogicznych; należy jednak pamiętać, że niniejsze rozporządzenie nie powinno mieć zastosowania do osób zmarłych.
(161) Do celów wyrażenia zgody na udział w badaniach naukowych podczas prób klinicznych zastosowanie powinny mieć stosowne przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 536/2014 (15).
(162) Jeżeli dane osobowe są przetwarzane do celów statystycznych, niniejsze rozporządzenie powinno mieć zastosowanie do takiego przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinny – w granicach niniejszego rozporządzenia – określać treść statystyczną, kontrolę dostępu, warunki przetwarzania danych osobowych do celów statystycznych oraz odpowiednie środki mające chronić prawa i wolności osoby, której dane dotyczą, oraz gwarantować poufność statystyczną. Wyrażenie „cele statystyczne” oznacza każdą operację zbierania i przetwarzania danych osobowych niezbędnych do badań statystycznych lub do opracowywania wyników statystycznych. Z kolei wyniki statystyczne mogą następnie służyć do dalszych celów, m.in. do celów badań naukowych. Wyrażenie „cel statystyczny” sugeruje, że wynikiem przetwarzania do celów statystycznych nie są dane osobowe, lecz dane zbiorcze, i że wynik ten lub te dane osobowe nie służą za podstawę środków czy decyzji dotyczących konkretnych osób fizycznych.
(163) Należy chronić informacje poufne, które organy statystyczne Unii i państw członkowskich gromadzą do celów opracowywania oficjalnych statystyk europejskich i krajowych. Statystyki europejskie należy projektować, tworzyć i rozpowszechniać zgodnie z zasadami statystycznymi przewidzianymi w art. 338 ust. 2 TFUE, przy czym statystyki krajowe powinny być także zgodne z prawem państwa członkowskiego. Dalsze szczegółowe informacje o statystycznej poufności statystyki europejskiej zawiera rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 223/2009 (16).
(164) W odniesieniu do uprawnień organów nadzorczych do uzyskania od administratora lub podmiotu przetwarzającego dostępu do danych osobowych oraz do pomieszczeń, państwa członkowskie mogą – w granicach niniejszego rozporządzenia – przyjąć przepisy szczegółowe mające chronić obowiązek zachowania tajemnicy zawodowej lub innej równoważnej tajemnicy, o ile jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z obowiązkiem zachowania tajemnicy zawodowej. Pozostaje to bez uszczerbku dla istniejących obowiązków państw członkowskich, by tam, gdzie tego wymaga prawo Unii, przyjąć przepisy o tajemnicy zawodowej.
(165) Niniejsze rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu – jak uznano w art. 17 TFUE.

Motywy 136-150

(136) W ramach stosowania mechanizmu spójności Europejska Rada Ochrony Danych powinna w określonym terminie wydawać opinie, jeżeli tak postanowią większością głosów jej członkowie lub jeżeli zwróci się do niej z takim wnioskiem organ nadzorczy, którego sprawa dotyczy, lub Komisja. Europejska Rada Ochrony Danych powinna być także umocowana do przyjmowania prawnie wiążących decyzji w razie sporów między organami nadzorczymi. W tym celu powinna wydawać, zasadniczo większością dwóch trzecich głosów swoich członków, prawnie wiążące decyzje w jasno określonych przypadkach, gdy wśród organów nadzorczych panują sprzeczne opinie – w szczególności w ramach mechanizmu współpracy między wiodącym organem nadzorczym a organami nadzorczymi, których sprawa dotyczy – co do meritum sprawy, w szczególności tego, czy doszło do naruszenia niniejszego rozporządzenia.
(137) Może wystąpić pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, w szczególności gdy istnieje ryzyko, że wyegzekwowanie prawa przysługującego osobie, której dane dotyczą, może być znacznie utrudnione. Organ nadzorczy powinien w związku z tym mieć możliwość przyjmowania na swoim terytorium należycie uzasadnionych środków tymczasowych o określonym okresie obowiązywania, który nie powinien przekraczać trzech miesięcy.
(138) Jeżeli zastosowanie takiego mechanizmu jest obowiązkowe, to od jego zastosowania powinna zależeć zgodność z prawem środka, którym organ nadzorczy chce wywołać skutki prawne. W innych przypadkach o znaczeniu transgranicznym należy stosować mechanizm współpracy między wiodącym organem nadzorczym a organami nadzorczymi, których sprawa dotyczy, oraz można świadczyć wzajemną pomoc i prowadzić wspólne operacje między organami nadzorczymi, których sprawa dotyczy, na zasadzie dwustronnej lub wielostronnej bez uruchamiania mechanizmu spójności.
(139) Aby wspierać spójne stosowanie niniejszego rozporządzenia, należy utworzyć – jako niezależny organ Unii – Europejską Radę Ochrony Danych. Rada ta, by móc realizować swoje cele, powinna mieć osobowość prawną. Europejską Radę Ochrony Danych powinien reprezentować jej przewodniczący. Powinna ona zastąpić Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. Komisja powinna uczestniczyć bez prawa głosu w działaniach Europejskiej Rady Ochrony Danych, a Europejski Inspektor Ochrony Danych – bez prawa głosu w niektórych sprawach. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania niniejszego rozporządzenia w całej Unii, m.in. poprzez doradzanie Komisji – w szczególności w sprawie stopnia ochrony w państwach trzecich lub organizacjach międzynarodowych – i propagowanie współpracy organów nadzorczych w całej Unii. Wypełniając swoje zadania, Europejska Rada Ochrony Danych powinna działać w sposób niezależny.
(140) Europejską Radę Ochrony Danych powinien wspierać sekretariat, zapewniany przez Europejskiego Inspektora Ochrony Danych. Personel Europejskiego Inspektora Ochrony Danych wykonujący zadania, które niniejsze rozporządzenie powierza Europejskiej Radzie Ochrony Danych, powinien wykonywać swoje zadania wyłącznie pod kierunkiem przewodniczącego Europejskiej Rady Ochrony Danych i jemu podlegać.
(141) Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem, zgodnie z art. 47 Karty praw podstawowych, w szczególności w państwie członkowskim, w którym ma miejsce zwykłego pobytu, a jeżeli uzna, że jej prawa wynikające z niniejszego rozporządzenia są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala, lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone – z zastrzeżeniem kontroli sądowej – w zakresie odpowiadającym konkretnej sprawie. Organ nadzorczy powinien w rozsądnym terminie poinformować osobę, której dane dotyczą, o postępach i wynikach rozpatrywania skargi. Jeżeli dana sprawa wymaga dalszego postępowania wyjaśniającego lub koordynacji działań z innym organem nadzorczym, osoba, której dane dotyczą, powinna zostać o tym uprzednio poinformowana. Aby ułatwić wnoszenie skarg, każdy organ nadzorczy powinien zastosować takie środki jak udostępnienie formularza skargi, który można wypełnić także elektronicznie, przy czym nie należy wykluczać innych sposobów komunikacji.
(142) Jeżeli osoba, której dane dotyczą, uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć ona prawo zlecić podmiotowi, organizacji lub zrzeszeniu – które nie mają charakteru zarobkowego, zostały ustanowione zgodnie z prawem państwa członkowskiego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych – wniesienie skargi w swoim imieniu do organu nadzorczego, wykonanie prawa do środka ochrony prawnej przed sądem w imieniu osób, których dane dotyczą lub – o ile taką możliwość przewiduje prawo państwa członkowskiego – żądanie odszkodowania w imieniu osób, których dane dotyczą. Państwo członkowskie może wymagać, by taki podmiot, taka organizacja lub takie zrzeszenie niezależnie od zlecenia otrzymanego od osoby, której dane dotyczą, miały prawo wniesienia w tym państwie członkowskim skargi oraz miały prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli mają powody, by uznać, że w wyniku przetwarzania danych osobowych w sposób naruszający niniejsze rozporządzenie naruszone zostały prawa osoby, której dane dotyczą. Takiemu podmiotowi, takiej organizacji lub takiemu zrzeszeniu nie może przysługiwać prawo do występowania o odszkodowanie w imieniu osoby, której dane dotyczą, jeżeli nie zostały do tego umocowane przez tę osobę.
(143) Każda osoba fizyczna lub prawna ma prawo wnieść do Trybunału Sprawiedliwości skargę o unieważnienie decyzji Europejskiej Rady Ochrony Danych na warunkach przewidzianych w art. 263 TFUE. Organy nadzorcze, których sprawa dotyczy, chcące takie decyzje zaskarżyć – jako adresaci takich decyzji – muszą wnieść skargę w terminie dwóch miesięcy od notyfikowania im tych decyzji, zgodnie art. 263 TFUE. Jeżeli decyzje Europejskiej Rady Ochrony Danych bezpośrednio i indywidualnie dotyczą administratora, podmiotu przetwarzającego lub skarżącego, ten ostatni może wnieść skargę o unieważnienie tych decyzji w terminie dwóch miesięcy od ich publikacji na stronie internetowej Europejskiej Rady Ochrony Danych, zgodnie z art. 263 TFUE. Z zastrzeżeniem prawa wynikającego z art. 263 TFUE, każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka ochrony prawnej przed właściwym sądem krajowym wobec decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć w szczególności wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg. Prawo do skutecznego środka ochrony prawnej przed sądem nie dotyczy jednak niewiążących prawnie środków przyjętych przez organy nadzorcze, takich jak wydawane przez nie opinie czy zalecenia. Skarga przeciwko organowi nadzorczemu powinna być wnoszona do sądu państwa członkowskiego, w którym organ nadzorczy ma siedzibę, a postępowanie powinno się toczyć zgodnie z prawem tego państwa członkowskiego. Sądy te powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy.
Jeżeli organ nadzorczy odrzuci lub oddali skargę, skarżący może wnieść odwołanie do sądu tego samego państwa członkowskiego. W kontekście środków ochrony prawnej przed sądem dotyczących stosowania niniejszego rozporządzenia sądy krajowe uznające, że decyzja w tej kwestii jest niezbędna do wydania wyroku, mogą, a w przypadku przewidzianym w art. 267 TFUE – muszą, zwrócić się do Trybunału Sprawiedliwości o orzeczenie w trybie prejudycjalnym w sprawie wykładni prawa Unii, w tym niniejszego rozporządzenia. Ponadto jeżeli decyzja organu nadzorczego wdrażająca decyzję Europejskiej Rady Ochrony Danych zostanie zaskarżona przed sądem krajowym, a przedmiotem będzie ważność decyzji Europejskiej Rady Ochrony Danych, sąd krajowy nie jest uprawniony do stwierdzenia nieważności decyzji Europejskiej Rady Ochrony Danych, ale jeżeli uważa tę decyzję za nieważną, musi przekazać sprawę jej ważności Trybunałowi Sprawiedliwości zgodnie z art. 267 TFUE i jego wykładnią dokonaną przez Trybunał Sprawiedliwości. Sąd krajowy nie może jednak przekazać Trybunałowi Sprawiedliwości sprawy ważności decyzji Europejskiej Rady Ochrony Danych na wniosek osoby fizycznej lub prawnej, która miała możliwość wnieść skargę o unieważnienie tej decyzji, w szczególności gdy decyzja ta bezpośrednio i indywidualnie jej dotyczyła, ale nie zrobiła tego w terminie przewidzianym w art. 263 TFUE.
(144) Jeżeli sąd, przed którym toczy się postępowanie przeciwko decyzji organu nadzorczego, ma powody przypuszczać, że przed sądem właściwym innego państwa członkowskiego wszczęto postępowanie w sprawie tego samego przetwarzania – na przykład w tym samym przedmiocie w związku z przetwarzaniem prowadzonym przez tego samego administratora lub przez ten sam podmiot przetwarzający lub odnośnie do tej samej przyczyny – powinien skontaktować się z tym sądem, aby potwierdzić, czy takie powiązane postępowanie się odbywa. Jeżeli przed sądem w innym państwie członkowskim toczy się powiązane postępowanie, każdy sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może zawiesić postępowanie lub może – na wniosek jednej ze stron – stwierdzić brak swojej jurysdykcji na rzecz sądu, przed którym jako pierwszym wszczęto postępowanie, jeżeli sąd ten ma jurysdykcję w danej sprawie, a jego prawo zezwala na połączenie takich powiązanych postępowań. Postępowania uznaje się za powiązane, jeżeli związek między nimi jest tak ścisły, że celowe jest ich łączne rozpatrzenie i rozstrzygnięcie, tak by uniknąć ryzyka zapadnięcia sprzecznych orzeczeń w odrębnych postępowaniach.
(145) W przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu skarżący powinien mieć możliwość wybrania, do którego sądu chce wnieść skargę: do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną, czy do sądu w państwie członkowskim, w którym osoba, której dane dotyczą, ma miejsce zamieszkania, o ile administrator nie jest organem publicznym państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych.
(146) Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenie obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. Jeżeli administratorzy lub podmioty przetwarzające uczestniczą w tym samym przetwarzaniu, każdy administrator lub podmiot przetwarzający powinien odpowiadać prawnie za całość szkody. Jeżeli jednak zostaną włączeni do jednego postępowania sądowego zgodnie z prawem państwa członkowskiego, odszkodowaniem można obarczyć każdego z administratorów i każdy z podmiotów przetwarzających stosownie do ich winy za szkodę wynikłą z przetwarzania, o ile osobie, której dane dotyczą, zapewnione zostanie pełne i skuteczne odszkodowanie za poniesioną szkodę. Każdy administrator lub podmiot przetwarzający, który wypłacił pełne odszkodowanie, może następnie dochodzić roszczeń regresowych wobec innych administratorów lub podmiotów przetwarzających uczestniczących w tym samym przetwarzaniu.
(147) Jeżeli niniejsze rozporządzenie przewiduje szczegółowe przepisy o jurysdykcji – w szczególności odnośnie do postępowań w zakresie środków ochrony prawnej przed sądem, w tym odszkodowania, przeciwko administratorowi lub podmiotowi przetwarzającemu –ogólne przepisy o jurysdykcji, takie jak rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1215/2012 (13), nie powinny naruszać stosowania takich szczegółowych przepisów.
(148) Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu.
(149) Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach. Sankcje karne mogą również obejmować pozbawienie zysków wynikających z naruszenia niniejszego rozporządzenia. Jednak nałożenie sankcji karnych za naruszenie takich krajowych przepisów oraz nałożenie sankcji administracyjnych nie powinno prowadzić do naruszenia zasady ne bis in idem, zgodnie z wykładnią Trybunału Sprawiedliwości.
(150) W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie niniejszego rozporządzenia każdy organ nadzorczy powinien być uprawniony do nakładania administracyjnych kar pieniężnych. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ nadzorczy powinien określać indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu zastosowania się do obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji. Jeżeli administracyjna kara pieniężna jest nakładana na przedsiębiorstwo, to „przedsiębiorstwo” należy do tych celów rozumieć zgodnie z art. 101 i 102 TFUE. Jeżeli administracyjna kara pieniężna jest nakładana na osobę niebędącą przedsiębiorstwem, organ nadzorczy, ustalając właściwą wysokość kary pieniężnej, powinien wziąć pod uwagę ogólny poziom dochodów w danym państwie członkowskim oraz sytuację ekonomiczną tej osoby. Aby wspierać spójne stosowanie administracyjnych kar pieniężnych, można także użyć mechanizmu spójności. Państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na stosowanie innych uprawnień organów nadzorczych ani innych sankcji na mocy niniejszego rozporządzenia.

Motywy 121-135

(121) Ogólne warunki pełnienia funkcji członka organu nadzorczego powinny zostać określone w prawie każdego państwa członkowskiego i powinny w szczególności zapewniać, by członków tego organu powoływał przy zastosowaniu procedury zapewniającej przejrzystość parlament, rząd lub głowa danego państwa członkowskiego – na wniosek rządu, członka rządu, parlamentu lub izby parlamentu – lub niezależny organ, któremu zadanie to powierzono w prawie państwa członkowskiego. Aby zapewnić niezależność organu nadzorczego, jego członek lub członkowie powinni działać uczciwie, powstrzymać się od wszelkich czynności niezgodnych ze swoimi obowiązkami i nie powinni podczas swojej kadencji podejmować żadnego zajęcia zarobkowego ani niezarobkowego niezgodnego z tymi obowiązkami. Organ nadzorczy powinien dysponować własnym personelem, który jest dobierany przez ten organ nadzorczy lub niezależny organ utworzony na mocy prawa państwa członkowskiego i powinien działać pod wyłącznym kierownictwem członka lub członków tego organu nadzorczego.
(122) Każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. Powinno to dotyczyć w szczególności przetwarzania w ramach działalności jednostki organizacyjnej administratora lub podmiotu przetwarzającego na terytorium tego państwa członkowskiego, przetwarzania danych osobowych przez organy publiczne lub podmioty prywatne działające w interesie publicznym, przetwarzania mającego wpływ na osoby, których dane dotyczą, na tym terytorium lub przetwarzania dokonywanego przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli zwracają się oni do osób, których dane dotyczą, mających miejsce zamieszkania na tym terytorium. Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych.
(123) Organy nadzorcze powinny monitorować stosowanie przepisów niniejszego rozporządzenia oraz przyczyniać się do jego spójnego stosowania w całej Unii, aby chronić osoby fizyczne w związku z przetwarzaniem ich danych osobowych oraz ułatwiać swobodny przepływ danych osobowych na rynku wewnętrznym. W tym celu organy nadzorcze powinny współpracować ze sobą oraz z Komisją bez konieczności zawierania przez państwa członkowskie umów o wzajemnej pomocy lub współpracy.
(124) Jeżeli przetwarzanie danych osobowych odbywa się w ramach działalności jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, a administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w więcej niż jednym państwie członkowskim lub jeżeli przetwarzanie, które odbywa się w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim, organem wiodącym powinien być organ nadzorczy głównej jednostki organizacyjnej administratora lub podmiotu przetwarzającego lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego. Powinien on współpracować z innymi organami, których sprawa dotyczy, z uwagi na to, że administrator lub podmiot przetwarzający mają jednostkę organizacyjną na terytorium ich państwa członkowskiego, że odnotowuje się znaczny wpływ na osoby, których dane dotyczą, mające miejsce zamieszkania na tym terytorium lub że wniesiono do tych organów skargę. Także w przypadkach, gdy skargę wniosła osoba, której dane dotyczą, niemająca miejsca zamieszkania w tym państwie członkowskim, organ nadzorczy, do którego wniesiono skargę, powinien być uznawany za organ nadzorczy, którego sprawa dotyczy. W ramach zadania, którym jest wydawanie wytycznych co do stosowania niniejszego rozporządzenia, Europejska Rada Ochrony Danych powinna mieć możliwość wydawania wytycznych w szczególności w sprawie kryteriów, które należy uwzględnić, by stwierdzić, czy dane przetwarzanie znacznie wpływa na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim, oraz w sprawie tego, czym jest mający znaczenie dla sprawy i uzasadniony sprzeciw.
(125) Wiodący organ nadzorczy powinien być właściwy do przyjmowania wiążących decyzji co do środków wdrażających uprawnienia powierzone mu zgodnie z niniejszym rozporządzeniem. Organ nadzorczy sprawujący funkcję organu wiodącego powinien ściśle angażować w proces decyzyjny organy nadzorcze, których sprawa dotyczy, i powinien go z nimi koordynować. Jeżeli na mocy decyzji skarga osoby, której dane dotyczą, ma zostać w całości lub w części odrzucona, decyzję tę powinien przyjmować organ nadzorczy, do którego wniesiono skargę.
(126) Decyzja powinna być uzgadniana wspólnie przez wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, powinna być skierowana do głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego i powinna być wiążąca dla administratora i podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinien zastosować wszelkie niezbędne środki, by zapewnić zgodność z niniejszym rozporządzeniem i zastosować się do decyzji doręczonej przez wiodący organ nadzorczy głównej jednstce organizacyjnej administratora lub podmiotu przetwarzającego w odniesieniu do czynności przetwarzania w Unii.
(127) Każdy organ nadzorczy niepełniący funkcji wiodącego organu nadzorczego powinien być właściwy w sprawach lokalnych, gdy administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w więcej niż jednym państwie członkowskim, ale przedmiot danego przetwarzania dotyczy wyłącznie przetwarzania prowadzonego w pojedynczym państwie członkowskim i wyłącznie osób, których dane dotyczą, w tym pojedynczym państwie członkowskim, na przykład gdy chodzi o przetwarzanie danych osobowych pracowników w szczegółowym kontekście zatrudnienia w państwie członkowskim. W takim przypadku organ nadzorczy powinien niezwłocznie poinformować o sprawie wiodący organ nadzorczy. Po otrzymaniu informacji wiodący organ nadzorczy powinien postanowić, czy zajmie się daną sprawą zgodnie z przepisami niniejszego rozporządzenia dotyczącymi współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy („mechanizm kompleksowej współpracy”), czy też powinien się nią zająć na szczeblu lokalnym organ nadzorczy, który o niej poinformował. Podejmując decyzję, czy zająć się sprawą, wiodący organ nadzorczy powinien uwzględnić, czy w państwie członkowskim, którego organ nadzorczy przekazał mu informacje, znajduje się jednostka organizacyjna administratora lub podmiotu przetwarzającego – aby zapewnić skuteczne wykonanie decyzji względem administratora lub podmiotu przetwarzającego. Jeżeli wiodący organ nadzorczy postanowi zająć się daną sprawą, organ nadzorczy, który przekazał mu informacje, powinien mieć możliwość przedłożenia projektu decyzji, którą wiodący organ nadzorczy powinien w jak największym stopniu uwzględnić, przygotowując projekt swojej decyzji w ramach mechanizmu kompleksowej współpracy.
(128) Przepisy dotyczące wiodącego organu nadzorczego i mechanizmu kompleksowej współpracy nie powinny mieć zastosowania, gdy organy publiczne lub podmioty prywatne dokonują przetwarzania w interesie publicznym. W takich przypadkach jedynym organem nadzorczym właściwym do wykonywania uprawnień przyznanych zgodnie z niniejszym rozporządzeniem powinien być organ nadzorczy państwa członkowskiego, w którym organ publiczny lub podmiot prywatny posiadają jednostkę organizacyjną.
(129) Aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i – bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego – uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Wśród tych uprawnień powinno być także uprawnienie do wprowadzania czasowego lub definitywnego ograniczenia przetwarzania, w tym zakazania przetwarzania. Państwa członkowskie mogą określić także inne zadania związane z ochroną danych osobowych na mocy niniejszego rozporządzenia. Swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia – z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. Uprawnienia do prowadzenia postępowań wyjaśniających, jeżeli chodzi o dostęp do pomieszczeń, należy wykonywać zgodnie ze szczegółowymi wymogami przepisów państwa członkowskiego dotyczących postępowania, takimi jak wymóg uzyskania uprzedniego zezwolenia sądu. Każdy prawnie wiążący środek organu nadzorczego powinien być sporządzony na piśmie, mieć jasny i jednoznaczny charakter, wskazywać organ nadzorczy, który wydał środek, i datę wydania środka, nosić podpis szefa lub członka organu nadzorczego przez niego upoważnionego, podawać powody zastosowania środka oraz informować o prawie do skutecznego środka ochrony prawnej. Nie powinno to wykluczać dodatkowych wymogów na mocy przepisów państwa członkowskiego dotyczących postępowania. Wydanie prawnie wiążącej decyzji oznacza, że może ona być przedmiotem kontroli sądowej w państwie członkowskim organu nadzorczego, który ją wydał.
(130) Jeżeli organ nadzorczy, do którego wniesiono skargę, nie jest wiodącym organem nadzorczym, wiodący organ nadzorczy powinien ściśle współpracować z organem nadzorczym, do którego wniesiono skargę, zgodnie z przepisami o współpracy i spójności ustanowionymi w niniejszym rozporządzeniu. W takim przypadku wiodący organ nadzorczy powinien, w przypadkach gdy stosuje środki mające wywołać skutki prawne, w tym nakłada administracyjne kary pieniężne, w jak największym stopniu brać pod uwagę opinię organu nadzorczego, do którego wniesiono skargę, ten zaś powinien pozostać właściwy do przeprowadzenia postępowania wyjaśniającego na terytorium własnego państwa członkowskiego będąc w kontakcie z wiodącym organem nadzorczym.
(131) Jeżeli funkcję wiodącego organu nadzorczego wobec czynności przetwarzania prowadzonych przez administratora lub podmiot przetwarzający powinien pełnić inny organ nadzorczy, ale konkretny przedmiot skargi lub ewentualnego naruszenia dotyczy wyłącznie czynności przetwarzania prowadzonych przez administratora lub podmiot przetwarzający w państwie członkowskim, w którym wniesiono skargę lub wykryto ewentualne naruszenie, a sprawa nie wpływa znacznie lub najprawdopodobniej nie wpłynie znacznie na osoby, których dane dotyczą, w innych państwach członkowskich, wtedy organ nadzorczy, do którego wniesiono skargę lub który wykrył lub w inny sposób dowiedział się o sytuacjach mogących skutkować ewentualnymi naruszeniami niniejszego rozporządzenia, powinien dążyć do polubownego rozwiązania z administratorem, a jeżeli okaże się ono niemożliwe, skorzystać z pełni przysługujących mu uprawnień. Powinno to dotyczyć także: konkretnego przetwarzania, które odbywa się na terytorium państwa członkowskiego organu nadzorczego lub odnosi się do osób, których dane dotyczą, na terytorium tego państwa członkowskiego; przetwarzania, które odbywa się w ramach oferowania towarów lub usług konkretnie osobom, których dane dotyczą, na terytorium państwa członkowskiego organu nadzorczego; lub przetwarzania wymagającego oceny z uwagi na stosowne obowiązki prawne wynikające z prawa państwa członkowskiego.
(132) Na uświadamiające działania organów nadzorczych skierowane do opinii publicznej powinny się składać m.in. konkretne środki adresowane do administratorów i podmiotów przetwarzających, w tym do mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, a także do osób fizycznych, w szczególności w ramach edukacji.
(133) Organy nadzorcze powinny się wzajemnie wspierać w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie niniejszego rozporządzenia na rynku wewnętrznym. Organ nadzorczy, który występuje z wnioskiem o wzajemną pomoc, może przyjąć środek tymczasowy, jeżeli nie uzyska odpowiedzi w terminie miesiąca od otrzymania wniosku o udzielenie wzajemnej pomocy przez wezwany organ nadzorczy.
(134) Każdy organ nadzorczy powinien w stosownych przypadkach uczestniczyć we wspólnych operacjach organów nadzorczych. Wezwany organ nadzorczy powinien mieć obowiązek udzielenia odpowiedzi w określonym terminie.
(135) Aby zapewnić spójne stosowanie niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm spójności na potrzeby współpracy między organami nadzorczymi. Mechanizm ten powinien mieć zastosowanie w szczególności w przypadkach, gdy organ nadzorczy zamierza przyjąć środek mający wywoływać skutki prawne w odniesieniu do operacji przetwarzania, które znacznie wpływają na istotną liczbę osób, których dane dotyczą, w kilku państwach członkowskich. Powinien mieć zastosowanie także w przypadkach, gdy organ nadzorczy, którego sprawa dotyczy, lub Komisja zwracają się z wnioskiem o rozwiązanie danej kwestii w ramach mechanizmu spójności. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może zastosować w ramach wykonywania uprawnień przysługujących jej na mocy traktatów.

Motywy 106-120

(106) Komisja powinna monitorować obowiązywanie decyzji o stopniu ochrony w państwie trzecim, na terytorium lub w określonym sektorze w państwie trzecim lub w organizacji międzynarodowej, oraz monitorować funkcjonowanie decyzji przyjętych na podstawie art. 25 ust. 6 lub art. 26 ust. 4 dyrektywy 95/46/WE. W swoich decyzjach stwierdzających odpowiedni stopień ochrony Komisja powinna przewidzieć mechanizm okresowego przeglądu ich funkcjonowania. Taki okresowy przegląd powinna ona przeprowadzać w konsultacji z danym państwem trzecim lub daną organizacją międzynarodową i powinna w nim uwzględniać wszelkie mające znaczenie zmiany w tym państwie trzecim lub tej organizacji międzynarodowej. Prowadząc monitorowanie i dokonując okresowych przeglądów, Komisja powinna uwzględnić stanowisko i wnioski Parlamentu Europejskiego i Rady, a także innych odpowiednich organów i źródeł. Komisja powinna w rozsądnym terminie ocenić funkcjonowanie decyzji wspomnianego drugiego typu i przekazać wszelkie odpowiednie wnioski komitetowi w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 182/2011 (12) ustanowionemu na mocy niniejszego rozporządzenia, Parlamentowi Europejskiemu i Radzie.
(107) Komisja może uznać, że państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizacja międzynarodowa przestały zapewniać odpowiedni stopień ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej powinno zostać zakazane, chyba że spełnione są wymogi niniejszego rozporządzenia dotyczące przekazywania z zastrzeżeniem odpowiednich zabezpieczeń, w tym wiążących reguł korporacyjnych oraz wyjątków w odniesieniu do szczególnych sytuacji. W takim przypadku należy przewidzieć konsultacje między Komisją a takimi państwami trzecimi lub organizacjami międzynarodowymi. Komisja powinna niezwłocznie poinformować to państwo trzecie lub tę organizację międzynarodową o powodach oraz podjąć z nimi konsultacje w celu rozwiązania sytuacji.
(108) W razie braku stwierdzenia odpowiedniego stopnia ochrony danych administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego, w tym zapewniać dostępność egzekwowalnych praw osoby, której dane dotyczą, i skutecznych środków ochrony prawnej – w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia i do żądania odszkodowania – w Unii lub w państwie trzecim. Powinny one dotyczyć w szczególności przestrzegania ogólnych zasad związanych z przetwarzaniem danych osobowych oraz zasad uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych. Również organy lub podmioty publiczne mogą przekazywać dane organom lub podmiotom publicznym w państwach trzecich lub organizacjom międzynarodowym o analogicznych obowiązkach lub funkcjach, w tym na podstawie przepisów, które powinny znaleźć się w uzgodnieniach administracyjnych, takich jak protokoły ustaleń, i które powinny przewidywać egzekwowalne i skuteczne prawa osób, których dane dotyczą. Jeżeli zabezpieczenia zawarte są w niewiążących prawnie uzgodnieniach administracyjnych, należy uzyskać zezwolenie właściwego organu nadzorczego.
(109) Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna stanowić dla administratora lub podmiotu przetwarzającego przeszkody, by standardowe klauzule ochrony danych włączyć do szerszej umowy, takiej jak umowa między wspomnianym podmiotem przetwarzającym a innym podmiotem przetwarzającym, ani by dodać inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub organ nadzorczy ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą. Należy zachęcać administratorów i podmioty przetwarzające, by w drodze zobowiązań umownych przewidywały dodatkowe zabezpieczenia, stanowiące uzupełnienie dla standardowych klauzul ochrony.
(110) Grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych.
(111) Należy wprowadzić możliwość przekazywania danych w niektórych okolicznościach, jeżeli osoba, której dane dotyczą, wyraziła na to wyraźną zgodę, jeżeli przekazywanie jest sporadyczne i niezbędne w związku z umową lub roszczeniem– niezależnie od rodzaju postępowania: sądowego lub administracyjnego lub jakiegokolwiek innego postępowania pozasądowego, w tym postępowania przed organami regulacyjnymi. Należy także przewidzieć możliwość przekazywania danych, jeżeli wymaga tego ważny interes publiczny określony w prawie Unii lub prawie państwa członkowskiego lub jeżeli przekazanie następuje z rejestru utworzonego na mocy prawa i przeznaczonego do wglądu dla ogółu obywateli lub osób mających prawnie uzasadniony interes. W drugim z tych przypadków przekazanie nie powinno obejmować całości danych osobowych lub całych kategorii danych z rejestru, a jeżeli rejestr jest przeznaczony do wglądu dla osób mających prawnie uzasadniony interes, przekazanie danych powinno nastąpić wyłącznie na żądanie tych osób lub osoby te mają być odbiorcami, przy pełnym uwzględnieniu interesów i praw podstawowych osoby, której dane dotyczą.
(112) Wyjątki te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego z uwagi na ważne względy interesu publicznego, na przykład do międzynarodowej wymiany danych między organami ds. konkurencji, organami podatkowymi lub celnymi, organami nadzoru finansowego, służbami odpowiedzialnymi za sprawy zabezpieczenia społecznego lub za zdrowie publiczne, na przykład w przypadku ustalania kontaktów zakaźnych w razie chorób zakaźnych lub w celu zmniejszenia lub wyeliminowania dopingu w sporcie. Przekazywanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w tym integralności fizycznej lub życia, a osoba, której dane dotyczą, nie jest w stanie wyrazić zgody. W razie braku stwierdzenia odpowiedniego stopnia ochrony prawo Unii lub prawo państwa członkowskiego może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych do państwa trzeciego lub organizacji międzynarodowej. O takich przepisach państwa członkowskie powinny powiadomić Komisję. Każde przekazanie danych osobowych osoby, której dane dotyczą, będącej fizycznie lub prawnie niezdolną do wyrażenia zgody, do międzynarodowej organizacji humanitarnej, aby mogła wykonać zadanie nałożone na nią konwencjami genewskimi lub by mogła spełnić wymogi międzynarodowego prawa humanitarnego mającego zastosowanie w konfliktach zbrojnych, można uznać za niezbędne z uwagi na ważny wzgląd interesu publicznego lub za leżące w żywotnym interesie osoby, której dane dotyczą.
(113) Przekazanie, które można uznać za niepowtarzające się i dotyczące tylko ograniczonej liczby osób, których dane dotyczą, może być także dopuszczalne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, o ile charakteru nadrzędnego nie mają interesy lub prawa i wolności osoby, której dane dotyczą, i administrator ocenił wszelkie okoliczności związane z przekazaniem danych. Administrator powinien zwrócić szczególną uwagę na charakter danych osobowych, cel i czas trwania proponowanej operacji przetwarzania lub proponowanych operacji przetwarzania oraz na sytuację w państwie pochodzenia, państwie trzecim i państwie ostatecznego przeznaczenia, a także powinien zapewnić odpowiednie zabezpieczenia poszanowania podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. Takie przekazanie powinno być dopuszczalne w nielicznych przypadkach – gdy nie ma zastosowania żadna z pozostałych podstaw umożliwiających przekazanie. Gdy chodzi o cele badań naukowych lub historycznych lub cele statystyczne, należy wziąć pod uwagę uzasadnione oczekiwania społeczne co do rozwoju wiedzy. Administrator powinien informować o przekazaniu organ nadzorczy oraz osobę, której dane dotyczą.
(114) W każdym przypadku, jeżeli Komisja nie podjęła decyzji stwierdzającej odpowiedni stopień ochrony danych w państwie trzecim, administrator lub podmiot przetwarzający powinni zastosować rozwiązania, które pozwolą osobom, których dane dotyczą, dysponować – gdy przekazanie już dojdzie do skutku – egzekwowalnymi i skutecznymi prawami względem przetwarzania ich danych w Unii, tak że osoby te nadal będą mogły korzystać z podstawowych praw i zabezpieczeń.
(115) Niektóre państwa trzecie przyjmują ustawy, rozporządzenia i inne akty prawne mające bezpośrednio regulować czynności przetwarzania podejmowane przez osoby fizyczne i prawne podlegające jurysdykcji państw członkowskich. Może to obejmować wyroki sądów lub trybunałów czy decyzje organów administracyjnych państwa trzeciego nakazujące administratorowi lub podmiotowi przetwarzającemu przekazać lub ujawnić dane osobowe, które niemają za podstawę umowy międzynarodowej – na przykład umowy o wzajemnej pomocy prawnej – obowiązującej między wzywającym państwem trzecim a Unią lub państwem członkowskim. Transgraniczne stosowanie tych ustaw, rozporządzeń i innych aktów prawnych może naruszać prawo międzynarodowe i uniemożliwiać zapewnienie osobom fizycznym ochrony zapewnianej niniejszym rozporządzeniem przez Unię. Przekazywanie danych powinno być dopuszczalne wyłącznie w przypadkach, gdy spełnione są warunki przekazywania do państw trzecich ustanowione w niniejszym rozporządzeniu. Tak może być m.in. w przypadkach, gdy ujawnienie jest niezbędne ze względu na ważny interes publiczny uznany w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator.
(116) Transgraniczne przekazywanie danych osobowych poza Unią może spowodować wzrost ryzyka, że osoby fizyczne nie będą mogły wykonywać prawa do ochrony danych osobowych, w szczególności w celu ochrony przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych informacji. Jednocześnie organy nadzorcze mogą uznać, że nie są w stanie rozpatrzyć skargi lub przeprowadzić postępowania w sprawie działalności, która ma miejsce poza granicami ich państwa. Ich starania na rzecz współpracy w kontekście transgranicznym mogą także zostać zakłócone przez niewystarczające uprawnienia prewencyjne lub zaradcze, niespójne systemy prawne oraz przeszkody praktyczne, takie jak ograniczone środki. Należy więc upowszechniać ściślejszą współpracę między organami nadzorującymi ochronę danych, by pomóc im wymieniać informacje i prowadzić postępowania z ich międzynarodowymi odpowiednikami. Aby stworzyć mechanizmy współpracy międzynarodowej, ułatwiające i przewidujące wzajemną międzynarodową pomoc w egzekwowaniu ustawodawstwa z zakresu ochrony danych osobowych, Komisja i organy nadzorcze powinny w ramach działań związanych z wykonywaniem swoich uprawnień wymieniać się informacjami i współpracować z właściwymi organami państw trzecich na zasadzie wzajemności i zgodnie z niniejszym rozporządzeniem.
(117) Zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wykonywania uprawnień w sposób całkowicie niezależny. Aby uwzględnić swoją strukturę konstytucyjną, organizacyjną i administracyjną, państwa członkowskie powinny mieć możliwość utworzenia więcej niż jednego organu nadzorczego.
(118) Niezależność organów nadzorczych nie powinna oznaczać, że organy te nie mogą podlegać mechanizmom kontroli lub monitorowania pod kątem wydatków ani kontroli sądowej.
(119) Jeżeli państwo członkowskie utworzy kilka organów nadzorczych, powinno przewidzieć przepisy określające mechanizmy zapewniające skuteczny udział tych organów w stosowaniu mechanizmu spójności. Takie państwo członkowskie powinno w szczególności wyznaczyć organ nadzorczy, który pełnił będzie funkcję pojedynczego punktu kontaktowego do celów skutecznego udziału tych organów w stosowaniu mechanizmu, aby zapewnić sprawną i płynną współpracę z innymi organami nadzorczymi, Europejską Radą Ochrony Danych oraz Komisją.
(120) Każdy organ nadzorczy powinien zostać wyposażony w zasoby finansowe i kadrowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań, w tym zadań związanych z wzajemną pomocą i współpracą z innymi organami nadzorczymi z całej Unii. Każdy organ nadzorczy powinien dysponować odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu krajowego lub państwowego.

Motywy 91-105

(91) Powinno to mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw. Oceny skutków dla ochrony danych należy także dokonywać w przypadkach, w których dane osobowe przetwarza się w celu podjęcia decyzji wobec konkretnej osoby fizycznej po dokonaniu systematycznej, kompleksowej oceny czynników osobowych osób fizycznych na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, naruszeń prawa lub odnośnych środków bezpieczeństwa. Ocena skutków dla ochrony danych jest niezbędna również w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych – w szczególności za pomocą urządzeń optyczno-elektronicznych – lub wszelkich innych operacji, względem których właściwy organ nadzorczy uznaje, że przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności dlatego, że operacje te uniemożliwiają osobom, których dane dotyczą, wykonywanie prawa lub korzystania z usługi lub umowy lub mają systematyczny charakter i dużą skalę. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.
(92) W niektórych okolicznościach rozsądnie i korzystnie byłoby nie ograniczać oceny skutków dla ochrony danych do pojedynczego projektu, na przykład w przypadkach gdy organy lub podmioty publiczne zamierzają ustanowić wspólną aplikację lub platformę przetwarzania lub gdy kilku administratorów planuje wprowadzić wspólną aplikację lub środowisko przetwarzania obejmujące sektor lub segment gospodarki lub szeroko rozpowszechnioną działalność horyzontalną.
(93) Przyjmując prawo, które ma być dla organu lub podmiotu publicznego podstawą do wykonywania zadań i ma regulować konkretną operację przetwarzania lub konkretny zestaw operacji, państwa członkowskie mogą uznać, że przed takimi czynnościami przetwarzania należy koniecznie przeprowadzić taką ocenę.
(94) Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym. Takie wysokie ryzyko mogą powodować pewne rodzaje przetwarzania oraz zakres i częstotliwość przetwarzania, które mogą skutkować także szkodą lub ingerencją w prawa i wolności osoby fizycznej. Na wniosek o konsultacje organ nadzorczy powinien odpowiedzieć w określonym terminie. Jednak brak reakcji ze strony organu nadzorczego w tym terminie nie powinien wykluczać interwencji tego organu zgodnie z jego zadaniami i uprawnieniami ustanowionymi w niniejszym rozporządzeniu, w tym uprawnieniami do zakazania operacji przetwarzania. W ramach konsultacji można przedłożyć organowi nadzorczemu wyniki oceny skutków dla ochrony danych dokonanej w odniesieniu do danego przetwarzania, a w szczególności środki planowane w celu zminimalizowania ryzyka naruszenia praw lub wolności osób fizycznych.
(95) W razie potrzeby i na żądanie podmiot przetwarzający powinien pomagać administratorowi w zapewnieniu przestrzegania obowiązków wynikających z dokonania oceny skutków dla ochrony danych oraz z uprzednich konsultacji z organem nadzorczym.
(96) Konsultacji z organem nadzorczym należy dokonać również w trakcie przygotowywania aktu ustawodawczego lub wykonawczego przewidującego przetwarzanie danych osobowych, aby zapewnić zgodność zamierzonego przetwarzania z niniejszym rozporządzeniem, a w szczególności zminimalizować ewentualne ryzyko dla osoby, której dane dotyczą.
(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Tacy inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.
(98) Należy zachęcać zrzeszenia lub inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających do sporządzania kodeksów postępowania, w granicach niniejszego rozporządzenia, by ułatwiać skuteczne stosowanie niniejszego rozporządzenia, z uwzględnieniem szczególnych cech przetwarzania prowadzonego w niektórych sektorach i szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W takich kodeksach można w szczególności dopasować obowiązki administratorów i podmiotów przetwarzających do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie.
(99) Sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, zrzeszenia i inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających powinny konsultować się z odpowiednimi stronami, których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji.
(100) Aby zwiększyć przejrzystość i poprawić przestrzeganie niniejszego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi.
(101) Przepływ danych osobowych do państw spoza Unii i do organizacji międzynarodowych oraz z takich państw i z takich organizacji jest niezbędnym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. Wzrost takiego przepływu spowodował nowe wyzwania i problemy w dziedzinie ochrony danych osobowych. Przekazując dane osobowe z Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy jednak obniżać stopnia ochrony osób fizycznych zapewnianego w Unii niniejszym rozporządzeniem, także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z niniejszym rozporządzeniem. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym – z zastrzeżeniem pozostałych przepisów niniejszego rozporządzenia.
(102) Niniejsze rozporządzenie pozostaje bez uszczerbku dla umów międzynarodowych między Unią a państwami trzecimi regulujących przekazywanie danych osobowych, w tym zawierających odpowiednie zabezpieczania dla osób, których dane dotyczą. Państwa członkowskie mogą zawierać umowy międzynarodowe przewidujące m.in. przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych, o ile umowy takie nie wpływają na niniejsze rozporządzenie ani na inne przepisy prawa Unii i o ile przewidują odpowiedni stopień ochrony podstawowych praw osób, których dane dotyczą.
(103) Komisja może stwierdzić ze skutkiem dla całej Unii, że państwo trzecie – lub terytorium lub określony sektor w państwie trzecim – lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony danych, gwarantując tym samym pewność i jednolitość prawną w całej Unii w odniesieniu do państw trzecich lub organizacji międzynarodowych, które zostały uznane za zapewniające taki stopień ochrony. W takich przypadkach przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia. Komisja może także zdecydować, wcześniej informując o tym państwo trzecie lub organizację międzynarodową i przedstawiając im uzasadnienie, o cofnięciu takiej decyzji.
(104) Zgodnie z podstawowymi wartościami, na których opiera się Unia, w szczególności z ochroną praw człowieka, Komisja powinna w swojej ocenie państwa trzeciego lub terytorium lub określonego sektora w państwie trzecim wziąć pod uwagę sposób, w jaki dane państwo trzecie przestrzega praworządności, dostępu do wymiaru sprawiedliwości oraz międzynarodowych norm i standardów ochrony praw człowieka, jego prawo ogólne i sektorowe, w tym ustawodawstwo dotyczące bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i porządku publicznego, a także prawo karne. Przy przyjmowaniu decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do terytorium lub w określonego sektora w państwie trzecim, należy wziąć pod uwagę jasne i obiektywne kryteria, takie jak konkretne czynności przetwarzania, zakres mających zastosowanie standardów prawnych i ustawodawstwo obowiązujące w danym państwie trzecim. Państwo trzecie powinno dawać gwarancje zapewniające odpowiedni stopień ochrony, zasadniczo odpowiadający stopniowi ochrony zapewnianemu w Unii, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w jednym szczególnym sektorze lub większej ich liczbie. Państwo trzecie powinno w szczególności zapewnić skuteczny niezależny nadzór nad ochroną danych oraz powinno przewidzieć mechanizmy współpracy z organami ochrony danych państw członkowskich, a osoby, których dane dotyczą, powinny uzyskać skuteczne i egzekwowalne prawa oraz skuteczne administracyjne i sądowe środki zaskarżenia.
(105) Pozazobowiązaniami międzynarodowymipaństwa trzeciego lub organizacji międzynarodowej, Komisja powinna brać pod uwagę obowiązki wynikające z udziału państwa trzeciego lub organizacji międzynarodowej w systemach wielostronnych lub regionalnych, w szczególności w odniesieniu do ochrony danych osobowych, a także realizację takich obowiązków. W szczególności powinna wziąć pod uwagę przystąpienie państwa trzeciego do konwencji Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Oceniając stopień ochrony w państwach trzecich lub organizacjach międzynarodowych, Komisja powinna konsultować się z Europejską Radą Ochrony Danych.