1. Państwa członkowskie zapewniają, by dane osobowe były:
a) przetwarzane zgodnie z prawem i rzetelnie;
b) zbierane w konkretnych, wyraźnych i uzasadnionych celach i nieprzetwarzane w sposób niezgodny z tymi celami;
c) adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane;
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania;
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
2. Przetwarzanie przez tego samego lub innego administratora w jednym z celów określonych w art. 1 ust. 1 innym niż cel, w którym dane osobowe zostały zebrane, jest dozwolone, o ile:
a) administratorowi wolno przetwarzać takie dane osobowe w takim celu na mocy prawa Unii lub prawa państwa członkowskiego; oraz
b) przetwarzanie jest niezbędne i proporcjonalne w tym innym celu na mocy prawa Unii lub prawa państwa członkowskiego.
3. Przetwarzanie przez tego samego lub innego administratora może obejmować archiwizację w interesie publicznym, wykorzystanie do celów naukowych, statystycznych lub historycznych, o których mowa w art. 1 ust. 1, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą.
4. Za przestrzeganie przepisów ust. 1, 2 i 3 odpowiada administrator, który musi być w stanie wykazać fakt ich przestrzegania.
(26) Przetwarzanie danych osobowych musi być zgodne z prawem, rzetelne i przejrzyste względem zainteresowanej osoby fizycznej oraz służyć wyłącznie konkretnym celom określonym prawem. Nie stanowi to dla organów ścigania przeszkody w prowadzeniu czynności takich jak nadzór niejawny lub monitoring wizyjny. Czynności takie można prowadzić do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jeżeli czynności te są określone prawem i stanowią środek niezbędny i proporcjonalny w społeczeństwie demokratycznym, z należytym uwzględnieniem uzasadnionych interesów danej osoby fizycznej. Zasada rzetelnego przetwarzania obowiązująca w ochronie danych jest pojęciem odrębnym względem prawa do rzetelnego procesu, które jest zdefiniowane w art. 47 Karty i w art. 6 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (zwanej dalej „EKPC”). Osobom fizycznym należy uświadomić ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. Wyraźne, uzasadnione i określone w momencie zbierania danych osobowych powinny być w szczególności konkretne cele ich przetwarzania. Dane osobowe powinny być adekwatne i właściwe w stosunku do celów przetwarzania. Należy w szczególności zapewnić, by zebrane dane osobowe nie były nadmierne i by okres ich przechowywania był nie dłuższy, niż jest to niezbędne do osiągnięcia celu ich przetwarzania. Dane osobowe powinny być przetwarzane tylko wtedy, gdy celu przetwarzania nie można rozsądnie osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Państwa członkowskie powinny ustanowić odpowiednie zabezpieczenia dla danych osobowych przechowywanych dłużej w celu archiwizacji w interesie publicznym, wykorzystania do celów naukowych, statystycznych lub historycznych.
(27) Zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych wymaga, aby właściwe organy przetwarzały dane osobowe – zebrane w kontekście zapobiegania konkretnym czynom zabronionym, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich lub ścigania – w kontekście szerszym, dla lepszego zrozumienia działalności przestępczej oraz ustalenia powiązań pomiędzy różnymi wykrytymi czynami zabronionymi.
(28) Aby zapewnić bezpieczeństwo w stosunku do przetwarzania i zapobiegać przetwarzaniu z naruszeniem niniejszej dyrektywy, dane osobowe należy przetwarzać tak, by zapewnić odpowiedni stopień bezpieczeństwa i poufności, w tym chronić przed nieuprawnionym dostępem do takich danych i do sprzętu służącego ich przetwarzaniu lub przed nieuprawnionym korzystaniem z takich danych i sprzętu, z uwzględnieniem stanu wiedzy technicznej w odnośnej dziedzinie, technologii i kosztów wdrożenia w stosunku do ryzyka naruszenia i charakteru danych osobowych wymagających ochrony.
(29) Dane osobowe należy zbierać w konkretnych, wyraźnych i prawnie uzasadnionych celach mieszczących się w zakresie zastosowania niniejszej dyrektywy i nie należy ich przetwarzać w celach niezgodnych z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych i wykonywaniem kar, w tym z ochroną przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiem takim zagrożeniom. Jeżeli dane osobowe przetwarza ten sam lub inny administrator w celu wchodzącym w zakres stosowania niniejszej dyrektywy, ale innym niż cel, w którym dane zostały zebrane, przetwarzanie takie powinno być dopuszczalne, pod warunkiem że przetwarzanie jest dozwolone na mocy mających zastosowanie przepisów prawa oraz jest niezbędne i proporcjonalne do tego innego celu.
(30) Zasadę prawidłowości danych należy stosować z uwzględnieniem charakteru i celu odnośnego przetwarzania. W szczególności w postępowaniu sądowym oświadczenia zawierające dane osobowe opierają się na subiektywnym osądzie osób fizycznych i nie zawsze są weryfikowalne. Dlatego wymóg prawidłowości danych nie powinien odnosić się do prawidłowości oświadczenia, lecz jedynie do faktu, że konkretne oświadczenie zostało złożone.
(31) Nieodłączną cechą przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe dotyczące różnych kategorii osób, których dane dotyczą. W stosownych przypadkach należy zatem w jak największym stopniu wyraźnie rozróżniać dane osobowe różnych kategorii osób, których dane dotyczą, takich jak osoby podejrzane, osoby skazane za czyn zabroniony, ofiary i inne osoby, np. świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy osób podejrzanych i skazanych przestępców. Nie powinno to uniemożliwiać stosowania – zgodnie z wykładnią przedstawioną odpowiednio w orzecznictwie Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka – zasady domniemania niewinności zagwarantowanej w Karcie oraz w EKPC.
(32) Właściwe organy powinny zapewnić, by nieprawidłowe, niekompletne lub nieaktualne dane osobowe nie były przesyłane ani udostępniane. Aby zapewnić ochronę osób fizycznych, prawidłowość, kompletność i stopień aktualności danych oraz wiarygodność przesyłanych lub udostępnianych danych osobowych, właściwe organy powinny w miarę możliwości opatrywać wszelkie przesyłane dane osobowe niezbędnymi informacjami.
(33) Jeżeli w niniejszej dyrektywie jest mowa o prawie państwa członkowskiego, podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Takie prawo państwa członkowskiego, podstawa prawna lub akt prawny powinny jednak być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. Prawo państwa członkowskiego regulujące przetwarzanie danych osobowych w ramach zakresu zastosowania niniejszej dyrektywy powinno co najmniej określać cele ogólne, dane osobowe mające podlegać przetwarzaniu, cele przetwarzania oraz procedury pozwalające chronić integralność i poufność danych osobowych oraz procedury niszczenia tych danych, a tym samym powinno zapewniać dostateczną ochronę przed ryzykiem nadużyć i arbitralności.
Zobacz także: WYTYCZNE
