32001R0045

Europos Parlamento ir Tarybos Reglamentas (EB) Nr. 45/2001

2000 m. gruodžio 18 d.

dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Europos bendrijos steigimo sutartį, ypač į jos 286 straipsnį,

atsižvelgdami į Komisijos pasiūlymą [1],

atsižvelgdami į Ekonomikos ir socialinių reikalų komiteto nuomonę [2],

laikydamiesi Sutarties 251 straipsnyje nustatytos tvarkos [3],

kadangi:

(1) Taikant Sutarties 286 straipsnį reikia, kad Bendrijos institucijoms ir įstaigoms būtų taikomi Bendrijos teisės aktai dėl asmenų apsaugos tvarkant asmens duomenis ir tokių duomenų laisvo judėjimo.

(2) Taikant visapusišką asmens duomenų apsaugos sistemą reikia ne tik nustatyti duomenų subjektų teises ir įsipareigojimus tiems, kurie tvarko asmens duomenis, bet ir pažeidėjams taikyti atitinkamas nuobaudas, bei nepriklausomos priežiūros įstaigos vykdomą stebėjimą.

(3) Taikant Sutarties 286 straipsnio 2 dalies nuostatas reikia įsteigti nepriklausomą priežiūros įstaigą, atsakingą už tokių Bendrijos teisės aktų taikymo Bendrijos institucijoms ir įstaigoms stebėjimą.

(4) Taikant Sutarties 286 straipsnio 2 dalies nuostatas reikia priimti visas kitas atitinkamas nuostatas.

(5) Reglamentas būtinas tam, kad asmeniui būtų suteiktos įstatymais įgyvendinamos teisės, nustatytos Bendrijos institucijų ir įstaigų duomenų valdytojo įsipareigojimai tvarkant asmens duomenis bei įsteigta už Bendrijos institucijų ir įstaigų tvarkomų asmens duomenų stebėjimą atsakinga nepriklausoma priežiūros institucija.

(6) Buvo konsultuotasi su Darbo grupe dėl asmenų apsaugos tvarkant asmens duomenis, įsteigta pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [4] 29 straipsnį.

(7) Asmenys, kuriuos reikia apsaugoti, yra tie asmenys, kurių asmens duomenis Bendrijos institucijos ar įstaigos tvarko bet kuriuo tikslu, pavyzdžiui, dėl to, kad jie dirba tose institucijose ar įstaigose.

(8) Duomenų apsaugos principai turi būti taikomi kiekvienai informacijai apie asmenį, kurio asmens tapatybė yra žinoma arba gali būti nustatyta. Kad būtų galima nuspręsti, ar galima nustatyti asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias minėto asmens tapatybei nustatyti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo. Apsaugos principai neturėtų būti taikomi duomenims, iš kurių negalima nustatyti duomenų subjekto tapatybės.

(9) Pagal Direktyvą 95/46/EB valstybės narės, tvarkydamos fizinių asmenų asmens duomenis, turi ginti jų pagrindines teises ir laisves, svarbiausia — jų teisę į privataus gyvenimo neliečiamumą ir užtikrinti laisvą asmens duomenų judėjimą Bendrijoje.

(10) 1997 m. gruodžio 15 d. Europos Parlamento ir Tarybos direktyva 97/66/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos telekomunikacijų sektoriuje [5] detalizuoja ir papildo Direktyvą 95/46/EB dėl asmens duomenų tvarkymo telekomunikacijų sektoriuje.

(11) Įvairios kitos Bendrijos priemonės, įskaitant nacionalinės valdžios institucijų ir Komisijos tarpusavio pagalbą, taip pat skirtos detalizuoti ir papildyti Direktyvą 95/46/EB su jomis susijusiuose sektoriuose.

(12) Visoje Bendrijoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, reglamentuojančių asmenų pagrindinių teisių ir laisvių apsaugą, taikymas tvarkant asmens duomenis.

(13) Taip siekiama užtikrinti ir veiksmingą taisyklių, reglamentuojančių asmenų pagrindinių teisių ir laisvių apsaugą bei laisvą asmens duomenų judėjimą tarp valstybių narių ir Bendrijos institucijų ir įstaigų arba tarp Bendrijos institucijų ir įstaigų, siekiant su jų atitinkamos kompetencijos vykdymu susijusių tikslų.

(14) Tam tikslui turėtų būti imtasi Bendrijos institucijoms ir įstaigoms privalomų priemonių. Šios priemonės turėtų būti taikomos visiems Bendrijos visų institucijų tvarkomiems asmens duomenims, jeigu atliekant visas Bendrijos teisėje numatytas veiklos rūšis ar jų dalį yra taip tvarkomi duomenys.

(15) Jeigu Bendrijos institucijos ar įstaigos asmens duomenis tvarko vykdydamos tokią veiklą, kuriai netaikomas šis reglamentas, pirmiausia tokią, kuri nurodyta Europos Sąjungos sutarties V ir VI antraštinėse dalyse, asmens pagrindinių teisių ir laisvių apsauga užtikrinama deramai atsižvelgus į Europos Sąjungos sutarties 6 straipsnį. Teisės susipažinti su dokumentais, įskaitant asmens duomenis saugojančius dokumentus, sąlygas reguliuoja pagal EB sutarties 255 straipsnį, kurio taikymo sritis apima Europos Sąjungos sutarties V ir VI antraštines dalis, priimtos taisyklės.

(16) Ne Bendrijos sistemoje įkurtoms įstaigoms neturėtų būti taikomos minėtos priemonės ir prižiūrėti tokių įstaigų tvarkomus asmens duomenis neturėtų būti Europos duomenų apsaugos priežiūros pareigūno kompetencijoje.

(17) Dėl asmens duomenų Sąjungoje tvarkymo taikoma veiksminga asmens apsauga iš anksto numato atsižvelgiant į įvairias įstatymais numatytas sąlygas atitinkamoms veiklos rūšims nuosekliai taikyti atitinkamas taisykles ir procedūras. Pagrindinių principų dėl teisminio bendradarbiavimo, policijos ir muitinės bendradarbiavimo apsaugant asmens duomenis, bendrų pagal Europolo konvenciją įsteigtų priežiūros institucijų sekretoriato sukūrimas, Konvencija dėl muitinėms taikomų informacinių technologijų ir Šengeno konvencija yra darbo šia kryptimi pirmasis žingsnis.

(18) Šis reglamentas neturėtų daryti įtakos Direktyvose 95/46/EB ir 97/66/EB numatytoms valstybių narių teisėms ir pareigoms. Juo neketinama keisti esamos tvarkos ir praktikos, kurią valstybės saugumo, viešosios tvarkos pažeidimų prevencijos arba nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo baudžiamojon atsakomybėn srityse pagal Europos Bendrijų Privilegijų ir imunitetų protokolą bei tarptautinę teisę pasirėmusios įstatymais įgyvendino valstybės narės.

(19) Bendrijos institucijos ir įstaigos turėtų valstybių narių kompetentingas institucijas informuoti tais atvejais, kai jos mano, kad jų telekomunikacijų tinklais perduodami pranešimai (informacija) turėtų būti pasiklausomi vadovaujantis taikomomis nacionalinėmis nuostatomis.

(20) Bendrijos institucijoms ir įstaigoms taikomos nuostatos turėtų atitikti tas nuostatas, kurios nustatytos su valstybės vidaus įstatymų suderinimu arba kitų Bendrijos politikos sričių, ypač savitarpio pagalbos, įgyvendinimu susijusioms nuostatoms. Tačiau tais atvejais, kai Bendrijos institucijos ir įstaigos tvarko asmens duomenis, tas nuostatas, kai reikia užtikrinti apsaugą, gali prireikti detalizuoti ir papildyti.

(21) Tai taikytina asmenų, kurių asmens duomenys yra tvarkomi, teisėms, asmens duomenis tvarkančių Bendrijos institucijų ir įstaigų įsipareigojimams ir už šio reglamento tinkamą vykdymą atsakingos nepriklausomos priežiūros institucijos įgaliojimams.

(22) Duomenų subjektui suteiktos teisės ir jų įgyvendinimas neturėtų daryti įtakos duomenų valdytojo įsipareigojimams.

(23) Nepriklausoma priežiūros institucija turėtų vykdyti savo priežiūros funkcijas pagal Sutartį ir atsižvelgiant į žmogaus teises bei pagrindines laisves. Savo tyrimus ji turėtų atlikti vadovaudamasi Privilegijų ir imunitetų protokolu ir Europos Bendrijų pareigūnų tarnybos nuostatais bei Bendrijų kitų tarnautojų įdarbinimo sąlygomis.

(24) Turėtų būti imtasi būtinų techninių priemonių, kad per nepriklausomą priežiūros instituciją būtų suteikta teisė susipažinti su duomenų apsaugos pareigūnų tvarkymo veiksmų registrais.

(25) Kaip apibrėžta šiame reglamente, nepriklausomos priežiūros institucijos veiklos ataskaitoje turėtų būti paskelbti su duomenų tvarkymo veiksmais susiję jos sprendimai dėl išimčių, garantijų, leidimų ir sąlygų. Be skelbiamos metinės veiklos ataskaitos, nepriklausoma priežiūros institucija gali paskelbti konkrečių klausimų ataskaitas.

(26) Tam tikriems tvarkymo veiksmams, galintiems duomenų subjektų teisėms ir laisvėms sukelti konkrečią riziką, nepriklausoma priežiūros institucija atlieka išankstinę patikrą. Išvada dėl tokios išankstinės patikros, tarp jų išvada dėl per nustatytą laiką nepateikto atsakymo, neturėtų nepriklausomos priežiūros institucijos riboti vėliau vykdyti minėto tvarkymo atžvilgiu numatytus įgaliojimus.

(27) Visuomenės labui atliekamas Bendrijos institucijų ir įstaigų asmens duomenų tvarkymas apima asmens duomenų, būtinų šioms institucijoms ir įstaigoms valdyti bei joms dirbti, tvarkymą.

(28) Tam tikrais atvejais, kad galėtų būti tvarkomi asmens duomenys, toks veiksmas turėtų būti numatytas Bendrijos nuostatomis arba teisės aktais, į kuriuos yra perkeltos Bendrijos nuostatos. Nepaisant to, pereinamuoju laikotarpiu, kai dar nėra priimtos tokios nuostatos, prieš jas priimant, Europos duomenų apsaugos priežiūros pareigūnas gali leisti tvarkyti tokius duomenis, jeigu imamasi tinkamų apsaugos priemonių. Taip darydamas jis visų pirma turėtų atsižvelgti į valstybių narių priimtas nuostatas, kaip reikėtų elgtis panašiais atvejais.

(29) Šie atvejai yra susiję su duomenų apie rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėje sąjungoje tvarkymu, ir duomenų apie sveikatą ar lytinį gyvenimą, kurie būtini, kad duomenų valdytojas galėtų įgyvendinti specifines su darbo teise susijusias teises ir įsipareigojimus, tvarkymu arba tuos atvejus veikia svarbus visuomenės interesas. Jie taip pat susiję su duomenų apie nusikaltimus, teistumus tvarkymu ar apsaugos priemonėmis ir leidimu priimti sprendimą duomenų subjektui, kuris turi teisines pasekmes arba turi jam didelę įtaką, ir remiasi tik tam tikras jo asmenines savybes įvertinančių duomenų tvarkymu automatiniu būdu.

(30) Gali prireikti prižiūrėti Bendrijos institucijų ir įstaigų tvarkomus kompiuterinius tinklus, kad būtų išvengta neteisėto naudojimo. Europos duomenų apsaugos priežiūros pareigūnas turėtų nustatyti, ar tai galima pasiekti, ir kokiomis sąlygomis tai padaryti.

(31) Atsakomybę už visus šio reglamento pažeidimus reglamentuoja Sutarties 288 straipsnio antra pastraipa.

(32) Kiekvienos Bendrijos institucijos ar įstaigos vienas ar keletas duomenų apsaugos pareigūnų turėtų užtikrinti, kad būtų taikomos šio reglamento nuostatos, ir dėl įsipareigojimų vykdymo konsultuoti duomenų valdytojus.

(33) Pagal 1997 m. vasario 17 d. Tarybos reglamento (EB) Nr. 322/97 dėl Bendrijos statistikos [6] 21 straipsnį tas reglamentas yra taikomas nepažeidžiant Direktyvos 95/46/EB.

(34) Pagal 1998 m. lapkričio 23 d. Tarybos reglamento (EB) Nr. 2533/98 dėl Europos centrinio banko renkamos statistinės informacijos [7] 8 straipsnio 8 dalį tas reglamentas yra taikomas nepažeidžiant Direktyvos 95/46/EB.

(35) Pagal 1990 m. birželio 11 d. Tarybos reglamento (Euratomas, EEB) Nr. 1588/90 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai [8] 1 straipsnio 2 dalį tas reglamentas nenukrypsta nuo specialių Bendrijos ar nacionalinių nuostatų, reglamentuojančių konfidencialumo apsaugą, išskyrus statistiškai konfidencialius duomenis.

(36) Šiuo reglamentu nesiekiama apriboti valstybių narių laisvės rengti savo nacionalinius įstatymus dėl duomenų apsaugos pagal Direktyvos 95/46/EB 32 straipsnį Sutarties 249 straipsnyje nustatyta tvarka,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Reglamento tikslas

1. Vadovaujantis šiuo reglamentu, pagal Europos Bendrijų steigimo sutartis arba jomis vadovaujantis įsteigtos institucijos ir įstaigos (toliau — Bendrijos institucijos ar įstaigos) gina fizinių asmenų pagrindines teises ir laisves, o svarbiausia — su asmens duomenų tvarkymu susijusią jų teisę į privataus gyvenimo neliečiamumą, ir nei riboja, nei draudžia laisvai judėti asmens duomenims arba juos gauti duomenų gavėjams, kuriems taikomas Direktyvą 95/46/EB įgyvendinantis valstybių narių nacionalinis įstatymas.

2. Šiuo reglamentu įsteigta nepriklausoma priežiūros institucija (toliau — Europos duomenų apsaugos priežiūros pareigūnas) prižiūri, kaip visiems Bendrijos institucijos ar įstaigos tvarkymo veiksmams taikomos šio reglamento nuostatos.

2 straipsnis

Apibrėžimai

Šiame reglamente:

a) "asmens duomenys" — bet kuri informacija, susijusi su fiziniu asmeniu (toliau — duomenų subjektas), kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienu ar keliais asmeniui būdingais fizinio, fiziologinio, protinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiais;

b) "asmens duomenų tvarkymas" (toliau — tvarkymas) — bet kuris su asmens duomenimis atliekamas vienkartinis ar daugkartinis veiksmas, toks kaip rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, lyginimas ar sujungimas, tvarkymo sustabdymas, trynimas ar naikinimas, nepaisant to, ar tokie veiksmai atliekami automatiniu būdu ar ne;

c) "susisteminta asmens duomenų rinkmena" (toliau — susisteminta rinkmena) — bet kuris pagal tam tikrus specifinius kriterijus prieinamų asmens duomenų rinkinys, nepaisant to, ar asmens duomenys yra centralizuoti, decentralizuoti ar išskirstyti funkciniu ar geografiniu pagrindu;

d) "duomenų valdytojas" — Bendrijos institucija ar įstaiga, generalinis direktoratas, skyrius ar bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; jeigu tvarkymo tikslai ir priemonės yra nustatomi konkrečiu Bendrijos teisės aktu, pagal tokį Bendrijos teisės aktą gali būti paskirtas duomenų valdytojas arba nustatyti konkretūs jo paskyrimo kriterijai;

e) "duomenų tvarkytojas" — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar bet kuri kita institucija, kuri duomenų valdytojo vardu tvarko asmens duomenis;

f) "trečioji šalis" — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar kita institucija, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra duomenų valdytojo ar duomenų tvarkytojo tiesiogiai įgalioti tvarkyti asmens duomenis;

g) "duomenų gavėjas" — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar bet kuri kita institucija, kuriai, nepaisant to, ar ji yra trečioji šalis, ar ne, yra atskleidžiami duomenys; tačiau institucijos, kurios gali gauti konkretaus tyrimo duomenis, nėra laikomos duomenų gavėjais;

h) "duomenų subjekto sutikimas" — bet kuris savanoriškas duomenų subjekto konkretus sutikimas, kuriuo duomenų subjektas nurodo savo sutikimą tvarkyti jo asmens duomenis jam žinomu tikslu.

3 straipsnis

Taikymo sritis

1. Visos Bendrijos institucijos ir įstaigos šį reglamentą taiko visiems tvarkomiems asmens duomenims, jeigu asmens duomenys yra tvarkomi atsižvelgiant į Bendrijos teisėje numatytas visas veiklos rūšis ar jų dalį.

2. Šis reglamentas taikomas visiškai arba iš dalies automatiniu būdu tvarkomiems asmens duomenims ir neautomatiniu būdu tvarkomiems asmens duomenims, kurie yra arba yra skirti sudaryti susistemintos rinkmenos dalį.

II SKYRIUS

BENDROSIOS TAISYKLĖS, REGLAMENTUOJANČIOS ASMENS DUOMENŲ TVARKYMO TEISĖTUMĄ1

1 SKIRSNIS

DUOMENŲ KOKYBĖS PRINCIPAI

4 straipsnis

Duomenų kokybė

1. Asmens duomenys turi būti:

a) tvarkomi sąžiningai ir teisėtai;

b) renkami atsižvelgiant į apibrėžtus, aiškius ir teisėtus tikslus, ir po to negali būti tvarkomi su šiais tikslais nesuderintu būdu. Tolesnis surinktų asmens duomenų tvarkymas istoriniais, statistiniais ar mokslinio tyrimo tikslais nėra laikomas neatitinkančiu nustatytų tikslų, jeigu duomenų valdytojas nustato tinkamas apsaugos priemones, visų pirma tam, kad užtikrintų, jog duomenys nebus tvarkomi jokiais kitais tikslais arba naudojami pateisinti konkretaus asmens atžvilgiu taikomas priemones ar priimamus sprendimus;

c) adekvatūs, tinkami ir tokios apimties, kuri būtina siekiant tikslų, kuriems duomenys yra renkami ir (arba) po to tvarkomi;

d) tikslūs ir prireikus atnaujinami; turi būti imtasi visų pagrįstų priemonių užtikrinti, kad netikslūs ar nepilni duomenys, atsižvelgus į tikslus, kuriais jie yra renkami arba po to tvarkomi, bus sunaikinti ar ištaisyti;

e) saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys buvo surinkti arba po to tvarkomi. Bendrijos institucija ar įstaiga nustato, kad asmens duomenys, kurie istoriniais, statistiniais ar mokslinio tyrimo tikslais turi būti saugomi ilgiau, būtų saugomi tik tokia forma, kuri neleistų nustatyti asmens tapatybės, arba, jeigu tai neįmanoma, tik su užkoduota duomenų subjektų tapatybe. Bet kuriuo atveju asmens duomenys neturi būti naudojami kitais tikslais, išskyrus istorinius, statistinius ar mokslinio tyrimo tikslus.

2. Duomenų valdytojas turi užtikrinti, kad būtų laikomasi 1 dalies nuostatų.

2 SKIRSNIS

DUOMENŲ TVARKYMO TEISĖTUMO KRITERIJAI

5 straipsnis

Teisėtas tvarkymas

Asmens duomenys gali būti tvarkomi tik tuo atveju, jeigu:

a) juos reikia tvarkyti, kad visuomenės labui būtų vykdoma užduotis vadovaujantis Europos Bendrijų steigimo sutartimis arba kitais jomis remiantis priimtais teisės aktais, arba teisėtai įgyvendinant Bendrijos institucijos ar įstaigos arba trečiosios šalies, kuriai atskleidžiami duomenys, įgaliojimus; arba

b) tvarkyti reikia vykdant teisinį įsipareigojimą, kuris nustatomas duomenų valdytojui; arba

c) tvarkyti reikia vykdant sutartį, kai duomenų subjektas yra viena iš šalių, arba duomenų subjektui paprašius būtų imtasi priemonių prieš sudarant sutartį; arba

d) duomenų subjektas nedviprasmiškai duoda sutikimą; arba

e) tvarkyti reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus.

6 straipsnis

Tikslo pakeitimas

Nepažeidžiant 4, 5 ir 10 straipsnių:

1. Asmens duomenys tvarkomi kitais tikslais nei tais, kuriais jie buvo surinkti tik tuo atveju, jeigu tikslo pakeitimas yra aiškiai numatytas Bendrijos institucijos ar įstaigos vidaus taisyklėse.

2. Asmens duomenys, surinkti tik tam, kad būtų užtikrintas tvarkymo sistemų ar veiksmų saugumas ar kontrolė, negali būti naudojami kitais tikslais, išskyrus tuos atvejus, kai to reikia sunkių kriminalinių nusikaltimų užkardymui, tyrimui, nustatymui ir patraukimui baudžiamojon atsakomybėn.

7 straipsnis

Asmens duomenų perdavimas Bendrijos institucijose ar įstaigose, ar tarpusavyje

Nepažeidžiant 4, 5, 6 ir 10 straipsnių:

1. Asmens duomenys perduodami Bendrijos institucijose ar įstaigose, ar tarpusavyje tik tuo atveju, jeigu duomenys yra būtini, kad būtų galima teisėtai vykdyti duomenų gavėjo kompetencijai priklausančias užduotis.

2. Jeigu duomenys yra perduodami gavus duomenų gavėjo prašymą, ir duomenų valdytojas, ir duomenų gavėjas atsako už duomenų perdavimo teisėtumą.

Duomenų valdytojas privalo patikrinti duomenų gavėjo kompetenciją ir iš anksto įvertinti duomenų perdavimo būtinybę. Kilus abejonėms dėl tokios būtinybės, duomenų valdytojas prašo duomenų gavėją perduoti papildomos informacijos.

Duomenų gavėjas užtikrina, kad vėliau gali būti patikrinta būtinybė perduoti duomenis.

3. Duomenų gavėjas asmens duomenis tvarko tik tais tikslais, kuriais jie buvo perduoti.

8 straipsnis

Asmens duomenų perdavimas duomenų gavėjams, kuriems taikoma Direktyva 95/46/EB, išskyrus Bendrijos institucijas ir įstaigas

Nepažeidžiant 4, 5, 6 ir 10 straipsnių, asmens duomenys perduodami tik tiems duomenų gavėjams, kuriems yra taikomas Direktyvą 95/46/EB įgyvendinantis nacionalinis įstatymas:

a) jeigu duomenų gavėjas nustato, kad duomenys yra būtini vykdant užduotį visuomenės labui arba įgyvendinti valstybinės valdžios institucijos įgaliojimus; arba

b) jeigu duomenų gavėjas įrodo būtinybę gauti perduotus duomenis ir nėra priežasties manyti, kad gali būti pažeisti teisėti duomenų subjekto interesai.

9 straipsnis

Asmens duomenų perdavimas duomenų gavėjams, kuriems netaikoma Direktyva 95/46/EB, išskyrus Bendrijos institucijas ir įstaigas

1. Asmens duomenys perduodami tik tiems duomenų gavėjams, išskyrus Bendrijos institucijas ir įstaigas, kuriems nėra taikomi nacionaliniai įstatymai, priimti vadovaujantis Direktyva 95/46/EB, jeigu duomenų gavėjo šalyje arba jo tarptautinėje organizacijoje yra užtikrinta tinkama apsauga ir duomenys yra perduodami tik tam, kad būtų atliktos duomenų valdytojo kompetencijai priklausančios užduotys.

2. Minėtos trečiosios šalies ar tarptautinės organizacijos suteiktas adekvatus apsaugos lygis įvertinamas atsižvelgus į visas su duomenų perdavimo veiksmu arba veiksmais susijusias aplinkybes; ypač atsižvelgiant į duomenų pobūdį, siūlomą duomenų tvarkymo veiksmo ar veiksmų tikslą ir trukmę, duomenų gavėją trečiąją šalį ar duomenų gavėją tarptautinę organizaciją, bendrąsias bei sektorių teisės normas, galiojančias minėtoje trečiojoje šalyje arba tarptautinėje organizacijoje, bei profesines taisykles ir apsaugos priemones, kurių laikomasi toje trečiojoje šalyje arba tarptautinėje organizacijoje.

3. Bendrijos institucijos ir įstaigos informuoja Komisiją ir Europos duomenų apsaugos priežiūros pareigūną apie atvejus, kai jos mano, kad minėta trečioji šalis arba tarptautinė organizacija neužtikrina, kaip apibrėžta 2 dalyje, adekvataus apsaugos lygio.

4. Komisija informuoja valstybes nares apie visus 3 dalyje minėtus atvejus.

5. Bendrijos institucijos ir įstaigos imasi visų priemonių, būtinų laikytis Komisijos sprendimų, kai ji pagal Direktyvos 95/46/EB 25 straipsnio 4 ir 6 dalis nustato, kad trečioji šalis arba tarptautinė organizacija užtikrina arba neužtikrina adekvataus apsaugos lygio.

6. Šio straipsnio 1 ir 2 dalims taikant išlygą, Bendrijos institucija ar įstaiga gali perduoti asmens duomenis, jeigu:

a) duomenų subjektas nedviprasmiškai duoda sutikimą perduoti siūlomus asmens duomenis; arba

b) perdavimas yra būtinas, kad būtų vykdoma duomenų subjekto ir duomenų valdytojo sudaryta sutartis arba prieš sutarties vykdymą įgyvendintos priemonės, kurių buvo imtasi duomenų subjekto prašymu; arba

c) perdavimas yra būtinas, kad būtų sudaryta arba vykdoma sutartis tarp duomenų valdytojo ir trečiosios šalies duomenų subjekto interesais; arba

d) perdavimas yra būtinas arba teisiškai reikalaujama atsižvelgti į svarbų visuomenės interesą arba pagrįsti, vykdyti arba ginti teisėtus reikalavimus; arba

e) perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto interesus; arba

f) perdavimas yra iš registro, kuris pagal Bendrijos teisę yra skirtas teikti visuomenei informaciją ir kuriuo gali naudotis plačioji visuomenė arba bet kuris asmuo, galintis įrodyti savo teisėtą interesą, duomenys perduodami tiek, kiek kiekvienu konkrečiu atveju yra įvykdytos Bendrijos teisėje nustatytos sąlygos dėl susipažinimo su informacija.

7. Nepažeisdamas šio straipsnio 6 dalies nuostatų, Europos duomenų apsaugos priežiūros pareigūnas gali leisti vienąkart arba daugkart perduoti asmens duomenis trečiajai šaliai arba tarptautinei organizacijai, kuri neužtikrina adekvataus apsaugos lygio, kaip apibrėžta šio straipsnio 1 ir 2 dalyse, jeigu duomenų valdytojas pateikia įrodymų dėl asmenų privataus gyvenimo ir pagrindinių teisių ir laisvių tinkamos apsaugos bei atitinkamų teisių įgyvendinimo; pirmiausia tokios apsaugos priemonės gali būti numatytos atitinkamose sutarties sąlygose.

8. Bendrijos institucijos ir įstaigos informuoja Europos duomenų apsaugos priežiūros pareigūną apie tuos atvejus, kai buvo taikytos šio straipsnio 6 ir 7 dalys.

3 SKIRSNIS

YPATINGŲ ASMENS DUOMENŲ TVARKYMAS

10 straipsnis

Ypatingų asmens duomenų tvarkymas

1. Draudžiama tvarkyti asmens duomenis, kurie atskleidžia asmens rasinę ir etninę kilmę, politinius, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose ir duomenis apie sveikatą ar lytinį gyvenimą.

2. Šio straipsnio 1 dalies nuostatos netaikomos, jeigu:

a) duomenų subjektas davė aiškų sutikimą tvarkyti tokius asmens duomenis, išskyrus tuos atvejus, kai Bendrijos institucijos ar įstaigos vidaus taisyklėse numatyta, kad šio straipsnio 1 dalyje minėtas draudimas negali būti panaikintas net ir gavus duomenų subjekto sutikimą; arba

b) tvarkymas yra būtinas, kad būtų įgyvendintos darbo teisėje numatytos duomenų valdytojo specifines teisės ir įsipareigojimai, ir reikia tvarkyti taip, kaip yra numatyta Europos Bendrijų steigimo sutartyse arba kituose jomis remiantis priimtuose teisiniuose dokumentuose, arba prireikus ir taikant tinkamas apsaugos priemones taip, kaip nustatė Europos duomenų apsaugos priežiūros pareigūnas; arba

c) tvarkymas yra būtinas, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai, jeigu duomenų subjektas nepajėgia duoti sutikimo arba yra neveiksnus; arba

d) tvarkomi asmens duomenys, kuriuos duomenų subjektas paskelbė viešai, arba yra reikalingi nustatyti, įvykdyti ar apginti teisinius ieškinius; arba

e) duomenis tvarko ne pelno organizacija, kuri yra Bendrijos institucijos ar įstaigos subjektas, kuriam pagal Direktyvos 95/46/EB 4 straipsnį netaikomas nacionalinis duomenų apsaugos įstatymas, teisėtos tinkamai apsaugotos veiklos tikslais ir siekiant politinių, filosofinių, religinių ar profsąjungos tikslų ir tik tuo atveju, kai tvarkomi asmens duomenys yra susiję su šios įstaigos nariais arba asmenimis, kurie nuolat palaiko ryšius su šia organizacija ir su ja susijusiais tikslais, ir kai be duomenų subjektų sutikimo trečiajai šaliai negali būti atskleidžiami asmens duomenys.

3. Šio straipsnio 1 dalis netaikoma, kai duomenis reikia tvarkyti teikiant profilaktines medicinos, medicininės diagnostikos, medicinos priežiūros, gydymo, sveikatos apsaugos paslaugas ir kai tokius duomenis tvarko sveikatos apsaugos darbuotojas, įpareigotas laikytis profesinės paslapties reikalavimo, arba kitas asmuo, kuris taip pat privalo laikytis lygiaverčio įsipareigojimo saugoti paslaptis.

4. Jeigu yra taikomos tinkamos apsaugos priemonės ir dėl svarbių visuomeninių interesų, be šio straipsnio 2 dalyje numatytų išimčių gali būti taikomos ir kitos Europos Bendrijų steigimo sutartyse ar kituose jomis remiantis priimtuose teisiniuose dokumentuose, arba prireikus Europos duomenų apsaugos priežiūros pareigūno sprendime numatytos išimtys.

5. Asmens duomenys, susiję su nusikalstamomis veikomis, teistumu ar saugumo priemonėmis, gali būti tvarkomi tik tuo atveju, jeigu tai leidžia daryti Europos Bendrijų steigimo sutartys, jomis remiantis priimti kiti teisiniai dokumentai arba prireikus Europos duomenų apsaugos priežiūros pareigūnas, jeigu yra taikomos tinkamos konkrečios apsaugos priemonės.

6. Europos duomenų apsaugos priežiūros pareigūnas nustato sąlygas, kuriomis Bendrijos institucija ar įstaiga gali tvarkyti asmens kodą arba kitą bendro taikymo žymenį.

4 SKIRSNIS

DUOMENŲ SUBJEKTO INFORMAVIMAS

11 straipsnis

Teiktina informacija tais atvejais, kai asmens duomenys buvo gauti iš duomenų subjekto

1. Duomenų valdytojas privalo duomenų subjektui, iš kurio jis tiesiogiai renka jo asmens duomenis, suteikti bent tokią informaciją, išskyrus tuos atvejus, kai jis jau turi tokią informaciją:

a) duomenų valdytojo tapatybę;

b) šių asmens duomenų tvarkymo tikslus;

c) duomenų gavėjus arba gavėjų kategorijas;

d) ar yra privaloma atsakyti į klausimus ar leidžiama atsakyti savanoriškai, o neatsakius — numatyti galimas neatsakymo pasekmes;

e) teisės susipažinti su savo asmens duomenimis ir teisės juos ištaisyti buvimas;

f) bet kokią papildomą informaciją, t. y.:

i) tvarkymo veiksmo, kuriam yra skirti duomenys, teisinis pagrindas;

ii) duomenų saugojimo laikas;

iii) teisė bet kada kreiptis į Europos duomenų apsaugos priežiūros pareigūną,

kiek tokios papildomos informacijos reikia atsižvelgus į konkrečias duomenų rinkimo aplinkybes, kad duomenų subjekto atžvilgiu būtų užtikrintas tinkamas asmens duomenų tvarkymas.

2. Nukrypstant nuo šio straipsnio 1 dalies, informacijos ar jos dalies teikimas, išskyrus šio straipsnio 1 dalies a, b ir d punktuose nurodytą informaciją, gali būti atidėtas tokiam laikui, kuris būtinas statistiniais tikslais. Informacija privalo būti pateikta nedelsiant, kai tik nebelieka priežasties, dėl kurios informacija buvo sulaikyta.

12 straipsnis

Teiktina informacija, kai duomenys gaunami ne iš duomenų subjekto

1. Kai duomenys gaunami ne iš duomenų subjekto, duomenų valdytojas, užrašydamas asmens duomenis, arba jeigu numatyta juos atskleisti trečiajai šaliai ne vėliau nei tuo metu, kai duomenys yra atskleidžiami pirmą kartą, duomenų subjektui pateikia bent tokią toliau nurodytą informaciją, išskyrus tuos atvejus, kai jis tokią informaciją jau turi:

a) duomenų valdytojo tapatybę;

b) tvarkymo tikslus;

c) tvarkomų duomenų kategorijas;

d) duomenų gavėjus ar jų kategorijas;

e) teisės susipažinti su savo asmens duomenimis ir teisės juos ištaisyti buvimas;

f) bet kokią papildomą informaciją, t. y.:

i) tvarkymo veiksmo, kuriam yra skirti duomenys, teisinį pagrindą;

ii) duomenų saugojimo laiką;

iii) teisę bet kada kreiptis į Europos duomenų apsaugos priežiūros pareigūną;

iv) asmens duomenų kilmę, išskyrus tuos atvejus, kai duomenų valdytojas negali pateikti tokios informacijos dėl profesinės paslapties,

kiek tokios papildomos informacijos reikia, atsižvelgus į konkrečias asmens duomenų tvarkymo aplinkybes, kad duomenų subjekto atžvilgiu būtų užtikrintas tinkamas asmens duomenų tvarkymas.

2. Šio straipsnio 1 dalies nuostatos netaikomos, ypač kai asmens duomenys yra tvarkomi statistiniais, istoriniais arba mokslinio tyrimo tikslais, tais atvejais, kai tokios informacijos pateikti neįmanoma arba pastangos yra ekonomiškai nepagrįstos, arba jeigu jų užrašymas ar teikimas yra aiškiai nustatytas Bendrijos teisėje. Tais atvejais Bendrijos institucija ar įstaiga, pasikonsultavusi su Europos duomenų apsaugos priežiūros pareigūnu, numato tinkamas apsaugos priemones.

5 SKIRSNIS

DUOMENŲ SUBJEKTO TEISĖS

13 straipsnis

Teisė susipažinti su savo asmens duomenimis

Duomenų subjektas turi teisę be jokių apribojimų bet kada per tris mėnesius nuo paklausimo gavimo neatlygintinai iš duomenų valdytojo gauti:

a) patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi ar ne;

b) informaciją bent jau apie asmens duomenų tvarkymo tikslus, atitinkamų asmens duomenų kategorijas ir duomenų gavėjams ar gavėjų kategorijoms atskleidžiamus asmens duomenis;

c) pranešimą suprantamu pavidalu apie tvarkomus asmens duomenis ir visą prieinamą informaciją apie jų šaltinius;

d) informaciją apie loginius metodus, naudojamus priimant dėl jo sprendimą automatiniu būdu.

14 straipsnis

Asmens duomenų ištaisymas

Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis nedelsdamas ištaisytų netikslius ar neišsamius asmens duomenis.

15 straipsnis

Asmens duomenų tvarkymo veiksmų sustabdymas

1. Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis sustabdytų duomenų tvarkymo veiksmus, jeigu:

a) duomenų subjektas užginčija jų tikslumą, tokiam laikotarpiui, per kurį duomenų valdytojas galėtų patikrinti duomenų tikslumą, įskaitant jų išsamumą; arba

b) duomenų valdytojo atliekamoms užduotims jie nebūtini, tačiau turi būti laikomi, kad būtų galima panaudoti įrodinėjimo tikslais; arba

c) asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas prieštarauja, kad jie būtų sunaikinti, vietoje to reikalaudamas sustabdyti duomenų tvarkymo veiksmus.

2. Automatiniu būdu tvarkomose susistemintose rinkmenose asmens duomenų tvarkymo veiksmų sustabdymas iš esmės užtikrinamas techninėmis priemonėmis. Apie asmens duomenų susistemintoje rinkmenoje tvarkymo veiksmų sustabdymą yra nurodoma taip, kad būtų aišku, jog yra draudžiama naudoti asmens duomenis.

3. Asmens duomenys, kurių tvarkymo veiksmai yra sustabdomi pagal šį straipsnį, išskyrus jų saugojimą, tvarkomi tik norint panaudoti įrodinėjimo tikslais arba gavus duomenų subjekto sutikimą arba ginant trečiosios šalies teises.

4. Duomenų valdytojas, prieš pradėdamas toliau tvarkyti asmens duomenis, kurių tvarkymo veiksmai duomenų subjekto prašymu buvo sustabdyti, duomenų subjektui privalo apie tai pranešti.

16 straipsnis

Asmens duomenų ištrynimas

Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis sunaikintų neteisėtai tvarkomus jo asmens duomenis visų pirma tais atvejais, kai buvo pažeistos II skyriaus 1, 2 ir 3 skirsnių nuostatos.

17 straipsnis

Pranešimas trečiosioms šalims

Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis pagal 13–16 straipsnių nuostatas trečiosioms šalims, kurioms buvo atskleisti asmens duomenys, praneštų apie asmens duomenų ištaisymą, ištrynimą ar jų tvarkymo veiksmų sustabdymą, nebent paaiškėja, kad tai padaryti yra neįmanoma arba pastangos yra ekonomiškai nepagrįstos.

18 straipsnis

Duomenų subjekto teisė nesutikti

Duomenų subjektas turi teisę:

a) bet kada dėl įtikinamų teisėtų priežasčių, susijusių su konkrečia jo padėtimi, nesutikti dėl savo asmens duomenų tvarkymo, išskyrus šio reglamento 5 straipsnio b, c ir d punktuose numatytus atvejus. Jeigu toks nesutikimas yra pagrįstas, tokie asmens duomenys nebegali būti toliau tvarkomi;

b) prieš jo asmens duomenis pirmą kartą atskleidžiant trečiosioms šalims arba prieš jo vardu naudojant juos tiesioginės rinkodaros tikslais, būti neatlygintinai aiškiai informuotas ir supažindintas su savo teise nesutikti dėl tokių asmens duomenų atskleidimo ar naudojimo.

19 straipsnis

Automatiniai individualūs sprendimai

Duomenų subjektas turi teisę, kad jo atžvilgiu nebus daromas sprendimas, kuris sukuria jam teisinių poveikių arba didelių neigiamų padarinių, ir kuris yra paremtas tiktai automatiniu duomenų tvarkymu, siekiant įvertinti tam tikras jo asmenines savybes, tokias kaip jo darbingumą, patikimumą ar elgesį, nebent sprendimas yra aiškiai numatytas nacionaliniais ar Bendrijos teisės aktais, arba prireikus leidimą duoda Europos duomenų apsaugos priežiūros pareigūnas. Bet kuriuo atveju, turi būti imtasi priemonių apsaugoti teisėtus duomenų subjekto interesus, tokius kaip susitarimus, leidžiančius jam pareikšti savo nuomonę.

6 SKIRSNIS

IŠIMTYS IR APRIBOJIMAI

20 straipsnis

Išimtys ir apribojimai

1. Bendrijos institucijos ir įstaigos gali apriboti šio reglamento 4 straipsnio 1 dalies, 11 straipsnio, 12 straipsnio 1 dalies, 13–17 straipsnių ir 37 straipsnio 1 dalies taikymą, jeigu toks apribojimas yra būtinas, kad užtikrintų:

a) baudžiamųjų veikų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn;

b) svarbų valstybės narės ar Europos Bendrijų ekonominį ar finansinį interesą, įskaitant valiutos, biudžeto ir mokesčių klausimus;

c) duomenų subjekto arba kitų asmenų teisių ir laisvių apsaugą;

d) valstybių narių valstybės, visuomenės saugumą ar krašto apsaugą;

e) užduoties, net ir atsitiktinai susijusios su tarnybinių įgaliojimų a ir b punktuose minėtais atvejais vykdymu, priežiūra, tikrinimu ar kontrole.

2. Šio reglamento 13–16 straipsnių nuostatos netaikomos tais atvejais, kai asmens duomenys yra tvarkomi tik mokslinio tyrimo tikslais arba saugomi tokia forma, kuri leidžia nustatyti asmens tapatybę laikotarpiui, kuris nėra ilgesnis nei laikas, būtinas tik statistiniams duomenims kaupti, jeigu nėra aiškios rizikos pažeisti duomenų subjekto teisę į privataus gyvenimo neliečiamumą, o duomenų valdytojas imasi tinkamų teisinių apsaugos priemonių visų pirma tam, kad užtikrintų, jog asmens duomenys nebūtų naudojami imantis priemonių ar priimant sprendimus konkrečių asmenų atžvilgiu.

3. Jeigu yra nustatytas šio straipsnio 1 dalyje numatytas apribojimas, duomenų subjektas pagal Bendrijos teisę yra informuojamas apie pagrindines tokio apribojimo taikymo priežastis ir savo teisę kreiptis į Europos duomenų apsaugos priežiūros pareigūną.

4. Jeigu šio straipsnio 1 dalyje numatytas apribojimas yra nustatytas tam, kad nebūtų leista duomenų subjektui susipažinti su savo asmens duomenimis, Europos duomenų apsaugos priežiūros pareigūnas tirdamas skundą tik informuoja jį, ar duomenys buvo tvarkomi tiksliai, o jeigu ne, ar duomenys buvo ištaisyti.

5. Šio straipsnio 3 ir 4 dalyse minėtos informacijos teikimas gali būti atidėtas tokiam laikui, kuris būtinas pagal šio straipsnio 1 dalį nustatytam tokios informacijos apribojimui.

7 SKIRSNIS

ASMENS DUOMENŲ TVARKYMO KONFIDENCIALUMAS IR SAUGUMAS

21 straipsnis

Asmens duomenų tvarkymo konfidencialumas

Asmuo, dirbantis Bendrijos institucijoje ar įstaigoje, ir bet kuri Bendrijos institucija ar įstaiga, kuri veikia kaip duomenų tvarkytojas, turėdami teisę gauti asmens duomenis, tvarko juos tik gavę duomenų valdytojo nurodymus, nebent to reikalaujama pagal nacionalinę ar Bendrijos teisę.

22 straipsnis

Asmens duomenų tvarkymo saugumas

1. Atsižvelgdamas į šiuolaikiškumą ir įgyvendinimo išlaidas, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų tvarkymo keliamą riziką ir jų pobūdį.

Tokių priemonių pirmiausia turi būti imtasi tam, kad būtų išvengta bet kokio neteisėto asmens duomenų atskleidimo arba susipažinimo su jais, atsitiktinio arba neteisėto sunaikinimo, atsitiktinio praradimo arba jų pakeitimo ir būtų užkirstas kelias bet kokiems kitiems neteisėtiems tvarkymo būdams.

2. Jeigu asmens duomenys yra tvarkomi automatiniu būdu, priemonių imamasi deramai atsižvelgus į rizikos rūšis visų pirma siekiant:

a) užkirsti kelią neįgaliotiems asmenims naudotis kompiuterių sistemomis, kuriomis yra tvarkomi asmens duomenys;

b) užkirsti kelią neteisėtai skaityti, kopijuoti, keisti ar pašalinti laikmenas;

c) užkirsti kelią neteisėtai duomenų įvesčiai į kompiuterio atmintį, o taip pat bet kokiam neteisėtam saugomų asmens duomenų atskleidimui, pakeitimui ar ištrynimui;

d) užkirsti kelią neįgaliotiems asmenims duomenų perdavimo įranga naudoti duomenų tvarkymo sistemas;

e) užtikrinti, kad teisėtai duomenų tvarkymo sistemas naudojantys asmenys negalėtų gauti asmens duomenų, išskyrus tuos, kuriuos jie turi teisę gauti;

f) užrašyti, kada ir kam buvo perduoti atitinkami asmens duomenys;

g) užtikrinti, kad vėliau būtų galima patikrinti, kokie asmens duomenys buvo tvarkomi, kada ir kas juos tvarkė;

h) užtikrinti, kad trečiųjų šalių vardu tvarkomi asmens duomenys galėtų būti tvarkomi tik susitariančiosios institucijos ar įstaigos nustatyta tvarka;

i) užtikrinti, kad perduodant asmens duomenis ir vežant laikmenas, asmens duomenų be leidimo nebūtų galima skaityti, kopijuoti ar naikinti;

j) sukurti tokią institucijos ar įstaigos organizacinę struktūrą, kad ji atitiktų specialius duomenų apsaugos reikalavimus.

23 straipsnis

Duomenų valdytojų vardu tvarkomi asmens duomenys

1. Jeigu tvarkymo veiksmas atliekamas duomenų valdytojo įgaliojimu, jis parenka tokį duomenų tvarkytoją, kuris garantuotų pagal 22 straipsnį būtinas pakankamas technines ir organizacines apsaugos priemones ir užtikrintų tokių priemonių laikymąsi.

2. Duomenų tvarkytojo atliekamą tvarkymo veiksmą reglamentuoja sutartis arba teisinis aktas, įpareigojantis duomenų tvarkytoją laikytis duomenų valdytojo nurodymų, ir visų pirma numato, kad:

a) duomenų tvarkytojas asmens duomenis tvarkys tik pagal duomenų valdytojo nurodymus;

b) šio reglamento 21 ir 22 straipsniuose nurodyti įsipareigojimai turi būti nustatyti ir duomenų tvarkytojui, nebent pagal Direktyvos 95/46/EB 16 straipsnį arba 17 straipsnio 3 dalies antrą pastraipą duomenų tvarkytojas jau vykdo vienos iš valstybių narių nacionalinėje teisėje nustatytus slaptumo ir saugumo įsipareigojimus.

3. Siekiant turėti įrodymų su asmens duomenų apsauga ir 22 straipsnyje minėtoms priemonėms keliamais reikalavimais susijusio sutarties ar teisinio akto dalys turi būti parengtos raštu arba kita lygiaverte forma.

8 SKIRSNIS

DUOMENŲ APSAUGOS PAREIGŪNAS

24 straipsnis

Duomenų apsaugos pareigūno paskyrimas ir uždaviniai

1. Kiekviena Bendrijos institucija ir įstaiga paskiria bent po vieną asmenį eiti duomenų apsaugos pareigūno pareigas. Tas asmuo privalo:

a) užtikrinti, kad duomenų valdytojai ir duomenų subjektai būtų informuoti apie šiame reglamente nustatytas savo teises ir įsipareigojimus;

b) atsakyti į Europos duomenų apsaugos priežiūros pareigūno prašymus ir kiek leidžia jo kompetencija Europos duomenų apsaugos priežiūros pareigūno prašymu arba savo iniciatyva su juo bendradarbiauti;

c) savarankiškai užtikrinti, kad jo organizacijoje būtų taikomos šio reglamento nuostatos;

d) tvarkyti duomenų valdytojo tvarkymo veiksmų registrą, kuriame įrašyta šio reglamento 25 straipsnio 2 dalyje paminėta informacija;

e) Europos duomenų apsaugos priežiūros pareigūnui pranešti apie tvarkymo veiksmus, galinčius kelti šio reglamento 27 straipsnyje apibrėžtą konkrečią riziką.

Tokiu būdu tas asmuo užtikrina, kad tvarkymo veiksmai neturės neigiamos įtakos duomenų subjektų teisėms ir laisvėms.

2. Duomenų apsaugos pareigūnas parenkamas atsižvelgus į jo asmenines ir profesines savybes, o svarbiausia — jo profesines duomenų apsaugos žinias.

3. Pasirenkant duomenų apsaugos pareigūną, negali atsirasti interesų konflikto dėl jo kaip duomenų apsaugos pareigūno ir bet kurių kitų tarnybinių pareigų, ypač susijusių su šio reglamento nuostatų taikymu.

4. Duomenų apsaugos pareigūnas skiriamas nuo dvejų iki penkerių metų trukmės kadencijai. Jis gali būti skiriamas pakartotinai, ne ilgesnei nei dešimties metų bendros trukmės kadencijai. Jeigu duomenų apsaugos pareigūnas nebeatitinka jo pareigoms nustatytų sąlygų, duomenų apsaugos pareigūną paskyrusi Bendrijos institucija ar įstaiga gali atleisti jį iš šių pareigų tik Europos duomenų apsaugos priežiūros pareigūno sutikimu.

5. Duomenų apsaugos pareigūną paskyrusi institucija ar įstaiga po jo paskyrimo jį užregistruoja Europos duomenų apsaugos priežiūros pareigūno institucijoje.

6. Duomenų apsaugos pareigūną paskyrusi Bendrijos institucija ar įstaiga aprūpina jį personalu ir ištekliais, būtinais jo pareigoms atlikti.

7. Duomenų apsaugos pareigūnui negali būti duodami jokie nurodymai dėl jo pareigų atlikimo.

8. Kiekviena Bendrijos institucija ar įstaiga pagal šio reglamento priedo nuostatas priima papildomas, su duomenų apsaugos pareigūnu susijusias įgyvendinimo taisykles. Įgyvendinimo taisyklės pirmiausia turi nustatyti duomenų apsaugos pareigūno uždavinius, pareigas ir įgaliojimus.

25 straipsnis

Pranešimas duomenų apsaugos pareigūnui

1. Duomenų valdytojas turi iš anksto pranešti duomenų apsaugos pareigūnui apie bet kurį ar keletą tvarkymo veiksmų, skirtų vieninteliam ar keliems susijusiems tikslams.

2. Teiktinoje informacijoje turi būti nurodyta:

a) duomenų valdytojo vardas ir pavardė, adresas bei institucijos ar įstaigos, kuriai konkrečiu tikslu pavesta tvarkyti asmens duomenis, organizacinė struktūra;

b) tvarkymo tikslas ar tikslai;

c) duomenų ar duomenų subjektų kategorija ar kategorijos, ar su jomis susijusios duomenų kategorijos;

d) tvarkymo veiksmo, kuriam yra skirti asmens duomenys, teisinis pagrindas;

e) duomenų gavėjai ar jų kategorijos, kuriems galėtų būti atskleisti duomenys;

f) bendro pobūdžio informacija apie įvairių asmens duomenų kategorijų tvarkymo veiksmų sustabdymui ir tų duomenų sunaikinimui skirtą laiką;

g) siūlomi duomenų perdavimai į trečiąsias šalis ar tarptautines organizacijas;

h) bendras aprašas, padedantis atlikti išankstinį įvertinimą siekiant nustatyti priemonių, kurių buvo imtasi 22 straipsnyje nustatyta tvarka, tinkamumą užtikrinant tvarkymo saugumą.

3. Apie kiekvieną pasikeitimą, turintį įtakos šio straipsnio 2 dalyje minėtai informacijai, nedelsiant pranešama duomenų apsaugos pareigūnui.

26 straipsnis

Registras

Kiekvienas duomenų apsaugos pareigūnas tvarko duomenų tvarkymo veiksmų, apie kuriuos pranešama šio reglamento 25 straipsnyje nustatyta tvarka, registrą.

Registruose nurodoma bent jau šio reglamento 25 straipsnio 2 dalies a–g punktuose minima informacija. Registrus tiesiogiai ar netiesiogiai per Europos duomenų tvarkymo priežiūros pareigūną gali patikrinti bet kuris asmuo.

9 SKIRSNIS

EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNO ATLIEKAMA IŠANKSTINĖ PATIKRA IR ĮSIPAREIGOJIMAS BENDRADARBIAUTI

27 straipsnis

Išankstinė patikra

1. Tvarkymo veiksmus, galinčius kelti konkrečią riziką duomenų subjektų teisėms ir laisvėms dėl jų pobūdžio, jų apimties ar tikslų, iš anksto patikrina Europos duomenų apsaugos priežiūros pareigūnas.

2. Tokią riziką gali kelti toliau paminėti veiksmai:

a) asmens duomenų apie sveikatą ir įtariamus nusikaltimus, nusikaltimus, teistumus ar saugos priemones tvarkymas;

b) tvarkymo veiksmai, kuriais siekiama įvertinti duomenų subjekto asmenines savybes, įskaitant jo veiksnumą, darbingumą ir elgesį;

c) tvarkymo veiksmai, leidžiantys sujungti skirtingais tikslais tvarkomus asmens duomenis nenumatytais nacionaliniuose ar Bendrijos teisės aktuose atvejais;

d) tvarkymo veiksmai, kuriais siekiama atimti asmenims teisę, naudą ar pašalinti juos iš sutarties.

3. Išankstines patikras atlieka Europos duomenų apsaugos priežiūros pareigūnas gavęs duomenų apsaugos pareigūno pranešimą, kuris, kilus abejonėms dėl išankstinės patikros būtinybės, konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

4. Per du mėnesius nuo pranešimo gavimo Europos duomenų apsaugos priežiūros pareigūnas turi pateikti savo nuomonę. Šis laikotarpis gali būti sustabdytas tol, kol Europos duomenų apsaugos priežiūros pareigūnas negaus papildomos jį dominančios informacijos. Jeigu klausimas yra sudėtingas, Europos duomenų apsaugos priežiūros pareigūno sprendimu šis laikas gali būti pratęstas dar dvejiems mėnesiams. Duomenų valdytojui apie šį sprendimą turi būti pranešta prieš pasibaigiant pirminiam dviejų mėnesių laikotarpiui.

Jeigu nuomonė nebuvo pateikta per du mėnesius arba iki pratęsto laikotarpio pabaigos, manoma, kad ji yra palanki.

Jeigu Europos duomenų apsaugos priežiūros pareigūnas mano, kad duomenų tvarkymas, apie kurį buvo pranešta, gali pažeisti bet kurią šio reglamento nuostatą, tam tikrais atvejais jis pasiūlo, kaip išvengti tokio pažeidimo. Jeigu duomenų valdytojas atitinkamai nepataiso tam tikro duomenų tvarkymo veiksmo, Europos duomenų apsaugos priežiūros pareigūnas gali pasinaudoti šio reglamento 47 straipsnio 1 dalyje nustatyta tvarka jam suteiktais įgaliojimais.

5. Europos duomenų apsaugos priežiūros pareigūnas tvarko visų duomenų tvarkymo veiksmų, apie kuriuos jam buvo pranešta šio straipsnio 2 dalyje nustatyta tvarka, registrą. Registre nurodoma šio reglamento 25 straipsnyje minėta informacija, o pats registras gali būti viešai patikrintas.

28 straipsnis

Konsultavimas

1. Bendrijos institucijos ir įstaigos Europos duomenų apsaugos priežiūros pareigūną informuoja apie rengiamas administracines priemones, susijusias su atskiros Bendrijos institucijos ar įstaigos ar kartu su kitomis institucijomis tvarkomais asmens duomenimis.

2. Komisija priimdama siūlomą įstatymo projektą dėl asmens teisių ir laisvių apsaugos tvarkant asmens duomenis konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

29 straipsnis

Įsipareigojimas teikti informaciją

Bendrijos institucijos ir įstaigos informuoja Europos duomenų apsaugos priežiūros pareigūną apie papildomas priemones, kurių buvo imtasi atsižvelgus į šio reglamento 46 straipsnio h punkte paminėtus jo sprendimus ar įgaliojimus.

30 straipsnis

Įsipareigojimas bendradarbiauti

Europos duomenų apsaugos priežiūros pareigūno prašymu duomenų valdytojai padeda jam atlikti savo pareigas, visų pirma teikdami šio reglamento 47 straipsnio 2 dalies a punkte nurodytą informaciją ir suteikdami šio reglamento 47 straipsnio 2 dalies b punkte numatytą teisę.

31 straipsnis

Įsipareigojimas reaguoti į pareiškimus

Atsižvelgdamas į šio reglamento 47 straipsnio 1 dalies b punkte numatytus Europos duomenų apsaugos priežiūros pareigūno įgaliojimus, atitinkamas duomenų valdytojas per priežiūros pareigūno nustatytą atitinkamą laiką pastarajam pareiškia savo nuomonę. Atsakydamas nurodo priemones, kurių, atsižvelgiant į Europos duomenų apsaugos priežiūros pareigūno pastabas, buvo imtasi, jeigu iš viso buvo imtasi.

III SKYRIUS

TEISĖS GYNIMO PRIEMONĖS

32 straipsnis

Teisės gynimo priemonės

1. Europos Bendrijų Teisingumo Teismas yra kompetentingas nagrinėti visus ginčus, susijusius su šio reglamento nuostatomis, įskaitant ieškinius atlyginti nuostolius.

2. Nepažeisdamas jokios teisminės teisės gynimo priemonės, kiekvienas duomenų subjektas gali Europos duomenų apsaugos priežiūros pareigūnui paduoti skundą, jeigu jis mano, kad Bendrijos institucijai ar įstaigai tvarkant jo asmens duomenis buvo pažeista Sutarties 286 straipsnyje numatyta teisė.

Jeigu per šešis mėnesius Europos duomenų apsaugos priežiūros pareigūnas neatsako, skundas laikomas atmestu.

3. Ieškinys dėl Europos duomenų apsaugos priežiūros pareigūno sprendimų, turi būti paduodamas Europos Bendrijų Teisingumo Teismui.

4. Kiekvienas asmuo, patyręs žalą dėl neteisėto tvarkymo veiksmo arba bet kurio kito su šiuo reglamentu nesuderinto veiksmo, turi teisę Sutarties 288 straipsnyje nustatyta tvarka gauti žalos atlyginimą.

33 straipsnis

Bendrijos darbuotojų skundai

Kiekvienas Bendrijos institucijoje ar įstaigoje dirbantis asmuo, nesinaudodamas oficialiais kanalais, gali Europos duomenų apsaugos priežiūros pareigūnui paduoti skundą dėl šio reglamento nuostatų, reglamentuojančių asmens duomenų tvarkymą, tariamo pažeidimo. Nė vienas asmuo negali nukentėti dėl Europos duomenų apsaugos priežiūros pareigūnui paduoto skundo, kuriame tvirtinama, kad buvo pažeistos asmens duomenų tvarkymą reglamentuojančios nuostatos.

IV SKYRIUS

ASMENS DUOMENŲ IR PRIVATAUS GYVENIMO APSAUGA VIDAUS TELEKOMUNIKACIJŲ TINKLUOSE

34 straipsnis

Taikymo sritis

Nepažeidžiant kitų šio reglamento nuostatų, šis skyrius taikomas asmens duomenų tvarkymui ryšium su Bendrijos institucijos ar įstaigos tvarkomų telekomunikacijų tinklų ar galinių įrenginių naudojimu.

Šiame skyriuje "naudotojas" — fizinis asmuo, naudojantis Bendrijos institucijos ar įstaigos tvarkomą telekomunikacijų tinklą ar galinius įrenginius.

35 straipsnis

Saugumas

1. Bendrijos institucijos ir įstaigos turi imtis tinkamų techninių ir organizacinių priemonių tam, kad užtikrintų saugų telekomunikacijų tinklų ir galinių įrenginių naudojimą, prireikus — kartu su viešai prieinamų telekomunikacijų paslaugų teikėjais ar bendrųjų telekomunikacijų tinklų operatoriais. Atsižvelgiant į minėtų priemonių šiuolaikiškumą ir jų įgyvendinimo išlaidas, jos turi užtikrinti keliamą grėsmę atitinkantį saugumo lygį.

2. Iškilus konkrečiai tinklo ir galinio įrenginio saugumo pažeidimo rizikai, atitinkama Bendrijos institucija ar įstaiga informuoja naudotojus apie tą riziką ir visas galimas teisės gynimo priemones bei alternatyvius ryšio būdus.

36 straipsnis

Ryšio konfidencialumas

Bendrijos institucijos ir įstaigos ryšio konfidencialumą užtikrina telekomunikacijų tinklais ir galiniais įrenginiais pagal bendruosius Bendrijos teisės principus.

37 straipsnis

Srauto ir sąskaitų duomenys

1. Su naudotojais susiję srauto duomenys, kurie yra tvarkomi ir kaupiami nustatant skambučius ir per telekomunikacijų tinklus palaikomą kitą ryšį, nepažeidžiant šio straipsnio 2, 3 ir 4 dalių, pasibaigus skambučiui ar kitam ryšiui yra sunaikinami arba padaromi anonimiškais.

2. Prireikus su Europos duomenų apsaugos priežiūros pareigūnu suderintame sąraše nurodyti srauto duomenys gali būti tvarkomi tik telekomunikacijų biudžeto ir srauto valdymo tikslu, įskaitant patikrinimą, ar telekomunikacijų sistemos yra naudojamos teisėtai. Šie duomenys kuo greičiau, bet ne vėliau nei praėjus šešiems mėnesiams nuo jų surinkimo, turi būti sunaikinti arba padaryti anonimiškais, jeigu juos reikia saugoti ilgiau, kad būtų galima nustatyti, įgyvendinti ar ginti teisę, kuri gali būti teisme nagrinėjamo teisėto reikalavimo pagrindas.

3. Srauto ir sąskaitų duomenis gali tvarkyti tik asmenys, atsakingi už sąskaitų pateikimą, srauto ir biudžeto valdymą.

4. Telekomunikacijų tinklų naudotojai dėl skambučių turi teisę gauti nedetalias sąskaitas ar kitus dokumentus dėl skambučių.

38 straipsnis

Naudotojų sąrašai

1. Spausdintuose ar elektroniniuose abonentų sąrašuose nurodyti asmens duomenys ir teisė pasinaudoti tokiais naudotojų sąrašais griežtai apribota tokia apimtimi, kuri būtina konkrečiais sąrašų tikslais.

2. Bendrijos institucijos ir įstaigos imasi visų priemonių, būtinų, kad tuose sąrašuose įtraukti asmens duomenys nebūtų naudojami tiesioginės rinkodaros tikslais, nepaisant to, ar jie yra viešai prieinami ar ne.

39 straipsnis

Ryšio linijos, iš kurios skambinama ir į kurią skambinama, nustatymo galimybė ir apribojimas

1. Jeigu galima nustatyti ryšio liniją, iš kurios skambinama, skambinančiam naudotojui suteikiama galimybė paprastomis priemonėmis nemokamai panaikinti galimybę nustatyti ryšio liniją, iš kurios skambinama.

2. Jeigu galima nustatyti ryšio liniją, iš kurios skambinama, naudotojui, kuriam skambinama, suteikiama galimybė paprastomis priemonėmis nemokamai neleisti nustatyti ryšio linijos, iš kurios skambinama.

3. Jeigu galima nustatyti ryšio liniją, į kurią skambinama, naudotojui, kuriam skambinama, suteikiama galimybė paprastomis priemonėmis ir nemokamai panaikinti galimybę skambinančiam naudotojui nustatyti ryšio liniją, į kurią skambinama.

4. Jeigu galima nustatyti ryšio liniją, iš kurios ir į kurią skambinama, Bendrijos institucijos ir įstaigos apie tai informuoja naudotojus ir juos supažindina su šio straipsnio 1, 2 ir 3 dalyse nurodytomis galimybėmis.

40 straipsnis

Leidžiančios nukrypti nuostatos

Bendrijos institucijos ir įstaigos užtikrina, kad būtų nustatyta skaidri tvarka, reguliuojanti būdą, kuriuo jos gali atsisakyti panaikinti galimybę nustatyti ryšio liniją, iš kurios skambinama:

a) laikinai, gavusios naudotojo prašymą nustatyti piktybiškus ar erzinančius skambučius;

b) konkrečios linijos atveju organizacijoms, kurios aptarnauja pagalbos skambučius, kad būtų galima atsakyti į tokius skambučius.

V SKYRIUS

NEPRIKLAUSOMA PRIEŽIŪROS INSTITUCIJA: EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS

41 straipsnis

Europos duomenų apsaugos priežiūros pareigūnas

1. Šiuo reglamentu įsteigiama nepriklausoma priežiūros institucija, vadinama Europos duomenų apsaugos priežiūros pareigūnu.

2. Europos duomenų apsaugos priežiūros pareigūnas atsako už tai, kad būtų užtikrinta, jog Bendrijos institucijos ir įstaigos, tvarkydamos asmens duomenis, gerbia fizinių asmenų pagrindines teises ir laisves, svarbiausia — jų teisę į privataus gyvenimo neliečiamumą.

Europos duomenų apsaugos priežiūros pareigūnas atsako už šio reglamento ir visų kitų Bendrijos aktų, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą Bendrijos institucijai ar įstaigai tvarkant asmens duomenis, nuostatų vykdymo priežiūrą ir užtikrina jų taikymą bei Bendrijos institucijų, įstaigų ir duomenų subjektų konsultavimą visais su asmens duomenų tvarkymu susijusiais klausimais. Tais tikslais jis vykdo šio reglamento 46 straipsnyje nurodytas pareigas ir 47 straipsnyje suteiktus įgaliojimus.

42 straipsnis

Paskyrimas

1. Europos Parlamentas ir Taryba bendromis pastangomis vadovaudamiesi Komisijos parengtu sąrašu paskiria Europos duomenų apsaugos priežiūros pareigūną penkerių metų kadencijai tik po šioms pareigoms eiti paskelbto viešo konkurso.

Ta pačia tvarka ir tos pačios trukmės kadencijai paskirtas priežiūros pareigūno pavaduotojas padeda priežiūros pareigūnui eiti pastarojo pareigas ir pavaduoja jį, kai jo nėra arba jis negali eiti savo pareigų.

2. Europos duomenų apsaugos priežiūros pareigūnas parenkamas iš tokių asmenų, kurių nepriklausomumas nekelia abejonių, kurie turi pripažintą patirtį ir kvalifikaciją, būtiną eiti Europos duomenų apsaugos priežiūros pareigūno pareigas, pavyzdžiui, dėl to, kad jie priklauso arba priklausė Direktyvos 95/46/EB 28 straipsnyje minėtoms priežiūros institucijoms.

3. Europos duomenų apsaugos priežiūros pareigūno kadencija gali būti atnaujinta.

4. Išskyrus Europos duomenų apsaugos priežiūros pareigūno pakeitimą įprasta tvarka ar jo mirties atveju, jo kadencija baigiasi jam atsistatydinus šio straipsnio 5 dalyje nustatyta tvarka arba priverstinai išeinant į pensiją.

5. Teisingumo Teismas Europos Parlamento, Tarybos ar Komisijos prašymu gali Europos duomenų apsaugos priežiūros pareigūną atleisti iš pareigų arba atimti iš jo teisę į pensiją arba kitas išmokas, jeigu jis nebeatitinka jo pareigoms nustatytų sąlygų arba yra kaltas dėl rimto nusižengimo.

6. Jeigu Europos duomenų apsaugos priežiūros pareigūnas yra pakeičiamas įprasta tvarka arba savanoriškai atsistatydina iš pareigų, nepaisant to, jis ir toliau eina savo pareigas, kol yra pakeičiamas.

7. Europos duomenų apsaugos priežiūros pareigūnui taip pat yra taikomi Europos Bendrijų Privilegijų ir imunitetų protokolo 12–15 ir 18 straipsniai.

8. Šio straipsnio 2–7 dalys taikomos ir priežiūros pareigūno pavaduotojui.

43 straipsnis

Nuostatai ir bendrosios sąlygos, reglamentuojančios Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą, darbuotojus ir finansinius išteklius

1. Europos Parlamentas, Taryba ir Komisija bendromis pastangomis parengia nuostatus ir nustato bendrąsias sąlygas, reguliuojančias Europos duomenų apsaugos priežiūros pareigūno pareigas (kompetenciją), svarbiausia — jo atlyginimą, pašalpas ir visas kitas vietoj atlygio gaunamas išmokas.

2. Už biudžetą atsakanti institucija užtikrina, kad Europos duomenų apsaugos priežiūros pareigūnui jo darbams atlikti būtų paskirti būtini darbuotojai ir skirtos atitinkamos lėšos.

3. Europos Sąjungos bendrojo biudžeto VIII skirsnyje atskira biudžeto eilute nurodytas Europos duomenų apsaugos priežiūros pareigūno biudžetas.

4. Europos duomenų apsaugos priežiūros pareigūnui padeda sekretoriatas. Sekretoriato pareigūnus ir kitus darbuotojus skiria Europos duomenų apsaugos priežiūros pareigūnas; jų viršininkas yra Europos duomenų apsaugos priežiūros pareigūnas ir jie vykdo tik jo nurodymus. Jų skaičius yra nustatomas kiekvienais metais planuojant biudžetą.

5. Europos duomenų apsaugos priežiūros sekretoriato pareigūnai ir kiti darbuotojai laikosi Europos Bendrijų pareigūnams ir kitiems tarnautojams taikomų taisyklių ir nuostatų.

6. Europos duomenų apsaugos priežiūros pareigūnas, spręsdamas sekretoriato darbuotojų klausimus, turi tą patį statusą, kaip ir Europos Bendrijų pareigūnų pareigybinių nuostatų 1 straipsnyje apibrėžtos institucijos.

44 straipsnis

Nepriklausomumas

1. Europos duomenų apsaugos priežiūros pareigūnas savo pareigas atlieka visiškai nepriklausomai.

2. Europos duomenų apsaugos priežiūros pareigūnas eidamas savo pareigas nei siekia gauti kitų nurodymus, nei juos vykdo.

3. Europos duomenų apsaugos priežiūros pareigūnas nesiima jokių su jo pareigomis nesuderinamų veiksmų ir savo kadencijos metu neužsiima jokia kita veikla, nepaisant to, ar ji būtų pelninga ar ne.

4. Europos duomenų apsaugos priežiūros pareigūnas pasibaigus kadencijai elgiasi dorai ir protingai, sutikdamas dirbti kitose pareigose ir gauti atlyginimą.

45 straipsnis

Profesinė paslaptis

Europos duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

46 straipsnis

Pareigos

Europos duomenų apsaugos priežiūros pareigūnas privalo:

a) nagrinėti ir tirti skundus bei per protingą terminą informuoti duomenų subjektą apie išvadas;

b) savo iniciatyva arba remdamasis skundu, vykdyti tyrimus ir per protingą laiką informuoti duomenų subjektus apie jų išvadas;

c) prižiūrėti ir užtikrinti, kad būtų taikomos šio reglamento ir visų kitų Bendrijos teisės aktų nuostatos dėl fizinių asmenų apsaugos, susijusios su Bendrijos institucijos ar įstaigos asmens duomenų tvarkymu, išskyrus Europos Bendrijų Teisingumo Teismą, kai jis vykdo teismo funkcijas;

d) savo iniciatyva arba suteikdamas konsultaciją, visas Bendrijos institucijas ir įstaigas konsultuoja visais su asmens duomenų tvarkymu susijusiais klausimais, pirmiausia prieš joms pradedant rengti vidaus taisykles, susijusias su pagrindinių teisių ir laisvių apsauga, atsižvelgiant į asmens duomenų tvarkymą;

e) stebėti, kiek atitinkamų įvykių raida turi poveikį asmens duomenų apsaugai, pirmiausia informacijos ir ryšio technologijų raidą;

f) i) šalyse, kurioms taikoma direktyva, bendradarbiauti su Direktyvos 95/46/EB 28 straipsnyje minėtomis nacionalinėmis priežiūros institucijomis tiek, kiek tai būtina jų atitinkamoms pareigoms atlikti, pirmiausia keičiantis visa vertinga informacija, prašant tokios institucijos ar įstaigos įgyvendinti savo įgaliojimus arba atsakant į tokios institucijos ar įstaigos prašymą;

ii) taip pat bendradarbiauti su duomenų apsaugos priežiūros įstaigomis, įsteigtomis Europos Sąjungos sutarties VI antraštinėje dalyje nustatyta tvarka, pirmiausia siekiant, kad normos ir procedūros, už kurių taikymą jos atsako, būtų taikomos nuosekliai;

g) dalyvauti darbo grupės dėl asmenų apsaugos tvarkant asmens duomenis, įsteigtos Direktyvos 95/46/EB 29 straipsnyje nustatyta tvarka, darbe;

h) nustatyti, pagrįsti ir paviešinti išimtis, apsaugos priemones, leidimus ir sąlygas, išvardytas 10 straipsnio 2 dalies b punkte, 4, 5 ir 6 dalyse, 12 straipsnio 2 dalyje, 19 straipsnyje ir 37 straipsnio 2 dalyje;

i) tvarkyti tvarkymo veiksmų, apie kuriuos jam buvo pranešta pagal šio reglamento 27 straipsnio 2 dalį, registrą ir juos užregistruoti 27 straipsnio 5 dalyje nustatyta tvarka bei sudaryti galimybę susipažinti su duomenų apsaugos pareigūnų pagal 26 straipsnį tvarkomais registrais;

j) atlikti tvarkymo veiksmo, apie kurį jam buvo pranešta, išankstinę patikrą;

k) nustatyti savo darbo tvarkos taisykles.

47 straipsnis

Įgaliojimai

1. Europos duomenų apsaugos priežiūros pareigūnas gali:

a) konsultuoti duomenų subjektus dėl jų teisių įgyvendinimo;

b) perduoti klausimą duomenų valdytojui, jeigu tariamai buvo pažeistos asmens duomenų tvarkymą reglamentuojančios nuostatos, ir tam tikrais atvejais siūlyti, kaip ištaisyti tokį pažeidimą ir geriau apsaugoti duomenų subjektus;

c) reikalauti, kad būtų patenkinti prašymai įgyvendinti tam tikras teises susijusias su asmens duomenimis, jeigu tokie prašymai buvo atmesti pažeidus šio reglamento 13–19 straipsnius;

d) perspėti ar paraginti duomenų valdytoją;

e) įsakyti ištaisyti, ištrinti ar sunaikinti visus duomenis ar sustabdyti jų tvarkymo veiksmus, jeigu jie buvo tvarkomi pažeidžiant asmens duomenų tvarkymą reglamentuojančias nuostatas, ir pranešti apie tokius veiksmus trečiosioms šalims, kurioms buvo atskleisti duomenys;

f) laikinai ar galutinai uždrausti tvarkyti asmens duomenis;

g) perduoti klausimą atitinkamai Bendrijos institucijai ar įstaigai, o prireikus — Europos Parlamentui, Tarybai ir Komisijai;

h) Sutarties nustatytomis sąlygomis perduoti klausimą Europos Bendrijų Teisingumo Teismui;

i) įstoti į Europos Bendrijų Teisingumo Teismo nagrinėjamą bylą.

2. Europos duomenų apsaugos priežiūros pareigūnas turi teisę:

a) iš duomenų valdytojo arba Bendrijos institucijos ar įstaigos gauti priėjimą susipažinti su visais asmens duomenimis ir visa jo tyrimams atlikti būtina informacija;

b) gauti leidimą įeiti į visas patalpas, kuriose duomenų valdytojas arba Bendrijos institucijos ar įstaiga dirba, jeigu yra pakankamas pagrindas manyti, kad ten yra vykdoma šiame reglamente numatyta veikla.

48 straipsnis

Veiklos ataskaita

1. Europos duomenų apsaugos priežiūros pareigūnas Europos Parlamentui, Tarybai ir Komisijai pateikia savo veiklos metinę ataskaitą, tuo pačiu metu ją paskelbdamas viešai.

2. Europos duomenų apsaugos priežiūros pareigūnas savo veiklos ataskaitą nusiunčia kitoms Bendrijos institucijoms ir įstaigoms, kurios gali teikti savo pastabas siekdamos, kad ši ataskaita būtų išnagrinėta Europos Parlamente, visų pirma dėl aprašytų priemonių, kurių buvo imtasi po to, kai Europos duomenų apsaugos priežiūros pareigūnas pagal 31 straipsnį pateikė savo pastabas.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

49 straipsnis

Sankcijos

Jeigu pareigūnas ar kitas Europos Bendrijų tarnautojas tyčia ar per aplaidumą nevykdo šiame reglamente nustatytų įsipareigojimų, pagal Europos Bendrijų pareigūnų pareigybinių nuostatų normas ir procedūras arba kitiems tarnautojams taikomas darbo sutarties sąlygas jam gali būti iškelta drausminė byla.

50 straipsnis

Pereinamasis laikotarpis

Bendrijos institucijos ir įstaigos užtikrina, kad per vienerius nuo šios dienos metus šio reglamento įsigaliojimo dieną atliekami duomenų tvarkymo veiksmai būtų suderinti su šio reglamento nuostatomis.

51 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Bendrijų Oficialiajame leidinyje.

Šis reglamentas yra privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje, 2000 m. gruodžio 18 d.

Europos Parlamento vardu

Pirmininkas

N. Fontaine

Tarybos vardu

Pirmininkas

D. Voynet

[1] OL C 376E, 1999 12 28, p. 24.

[2] OL C 51, 2000 2 23, p. 48.

[3] 2000 m. lapkričio 14 d. Europos Parlamento nuomonė ir 2000 m. lapkričio 30 d. Tarybos sprendimas.

[4] OL L 281, 1995 11 23, p. 31.

[5] OL L 24, 1998 1 30, p. 1.

[6] OL L 52, 1997 2 22, p. 1.

[7] OL L 318, 1998 11 27, p. 8.

[8] OL L 151, 1990 6 15, p. 1. Reglamentas su pakeitimais, padarytais Reglamentu (EB) Nr. 322/97 (OL L 52, 1997 2 22, p. 1).

--------------------------------------------------

PRIEDAS

1. Duomenų apsaugos pareigūnas jį paskyrusiai Bendrijos institucijai ar įstaigai teikia rekomendacijas, kaip geriau saugoti duomenis, ir ją bei atitinkamą duomenų valdytoją konsultuoja asmens duomenų apsaugos nuostatų taikymo klausimais. Be to, jis savo iniciatyva arba jį paskyrusios Bendrijos institucijos ar įstaigos, duomenų valdytojo, atitinkamo darbuotojų komiteto ar bet kurio asmens prašymu gali ištirti klausimus ir tiesiogiai su jo darbu susijusius atvejus, apie kuriuos jis sužinojo, bei atsakyti tyrimą užsakiusiam asmeniui arba duomenų valdytojui.

2. Duomenų apsaugos pareigūną paskyrusi Bendrijos institucija ar įstaiga, atitinkamas duomenų valdytojas, atitinkamas darbuotojų komitetas ir bet kuris asmuo, nesikreipdamas į oficialius kanalus, gali konsultuoti duomenų apsaugos pareigūną šio reglamento aiškinimo ar taikymo klausimu.

3. Nė vienas asmuo negali nukentėti dėl to, kad atkreipė kompetentingo duomenų apsaugos pareigūno dėmesį į klausimą, tvirtindamas, jog buvo pažeistos šio reglamento nuostatos.

4. Kiekvienas atitinkamas duomenų valdytojas privalo padėti duomenų apsaugos pareigūnui vykdyti savo pareigas ir atsakyti į klausimus. Duomenų apsaugos pareigūnas vykdydamas savo pareigas visada turi teisę susipažinti su asmens duomenimis, kurie yra tvarkymo veiksmų dalykas, ir įeiti į visus biurus, naudotis duomenų tvarkymo įranga bei duomenų laikmenomis.

5. Tiek, kiek būtina, duomenų apsaugos pareigūnas yra atleidžiamas nuo kitų veiklos rūšių. Duomenų apsaugos pareigūnas ir jo darbuotojai, kuriems yra taikomas Sutarties 287 straipsnis, negali atskleisti jiems žinomos informacijos ar einant savo pareigas gautų dokumentų.

--------------------------------------------------