(1)

Rynek wewnętrzny jest jednym z najbardziej namacalnych osiągnięć Unii. Umożliwiając swobodny przepływ osób, towarów, usług i kapitału oferuje on nowe możliwości obywatelom i przedsiębiorstwom. Niniejsze rozporządzenie jest kluczowym elementem strategii jednolitego rynku określonej w komunikacie Komisji z dnia 28 października 2015 r. zatytułowanym „Usprawnianie jednolitego rynku: więcej możliwości dla obywateli i przedsiębiorstw”. Celem tej strategii jest uwolnienie pełnego potencjału rynku wewnętrznego poprzez ułatwienie obywatelom i przedsiębiorstwom przemieszczania się w Unii oraz prowadzenia działalności handlowej, zakładania i rozwijania działalności gospodarczej w wymiarze transgranicznym.

(2)

W komunikacie Komisji z dnia 6 maja 2015 r. zatytułowanym „Strategia jednolitego rynku cyfrowego dla Europy” uznano rolę, jaką internet i technologie cyfrowe odgrywają w zmienianiu naszego codziennego życia i sposobu, w jaki obywatele i przedsiębiorstwa uzyskują dostęp do informacji, zdobywają wiedzę, kupują towary i usługi, są uczestnikami rynku i pracownikami, co otwiera możliwości w zakresie innowacji, wzrostu i zatrudnienia. W komunikacie tym, a także w szeregu rezolucji przyjętych przez Parlament Europejski, uznano również, że potrzeby obywateli i przedsiębiorstw w ich własnym kraju oraz za granicą można by lepiej zaspokoić poprzez rozszerzenie i integrację istniejących na poziomie europejskim portali, stron internetowych, sieci, usług i systemów oraz poprzez połączenie ich z różnymi rozwiązaniami na poziomie krajowym, tworząc w ten sposób jednolity portal cyfrowy pełniący funkcję europejskiego punktu kompleksowej obsługi (zwany dalej „Portalem”). W komunikacie Komisji z dnia 19 kwietnia 2016 r. zatytułowanym „Plan działania UE na rzecz administracji elektronicznej na lata 2016–2020 – Przyspieszenie transformacji cyfrowej w administracji” wymieniono Portal jako jedno z działań Komisji przewidzianych na rok 2017. W sprawozdaniu Komisji z dnia 24 stycznia 2017 r. zatytułowanym „Wzmocnienie praw obywateli w Unii demokratycznych zmian. Sprawozdanie na temat obywatelstwa UE z 2017 r.” uznano Portal za priorytet w zakresie praw obywateli w Unii.

(3)

Parlament Europejski i Rada wielokrotnie apelowały o stworzenie bardziej kompleksowego i przyjaznego dla użytkownika pakietu informacji i wsparcia, aby pomóc obywatelom i przedsiębiorstwom poruszać się po rynku wewnętrznym oraz aby wzmocnić i usprawnić narzędzia rynku wewnętrznego w celu lepszego zaspokojenia potrzeb obywateli i przedsiębiorstw w zakresie ich działalności transgranicznej.

(4)

Niniejsze rozporządzenie odpowiada na te apele, oferując obywatelom i przedsiębiorstwom łatwy dostęp do informacji, procedur oraz usług wsparcia i rozwiązywania problemów, potrzebnych im do celów korzystaniu z ich praw na rynku wewnętrznym. Portal mógłby przyczynić się do zwiększenia przejrzystości przepisów i regulacji dotyczących różnych zdarzeń gospodarczych i życiowych, w takich dziedzinach jak podróże, emerytury, edukacja, zatrudnienie, opieka zdrowotna, prawa konsumentów i prawo rodzinne. Ponadto mógłby on przyczynić się do zwiększenia zaufania konsumentów, rozwiązywania problemu braku wiedzy o przepisach dotyczących ochrony konsumentów i rynku wewnętrznego oraz obniżyć koszty przestrzegania przepisów dla przedsiębiorstw. W niniejszym rozporządzeniu ustanawia się przyjazny dla użytkownika, interaktywny Portal, który w oparciu o potrzeby użytkowników powinien im wskazać najbardziej odpowiednie usługi. W tym kontekście Komisja i państwa członkowskie powinny odgrywać ważną rolę w realizacji tych celów.

(5)

Portal powinien ułatwiać kontakty między obywatelami i przedsiębiorstwami, z jednej strony, oraz właściwymi organami, z drugiej strony, dzięki zapewnieniu dostępu do rozwiązań internetowych, ułatwianiu codziennych działań obywateli i codziennej działalności przedsiębiorstw oraz minimalizowaniu przeszkód napotykanych na rynku wewnętrznym. Istnienie jednolitego portalu cyfrowego zapewniającego dostęp online do dokładnych i aktualnych informacji, procedur oraz usług wsparcia i rozwiązywania problemów mogłoby pomóc podnieść świadomość użytkowników na temat różnych istniejących usług online oraz zaoszczędzić im czasu i kosztów.

(6)

Niniejsze rozporządzenie służy realizacji trzech celów, tj.: zmniejszeniu wszelkich dodatkowych obciążeń administracyjnych dla obywateli i przedsiębiorstw, którzy korzystają lub chcą korzystać z praw przysługujących im na rynku wewnętrznym, w tym ze swobodnego przepływu obywateli, w pełnym poszanowaniu krajowych przepisów i procedur; eliminowaniu dyskryminacji oraz zapewnieniu funkcjonowania rynku wewnętrznego w zakresie zapewniania informacji, procedur oraz usług wsparcia i rozwiązywania problemów. Ponieważ niniejsze rozporządzenie obejmuje swoim zakresem stosowania swobodny przepływ obywateli, czego nie można uznać za mające jedynie charakter dodatkowy, podstawą niniejszego rozporządzenia powinny być art. 21 ust. 2 i art. 114 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).

(7)

Aby obywatele Unii oraz unijni przedsiębiorcy mogli korzystać z przysługującego im prawa do swobodnego przepływu w ramach rynku wewnętrznego, Unia powinna przyjąć konkretne niedyskryminujące środki umożliwiające obywatelom i przedsiębiorstwom łatwy dostęp do wystarczająco kompleksowych i wiarygodnych informacji o ich prawach wynikających z prawa Unii oraz do informacji o mających zastosowanie przepisach i procedurach krajowych, których muszą przestrzegać w przypadku gdy przenoszą się do państwa członkowskiego innego niż własne, mieszkają tam lub studiują lub gdy zakładają lub prowadzą tam działalność gospodarczą. Informacje należy uznać za wystarczająco kompleksowe, jeżeli obejmują one wszystkie informacje niezbędne użytkownikom, aby zrozumieli oni swoje prawa i obowiązki oraz jeżeli informacje te wskazują przepisy mające zastosowanie do tych użytkowników w związku z działaniami, jakie chcą oni podejmować jako użytkownicy transgraniczni. Informacje te powinny być podane w jasny, zwięzły i zrozumiały sposób, powinny być funkcjonalne i dobrze dostosowane do docelowej grupy użytkowników. Informacje na temat procedur powinny obejmować wszystkie możliwe do przewidzenia kroki proceduralne, które mają znaczenie dla użytkowników. Ważne jest, aby obywatele i przedsiębiorstwa, mający do czynienia ze złożonym środowiskiem regulacyjnym, na przykład uczestniczący w handlu elektronicznym i gospodarce współpracy, mogli w łatwy sposób znaleźć mające zastosowanie przepisy oraz dowiedzieć się w jaki sposób przepisy te stosuje się do ich działań lub działalności. Łatwy i przyjazny dla użytkownika dostęp do informacji oznacza umożliwienie użytkownikom łatwego znalezienia informacji, łatwej identyfikacji elementów informacji mających znaczenie w ich konkretnej sytuacji, oraz łatwego zrozumienia odpowiednich informacji. Informacje, które mają być zapewniane na poziomie krajowym, powinny dotyczyć nie tylko przepisów krajowych wdrażających prawo Unii, ale również wszelkich innych przepisów krajowych, które mają zastosowanie zarówno do użytkowników nietransgranicznych, jak i do użytkowników transgranicznych.

(8)

Zawarte w niniejszym rozporządzeniu przepisy dotyczące zapewniania informacji nie powinny mieć zastosowania do krajowych systemów wymiaru sprawiedliwości, ponieważ informacje z tej dziedziny mające znaczenie dla użytkowników transgranicznych są już zawarte w portalu „e-Sprawiedliwość”. W niektórych sytuacjach objętych zakresem stosowania niniejszego rozporządzenia sądy powinny być uznawane za właściwe organy, na przykład w przypadku gdy prowadzą one rejestry przedsiębiorstw. Ponadto zasada niedyskryminacji powinna mieć zastosowanie także do procedur online, które dają dostęp do postępowań sądowych.

(9)

Oczywiste jest, że obywatele i przedsiębiorstwa z innych państw członkowskich mogą być w niekorzystnej sytuacji ze względu na swój brak znajomości krajowych przepisów i systemów administracyjnych, różnice językowe oraz geograficzne oddalenie od właściwych organów w państwach członkowskich innych niż ich własne. Najbardziej skutecznym sposobem zmniejszenia związanych z tym przeszkód w funkcjonowaniu rynku wewnętrznego jest umożliwienie użytkownikom transgranicznym i nietransgranicznym dostępu do informacji online w języku dla nich zrozumiałym w celu umożliwienia im przeprowadzenia procedur niezbędnych do przestrzegania przepisów krajowych w pełni online oraz udzielenie im wsparcia w przypadku gdy przepisy i procedury nie są wystarczająco jasne lub w przypadku gdy napotykają oni na przeszkody w korzystaniu ze swoich praw.

(10)

W wielu aktach Unii próbowano znaleźć rozwiązanie poprzez utworzenie sektorowych punktów kompleksowej obsługi, w tym: pojedynczych punktów kontaktowych utworzonych na mocy dyrektywy Parlamentu Europejskiego i Rady 2006/123/WE (3), oferujących informacje online, usługi wsparcia oraz dostęp do procedur dotyczących świadczenia usług; punktów kontaktowych ds. produktów utworzonych na mocy rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 764/2008 (4) oraz punktów kontaktowych ds. wyrobów budowlanych utworzonych na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 305/2011 (5), zapewniających dostęp do przepisów technicznych dotyczących konkretnych produktów; a także krajowych ośrodków wsparcia ds. kwalifikacji zawodowych utworzonych na mocy dyrektywy Parlamentu Europejskiego i Rady 2005/36/WE (6), wspierających specjalistów w zakresie mobilności transgranicznej. Ponadto utworzono sieci, takie jak Europejskie Centra Konsumenckie, w celu propagowania znajomości praw konsumentów Unii oraz wspierania w rozpatrywaniu skarg dotyczących zakupów dokonywanych w innych państwach członkowskich w ramach sieci, podczas podróży lub zakupów przez internet. Ponadto w ramach SOLVIT, o którym mowa w zaleceniu Komisji 2013/461/UE (7), dąży się do znalezienia szybkich, skutecznych i nieformalnych rozwiązań dla osób fizycznych i przedsiębiorstw gdy ich prawa na rynku wewnętrznym nie są przestrzegane przez organy publiczne. Utworzono również szereg portali informacyjnych, takich jak „Twoja Europa”, w obszarze rynku wewnętrznego, oraz portal „e-Sprawiedliwość”, w obszarze sprawiedliwości, aby informować użytkowników o przepisach Unii i przepisach krajowych.

(11)

Ze względu na sektorowy charakter tych aktów Unii zapewnianie informacji oraz usług wsparcia i rozwiązywania problemów online wraz z procedurami online dla obywateli i przedsiębiorstw jest obecnie bardzo rozdrobnione. Występują różnice w dostępności informacji i procedur online, jakość usług jest niska, a usługi informacyjne oraz usługi wsparcia i rozwiązywania problemów są mało znane. Użytkownicy transgraniczni napotykają również problemy odnajdywaniu tych usług i uzyskiwaniu do nich dostępu.

(12)

W niniejszym rozporządzeniu należy utworzyć jednolity portal cyfrowy pełniący funkcję punktu kompleksowej usługi, za pośrednictwem którego obywatele i przedsiębiorstwa mogą mieć dostęp do informacji na temat przepisów i wymogów, których muszą przestrzegać na mocy prawa Unii lub prawa krajowego. Portal powinien uprościć kontakt obywateli i przedsiębiorstw z usługami wsparcia i rozwiązywania problemów na poziomie Unii lub na poziomie krajowym oraz zwiększyć skuteczność tego kontaktu. Portal powinien również ułatwić dostęp do procedur online i ich przeprowadzanie. Niniejsze rozporządzenie nie powinno w żaden sposób wpływać na istniejące prawa i obowiązki wynikające z prawa Unii lub prawa krajowego w tych obszarach polityki. W odniesieniu do procedur wymienionych w załączniku II do niniejszego rozporządzenia oraz procedur przewidzianych w dyrektywach 2005/36/WE i 2006/123/WE, a także w dyrektywach Parlamentu Europejskiego i Rady 2014/24/UE (8) i 2014/25/UE (9), niniejsze rozporządzenie powinno wspierać stosowanie zasady jednorazowości i powinno być w pełni zgodne z prawem podstawowym do ochrony danych osobowych, do celów wymiany dowodów między właściwymi organami w różnych państwach członkowskich.

(13)

Portal oraz jego zawartość powinny być zorientowane na użytkownika i przyjazne dla użytkownika. Portal powinien mieć na celu unikanie powieleń oraz powinien zawierać linki do istniejących usług. Powinien umożliwiać obywatelom i przedsiębiorstwom kontaktowanie się z organami publicznymi na poziomie krajowym i na poziomie Unii poprzez zapewnianie im możliwości przekazywania informacji zwrotnych zarówno w odniesieniu do usług świadczonych za pośrednictwem Portalu, jak i ich doświadczeń związanych z funkcjonowaniem rynku wewnętrznego. Narzędzie do gromadzenia informacji zwrotnych powinno umożliwiać użytkownikowi zwrócenie uwagi, w sposób umożliwiający mu zachowanie anonimowości, na zauważone problemy, braki i potrzeby, aby zachęcać do ciągłej poprawy jakości usług.

(14)

Sukces Portalu będzie zależał od wspólnego wysiłku Komisji i państw członkowskich. Portal powinien obejmować wspólny interfejs użytkownika, zintegrowany z istniejącym portalem „Twoja Europa”, którym będzie zarządzać Komisja. Wspólny interfejs użytkownika powinien zawierać linki do informacji, procedur oraz usług wsparcia i rozwiązywania problemów dostępnych w portalach zarządzanych przez właściwe organy w państwach członkowskich oraz przez Komisję. W celu ułatwienia korzystania z Portalu wspólny interfejs użytkownika powinien być dostępny we wszystkich językach urzędowych instytucji Unii (zwanych dalej „językami urzędowymi Unii”). Istniejący portal „Twoja Europa” oraz strona internetowa zapewniająca główny dostęp do niego, przystosowane do wymogów Portalu, powinny utrzymać to wielojęzyczne podejście do zapewnianych informacji. Funkcjonowanie Portalu powinno opierać się na narzędziach technicznych opracowanych przez Komisję w ścisłej współpracy z państwami członkowskimi.

(15)

W karcie elektronicznych pojedynczych punktów kontaktowych w ramach dyrektywy 2006/123/WE, która została zatwierdzona przez Radę w 2013 r., państwa członkowskie podjęły dobrowolne zobowiązanie do przyjęcia podejścia zorientowanego na użytkownika w zapewnianiu informacji za pośrednictwem pojedynczych punktów kontaktowych w celu uwzględnienia obszarów o szczególnym znaczeniu dla przedsiębiorstw, w tym VAT, podatków dochodowych, zabezpieczeń społecznych lub wymogów prawa pracy. W oparciu o kartę oraz w świetle doświadczeń z portalem „Twoja Europa” w informacjach tych należy również zawrzeć opis usług wsparcia i rozwiązywania problemów. Obywatele i przedsiębiorstwa powinny móc korzystać z takich usług w przypadku problemów ze zrozumieniem informacji, z zastosowaniem informacji do swojej sytuacji lub z przeprowadzeniem procedury.

(16)

W niniejszym rozporządzeniu powinny zostać wymienione obszary informacji, które mają znaczenie dla obywateli i przedsiębiorstw korzystających ze swoich praw i wypełniających swoje obowiązki na rynku wewnętrznym. Dla tych obszarów na poziomie krajowym, w tym na poziomie regionalnym i lokalnym, oraz na poziomie Unii należy zapewnić wystarczająco kompleksowe informacje dotyczące mających zastosowanie przepisów i obowiązków oraz procedur, które obywatele i przedsiębiorstwa muszą przeprowadzić w celu zapewnienia zgodności z tymi przepisami i obowiązkami. W celu zapewnienia wysokiej jakości oferowanych usług informacje przekazywane za pośrednictwem Portalu powinny być jasne, dokładne i aktualne, stosowanie skomplikowanej terminologii powinno być ograniczone do minimum, a zastosowanie skrótowców powinno być ograniczone do tych, które oznaczają uproszczone i łatwe do zrozumienia terminy niewymagające wcześniejszej znajomości danego zagadnienia lub dziedziny prawa. Informacje te należy zapewniać w taki sposób, aby użytkownicy mogli łatwo zrozumieć podstawowe przepisy i wymogi mające zastosowanie do ich sytuacji w tych obszarach. Użytkownicy powinni być również informowani o braku, w niektórych państwach członkowskich, przepisów krajowych w obszarach informacji wymienionych w załączniku I, zwłaszcza w przypadku gdy obszary te podlegają przepisom krajowym w innych państwach członkowskich. Takie informacje o braku przepisów krajowych mogłyby zostać zawarte w portalu „Twoja Europa”.

(17)

Na tyle, na ile jest to możliwe, informacje zebrane już przez Komisję od państw członkowskich na podstawie obowiązującego prawa Unii lub dobrowolnych porozumień – takie jak informacje zebrane do celów portalu EURES, utworzonego na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/589 (10), portalu „e-Sprawiedliwość”, utworzonego na mocy decyzji Rady 2001/470/WE (11), lub bazy danych o zawodach regulowanych utworzonej na mocy dyrektywy 2005/36/WE – powinny być wykorzystane jako część informacji, które mają być udostępniane obywatelom i przedsiębiorstwom na poziomie Unii i na poziomie krajowym zgodnie z niniejszym rozporządzeniem. Państwa członkowskie nie powinny być zobowiązane do podawania na swoich krajowych stronach internetowych informacji, które są już dostępne w odpowiednich bazach danych zarządzanych przez Komisję. W przypadku gdy państwa członkowskie muszą już zapewniać informacje online zgodnie z innymi aktami Unii, takimi jak dyrektywa Parlamentu Europejskiego i Rady 2014/67/UE (12), wystarczające powinno być udostępnienie przez państwa członkowskie linków do istniejących informacji online. W przypadku gdy pewne obszary polityki zostały już w pełni zharmonizowane przez prawo Unii, na przykład prawa konsumentów, informacje zapewniane na poziomie Unii na ogół powinny być wystarczające, aby użytkownicy mogli zrozumieć swoje odpowiednie prawa lub obowiązki. W takich przypadkach państwa członkowskie powinny być zobowiązane jedynie do zapewnienia dodatkowych informacji dotyczących ich krajowych procedur administracyjnych i usług wsparcia lub wszelkich innych krajowych przepisów administracyjnych, jeżeli informacje te mają znaczenie dla użytkowników. Na przykład, informacje dotyczące praw konsumentów nie powinny mieć wpływu na prawo umów, lecz raczej informować użytkowników o ich prawach wynikających z prawa Unii i prawa krajowego w kontekście transakcji handlowych.

(18)

Niniejsze rozporządzenie powinno wzmacniać wymiar rynku wewnętrznego w procedurach online, tym samym przyczyniając się do cyfryzacji rynku wewnętrznego, poprzez utrzymywanie ogólnej zasady niedyskryminacji, między innymi w odniesieniu do dostępu obywateli lub przedsiębiorstw do procedur online już ustanowionych na poziomie krajowym na podstawie prawa Unii lub prawa krajowego oraz do procedur, które mają stać się w pełni dostępne online zgodnie z niniejszym rozporządzeniem. W przypadku gdy użytkownik, w sytuacji ograniczonej wyłącznie do jednego państwa członkowskiego, może mieć dostęp do procedury online oraz przeprowadzić ją w tym państwie członkowskim w obszarze objętym zakresem stosowania niniejszego rozporządzenia, użytkownik transgraniczny również powinien mieć możliwość dostępu do tej procedury online i przeprowadzenia jej za pośrednictwem tego samego rozwiązania technicznego albo alternatywnego, odrębnego technicznie rozwiązania prowadzącego do tego samego rezultatu, bez jakichkolwiek przeszkód o charakterze dyskryminacyjnym. Takie przeszkody mogą obejmować rozwiązania opracowane na poziomie krajowym, takie jak wykorzystywanie pól formularzy, w których należy podać krajowy numer telefonu, krajowe prefiksy numerów telefonu lub krajowe kody pocztowe, płatności, których można dokonać wyłącznie za pośrednictwem systemów nieobsługujących płatności transgranicznych, brak szczegółowych wyjaśnień w języku zrozumiałym dla użytkowników transgranicznych, brak możliwości elektronicznego przedłożenia dowodów pochodzących od organów z innych państw członkowskich oraz nieuznawanie elektronicznych środków identyfikacji wydanych w innych państwach członkowskich. Państwa członkowskie powinny zapewnić rozwiązania służące usunięciu takich przeszkód.

(19)

Użytkownicy, przeprowadzając procedury online w wymiarze transgranicznym, powinni mieć możliwość otrzymania wszystkich istotnych wyjaśnień w języku urzędowym Unii, który jest powszechnie rozumiany przez możliwie największą liczbę użytkowników transgranicznych. Nie nakłada to na państwa członkowskie wymogu przetłumaczenia ich formularzy administracyjnych związanych z daną procedurą ani wyniku tej procedury na ten język. Państwa członkowskie zachęca się jednak do stosowania rozwiązań technicznych, które umożliwiałyby użytkownikom przeprowadzanie procedur, w możliwie największej liczbie przypadków, w tym języku, przy jednoczesnym poszanowaniu przepisów państw członkowskich dotyczących stosowania języków.

(20)

To, które krajowe procedury online mają znaczenie dla użytkowników transgranicznych, aby umożliwić im korzystanie z ich praw na rynku wewnętrznym, zależy od tego, czy mają oni miejsce pobytu lub siedzibę w danym państwie członkowskim, czy też chcą skorzystać z procedur tego państwa członkowskiego, mając miejsce pobytu lub siedzibę w innym państwie członkowskim. Niniejsze rozporządzenie nie powinno uniemożliwiać państwom członkowskim wymagania od użytkowników transgranicznych mających miejsce pobytu lub siedzibę na ich terytorium, aby uzyskali oni krajowy numer identyfikacyjny w celu uzyskania dostępu do krajowych procedur online, pod warunkiem że nie będzie to pociągało za sobą nieuzasadnionych dodatkowych obciążeń lub kosztów dla tych użytkowników. W przypadku użytkowników transgranicznych, którzy nie mają miejsca pobytu lub siedziby w danym państwie członkowskim, krajowe procedury online, które nie mają znaczenia dla korzystania przez nich z praw na rynku wewnętrznym, na przykład zgłoszenie w celu korzystania z usług lokalnych, takich jak wywóz śmieci i pozwolenia na parkowanie, nie muszą być w pełni dostępne online.

(21)

Niniejsze rozporządzenie powinno opierać się na rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 (13), które określa warunki uznawania przez państwa członkowskie niektórych środków identyfikacji elektronicznej osób fizycznych i prawnych, objętych notyfikowanym systemem identyfikacji elektronicznej innego państwa członkowskiego. W rozporządzeniu (UE) nr 910/2014 określono warunki, jakie muszą spełnić użytkownicy, aby móc korzystać ze swoich środków elektronicznej identyfikacji i uwierzytelniania elektronicznego w celu uzyskania dostępu do usług publicznych online w sytuacjach transgranicznych. Zachęca się instytucje, organy i jednostki organizacyjne Unii do akceptowania środków identyfikacji elektronicznej i uwierzytelniania elektronicznego w przypadku procedur, za które są odpowiedzialne.

(22)

W szeregu sektorowych aktów Unii, na przykład w dyrektywach 2005/36/WE, 2006/123/WE, 2014/24/UE oraz 2014/25/UE, wymaga się pełnej dostępności procedur online. W niniejszym rozporządzeniu należy wprowadzić wymóg pełnego udostępnienia online szeregu innych procedur, które mają kluczowe znaczenie dla większości obywateli i przedsiębiorstw korzystających ze swoich praw oraz wypełniających swoje obowiązki w wymiarze transgranicznym.

(23)

Aby umożliwić obywatelom i przedsiębiorstwom bezpośrednie korzystanie z dobrodziejstw rynku wewnętrznego bez zbędnych dodatkowych obciążeń administracyjnych, w niniejszym rozporządzeniu należy wprowadzić wymóg pełnej cyfryzacji interfejsu użytkownika niektórych kluczowych procedur dla użytkowników transgranicznych, które zostały wymienione w załączniku II do niniejszego rozporządzenia. W niniejszym rozporządzeniu należy również ustanowić kryteria określające sposób, w jaki te procedury uznaje się za będące w pełni online. Obowiązek udostępnienia takiej procedury w pełni online powinien mieć zastosowanie jedynie w przypadku gdy procedura ta została ustanowiona w danym państwie członkowskim. Niniejsze rozporządzenie nie powinno obejmować początkowej rejestracji działalności gospodarczej, procedur prowadzących do zakładania spółek lub firm będących podmiotami prawnymi ani też jakiegokolwiek późniejszego składania dokumentów przez takie spółki lub firmy, ponieważ procedury takie wymagają kompleksowego podejścia, którego celem są ułatwienia w zakresie rozwiązań cyfrowych w całym cyklu życia spółki. Przy zakładaniu działalności gospodarczej w innym państwie członkowskim od przedsiębiorstw wymaga się rejestracji w systemach zabezpieczenia społecznego i ubezpieczeń społecznych, aby móc rejestrować ich pracowników i opłacać składki w obu systemach. Przedsiębiorstwa mogłyby być zobowiązane do zgłoszenia swojej działalności gospodarczej, uzyskania zezwoleń lub rejestracji zmian w ich działalności gospodarczej. Procedury te są wspólne dla przedsiębiorstw prowadzących działalność w wielu sektorach gospodarki, w związku z czym należy wymagać, aby te procedury rejestracji były dostępne online.

(24)

W niniejszym rozporządzeniu należy wyjaśnić, z czym wiąże się udostępnianie procedury w pełni online. Procedurę należy uznać za w pełni online, jeżeli użytkownik może podjąć wszystkie kroki – od uzyskania dostępu do niej do jej zakończenia – kontaktując się z właściwym organem, tzw. „działem obsługi klienta”, elektronicznie, na odległość i za pośrednictwem usługi online. Ta usługa online powinna prowadzić użytkownika poprzez wykaz wszystkich wymogów, które należy spełnić, oraz wszystkich dowodów potwierdzających, które należy dostarczyć, powinna ona umożliwiać użytkownikowi dostarczanie informacji i potwierdzenia spełnienia wszystkich takich wymogów oraz powinna wydawać użytkownikowi automatyczne potwierdzenie odbioru, chyba że wynik tej procedury dostarczany jest natychmiast. Nie powinno to uniemożliwiać właściwym organom bezpośredniego kontaktu z użytkownikami, aby w razie potrzeby otrzymać dalsze wyjaśnienia potrzebne do celów procedury. Wynik procedury, jak określono w niniejszym rozporządzeniu, powinien być również przekazywany użytkownikowi przez właściwe organy drogą elektroniczną, w przypadkach gdy jest to możliwe na mocy mającego zastosowanie prawa Unii i prawa krajowego.

(25)

Niniejsze rozporządzenie nie powinno mieć wpływu na istotę procedur wymienionych w załączniku II, które zostały ustanowione na poziomie krajowym, regionalnym lub lokalnym, oraz nie ustanawia przepisów materialnych lub proceduralnych w obszarach objętych zakresem stosowania załącznika II, w tym w obszarze opodatkowania. Celem niniejszego rozporządzenia jest ustanowienie wymogów technicznych z myślą o zapewnieniu, aby takie procedury, w przypadku gdy zostały one ustanowione w danym państwie członkowskim, były w pełni dostępne online.

(26)

Niniejsze rozporządzenie nie powinno mieć wpływu na kompetencje organów krajowych w zakresie jakiejkolwiek procedury, w tym w zakresie weryfikacji dokładności i ważności przedłożonych informacji lub dowodów, a także weryfikacji autentyczności w przypadku złożenia dowodu za pośrednictwem środka innego niż system techniczny oparty na zasadzie jednorazowości. Niniejsze rozporządzenie nie powinno również mieć wpływu na przebieg procedury w ramach właściwych organów lub między właściwymi organami, tzw. „działami wewnętrznymi”, niezależnie od tego, czy jest on cyfrowy, czy też nie. W razie potrzeby, w ramach niektórych procedur rejestrowania zmian w działalności gospodarczej, państwa członkowskie powinny nadal móc wymagać udziału notariuszy lub prawników, którzy mogliby chcieć stosować środki weryfikacji takie jak wideokonferencja lub inne środki online zapewniające połączenie audiowizualne w czasie rzeczywistym. Jednakże taki udział nie powinien uniemożliwiać przeprowadzenia procedury rejestracji takich zmian w całości online.

(27)

W niektórych przypadkach użytkownicy mogliby być zobowiązani do przedstawienia dowodów w celu udowodnienia faktów, których nie można ustalić za pomocą środków elektronicznych. Takie dowody mogłyby obejmować zaświadczenia lekarskie, zaświadczenie o życiu, potwierdzenie zdatności do ruchu drogowego pojazdów silnikowych lub dowód kontroli numerów podwozia. O ile dowody takie mogą zostać przedłożone w formie elektronicznej, nie powinno to stanowić wyjątku od zasady, że procedura powinna być oferowana w pełni online. W innych przypadkach konieczne mogłoby być nadal, aby użytkownicy danej procedury stawiali się osobiście przed właściwym organem w ramach procedury online. Wszelkie takie wyjątki, inne niż wynikające z prawa Unii, powinny być ograniczone do sytuacji, które są uzasadnione nadrzędnym względem interesu publicznego w obszarach bezpieczeństwa publicznego, zdrowia publicznego lub zwalczania nadużyć finansowych. Aby zapewnić przejrzystość, państwa członkowskie powinny udostępniać Komisji i pozostałym państwom członkowskim informacje o takich wyjątkach oraz powody stosowania tych wyjątków oraz okoliczności, w których mogą one być stosowane. Państwa członkowskie nie powinny być zobowiązane do zgłaszania poszczególnych przypadków, w których, w drodze wyjątku, fizyczna obecność była wymagana, ale powinny raczej informować o przepisach krajowych, które przewidują takie przypadki. Najlepsze praktyki na poziomie krajowym oraz rozwój technologiczny pozwalający na dalszą cyfryzację w tym zakresie powinny być regularnie przedmiotem dyskusji na forum grupy koordynacyjnej Portalu.

(28)

W sytuacjach transgranicznych procedura rejestracji zmiany adresu mogłaby składać się z dwóch odrębnych procedur – jednej w państwie członkowskim pochodzenia, aby zwrócić się o wyrejestrowanie ze starego adresu, oraz drugiej w państwie członkowskim przeznaczenia, aby zwrócić się o rejestrację pod nowym adresem. Obie procedury powinny być objęte zakresem stosowania niniejszego rozporządzenia.

(29)

Ponieważ cyfryzacja wymogów, procedur i formalności związanych z uznawaniem kwalifikacji zawodowych jest już objęta zakresem stosowania dyrektywy 2005/36/WE, niniejsze rozporządzenie powinno obejmować wyłącznie cyfryzację procedury występowania o akademickie uznawanie dyplomów, certyfikatów lub innych świadectw ukończenia kursów w przypadku osób, które chcą rozpocząć lub kontynuować studia, lub też używać tytułu naukowego – w zakresie nieobjętym formalnościami związanymi z uznawaniem kwalifikacji zawodowych.

(30)

Niniejsze rozporządzenie nie powinno mieć wpływu na przepisy w zakresie koordynacji zabezpieczenia społecznego określone w rozporządzeniach Parlamentu Europejskiego i Rady (WE) nr 883/2004 (14) oraz (WE) nr 987/2009 (15), które określają prawa i obowiązki ubezpieczonych i instytucji zabezpieczenia społecznego oraz procedury mające zastosowanie w dziedzinie koordynacji zabezpieczenia społecznego.

(31)

Na poziomie Unii i na poziomie krajowym ustanowiono szereg sieci i usług, które mają wspierać obywateli i przedsiębiorstwa w działalności transgranicznej. Ważne jest, aby te usługi, w tym istniejące usługi wsparcia lub rozwiązywania problemów ustanowione na poziomie Unii, takie jak Europejskie Centra Konsumenckie, portal „Twoja Europa – Porady”, SOLVIT, Punkt Informacyjny IPR, Europe Direct oraz sieć Enterprise Europe Network, stanowiły część Portalu w celu zapewnienia, aby potencjalni użytkownicy mogli je znaleźć. Usługi wymienione w załączniku III ustanowiono na mocy wiążących aktów Unii, podczas gdy inne usługi funkcjonują na zasadzie dobrowolności. Usługi ustanowione na mocy wiążących aktów Unii powinny podlegać wymogom jakości określonym w niniejszym rozporządzeniu. Usługi funkcjonujące na zasadzie dobrowolności powinny spełniać te wymogi jakości, jeżeli mają być one dostępne za pośrednictwem Portalu. Zakres i charakter tych usług, ich struktury zarządzania, obowiązujące terminy oraz dobrowolna, umowna lub inna podstawa ich funkcjonowania nie powinny być zmieniane niniejszym rozporządzeniem. Na przykład w przypadku gdy wsparcie udzielane za pośrednictwem tych usług ma charakter nieformalny, niniejsze rozporządzenie nie powinno mieć skutku w postaci zmiany takiego wsparcia w doradztwo prawne o wiążącym charakterze.

(32)

Ponadto państwa członkowskie i Komisja powinny mieć możliwość dodawania do Portalu innych krajowych usług wsparcia lub rozwiązywania problemów – świadczonych przez właściwe organy lub przez podmioty prywatne lub półprywatne, lub organy publiczne, takie jak izby handlowe – lub pozarządowych usług wsparcia dla obywateli, na warunkach określonych w niniejszym rozporządzeniu. Co do zasady właściwe organy powinny być odpowiedzialne za udzielanie pomocy obywatelom i przedsiębiorstwom w zakresie wszelkich zapytań dotyczących mających zastosowanie przepisów i procedur, na które nie można w pełni odpowiedzieć za pośrednictwem usług online. Jednakże w wysoko wyspecjalizowanych obszarach oraz w przypadku gdy usługa świadczona przez podmioty prywatne lub półprywatne spełnia potrzeby użytkowników, państwa członkowskie mogą zaproponować Komisji uwzględnienie takich usług w Portalu, o ile usługi te spełniają wszystkie warunki określone w niniejszym rozporządzeniu oraz nie powielają już uwzględnionych usług wsparcia lub rozwiązywania problemów.

(33)

Aby pomóc użytkownikom w znalezieniu właściwej usługi niniejsze rozporządzenie powinno przewidywać wyszukiwarkę usług wsparcia, automatycznie kierującą użytkowników do właściwej usługi.

(34)

Zasadnicze znaczenie dla powodzenia Portalu ma przestrzeganie minimalnego wykazu wymogów jakości, aby zapewnić rzetelność zapewnianych informacji i usług, ponieważ w przeciwnym razie wiarygodność Portalu jako całości byłaby poważnie zagrożona. Nadrzędnym celem osiągnięcia zgodności z przepisami jest zapewnienie, aby informacja lub usługa zostały przedstawione w sposób jasny i przyjazny dla użytkownika. Aby zrealizować ten cel, państwa członkowskie mają obowiązek określić w jaki sposób informacje będą prezentowane w przebiegu ścieżki użytkownika. Na przykład, choć otrzymanie, przed rozpoczęciem procedury, informacji o ogólnie dostępnych środkach odwoławczych dostępnych w przypadku negatywnego wyniku procedury jest dla użytkownika pomocne, dużo bardziej przyjazne dla użytkownika jest podawanie wszelkich konkretnych informacji na temat ewentualnych kolejnych kroków, które należy podjąć w takiej sytuacji, na końcu procedury.

(35)

Dostępność informacji dla użytkowników transgranicznych może ulec znacznej poprawie, jeżeli informacje te będą dostępne w języku urzędowym Unii powszechnie rozumianym przez możliwie największą liczbę użytkowników transgranicznych. Język ten powinien być w większości przypadków językiem obcym, którego uczy się jak najwięcej użytkowników w całej Unii, ale w niektórych szczególnych przypadkach, w szczególności w przypadku gdy informacje mają być udostępniane na poziomie lokalnym przez małe gminy w pobliżu granicy państwa członkowskiego, najbardziej odpowiedni może być język używany jako pierwszy język użytkowników transgranicznych w sąsiednim państwie członkowskim. Tłumaczenie z języka urzędowego lub języków urzędowych danego państwa członkowskiego na ten inny język urzędowy Unii powinno dokładnie oddawać treść informacji przekazanych w języku lub językach oryginału. Tłumaczenie może być ograniczone do informacji, których użytkownicy potrzebują do zrozumienia podstawowych przepisów i wymogów mających zastosowanie do ich sytuacji. Chociaż należy zachęcać państwa członkowskie do przetłumaczenia możliwie jak największej ilości informacji na język urzędowy Unii, który jest powszechnie rozumiany przez możliwie największą liczbę użytkowników transgranicznych, ilość informacji, które mają być przetłumaczone zgodnie z niniejszym rozporządzeniem będzie zależeć od zasobów finansowych dostępnych na ten cel, w szczególności zasobów pochodzących z budżetu Unii. Komisja powinna dokonać odpowiednich ustaleń w celu zapewnienia sprawnego dostarczania tłumaczeń państwom członkowskim na ich wniosek. Grupa koordynacyjna Portalu powinna poddać dyskusji i opracować wytyczne dotyczące języka lub języków urzędowych Unii, na które takie informacje powinny zostać przetłumaczone.

(36)

Zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/2102 (16) państwa członkowskie są zobowiązane do zapewnienia dostępu do stron internetowych swoich organów publicznych zgodnie z zasadami postrzegalności, funkcjonalności, zrozumiałości i integralności oraz zapewnienia, aby ich strony internetowe były zgodne z wymogami określonymi w tej dyrektywie. Komisja oraz państwa członkowskie powinny zapewnić zgodność z Konwencją Narodów Zjednoczonych o prawach osób niepełnosprawnych, w szczególności z jej art. 9 i 21, oraz w celu poprawy dostępu do informacji dla osób niepełnosprawnych intelektualnie, w jak największym stopniu i zgodnie z zasadą proporcjonalności, zapewnić alternatywne rozwiązania w łatwym do zrozumienia języku. Państwa członkowskie, poprzez ratyfikację tej konwencji, oraz Unia, poprzez jej zawarcie (17) zobowiązały się do podjęcia odpowiednich środków, aby zapewnić osobom niepełnosprawnym dostęp na równi z innymi osobami do nowych technologii informacyjno-komunikacyjnych (zwanych dalej „ICT”) oraz systemów ICT, w tym internetu, poprzez ułatwienie dostępu do informacji dla osób niepełnosprawnych intelektualnie, zapewniając w jak największym stopniu i proporcjonalnie alternatywne rozwiązania w łatwym do zrozumienia języku.

(37)

Dyrektywa (UE) 2016/2102 nie ma zastosowania do stron internetowych i aplikacji mobilnych instytucji, organów i jednostek organizacyjnych Unii, jednak Komisja powinna zapewnić, aby wspólny interfejs użytkownika i strony internetowe, za które jest odpowiedzialna i które mają znaleźć się w Portalu, były dostępne dla osób niepełnosprawnych, co oznacza, że muszą one być postrzegalne, funkcjonalne, zrozumiałe i integralne. Postrzegalność oznacza, że informacje i elementy wspólnego interfejsu użytkownika muszą być przedstawiane użytkownikom w sposób, który potrafią oni dostrzec; funkcjonalność oznacza, że elementy wspólnego interfejsu użytkownika i nawigacja muszą być funkcjonalne; zrozumiałość oznacza, że informacje i obsługa wspólnego interfejsu użytkownika muszą być zrozumiałe; a integralność oznacza, że treści muszą być wystarczająco integralne, aby mogły być skutecznie interpretowane przez różnego rodzaju aplikacje klienckie, w tym technologie wspomagające. W odniesieniu do pojęć postrzegalności, funkcjonalności, zrozumiałości i integralności zachęca się Komisję do zapewnienia zgodności z odpowiednimi zharmonizowanymi normami.

(38)

W celu ułatwienia uiszczania opłat wymaganych w ramach procedur online lub za korzystanie z usług wsparcia lub rozwiązywania problemów użytkownicy transgraniczni powinni mieć możliwość korzystania z poleceń przelewu lub poleceń zapłaty, zdefiniowanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 260/2012 (18), lub innych powszechnie stosowanych środków płatności transgranicznych, w tym kart debetowych lub kredytowych.

(39)

Przydatne jest, aby użytkownicy byli informowani o przewidywanym czasie trwania procedury. W związku z tym powinni być oni informowani o mających zastosowanie terminach lub ustaleniach dotyczących dorozumianego zatwierdzenia lub milczenia administracji lub – jeśli powyższe nie mają zastosowania – przynajmniej o średnim, szacowanym lub orientacyjnym czasie, jakiego dana procedura zwykle wymaga. Takie szacunki lub wskazania powinny jedynie pomagać użytkownikom w planowaniu ich działań lub wszelkich dalszych kroków administracyjnych i nie powinny wywierać skutków prawnych.

(40)

W niniejszym rozporządzeniu należy również umożliwić weryfikację dowodów dostarczonych przez użytkowników w formie elektronicznej w przypadku gdy dowody te są przedkładane bez pieczęci lub certyfikacji elektronicznej właściwego organu wydającego, lub w przypadku gdy nie jest dostępne narzędzie techniczne utworzone na mocy niniejszego rozporządzenia lub inny system umożliwiający bezpośrednią wymianę lub weryfikację dowodów między właściwymi organami różnych państw członkowskich. W takich przypadkach niniejsze rozporządzenie powinno przewidywać skuteczny mechanizm współpracy administracyjnej między właściwymi organami państw członkowskich, oparty na systemie wymiany informacji na rynku wewnętrznym (zwanym dalej „IMI”), utworzonym na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1024/2012 (19). W takich przypadkach decyzja właściwego organu o zastosowaniu IMI powinna być dobrowolna, ale z chwilą gdy organ ten zwróci się z wnioskiem o przekazanie informacji lub o współpracę za pośrednictwem IMI, właściwy organ, do którego się zwrócono, powinien być zobowiązany do współpracy i do przekazania odpowiedzi. Wniosek można przesłać za pośrednictwem IMI do właściwego organu wydającego dany dowód albo do organu centralnego, który ma być wyznaczony przez państwa członkowskie zgodnie z ich własnymi przepisami administracyjnymi. Aby uniknąć niepotrzebnego powielania oraz z uwagi na fakt, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/1191 (20) obejmuje część dowodów mających znaczenie w procedurach objętych zakresem stosowania niniejszego rozporządzenia, warunki współpracy w ramach IMI określone w rozporządzeniu (UE) 2016/1191 mogą być również stosowane w odniesieniu do innych dowodów wymaganych w procedurach objętych zakresem stosowania niniejszego rozporządzenia. Aby umożliwić organom i jednostkom organizacyjnym Unii uczestnictwo w IMI, należy zmienić rozporządzenie (UE) nr 1024/2012.

(41)

Usługi online zapewniane przez właściwe organy mają kluczowe znaczenie dla poprawy jakości i bezpieczeństwa usług świadczonych na rzecz obywateli i przedsiębiorstw. Organy administracji publicznej w państwach członkowskich coraz częściej starają się ponownie korzystać z raz przedłożonych danych, odstępując od wymogu wielokrotnego przedkładania tych samych informacji przez obywateli i przedsiębiorstwa. Należy ułatwiać ponowne korzystanie z raz przedłożonych danych w odniesieniu do użytkowników transgranicznych w celu zmniejszenia obciążenia administracyjnego.

(42)

Aby umożliwić zgodną z prawem transgraniczną wymianę dowodów i informacji poprzez zastosowanie zasady jednorazowości w całej Unii, niniejsze rozporządzenie oraz zasadę jednorazowości należy stosować zgodnie ze wszystkimi mającymi zastosowanie przepisami dotyczącymi ochrony danych, w tym zasadą minimalizacji danych, dokładności, ograniczenia przechowywania, integralności i poufności, konieczności, proporcjonalności i ograniczenia celu. Należy je również wdrażać z zachowaniem pełnej zgodności z zasadami bezpieczeństwa i ochrony prywatności już w fazie projektowania oraz przestrzegając także praw podstawowych osób fizycznych, w tym praw dotyczących uczciwości i przejrzystości.

(43)

Państwa członkowskie powinny zapewnić, aby użytkownicy procedur otrzymywali jasne informacje na temat sposobu przetwarzania danych osobowych, które ich dotyczą, zgodnie z art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (21) oraz art. 15 i 16 rozporządzenia (UE) 2018/1725 (22).

(44)

W celu dalszego ułatwienia korzystania z procedur online, w niniejszym rozporządzeniu, zgodnie z zasadą jednorazowości, należy zapewnić podstawy do stworzenia i stosowania w pełni operacyjnego, bezpiecznego i zabezpieczonego systemu technicznego do zautomatyzowanej transgranicznej wymiany dowodów między podmiotami biorącymi udział w danej procedurze, w przypadku gdy obywatele i przedsiębiorstwa złożą w tym przedmiocie wyraźny wniosek. W przypadku gdy wymiana dowodów obejmuje dane osobowe, wniosek należy uznać za wyraźny, jeśli zawiera dobrowolne, konkretne, świadome i jednoznaczne wskazanie – w drodze oświadczenia albo w drodze działania potwierdzającego – że osoba fizyczna życzy sobie dokonania wymiany odpowiednich danych osobowych. Jeśli użytkownik nie jest osobą, której dotyczą dane, procedura online nie powinna mieć wpływu na prawa tej osoby wynikające z rozporządzenia (UE) 2016/679. Transgraniczne stosowanie zasady jednorazowości powinno skutkować tym, że obywatele i przedsiębiorstwa nie będą musieli przedkładać organom publicznym tych samych danych więcej niż raz oraz tym, że dane te będą mogły być również na wniosek użytkownika wykorzystywane do celów przeprowadzania transgranicznych procedur online dotyczących użytkowników transgranicznych. W odniesieniu do właściwego organu wydającego, obowiązek wykorzystania systemu technicznego zautomatyzowanej wymiany dowodów między różnymi państwami członkowskimi powinien mieć zastosowanie jedynie w przypadku, gdy organy zgodnie z prawem wydają w swoim państwie członkowskim dowody w formacie elektronicznym umożliwiającym taką zautomatyzowaną wymianę.

(45)

Wszelka transgraniczna wymiana dowodów powinna mieć odpowiednią podstawę prawną, taką jak dyrektywa 2005/36/WE, 2006/123/WE, 2014/24/UE lub 2014/25/UE, lub – w przypadku procedur wymienionych w załączniku II – inne mające zastosowanie przepisy prawa Unii lub prawa krajowego.

(46)

W niniejszym rozporządzeniu należy ustanowić ogólną zasadę, zgodnie z którą transgraniczna zautomatyzowana wymiana dowodów odbywa się na wyraźny wniosek użytkownika. Jednakże wymóg ten nie powinien mieć zastosowania w przypadku gdy odpowiednie przepisy prawa Unii lub prawa krajowego pozwalają na zautomatyzowaną transgraniczną wymianę danych bez wyraźnego wniosku użytkownika.

(47)

Korzystanie z systemu technicznego utworzonego na mocy niniejszego rozporządzenia powinno pozostać dobrowolne, a użytkownik powinien mieć możliwość przedkładania dowodów za pomocą innych metod niż system techniczny. Użytkownik powinien mieć możliwość podglądu dowodów oraz prawo do podjęcia decyzji o nieprzeprowadzaniu wymiany dowodów w przypadku, gdy po skorzystaniu z możliwości podglądu dowodów, które mają być wymieniane, odkryje on, że informacje są nieścisłe, nieaktualne lub wykraczają poza to, co jest konieczne w kontekście danej procedury. Danych zawartych w podglądzie nie powinno się przechowywać dłużej niż jest to konieczne z technicznego punktu widzenia.

(48)

Zabezpieczony system techniczny, który powinien powstać na potrzeby wymiany dowodów na mocy niniejszego rozporządzenia, powinien również dawać właściwym organom występującym z wnioskiem pewność, że dowody zostały dostarczone przez odpowiedni organ wydający. Przed przyjęciem informacji przekazanych przez użytkownika w kontekście danej procedury właściwy organ powinien móc zweryfikować informacje, w przypadku gdy budzą one wątpliwości, oraz potwierdzić ich dokładność.

(49)

Istnieje już szereg modułów oferujących podstawowe możliwości, które można wykorzystać do utworzenia systemu technicznego, takich jak instrument „Łącząc Europę”, ustanowiony na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1316/2013 (23), oraz moduły do elektronicznego dostarczania dokumentów i do potwierdzania tożsamości elektronicznej, które stanowią część tego instrumentu. Moduły te obejmują specyfikacje techniczne, przykładowe oprogramowanie i usługi wsparcia, oraz mają na celu zapewnienie interoperacyjności między systemami ICT istniejącymi w różnych państwach członkowskich, tak aby obywatele, przedsiębiorstwa i organy administracyjne, niezależnie od tego, gdzie znajdują się w Unii, mogły bezproblemowo korzystać z cyfrowych usług publicznych.

(50)

System techniczny utworzony na mocy niniejszego rozporządzenia powinien być dostępny jako dodatkowy system względem innych systemów zapewniających mechanizmy współpracy między organami, takich jak IMI, oraz nie powinien mieć wpływu na inne systemy, w tym na system przewidziany rozporządzeniu (WE) nr 987/2009, jednolity europejski dokument zamówienia na podstawie dyrektywy 2014/24/UE, system elektronicznej wymiany informacji dotyczących zabezpieczenia społecznego na podstawie rozporządzenia (WE) nr 987/2009, europejską legitymację zawodową na podstawie dyrektywy 2005/36/WE, integrację krajowych rejestrów oraz integrację rejestrów centralnych, handlowych i rejestrów spółek na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/1132 (24) oraz wzajemne połączenie rejestrów upadłości na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/848 (25).

(51)

W celu zapewnienia jednolitych warunków wdrożenia systemu technicznego umożliwiającego zautomatyzowaną wymianę dowodów, należy powierzyć Komisji uprawnienia wykonawcze do określenia, w szczególności, specyfikacji technicznych i operacyjnych systemu służącego do przetwarzania wniosku użytkownika o wymianę dowodów i do przekazywania takich dowodów, a także uprawnienia wykonawcze do ustanowienia przepisów niezbędnych do zapewnienia integralności i poufności takiego przekazywania. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (26).

(52)

Mając na uwadze zapewnienie, aby system techniczny zapewniał wysoki poziom bezpieczeństwa transgranicznego stosowania zasady jednorazowości, przy przyjmowaniu aktów wykonawczych określających specyfikacje takiego systemu technicznego, Komisja powinna należycie uwzględnić normy i specyfikacje techniczne opracowane przez europejskie i międzynarodowe organizacje i organy normalizacyjne, w szczególności przez Europejski Komitet Normalizacyjny (CEN), Europejski Instytut Norm Telekomunikacyjnych (ETSI), Międzynarodową Organizację Normalizacyjną (ISO) oraz Międzynarodowy Związek Telekomunikacyjny (ITU), a także standardy bezpieczeństwa, o których mowa w art. 32 rozporządzenia (UE) 2016/679 i art. 22 rozporządzenia (UE) 2018/1725.

(53)

W przypadku gdy jest to konieczne w celu zapewnienia opracowania, dostępności, utrzymania, nadzoru, monitorowania i zarządzania bezpieczeństwem części systemu technicznego, za które odpowiada Komisja, Komisja powinna zwrócić się o opinię Europejskiego Inspektora Ochrony Danych.

(54)

Właściwe organy oraz Komisja powinny zapewnić, aby informacje, procedury i usługi, za które odpowiadają, były zgodne z kryteriami jakości. Koordynatorzy krajowi wyznaczeni na podstawie niniejszego rozporządzenia oraz Komisja powinni w regularnych odstępach czasu nadzorować przestrzeganie kryteriów jakości i kryteriów bezpieczeństwa, odpowiednio na poziomie krajowym i na poziomie Unii, oraz rozwiązywać wszelkie pojawiające się problemy. Koordynatorzy krajowi powinni ponadto pomagać Komisji w monitorowaniu funkcjonowania systemu technicznego umożliwiającego transgraniczną wymianę dowodów. Niniejsze rozporządzenie powinno przyznawać Komisji wachlarz środków umożliwiających reakcję na pogorszenie jakości usług oferowanych za pośrednictwem Portalu, zależnie od wagi i utrzymywania się takiego pogorszenia jakości, z uwzględnieniem, w razie konieczności, udziału grupy koordynacyjnej Portalu. Powinno to pozostać bez uszczerbku dla ogólnej odpowiedzialności Komisji za monitorowanie przestrzegania niniejszego rozporządzenia.

(55)

Niniejsze rozporządzenie powinno określać najważniejsze funkcje narzędzi technicznych wspomagających funkcjonowanie Portalu, w szczególności wspólnego interfejsu użytkownika, repozytorium linków oraz wspólnej wyszukiwarki usług wsparcia. Wspólny interfejs użytkownika powinien zapewniać, aby użytkownicy mogli łatwo znaleźć informacje, procedury oraz usługi wsparcia i rozwiązywania problemów na stronach internetowych na poziomie krajowym i na poziomie Unii. Państwa członkowskie oraz Komisja powinny dążyć do podawania linków do jednego źródła informacji wymaganych dla Portalu, aby uniknąć dezorientacji wśród użytkowników wynikającej z podania różnych lub całkowicie lub częściowo powielających się źródeł tych samych informacji. Nie powinno to uniemożliwiać podawania linków do tych samych informacji oferowanych przez lokalne lub regionalne właściwe organy, a dotyczących różnych obszarów geograficznych. Nie powinno to również uniemożliwiać powielania pewnych informacji, w przypadku gdy jest to nieuniknione lub pożądane, na przykład w przypadku gdy na krajowych stronach internetowych przypomina się lub opisuje niektóre unijne prawa, obowiązki i przepisy, aby poprawić łatwość obsługi. Aby zminimalizować ręczną obsługę przy aktualizacji linków, które mają być wykorzystywane przez wspólny interfejs użytkownika, należy tam, gdzie jest to technicznie możliwe, wprowadzić bezpośrednie połączenie między odpowiednimi systemami technicznymi państw członkowskich i repozytorium linków. Wspólne wspomagające narzędzia ICT mogłyby korzystać ze słownika podstawowych usług publicznych (zwanego dalej „CPSV”), aby ułatwić interoperacyjność z krajowymi katalogami usług i z semantyką krajową. Państwa członkowskie należy zachęcać do stosowania CPSV, ale mogą one zdecydować się na stosowanie rozwiązań krajowych. Informacje zawarte w repozytorium linków powinny być publicznie dostępne w otwartym, powszechnie używanym i nadającym się do odczytu maszynowego formacie danych, na przykład za pomocą interfejsów programowania aplikacji (API), aby umożliwić ich ponowne wykorzystanie.

(56)

Wyszukiwarka we wspólnym interfejsie użytkownika powinna prowadzić użytkowników do informacji, których potrzebują, niezależnie od tego, czy znajdują się one na stronach internetowych na poziomie Unii, czy na poziomie krajowym. Ponadto, jako alternatywny sposób kierowania użytkowników do użytecznych informacji, nadal przydatne będzie tworzenie linków między istniejącymi i uzupełniającymi się witrynami lub stronami internetowymi, usprawniając i grupując je w możliwie największym stopniu, oraz tworzenie linków między stronami internetowymi i witrynami na poziomie Unii i na poziomie krajowym, zapewniającymi dostęp do usług i informacji online.

(57)

Niniejsze rozporządzenie powinno również określać wymogi jakości w odniesieniu do wspólnego interfejsu użytkownika. Komisja powinna zapewniać, aby wspólny interfejs użytkownika spełniał te wymogi, a interfejs ten powinien w szczególności być dostępny i udostępniany online za pośrednictwem różnych kanałów, a także powinien być łatwy w obsłudze.

(58)

W celu zapewnienia jednolitych warunków wdrożenia rozwiązań technicznych wspomagających Portal, należy powierzyć Komisji uprawnienia wykonawcze do określania, w stosownych przypadkach, mających zastosowanie norm i wymogów dotyczących interoperacyjności w celu ułatwienia wyszukiwania informacji dotyczących przepisów i obowiązków, procedur oraz usług wsparcia i rozwiązywania problemów, za które odpowiadają państwa członkowskie oraz Komisja. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011.

(59)

Niniejsze rozporządzenie powinno również jasno rozdzielać między Komisję i państwa członkowskie odpowiedzialność za opracowanie, dostępność, utrzymanie i bezpieczeństwo aplikacji ICT wspomagających Portal. W ramach wykonywania zadań związanych z utrzymaniem Portalu Komisja i państwa członkowskie powinny regularnie monitorować prawidłowość funkcjonowania tych aplikacji ICT.

(60)

Aby rozwinąć pełny potencjał różnych obszarów informacji, procedur oraz usług wsparcia i rozwiązywania problemów, które powinny zostać uwzględnione w Portalu, należy znacząco poprawić świadomość odbiorców docelowych na temat ich istnienia i sposobu funkcjonowania. Uwzględnienie tych informacji, procedur i usług w Portalu powinno znacznie ułatwić użytkownikom wyszukiwanie potrzebnych im informacji, procedur oraz usług wsparcia i rozwiązywania problemów, nawet jeżeli nie wiedzą oni o istnieniu którychkolwiek z nich. Ponadto niezbędne będą skoordynowane działania promocyjne w celu zapewnienia, aby obywatele i przedsiębiorstwa w całej Unii dowiedzieli się o istnieniu Portalu i wynikających z niego korzyściach. Takie działania promocyjne powinny obejmować optymalizację wyszukiwarek oraz inne internetowe działania służące budowaniu świadomości, ponieważ właśnie one są najbardziej efektywne kosztowo oraz mają potencjał dotarcia do największej liczby odbiorców docelowych. Aby osiągnąć najwyższą skuteczność, należy skoordynować te działania promocyjne w ramach grupy koordynacyjnej Portalu, a państwa członkowskie powinny dopasować swoje działania promocyjne w taki sposób, aby we wszystkich mających znaczenie kontekstach pojawiała się wspólna marka z zachowaniem możliwości łączenia marki Portalu z inicjatywami krajowymi.

(61)

Wszystkie instytucje, organy i jednostki organizacyjne Unii należy zachęcać do promowania Portalu poprzez umieszczanie jego logo i linków do niego na wszystkich odpowiednich stronach internetowych, za które odpowiadają.

(62)

Nazwa, pod którą Portal ma być znany i promowany publicznie, powinna brzmieć „Your Europe”. Wspólny interfejs użytkownika powinien być widoczny i łatwy do znalezienia, szczególnie na odpowiednich unijnych i krajowych stronach internetowych. Logo Portalu powinno być widoczne na odpowiednich unijnych i krajowych stronach internetowych.

(63)

Aby uzyskać odpowiednie informacje umożliwiające pomiar i poprawę funkcjonowania Portalu, niniejsze rozporządzenie powinno wprowadzić wymóg, aby właściwe organy i Komisja gromadziły i analizowały dane dotyczące korzystania z różnych obszarów informacji, procedur i usług oferowanych za pośrednictwem Portalu. Gromadzenie danych statystycznych dotyczących użytkowników, takich jak dane dotyczące liczby odwiedzin na określonych stronach internetowych, liczby użytkowników w danym państwie członkowskim w porównaniu z liczbą użytkowników z innych państw członkowskich, terminów stosowanych przy wyszukiwaniu, najczęściej odwiedzanych stron internetowych, stron internetowych, z których pochodzą odesłania, lub liczby, miejsca pochodzenia i przedmiotu wniosków o wsparcie, powinno poprawić funkcjonowanie Portalu, pomagając w identyfikacji odbiorców, rozwoju działań promocyjnych oraz poprawie jakości oferowanych usług. Aby uniknąć powielania, gromadzenie takich danych powinno uwzględniać przeprowadzaną co roku przez Komisję analizę porównawczą dotyczącą administracji elektronicznej.

(64)

W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze do określenia jednolitych przepisów dotyczących metody gromadzenia i wymiany danych statystycznych dotyczących użytkowników. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011.

(65)

Jakość Portalu zależy od jakości unijnych i krajowych usług zapewnianych za pośrednictwem Portalu. Dlatego jakość informacji, procedur oraz usług wsparcia i rozwiązywania problemów dostępnych za pośrednictwem Portalu należy również regularnie monitorować poprzez narzędzie do gromadzenia informacji zwrotnych od użytkowników, za pośrednictwem którego użytkownicy proszeni są o ocenę zakresu i jakości informacji, procedur oraz usług wsparcia i rozwiązywania problemów, z których skorzystali, oraz o przekazanie informacji zwrotnych na ten temat. Te informacje zwrotne powinny być gromadzone we wspólnym narzędziu, do którego dostęp powinny mieć Komisja, właściwe organy i koordynatorzy krajowi. W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia w odniesieniu do wspólnych funkcji narzędzi do gromadzenia informacji zwrotnych od użytkowników oraz szczegółowych ustaleń dotyczących gromadzenia i udostępniania informacji zwrotnych od użytkowników, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011. Komisja powinna publikować online, w zanonimizowanej formie, przegląd problemów wynikających z informacji, głównych danych statystycznych dotyczących użytkowników oraz głównych informacji zwrotnych od użytkowników, zgromadzonych zgodnie z niniejszym rozporządzeniem.

(66)

Ponadto, Portal powinien obejmować narzędzie do gromadzenia informacji zwrotnych, umożliwiające użytkownikom sygnalizowanie, dobrowolnie i anonimowo, wszelkich problemów i trudności napotkanych przez nich podczas korzystania z ich praw na rynku wewnętrznym. Narzędzie to powinno być traktowane jedynie jako uzupełnienie mechanizmów rozpatrywania skarg, ponieważ nie można w nim zapewnić spersonalizowanych odpowiedzi dla użytkowników. Otrzymane informacje powinny być połączone ze zagregowanymi informacjami pochodzącymi z usług wsparcia i rozwiązywania problemów na temat rozpatrywanych spraw w celu uzyskania oglądu rynku wewnętrznego, takiego jak jest on postrzegany przez użytkowników, oraz w celu określenia obszarów problematycznych wymagających podjęcia działań w przyszłości, aby poprawić funkcjonowanie rynku wewnętrznego. Ogląd ten powinien być powiązany z istniejącymi narzędziami sprawozdawczymi, takimi jak tabela wyników jednolitego rynku.

(67)

Niniejsze rozporządzenie nie powinno mieć wpływu na prawo państw członkowskich do decydowania o tym, kto powinien pełnić rolę koordynatora krajowego. Państwa członkowskie powinny móc dostosowywać funkcje i obowiązki swoich koordynatorów krajowych związane z Portalem do swoich wewnętrznych struktur administracyjnych. Państwa członkowskie powinny móc wyznaczać dodatkowych koordynatorów krajowych do wykonywania – samodzielnie lub wspólnie z innymi – zadań wynikających z niniejszego rozporządzenia, odpowiedzialnych za dział administracji lub region geograficzny, lub w oparciu o inne kryteria. Państwa członkowskie powinny poinformować Komisję o tożsamości jednego koordynatora krajowego, który został przez nie wyznaczony do kontaktów z Komisją.

(68)

Należy powołać grupę koordynacyjną Portalu złożoną z koordynatorów krajowych i pod przewodnictwem Komisji w celu ułatwienia stosowania niniejszego rozporządzenia, w szczególności poprzez wymianę najlepszych praktyk i współpracę na rzecz poprawy spójności prezentacji informacji wymaganych na mocy niniejszego rozporządzenia. Prace grupy koordynacyjnej Portalu powinny uwzględniać cele określone w rocznym programie prac, który Komisja powinna przedstawić tej grupie do rozpatrzenia. Roczny program prac powinien mieć formę wytycznych lub zaleceń, mających charakter niewiążący dla państw członkowskich. Na wniosek Parlamentu Europejskiego Komisja może podjąć decyzję, aby zwrócić się do Parlamentu o wysłanie ekspertów do udziału w posiedzeniach grupy koordynacyjnej Portalu.

(69)

W niniejszym rozporządzeniu należy wyjaśnić, które części Portalu mają być finansowane z budżetu Unii, a za które będą odpowiadały państwa członkowskie. Komisja powinna pomagać państwom członkowskim w identyfikowaniu modułów ICT, które można ponownie wykorzystać, oraz w zakresie finansowania za pośrednictwem różnych funduszy i programów na poziomie Unii, które mogą wnieść wkład w pokrycie kosztów dostosowania i rozwoju ICT potrzebnego na poziomie krajowym do zapewnienia zgodności z niniejszym rozporządzeniem. Budżet niezbędny do wykonania niniejszego rozporządzenia powinien być zgodny z mającymi zastosowanie wieloletnimi ramami finansowymi.

(70)

Państwa członkowskie zachęca się do większej koordynacji, wymiany i współpracy między sobą w celu zwiększenia ich możliwości strategicznych, operacyjnych, badawczych i rozwojowych w obszarze cyberbezpieczeństwa, w szczególności poprzez wdrożenie bezpieczeństwa sieci i informacji, o którym mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 (27), aby wzmocnić bezpieczeństwo i odporność ich administracji publicznej i usług publicznych. Państwa członkowskie zachęca się do zwiększenia bezpieczeństwa transakcji i do zapewnienia wystarczającego poziomu zaufania do środków elektronicznych poprzez skorzystanie z ram eIDAS określonych w rozporządzeniu (UE) nr 910/2014, a w szczególności odpowiednich poziomów bezpieczeństwa. Państwa członkowskie mogą podejmować środki zgodnie z prawem Unii, aby zagwarantować cyberbezpieczeństwo oraz zapobiegać oszustwom dotyczącym tożsamości lub innym formom oszustw.

(71)

W przypadku gdy stosowanie niniejszego rozporządzenia wiąże się z przetwarzaniem danych osobowych, powinno ono odbywać się zgodnie z prawem Unii dotyczącym ochrony danych osobowych, w szczególności z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725. W kontekście niniejszego rozporządzenia zastosowanie powinna mieć również dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 (28). Jak przewidziano w rozporządzeniu (UE) 2016/679 państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia, w odniesieniu do przetwarzania danych dotyczących zdrowia, a także mogą przewidzieć bardziej szczegółowe przepisy dotyczące przetwarzania danych osobowych pracowników w kontekście zatrudnienia.

(72)

Niniejsze rozporządzenie powinno promować i ułatwić usprawnienie struktur zarządzania dla usług objętych Portalem. W tym celu Komisja, w ścisłej współpracy z państwami członkowskimi, powinna dokonać przeglądu istniejących struktur zarządzania i w razie konieczności dostosować je, aby unikać powielania i niedociągnięć.

(73)

Celem niniejszego rozporządzenia jest zapewnienie użytkownikom działającym w innych państwach członkowskich dostępu online do pełnych, wiarygodnych, przystępnych i zrozumiałych informacji unijnych i krajowych na temat praw, przepisów i obowiązków, do procedur online w pełni funkcjonalnych dla użytkowników transgranicznych oraz do usług wsparcia i rozwiązywania problemów. Ponieważ cel ten nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na rozmiary i skutki niniejszego rozporządzenia, możliwe jest jego lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(74)

Aby państwa członkowskie i Komisja mogły opracować i wdrożyć narzędzia niezbędne do nadania skuteczności niniejszemu rozporządzeniu, stosowanie niektórych jego przepisów należy rozpocząć po upływie dwóch lat od jego wejścia w życie. Organom gminnym należy umożliwić wdrożenie wymogu udostępniania informacji dotyczących przepisów, procedur oraz usług wsparcia i rozwiązywania problemów, za które odpowiadają, w terminie czterech lat po wejściu w życie niniejszego rozporządzenia. Przepisy niniejszego rozporządzenia dotyczące procedur, które mają być oferowane w pełni online, transgranicznego dostępu do procedur online oraz systemu technicznego służącego do zautomatyzowanej transgranicznej wymiany dowodów zgodnie z zasadą jednorazowości powinny zostać wdrożone w terminie najpóźniej przed upływem pięciu lat po wejściu w życie niniejszego rozporządzenia.

(75)

Niniejsze rozporządzenie nie narusza praw podstawowych i jest zgodne z zasadami uznanymi w szczególności w Karcie praw podstawowych Unii Europejskiej oraz powinno być wykonywane zgodnie z tymi prawami i zasadami.

(76)

Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady (29) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 1 sierpnia 2017 r. (30),

(1)

Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Prawo to gwarantuje również art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności.

(2)

W rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady (3) zapewnia się osobom fizycznym prawnie egzekwowalne prawa, określa się zobowiązania administratorów w instytucjach i organach wspólnotowych odnoszące się do przetwarzania danych osobowych oraz tworzy się niezależny organ nadzorczy, Europejskiego Inspektora Ochrony Danych, odpowiedzialny za monitorowanie przetwarzania danych osobowych przez instytucje i organy Unii. Rozporządzenie to nie ma jednak zastosowania do przetwarzania danych osobowych w toku prowadzenia przez instytucje i organy Unii działalności nieobjętej zakresem stosowania prawa Unii.

(3)

W dniu 27 kwietnia 2016 r. przyjęto rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (4) i dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 (5). W wyżej wymienionym rozporządzeniu określa się przepisy ogólne dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i zapewnienia swobodnego przepływu danych osobowych w Unii, natomiast we wspomnianej dyrektywie określa się przepisy szczegółowe dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i zapewnienia swobodnego przepływu danych osobowych w Unii w dziedzinach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(4)

W rozporządzeniu (UE) 2016/679 dokonano dostosowania rozporządzenia (WE) nr 45/2001 w celu zapewnienia solidnych i spójnych ram ochrony danych w Unii oraz umożliwienia ich stosowania równocześnie z rozporządzeniem (UE) 2016/679.

(5)

Z myślą o spójnym podejściu do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych na terytorium Unii należy w miarę możliwości dostosować przepisy o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii z przepisami o ochronie danych przyjętymi w odniesieniu do sektora publicznego w państwach członkowskich. Zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (zwanego dalej „Trybunałem Sprawiedliwości”), w każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tych samych założeniach, co przepisy rozporządzenia (UE) 2016/679, przepisy obu aktów należy interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką rozporządzenia (UE) 2016/679.

(6)

Należy zapewnić ochronę wszystkim osobom, których dane osobowe są przetwarzane przez instytucje i organy Unii, niezależnie od powodu przetwarzania, którym może być na przykład fakt zatrudnienia tych osób przez te instytucje i organy. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych osób zmarłych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

(7)

Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik.

(8)

Niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania danych osobowych przez wszystkie instytucje, organy i jednostki organizacyjne Unii. Niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny być objęte zakresem niniejszego rozporządzenia.

(9)

W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej – załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła Traktat z Lizbony – konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie, na podstawie art. 16 TFUE, szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach. Osobny rozdział niniejszego rozporządzenia zawierający przepisy ogólne powinien mieć zatem zastosowanie do przetwarzania operacyjnych danych osobowych, takich jak dane osobowe przetwarzane na potrzeby postępowań prowadzonych przez organy lub jednostki organizacyjne Unii wykonujące czynności w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(10)

Dyrektywa (UE) 2016/680 określa zharmonizowane zasady ochrony i swobodnego przepływu danych osobowych przetwarzanych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych, lub wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Aby zapewnić identyczny stopień ochrony osób fizycznych w całej Unii za pomocą prawnie wykonalnych praw oraz zapobiegać rozbieżnościom utrudniającym wymianę danych osobowych między organami i jednostkami organizacyjnymi Unii, gdy wykonują one czynności wchodzące w zakres stosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, a właściwymi organami, przepisy dotyczące ochrony i swobodnego przepływu operacyjnych danych osobowych przetwarzanych przez tego rodzaju organy i jednostki organizacyjne Unii powinny być spójne z dyrektywą (UE) 2016/680.

(11)

Przepisy ogólne odrębnego rozdziału niniejszego rozporządzenia dotyczące przetwarzania operacyjnych danych osobowych powinny mieć zastosowanie z zastrzeżeniem przepisów szczegółowych mających zastosowanie do przetwarzania operacyjnych danych osobowych przez organy i jednostki organizacyjne Unii podczas wykonywania przez nie czynności wchodzących w zakres części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE. Te przepisy szczegółowe należy postrzegać jako lex specialis w stosunku do przepisów zawartych w osobnym rozdziale niniejszego rozporządzenia dotyczących przetwarzania operacyjnych danych osobowych (lex specialis derogat legi generali). Aby zmniejszyć fragmentaryzację przepisów, szczegółowe przepisy dotyczące ochrony danych mające zastosowanie do przetwarzania operacyjnych danych osobowych przez organy i jednostki organizacyjne Unii przy wykonywaniu przez nie czynności wchodzących w zakres części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE powinny być spójne z zasadami leżącymi u podstaw rozdziału niniejszego rozporządzenia dotyczącego przetwarzania operacyjnych danych osobowych, a także z przepisami niniejszego rozporządzenia odnoszącymi się do niezależnego nadzoru, środków ochrony prawnej, odpowiedzialności i sankcji.

(12)

Rozdział niniejszego rozporządzenia dotyczący przetwarzania operacyjnych danych osobowych powinien mieć zastosowanie do organów i jednostek organizacyjnych Unii przy wykonywaniu przez nie czynności wchodzących w zakres części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE – niezależnie od tego, czy wykonują one te czynności w ramach zadań głównych czy dodatkowych – do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania przestępstw. Nie powinien mieć on jednak zastosowania do Europolu oraz Prokuratury Europejskiej do chwili, gdy akty prawne ustanawiające Europol i Prokuraturę Europejską zostaną zmienione w celu objęcia ich dostosowanym rozdziałem niniejszego rozporządzenia dotyczącym przetwarzania operacyjnych danych osobowych.

(13)

Komisja powinna dokonać przeglądu niniejszego rozporządzenia, w szczególności jego rozdziału dotyczącego przetwarzania operacyjnych danych osobowych. Komisja powinna również dokonać przeglądu innych aktów prawnych przyjętych w oparciu o Traktaty, które to akty regulują przetwarzanie operacyjnych danych osobowych przez organy i jednostki organizacyjne Unii podczas wykonywania przez nie czynności wchodzących w zakres części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE. Aby zapewnić jednolitą i spójną ochronę osób fizycznych w odniesieniu do przetwarzania danych osobowych, po przeprowadzeniu wspomnianego przeglądu, Komisja powinna mieć możliwość przedstawienia odnośnych wniosków ustawodawczych, w tym niezbędnych dostosowań rozdziału niniejszego rozporządzenia dotyczącego operacyjnych danych osobowych, z myślą o zastosowaniu tego rozdziału do Europolu i Prokuratury Europejskiej. Dostosowania te powinny uwzględniać przepisy odnoszące się do niezależnego nadzoru, środków ochrony prawnej, odpowiedzialności i sankcji.

(14)

Przetwarzanie administracyjnych danych osobowych, takich jak dane pracowników organów i jednostek organizacyjnych Unii przy wykonywaniu przez nie czynności wchodzących w zakres części trzeciej tytuł V rozdział 4 i rozdział 5 TFUE, powinno być objęte zakresem niniejszego rozporządzenia.

(15)

Niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania danych osobowych przez instytucje, organy lub jednostki organizacyjne Unii przy wykonywaniu przez nie czynności wchodzących w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej (TUE). Niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania danych osobowych przez misje, o których mowa w art. 42 ust. 1, art. 43 i 44 TUE, służące realizacji wspólnej polityki bezpieczeństwa i obrony. W stosownych przypadkach należy przedstawić odpowiednie wnioski w celu dalszego uregulowania przetwarzania danych osobowych w dziedzinie wspólnej polityki bezpieczeństwa i obrony.

(16)

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania informacji anonimowych, w tym przetwarzania do celów statystycznych lub naukowych.

(17)

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

(18)

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe, takie jak adresy IP, identyfikatory plików cookie, generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które, w szczególności w połączeniu z niepowtarzalnymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery, mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

(19)

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu, lub zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na zapytanie elektroniczne, zapytanie takie musi być jasne, zwięzłe i nie może niepotrzebnie zakłócać korzystania z usługi, której dotyczy. Jednocześnie osoba, której dane dotyczą, powinna mieć prawo do wycofania zgody w dowolnym momencie, co nie powinno mieć wpływu na legalność przetwarzania danych, które odbyło się na podstawie zgody przed jej wycofaniem. Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. W momencie zbierania danych często nie da się w pełni zidentyfikować celu przetwarzania danych osobowych na potrzeby badań naukowych. Dlatego osoby, których dane dotyczą, powinny móc wyrazić zgodę na niektóre obszary badań naukowych, o ile badania te są zgodne z uznanymi normami etycznymi w zakresie badań naukowych. Osoby, których dane dotyczą, powinny móc wyrazić zgodę tylko na niektóre obszary badań lub elementy projektów badawczych, o ile umożliwia to zamierzony cel.

(20)

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być jasne, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób fizycznych, których sprawa dotyczy, a także prawa tych osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z przetwarzaniem tych danych. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co jest niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia do ścisłego minimum okresu przechowywania danych. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich lub do sprzętu służącego ich przetwarzaniu, przed nieuprawnionym korzystaniem z tych danych lub z tego sprzętu oraz ochronę przed ich nieuprawnionym ujawnieniem w trakcie ich przekazywania.

(21)

Zgodnie z zasadą rozliczalności, jeżeli instytucje i organy Unii przekazują dane osobowe w obrębie danej instytucji lub danego organu Unii, a odbiorca nie należy do struktur administratora, lub do innych instytucji lub organów Unii, powinny one sprawdzić, czy tego rodzaju dane osobowe są niezbędne do zgodnego z prawem wykonywania zadań należących do kompetencji odbiorcy. W szczególności po otrzymaniu od odbiorcy wniosku o przekazanie danych osobowych administrator powinien sprawdzić, czy istnieje odpowiednia podstawa do zgodnego z prawem przetwarzania danych osobowych, których dotyczy wniosek, oraz powinien sprawdzić kompetencje odbiorcy. Powinien również dokonać wstępnej oceny konieczności przekazania danych. Jeżeli pojawią się wątpliwości co do tej konieczności, administrator powinien zażądać dalszych informacji od odbiorcy. Odbiorca powinien zapewnić możliwość zweryfikowania konieczności przekazania danych po jego dokonaniu.

(22)

Aby przetwarzanie danych osobowych było zgodne z prawem, musi być ono podyktowane koniecznością wykonania zadania realizowanego w interesie publicznym przez instytucje i organy Unii lub w ramach sprawowania przez nie władzy publicznej, koniecznością poszanowania obowiązku prawnego, któremu podlega administrator, lub inną uzasadnioną podstawą na mocy niniejszego rozporządzenia, w tym zgodą osoby, której dane dotyczą, lub koniecznością poszanowania umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przetwarzanie danych osobowych w celu przeprowadzenia czynności wykonywanych w interesie ogólnym przez instytucje i organy Unii obejmuje przetwarzanie danych osobowych niezbędnych do zarządzania tymi instytucjami i organami oraz ich funkcjonowania. Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy przetwarzania tego nie da się w sposób ewidentny oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

(23)

Prawo Unii, o którym mowa w niniejszym rozporządzeniu, powinno być jasne i precyzyjne, a jego zastosowanie przewidywalne dla osób mu podlegających zgodnie z wymogami Karty i Konwencji o ochronie praw człowieka i podstawowych wolności.

(24)

Przepisy wewnętrzne, o których mowa w niniejszym rozporządzeniu, powinny być jasne i określać akty o charakterze ogólnym mające na celu wywołanie skutków prawnych wobec osób, których dane dotyczą. Powinny one być przyjęte na najwyższym szczeblu kierownictwa instytucji i organów Unii, w ramach ich kompetencji i w sprawach dotyczących ich funkcjonowania. Powinny one być publikowane w Dzienniku Urzędowym Unii Europejskiej. Zastosowanie tych przepisów powinno być przewidywalne dla osób, których przepisy te dotyczą, zgodnie z wymogami Karty oraz Konwencji o ochronie praw człowieka i podstawowych wolności. Przepisy wewnętrzne mogą mieć formę decyzji, w szczególności gdy zostały przyjęte przez instytucje unijne.

(25)

Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana inna podstawa prawna niż ta, na podstawie której możliwe było zebranie danych osobowych. Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii może określać i precyzować zadania i cele, dla których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych powinno być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi celami. Podstawa prawna przetwarzania danych osobowych w prawie Unii może być również podstawą prawną dalszego przetwarzania. Aby ustalić, czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały pierwotnie zebrane, administrator – po spełnieniu wszystkich wymogów warunkujących zgodność pierwotnego przetwarzania z prawem – powinien uwzględnić między innymi: wszelkie powiązania pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania; kontekst, w którym zostały zebrane dane osobowe, w szczególności rozsądne oczekiwania osób, których dane dotyczą, co do dalszego wykorzystania tych danych, oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.

(26)

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG (6) oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru, lub nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

(27)

Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do tworzenia profili osobowych i do zbierania danych osobowych dotyczących dzieci, gdy usługi są kierowane bezpośrednio do nich na stronach internetowych instytucji i organów Unii, na przykład usługi komunikacji interpersonalnej lub internetowej sprzedaży biletów a przetwarzanie danych osobowych odbywa się za zgodą.

(28)

Jeżeli odbiorcy mający siedzibę w Unii, inni niż instytucje i organy Unii, chcą, aby instytucje i organy Unii przekazywały im dane osobowe, powinni oni wykazać, że dane te są im potrzebne do wykonania ich zadań prowadzonych w interesie publicznym lub w ramach sprawowania powierzonej im władzy publicznej. Ewentualnie odbiorcy ci powinni dowieść, że przekazanie danych jest niezbędne dla określonego celu w interesie publicznym, a administrator powinien ustalić, czy istnieje jakikolwiek powód, by przypuszczać, że może zostać naruszony uzasadniony interes osoby, której dane dotyczą. W takim przypadku administrator powinien wyraźnie wyważyć różne przeciwstawne interesy, aby dokonać oceny proporcjonalności wnioskowanego przekazania danych osobowych. Taki określony cel w interesie publicznym może dotyczyć przejrzystości instytucji i organów Unii. Ponadto instytucje i organy Unii powinny wykazać taką konieczność, jeżeli same inicjują przekazywanie, zgodnie z zasadą przejrzystości i dobrej administracji. Wymogi określone w niniejszym rozporządzeniu dotyczące przekazywania danych do odbiorców mających siedzibę w Unii, innych niż instytucje i organy Unii, powinny być rozumiane jako uzupełniające w stosunku do warunków zgodnego z prawem przetwarzania.

(29)

Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne zagrożenie dla podstawowych praw i wolności. Takie dane osobowe nie powinny być przetwarzane, jeżeli nie zostaną spełnione szczególne warunki określone w niniejszym rozporządzeniu. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie odrębnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Oprócz wymogów szczegółowych mających zastosowanie do przetwarzania danych objętych szczególną ochroną zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

(30)

Szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie wtedy, gdy jest to konieczne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, zwłaszcza w kontekście zarządzania usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego. Niniejsze rozporządzenie powinno zatem przewidywać zharmonizowane warunki przetwarzania szczególnych kategorii danych osobowych dotyczących zdrowia ze względu na szczególne potrzeby, zwłaszcza gdy takie dane są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. W prawie Unii powinno się uwzględnić konkretne i odpowiednie środki, aby chronić prawa podstawowe i dane osobowe osób fizycznych.

(31)

Przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą, może być niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego. Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 (7), czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usług opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów.

(32)

Jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia. Administrator nie powinien jednak odmawiać przyjęcia dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie praw. Weryfikacja tożsamości powinna obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania, taki jak te same dane uwierzytelniające, których osoba, której dane dotyczą, używa, by zalogować się do usług internetowych oferowanych przez administratora danych.

(33)

Przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych powinno podlegać odpowiednim zabezpieczeniom praw i wolności osoby, której dane dotyczą, zgodnie z niniejszym rozporządzeniem. Zabezpieczenia te powinny polegać na wdrożeniu środków technicznych i organizacyjnych zapewniających w szczególności poszanowanie zasady minimalizacji danych. Dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych można prowadzić, jeżeli administrator ocenił możliwość realizacji tych celów w drodze przetwarzania danych, które albo od początku albo już dłużej nie pozwalają identyfikować osób, których dane dotyczą, pod warunkiem że istnieją odpowiednie zabezpieczenia (takie jak pseudonimizacja danych osobowych). Instytucje i organy Unii powinny ustanowić odpowiednie zabezpieczenia w odniesieniu do przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych przewidzianych w prawie Unii, które mogą obejmować przepisy wewnętrzne przyjęte przez instytucje i organy Unii w sprawach dotyczących ich funkcjonowania.

(34)

Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania i, w stosownych przypadkach, uzyskiwania nieodpłatnie w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki, a najpóźniej w terminie miesiąca, zaś jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.

(35)

Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania danych oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią ogólny zarys zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, powinny nadawać się do odczytu maszynowego.

(36)

Informacje o przetwarzaniu danych osobowych odnoszące się do osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, przy ujawnieniu danych temu odbiorcy po raz pierwszy. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, powinien on przed dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o innym celu przetwarzania oraz dostarczyć jej inne niezbędne informacje. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny.

(37)

Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość zgodności z prawem przetwarzania i móc zweryfikować zgodność przetwarzania z prawem. Obejmuje to prawo dostępu osób, których dane dotyczą, do danych dotyczących ich zdrowia, na przykład do danych zawartych w odnoszącej się do nich dokumentacji medycznej zawierającej takie informacje, jak diagnozy, wyniki badań, oceny dokonywane przez lekarzy prowadzących, stosowane terapie czy przeprowadzone zabiegi. Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności na temat celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie.

(38)

Każda osoba fizyczna powinna mieć prawo do sprostowania dotyczących jej danych osobowych oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie lub prawo Unii, któremu podlega administrator. Osoba, której dane dotyczą, powinna mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem. Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem. Dalsze zatrzymywanie danych osobowych powinno być jednak uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

(39)

Aby wzmocnić prawo do „bycia zapomnianym” w internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe, o tym, że należy usunąć wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Spełniając ten obowiązek, administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.

(40)

Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć za pomocą środków technicznych w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.

(41)

Aby zyskać większą kontrolę nad swoimi danymi w ramach zautomatyzowanego przetwarzania danych osobowych, osoba, której dane dotyczą, powinna także mieć możliwość otrzymywania dotyczących jej danych osobowych, które dostarczyła administratorowi, w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie oraz przesyłania ich innemu administratorowi. Administratorów danych należy zachęcać do opracowywania formatów interoperacyjnych, które umożliwiają przenoszenie danych. Prawo to powinno mieć zastosowanie w przypadkach, gdy osoba, której dane dotyczą, przekazała dane osobowe na podstawie własnej zgody lub gdy przetwarzanie jest niezbędne do wykonania umowy. Dlatego nie powinno ono mieć zastosowania w przypadkach, gdy przetwarzanie danych osobowych jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Przysługujące osobie, której dane dotyczą, prawo do przesłania lub otrzymania swoich danych osobowych nie powinno nakładać na administratorów obowiązku wprowadzenia lub prowadzenia kompatybilnych technicznie systemów przetwarzania. Jeżeli określony zestaw danych osobowych odnosi się do więcej niż jednej osoby, której dane dotyczą, prawo do otrzymania danych osobowych powinno obowiązywać z zastrzeżeniem praw i wolności innych osób, których dane dotyczą, wynikających z niniejszego rozporządzenia. Prawo to powinno ponadto obowiązywać z zastrzeżeniem prawa osoby, której dane dotyczą, do spowodowania, by dane osobowe zostały usunięte oraz z zastrzeżeniem ograniczeń tego prawa określonych w niniejszym rozporządzeniu i nie powinno w szczególności skutkować usunięciem danych osobowych dotyczących osoby, której dane dotyczą, przekazanych przez tę osobę do celów wykonania umowy, o ile te dane osobowe są niezbędne do wykonania tej umowy i w zakresie, w jakim są do tego niezbędne. O ile jest to technicznie możliwe, osoba, której dane dotyczą, powinna mieć prawo do spowodowania, by dane osobowe zostały przekazane przez jednego administratora bezpośrednio innemu administratorowi.

(42)

Nawet jeżeli dane osobowe są przetwarzane zgodnie z prawem, ponieważ przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, osobie, której dane dotyczą, powinno przysługiwać prawo sprzeciwu wobec przetwarzania danych osobowych dotyczących jej szczególnej sytuacji. Za wykazanie, że prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą, powinien odpowiadać administrator.

(43)

Osoba, której dane dotyczą, powinna mieć prawo do niepodlegania decyzji mogącej obejmować określone środki, w której analizuje się cechy osobiste tej osoby i która to decyzja opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się „profilowanie”, które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty odnoszące się do efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą, wywołujące skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływające.

Niemniej podejmowanie decyzji na podstawie takiego przetwarzania, w tym profilowania, powinno być dozwolone wówczas, gdy jest to wyraźnie dopuszczone prawem Unii. Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym przekazywanie konkretnych informacji osobie, której dane dotyczą, oraz prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczyć dzieci. Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiec m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną, lub przetwarzaniu wyników skutkującemu środkami mającymi taki efekt. Zautomatyzowane podejmowanie decyzji i profilowanie oparte na szczególnych kategoriach danych osobowych powinny być dozwolone wyłącznie przy zachowaniu szczególnych warunków.

(44)

W aktach prawnych przyjętych na podstawie Traktatów lub w przepisach wewnętrznych przyjętych przez instytucje i organy Unii w sprawach dotyczących ich funkcjonowania można przewidzieć ograniczenia dotyczące określonych zasad oraz prawa do informacji, dostępu do danych osobowych i ich sprostowania lub usuwania, prawa do przenoszenia danych, poufności danych pochodzących z łączności elektronicznej, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz ograniczenia dotyczące określonych powiązanych obowiązków administratorów, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym, dla zapewnienia bezpieczeństwa publicznego, zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, ścigania przestępstw lub wykonywania kar. Obejmuje to ochronę przed zagrożeniami dla bezpieczeństwa publicznego, w tym ochronę życia ludzkiego – w szczególności w odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka – i zapobieganie takim zagrożeniom, bezpieczeństwo wewnętrzne instytucji i organów Unii, ochronę innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa lub ważnego interesu gospodarczego lub finansowego Unii, lub państwa członkowskiego, oraz prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego, ochronę osoby, której dane dotyczą, lub praw i wolności innych osób, w tym na rzecz celów w dziedzinie ochrony socjalnej, zdrowia publicznego i celów humanitarnych.

(45)

Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

(46)

Ryzyko naruszenia praw lub wolności osób fizycznych, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub jakąkolwiek inną poważną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności, lub wyroków skazujących i naruszeń prawa lub związanych z nimi środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowanie lub prognozowanie aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się, w celu tworzenia lub wykorzystywania profili osobistych; jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci lub jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

(47)

Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

(48)

Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć strategie wewnętrzne i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń. Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.

(49)

Rozporządzenie (UE) 2016/679 przewiduje wykazywanie przestrzegania prawa przez administratorów danych poprzez stosowanie zatwierdzonych mechanizmów certyfikacji. Również instytucje i organy Unii powinny być w stanie wykazać zgodność z wymogami niniejszego rozporządzenia dzięki uzyskaniu certyfikacji zgodnie z art. 42 rozporządzenia (UE) 2016/679.

(50)

Ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna administratorów i podmiotów przetwarzających wymagają dokonania w ramach niniejszego rozporządzenia jasnego podziału obowiązków, także w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora.

(51)

Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania. Stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji przez podmioty przetwarzające inne niż instytucje i organy Unii może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora. Przetwarzanie przez podmiot przetwarzający inny niż instytucja lub organ Unii powinno być regulowane umową lub, w przypadku gdy podmiotem przetwarzającym są instytucje i organy Unii, umową lub innym instrumentem prawnym, które podlegają prawu Unii, wiążą podmiot przetwarzający z administratorem, określają przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz które uwzględniają konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Administrator i podmiot przetwarzający powinni mieć możliwość podjęcia decyzji o skorzystaniu z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte albo bezpośrednio przez Komisję, albo przez Europejskiego Inspektora Ochrony Danych, a następnie przyjęte przez Komisję. Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien – zgodnie z decyzją administratora – zwrócić lub usunąć dane osobowe, chyba że prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający, nakładają obowiązek przechowywania tych danych osobowych.

(52)

Dla zachowania zgodności z niniejszym rozporządzeniem administratorzy powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, a podmioty przetwarzające – rejestry kategorii czynności przetwarzania, za które są odpowiedzialne. Instytucje i organy Unii powinny być zobowiązane do współpracy z Europejskim Inspektorem Ochrony Danych i na jego żądanie powinny udostępniać mu swoje rejestry w celu monitorowania wspomnianych operacji przetwarzania. Instytucje i organy Unii powinny mieć możliwość ustanowienia centralnego rejestru prowadzonych przez nie czynności przetwarzania, chyba że nie jest to właściwe z uwagi na rozmiar instytucji lub organu Unii. Ze względu na przejrzystość powinny mieć również możliwość publicznego udostępnienia takiego rejestru.

(53)

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko związane z przetwarzaniem oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych, takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, które może w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

(54)

Instytucje i organy Unii powinny zapewniać poufność łączności elektronicznej zgodnie z art. 7 Karty. Instytucje i organy Unii powinny w szczególności zapewniać bezpieczeństwo swoich sieci łączności elektronicznej. Powinny one chronić informacje mające związek z końcowymi urządzeniami telekomunikacyjnymi użytkowników łączącymi się z dostępnymi publicznie stronami internetowymi i aplikacjami mobilnymi tych instytucji i organów, zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2002/58/WE (8). Powinny ponadto chronić dane osobowe przechowywane w spisach użytkowników.

(55)

Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je Europejskiemu Inspektorowi Ochrony Danych bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki. Jeżeli taka zwłoka jest uzasadniona, należy udostępnić jak najwcześniej informacje w mniejszym stopniu wymagające szczególnej ochrony lub informacje mniej szczegółowe, zamiast rozwiązywać do końca problem leżący u podstawy zdarzenia przed jego zgłoszeniem.

(56)

Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z Europejskim Inspektorem Ochrony Danych, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.

(57)

W rozporządzeniu (WE) nr 45/2001 przewidziano ogólny obowiązek administratora zgłaszania przetwarzania danych osobowych inspektorowi ochrony danych. Inspektor ochrony danych prowadzi rejestr zgłaszanych operacji przetwarzania, chyba że nie jest to właściwe z uwagi na rozmiar instytucji lub organu Unii. Poza tym ogólnym obowiązkiem należy wprowadzić skuteczne procedury i mechanizmy monitorowania operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie procedury muszą istnieć w szczególności tych w przypadkach, gdy rodzaje operacji przetwarzania wiążą się z użyciem nowych technologii lub są one nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków dla ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia.

(58)

Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z Europejskim Inspektorem Ochrony Danych. Takie wysokie ryzyko mogą powodować pewne rodzaje przetwarzania oraz zakres i częstotliwość przetwarzania, które mogą skutkować także szkodą lub ingerencją w prawa i wolności osoby fizycznej. Europejski Inspektor Ochrony Danych powinien odpowiedzieć na wniosek o konsultacje w określonym terminie. Jednak brak reakcji ze strony Europejskiego Inspektora Ochrony Danych w tym terminie nie powinien wykluczać interwencji Europejskiego Inspektora Ochrony Danych zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu, w tym uprawnieniami do zakazania operacji przetwarzania. W ramach konsultacji powinna istnieć możliwość przedłożenia Europejskiemu Inspektorowi Ochrony Danych wyników oceny skutków dla ochrony danych dokonanej w odniesieniu do danego przetwarzania, a w szczególności środków planowanych w celu zminimalizowania ryzyka naruszenia praw lub wolności osób fizycznych.

(59)

Europejski Inspektor Ochrony Danych powinien być informowany o środkach administracyjnych i proszony o opinię na temat przepisów wewnętrznych przyjmowanych przez instytucje i organy Unii w kwestiach dotyczących ich funkcjonowania, w których przewidziały one przetwarzanie danych osobowych, określiły warunki ograniczeń praw osób, których dane dotyczą, lub zapewniły odpowiednie zabezpieczenia praw osób, których dane dotyczą, aby zagwarantować zgodność zamierzonego przetwarzania z niniejszym rozporządzeniem, a w szczególności w zakresie zminimalizowania ryzyka dla osoby, której dane dotyczą.

(60)

Rozporządzeniem (UE) 2016/679 ustanowiono Europejską Radę Ochrony Danych jako niezależny organ Unii posiadający osobowość prawną. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów rozporządzenia (UE) 2016/679 i dyrektywy (UE) 2016/680 w całej Unii, m.in. poprzez doradzanie Komisji. Jednocześnie Europejski Inspektor Ochrony Danych powinien w dalszym ciągu wykonywać swoje funkcje nadzorcze i doradcze w odniesieniu do wszystkich instytucji i organów Unii, z inicjatywy własnej lub na wniosek. Aby zapewnić zgodność przepisów o ochronie danych w całej Unii, Komisja powinna dążyć do konsultacji z Europejskim Inspektorem Ochrony Danych podczas opracowywania wniosków lub zaleceń. Komisja powinna mieć obowiązek przeprowadzania konsultacji po przyjęciu aktów ustawodawczych lub podczas opracowywania aktów delegowanych i aktów wykonawczych, o których mowa w art. 289, 290 i 291 TFUE, oraz po przyjęciu zaleceń i wniosków odnoszących się do umów z państwami trzecimi i organizacjami międzynarodowymi, o których mowa w art. 218 TFUE i które mają wpływ na prawo do ochrony danych osobowych. W takich przypadkach Komisja powinna mieć obowiązek skonsultowania się z Europejskim Inspektorem Ochrony Danych, z wyjątkiem przypadków, w odniesieniu do których w rozporządzeniu (UE) 2016/679 przewidziano obowiązek konsultacji z Europejską Radą Ochrony Danych, na przykład w przypadku decyzji stwierdzających odpowiedni stopień ochrony lub aktów delegowanych w sprawie standardowych znaków graficznych i wymogów dotyczących mechanizmów certyfikacji. Ponadto, jeżeli dany akt ma szczególne znaczenie dla ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, Komisja powinna mieć możliwość skonsultowania się z Europejską Radą Ochrony Danych. W takich przypadkach Europejski Inspektor Ochrony Danych, jako członek Europejskiej Rady Ochrony Danych, powinien skoordynować swoje prace z pracami rady w celu wydania wspólnej opinii. Europejski Inspektor Ochrony Danych i w stosownych przypadkach Europejska Rada Ochrony Danych powinni przedstawić swoje pisemne zalecenie w terminie ośmiu tygodni. W przypadkach niecierpiącego zwłoki lub w innym uzasadnionym przypadku, na przykład gdy Komisja jest w trakcie prac nad aktami delegowanymi i wykonawczymi, powyższe ramy czasowe należy skrócić.

(61)

Zgodnie z art. 75 rozporządzenia (UE) 2016/679 Europejski Inspektor Ochrony Danych zapewnia obsługę sekretariatu Europejskiej Rady Ochrony Danych.

(62)

We wszystkich instytucjach i organach Unii inspektor ochrony danych powinien zapewniać stosowanie przepisów niniejszego rozporządzenia oraz doradzać administratorom i podmiotom przetwarzającym w kwestii wypełniania ich zobowiązań. Inspektor powinien być osobą posiadającą wiedzę fachową w zakresie przepisów i praktyk ochrony danych, której poziom należy ustalić w szczególności w świetle prowadzonych przez administratora lub podmiot przetwarzający operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane dane osobowe. Tacy inspektorzy ochrony danych powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

(63)

Przekazując dane osobowe z instytucji i organów Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, należy zagwarantować stopień ochrony osób fizycznych zapewniany w Unii niniejszym rozporządzeniem. Takie same gwarancje powinny mieć zastosowanie w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może odbywać się wyłącznie przy zachowaniu pełnej zgody z niniejszym rozporządzeniem oraz przy poszanowaniu podstawowych praw i wolności zapisanych w Karcie. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym, z zastrzeżeniem pozostałych przepisów niniejszego rozporządzenia.

(64)

Zgodnie z art. 45 rozporządzenia (UE) 2016/679 lub art. 36 dyrektywy (UE) 2016/680 Komisja może uznać, że państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizacja międzynarodowa zapewnia odpowiedni stopień ochrony danych. W takich przypadkach przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej przez instytucję lub organ Unii może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia.

(65)

W razie braku stwierdzenia odpowiedniego stopnia ochrony danych administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mogą polegać na skorzystaniu ze standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez Europejskiego Inspektora Ochrony Danych lub klauzul umownych dopuszczonych przez Europejskiego Inspektora Ochrony Danych. Jeżeli podmiot przetwarzający nie jest instytucją ani organem Unii, na takie odpowiednie zabezpieczenia mogą również składać się wiążące reguły korporacyjne, kodeksy postępowania i mechanizmy certyfikacji stosowane na potrzeby międzynarodowego przekazywania danych zgodnie z rozporządzeniem (UE) 2016/679. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego, w tym zapewniać możliwość skorzystania z egzekwowalnych praw osoby, której dane dotyczą, i skutecznych środków ochrony prawnej, w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia i do żądania odszkodowania, w Unii lub w państwie trzecim. Powinny one dotyczyć w szczególności przestrzegania ogólnych zasad związanych z przetwarzaniem danych osobowych oraz zasad uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych. Również instytucje i organy Unii mogą przekazywać dane organom lub podmiotom publicznym w państwach trzecich lub organizacjom międzynarodowym o analogicznych obowiązkach lub funkcjach, w tym na podstawie przepisów, które powinny znaleźć się w uzgodnieniach administracyjnych, takich jak protokoły ustaleń, i które powinny przewidywać egzekwowalne i skuteczne prawa osób, których dane dotyczą. Jeżeli zabezpieczenia zawarte są w niewiążących prawnie uzgodnieniach administracyjnych, należy uzyskać zezwolenie Europejskiego Inspektora Ochrony Danych.

(66)

Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub Europejskiego Inspektora Ochrony Danych nie powinna stanowić dla administratora lub podmiotu przetwarzającego przeszkody, by standardowe klauzule ochrony danych włączyć do szerszej umowy, takiej jak umowa między wspomnianym podmiotem przetwarzającym a innym podmiotem przetwarzającym, ani by dodać inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub Europejskiego Inspektora Ochrony Danych ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą. Należy zachęcać administratorów i podmioty przetwarzające, by w drodze zobowiązań umownych przewidywały dodatkowe zabezpieczenia, stanowiące uzupełnienie dla standardowych klauzul ochrony danych.

(67)

Niektóre państwa trzecie przyjmują ustawy, rozporządzenia i inne akty prawne mające bezpośrednio regulować czynności przetwarzania podejmowane przez instytucje i organy Unii. Może to obejmować wyroki sądów lub trybunałów czy decyzje organów administracyjnych państw trzecich nakazujące administratorowi lub podmiotowi przetwarzającemu przekazać lub ujawnić dane osobowe, które nie mają za podstawę umowy międzynarodowej obowiązującej między wzywającym państwem trzecim a Unią. Transgraniczne stosowanie tych ustaw, rozporządzeń i innych aktów prawnych może naruszać prawo międzynarodowe i uniemożliwiać zapewnienie osobom fizycznym ochrony ustanowionej niniejszym rozporządzeniem na terytorium Unii. Przekazywanie danych powinno być dopuszczalne wyłącznie w przypadkach, gdy spełnione są warunki przekazywania do państw trzecich ustanowione w niniejszym rozporządzeniu. Tak może być m.in. w przypadkach, gdy ujawnienie jest niezbędne ze względu na ważny interes publiczny uznany w prawie Unii.

(68)

W określonych sytuacjach należy wprowadzić możliwość przekazywania danych w niektórych okolicznościach, jeżeli osoba, której dane dotyczą, wyraziła na to wyraźną zgodę, jeżeli przekazywanie jest sporadyczne i niezbędne w związku z umową lub roszczeniem, niezależnie od rodzaju postępowania: sądowego lub administracyjnego, lub jakiegokolwiek innego postępowania pozasądowego, w tym postępowania przed organami regulacyjnymi. Należy także przewidzieć możliwość przekazywania danych, jeżeli wymaga tego ważny interes publiczny określony w prawie Unii lub jeżeli przekazanie następuje z rejestru utworzonego na mocy prawa i przeznaczonego do wglądu dla ogółu obywateli lub osób mających prawnie uzasadniony interes. W tym drugim przypadku przekazanie nie powinno obejmować całości danych osobowych lub całych kategorii danych z rejestru, chyba że zezwala na to prawo Unii, a jeżeli rejestr jest przeznaczony do wglądu przez osoby mające prawnie uzasadniony interes, przekazanie danych powinno nastąpić wyłącznie na żądanie tych osób lub, jeżeli osoby te mają być odbiorcami, przy pełnym uwzględnieniu interesów i praw podstawowych osoby, której dane dotyczą.

(69)

Wyjątki te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego z uwagi na ważne względy interesu publicznego, na przykład do międzynarodowej wymiany danych między instytucjami i organami Unii a organami ds. konkurencji, organami podatkowymi lub celnymi, organami nadzoru finansowego, służbami odpowiedzialnymi za sprawy zabezpieczenia społecznego lub za zdrowie publiczne, na przykład w przypadku ustalania kontaktów zakaźnych w razie chorób zakaźnych lub w celu zmniejszenia lub wyeliminowania dopingu w sporcie. Przekazywanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w tym integralności fizycznej lub życia, jeżeli osoba, której dane dotyczą, nie jest w stanie wyrazić zgody. W razie braku stwierdzenia odpowiedniego stopnia ochrony prawo Unii może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych do państwa trzeciego lub organizacji międzynarodowej. Każde przekazanie danych osobowych osoby, której dane dotyczą, fizycznie lub prawnie niezdolnej do wyrażenia zgody, do międzynarodowej organizacji humanitarnej, aby mogła wykonać zadanie nałożone na nią konwencjami genewskimi lub by mogła spełnić wymogi międzynarodowego prawa humanitarnego mającego zastosowanie w konfliktach zbrojnych, można uznać za niezbędne z uwagi na ważny wzgląd interesu publicznego lub za leżące w żywotnym interesie osoby, której dane dotyczą.

(70)

W każdym przypadku, jeżeli Komisja nie wydała decyzji stwierdzającej odpowiedni stopień ochrony danych w państwie trzecim, administrator lub podmiot przetwarzający powinni zastosować rozwiązania, które pozwolą osobom, których dane dotyczą, dysponować – gdy przekazanie już dojdzie do skutku – egzekwowalnymi i skutecznymi prawami względem przetwarzania ich danych w Unii, tak że osoby te będą nadal mogły korzystać z podstawowych praw i zabezpieczeń.

(71)

Transgraniczne przekazywanie danych osobowych poza Unią może spowodować wzrost ryzyka, że osoby fizyczne nie będą mogły wykonywać prawa do ochrony danych osobowych, w szczególności w celu ochrony przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych informacji. Jednocześnie krajowe organy nadzorcze, jak i Europejski Inspektor Ochrony Danych, mogą nie być w stanie rozpatrzyć skargi lub przeprowadzić postępowania w sprawie działalności, która ma miejsce poza granicami ich jurysdykcji. Ich starania na rzecz współpracy w kontekście transgranicznym mogą także zostać zakłócone przez niewystarczające uprawnienia prewencyjne lub zaradcze, niespójne systemy prawne oraz przeszkody praktyczne, takie jak ograniczone środki. Należy więc upowszechniać ściślejszą współpracę między Europejskim Inspektorem Ochrony Danych a krajowymi organami nadzorującymi ochronę danych, by pomóc im prowadzić wymianę informacji i postępowania z ich odpowiednikami międzynarodowymi.

(72)

Utworzenie na mocy rozporządzenia (WE) nr 45/2001 urzędu Europejskiego Inspektora Ochrony Danych, który jest uprawniony do wypełniania swoich zadań i wykonywania swoich uprawnień w sposób całkowicie niezależny, stanowi zasadniczy element ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Niniejsze rozporządzenie powinno jeszcze bardziej wzmocnić i wyjaśnić rolę i niezależność tego urzędu. Europejski Inspektor Ochrony Danych powinien być osobą, której niezależność jest niekwestionowana i o której wiadomo, że posiada doświadczenie i umiejętności wymagane do pełnienia obowiązków Europejskiego Inspektora Ochrony Danych, ponieważ na przykład należy lub należała do organów nadzorczych ustanowionych na mocy art. 51 rozporządzenia (UE) 2016/679.

(73)

Aby zapewnić spójne monitorowanie i egzekwowanie przepisów o ochronie danych w całej Unii, Europejski Inspektor Ochrony Danych powinien mieć te same zadania i faktyczne uprawnienia, co krajowe organy nadzorcze, w tym uprawnienia do prowadzenia postępowań, uprawnienia naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i uprawnienia doradcze, w szczególności w przypadku skarg osób fizycznych, uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia Trybunałowi Sprawiedliwości oraz uprawnienia do udziału w postępowaniu sądowym zgodnie z prawem pierwotnym. Wśród tych uprawnień powinno być także uprawnienie do wprowadzania czasowego lub definitywnego ograniczenia przetwarzania, w tym zakazania przetwarzania. Aby uniknąć nadmiernych kosztów i niedogodności dla danej osoby, której interesy mogą zostać naruszone, każdy środek Europejskiego Inspektora Ochrony Danych powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia, oraz uwzględniać okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka. Każdy prawnie wiążący środek Europejskiego Inspektora Ochrony Danych powinien być sporządzony na piśmie, mieć jasny i jednoznaczny charakter, wskazywać datę wydania środka, być opatrzony podpisem Europejskiego Inspektora Ochrony Danych, podawać powody zastosowania środka oraz informować o prawie do skutecznego środka ochrony prawnej.

(74)

Aby chronić niezawisłość Trybunału w wykonywaniu zadań sądowych, w tym w procesie decyzyjnym, uprawnienia nadzorcze Europejskiego Inspektora Ochrony Danych nie powinny obejmować przetwarzania danych osobowych przez Trybunał Sprawiedliwości działający jako organ sądowniczy. W przypadku takich operacji przetwarzania Trybunał powinien ustanowić niezależną kontrolę zgodnie z art. 8 ust. 3 Karty, na przykład w formie mechanizmu wewnętrznego.

(75)

Decyzje Europejskiego Inspektora Ochrony Danych dotyczące wyjątków, gwarancji, upoważnienia i warunków dotyczących operacji przetwarzania danych zgodnie z definicją niniejszego rozporządzenia powinny być publikowane w sprawozdaniu z działalności. Niezależnie od publikacji rocznego sprawozdania z działalności Europejski Inspektor Ochrony Danych może publikować sprawozdania na konkretne tematy.

(76)

Europejski Inspektor Ochrony Danych powinien działać zgodnie z przepisami rozporządzenia (WE) nr 1049/2001 Parlamentu Europejskiego i Rady (9).

(77)

Krajowe organy nadzorcze monitorują stosowanie przepisów rozporządzenia (UE) 2016/679 oraz przyczyniają się do jego spójnego stosowania w całej Unii, aby chronić osoby fizyczne w związku z przetwarzaniem ich danych osobowych oraz ułatwiać swobodny przepływ danych osobowych na rynku wewnętrznym. Aby zwiększyć stopień zgodności stosowania przepisów o ochronie danych mających zastosowanie w państwach członkowskich i przepisów o ochronie danych mających zastosowanie do instytucji i organów Unii, Europejski Inspektor Ochrony Danych powinien skutecznie współpracować z krajowymi organami nadzorczymi.

(78)

W niektórych przypadkach prawo Unii przewiduje model skoordynowanego nadzoru sprawowanego wspólnie przez Europejskiego Inspektora Ochrony Danych i krajowe organy nadzorcze. Ponadto Europejski Inspektor Ochrony Danych pełni również rolę organu nadzorczego względem Europolu i w tym celu ustanowiono również szczególny model współpracy z krajowymi organami nadzorczymi, który funkcjonuje za pośrednictwem rady współpracy pełniącej funkcje doradcze. Aby poprawić skuteczny nadzór i egzekwowanie przepisów prawa materialnego o ochronie danych, należy wprowadzić w Unii jednolity, spójny model skoordynowanego nadzoru. W związku z tym w stosownych przypadkach Komisja powinna przedłożyć wnioski ustawodawcze w celu zmiany unijnych aktów prawnych, w których przewidziano model skoordynowanego nadzoru, aby dostosować je do skoordynowanego modelu nadzoru przewidzianego w niniejszym rozporządzeniu. Europejska Rada Ochrony Danych powinna funkcjonować jako jednolite forum, aby zapewnić skuteczny i skoordynowany nadzór we wszystkich dziedzinach.

(79)

Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do Europejskiego Inspektora Ochrony Danych oraz prawo do skutecznego środka ochrony prawnej przed Trybunałem Sprawiedliwości, zgodnie z przepisami Traktatów, jeżeli uzna, że jej prawa wynikające z niniejszego rozporządzenia są naruszane lub jeżeli Europejski Inspektor Ochrony Danych nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala, lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiadającym konkretnej sprawie. Europejski Inspektor Ochrony Danych powinien w rozsądnym terminie poinformować osobę, której dane dotyczą, o postępach i wynikach rozpatrywania skargi. Jeżeli dana sprawa wymaga dalszej koordynacji działań z krajowym organem nadzorczym, osoba, której dane dotyczą, powinna zostać o tym uprzednio poinformowana. Aby ułatwić wnoszenie skarg, Europejski Inspektor Ochrony Danych powinien zastosować takie środki, jak udostępnienie formularza skargi, który można wypełnić także elektronicznie, przy czym nie należy wykluczać innych sposobów komunikacji.

(80)

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, powinna mieć prawo uzyskania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę, z zastrzeżeniem warunków przewidzianych w Traktach.

(81)

Aby wzmocnić rolę nadzorczą Europejskiego Inspektora Ochrony Danych i skuteczne wdrażanie przepisów niniejszego rozporządzenia, Europejski Inspektor Ochrony Danych powinien mieć prawo do nakładania administracyjnych kar pieniężnych jako ostatecznej sankcji. Celem kar pieniężnych powinno być ukaranie za nieprzestrzeganie przepisów niniejszego rozporządzenia nie tyle poszczególnych osób, co instytucji lub organów Unii, aby powstrzymać przed kolejnymi naruszeniami niniejszego rozporządzenia i upowszechniać kulturę ochrony danych osobowych wewnątrz instytucji i organów Unii. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń zagrożonych administracyjnymi karami pieniężnymi oraz wskazać górne granice i kryteria ustalania związanych z nimi kar pieniężnych. Europejski Inspektor Ochrony Danych powinien określać wysokość kar pieniężnych indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu wywiązania się z obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub ich złagodzenia. Nakładając administracyjną karę pieniężną na instytucję lub organ Unii, Europejski Inspektor Ochrony Danych powinien wziąć pod uwagę proporcjonalność wysokości kary pieniężnej. Procedura administracyjna nakładania kar pieniężnych na instytucje i organy Unii powinna być zgodna z ogólnymi przepisami prawa Unii, w myśl wykładni ustalonej przez Trybunał Sprawiedliwości.

(82)

Jeżeli osoba, której dane dotyczą, uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć ona prawo zlecić podmiotowi, organizacji lub zrzeszeniu, które nie mają charakteru zarobkowego, zostały ustanowione zgodnie z prawem Unii lub z prawem państwa członkowskiego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych, wniesienie skargi w jej imieniu do Europejskiego Inspektora Ochrony Danych. Taki organ, organizacja lub zrzeszenie powinny mieć również możliwość wykonywania prawa do środka ochrony prawnej w imieniu osób, których dane dotyczą, lub wykonywania prawa do odszkodowania w imieniu osób, których dane dotyczą.

(83)

Urzędnik lub inny pracownik Unii, który nie dopełni zobowiązań wynikających z niniejszego rozporządzenia, podlega karze dyscyplinarnej lub innej zgodnie z regułami i procedurami ustanowionymi w regulaminie pracowniczym urzędników Unii Europejskiej i w warunkach zatrudnienia innych pracowników Unii Europejskiej, ustanowionych w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 (10) („regulamin pracowniczy”).

(84)

Aby zapewnić jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (11). W przypadku przyjmowania standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi oraz między podmiotami przetwarzającymi, przyjmowania wykazu operacji przetwarzania, jeżeli wymagane są uprzednie konsultacje administratorów dokonujących przetwarzania danych osobowych z Europejskim Inspektorem Ochrony Danych na potrzeby wykonania zadania realizowanego w interesie publicznym, oraz przyjmowania standardowych klauzul umownych zapewniających stosowne gwarancje dla międzynarodowego przekazywania danych należy stosować procedurę sprawdzającą.

(85)

Należy chronić informacje poufne, które organy statystyczne Unii i państw członkowskich gromadzą do celów opracowywania oficjalnych statystyk europejskich i krajowych. Statystyki europejskie należy opracowywać, tworzyć i rozpowszechniać zgodnie z zasadami statystycznymi przewidzianymi w art. 338 ust. 2 TFUE. Dalsze szczegółowe informacje o zasadzie poufności odnoszącej się do statystyki europejskiej zawiera rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 223/2009 (12).

(86)

Należy uchylić rozporządzenie (WE) nr 45/2001 i decyzji nr 1247/2002/WE Parlamentu Europejskiego, Rady i Komisji (13). Odesłania do uchylonego rozporządzenia oraz uchylonej decyzji należy rozumieć jako odesłania do niniejszego rozporządzenia.

(87)

Aby chronić pełną niezależność członków niezależnego organu nadzorczego, niniejsze rozporządzenie powinno pozostać bez wpływu na kadencję obecnego Europejskiego Inspektora Ochrony Danych i obecnego zastępcy inspektora. Obecny zastępca inspektora powinien pozostać na stanowisku do końca swojej kadencji, chyba że spełniony zostanie jeden z warunków wcześniejszego zakończenia kadencji Europejskiego Inspektora Ochrony Danych przewidzianych w niniejszym rozporządzeniu. Odnośne przepisy niniejszego rozporządzenia powinny mieć zastosowanie do zastępcy inspektora do końca jego kadencji.

(88)

Zgodnie z zasadą proporcjonalności do osiągnięcia podstawowego celu polegającego na zapewnieniu jednakowego stopnia ochrony osób fizycznych przy przetwarzaniu danych osobowych oraz swobodnego przepływu danych osobowych w całej Unii niezbędne i właściwe jest ustanowienie przepisów dotyczących przetwarzania danych osobowych w instytucjach i organach Unii. Niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia celów założonych zgodnie z art. 5 ust. 4 TUE

(89)

Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 15 marca 2017 r. (14),