Regulation (EC) No 45/2001 of the European Parliament and of the Council

Europos Parlamento ir Tarybos Reglamentas (EB) Nr. 45/2001

of 18 December 2000

2000 m. gruodžio 18 d.

on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,

atsižvelgdami į Europos bendrijos steigimo sutartį, ypač į jos 286 straipsnį,

Having regard to the Treaty establishing the European Community, and in particular Article 286 thereof,

atsižvelgdami į Komisijos pasiūlymą [1],

Having regard to the proposal from the Commission(1),

atsižvelgdami į Ekonomikos ir socialinių reikalų komiteto nuomonę [2],

Having regard to the opinion of the Economic and Social Committee(2),

laikydamiesi Sutarties 251 straipsnyje nustatytos tvarkos [3],

Acting in accordance with the procedure laid down in Article 251 of the Treaty(3),

kadangi:

Whereas:

(1) Taikant Sutarties 286 straipsnį reikia, kad Bendrijos institucijoms ir įstaigoms būtų taikomi Bendrijos teisės aktai dėl asmenų apsaugos tvarkant asmens duomenis ir tokių duomenų laisvo judėjimo.

(1) Article 286 of the Treaty requires the application to the Community institutions and bodies of the Community acts on the protection of individuals with regard to the processing of personal data and the free movement of such data.

(2) Taikant visapusišką asmens duomenų apsaugos sistemą reikia ne tik nustatyti duomenų subjektų teises ir įsipareigojimus tiems, kurie tvarko asmens duomenis, bet ir pažeidėjams taikyti atitinkamas nuobaudas, bei nepriklausomos priežiūros įstaigos vykdomą stebėjimą.

(2) A fully-fledged system of protection of personal data not only requires the establishment of rights for data subjects and obligations for those who process personal data, but also appropriate sanctions for offenders and monitoring by an independent supervisory body.

(3) Taikant Sutarties 286 straipsnio 2 dalies nuostatas reikia įsteigti nepriklausomą priežiūros įstaigą, atsakingą už tokių Bendrijos teisės aktų taikymo Bendrijos institucijoms ir įstaigoms stebėjimą.

(3) Article 286(2) of the Treaty requires the establishment of an independent supervisory body responsible for monitoring the application of such Community acts to Community institutions and bodies.

(4) Taikant Sutarties 286 straipsnio 2 dalies nuostatas reikia priimti visas kitas atitinkamas nuostatas.

(4) Article 286(2) of the Treaty requires the adoption of any other relevant provisions as appropriate.

(5) Reglamentas būtinas tam, kad asmeniui būtų suteiktos įstatymais įgyvendinamos teisės, nustatytos Bendrijos institucijų ir įstaigų duomenų valdytojo įsipareigojimai tvarkant asmens duomenis bei įsteigta už Bendrijos institucijų ir įstaigų tvarkomų asmens duomenų stebėjimą atsakinga nepriklausoma priežiūros institucija.

(5) A Regulation is necessary to provide the individual with legally enforceable rights, to specify the data processing obligations of the controllers within the Community institutions and bodies, and to create an independent supervisory authority responsible for monitoring the processing of personal data by the Community institutions and bodies.

(6) Buvo konsultuotasi su Darbo grupe dėl asmenų apsaugos tvarkant asmens duomenis, įsteigta pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [4] 29 straipsnį.

(6) The Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up under Article 29 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(4) has been consulted.

(7) Asmenys, kuriuos reikia apsaugoti, yra tie asmenys, kurių asmens duomenis Bendrijos institucijos ar įstaigos tvarko bet kuriuo tikslu, pavyzdžiui, dėl to, kad jie dirba tose institucijose ar įstaigose.

(7) The persons to be protected are those whose personal data are processed by Community institutions or bodies in any context whatsoever, for example because they are employed by those institutions or bodies.

(8) Duomenų apsaugos principai turi būti taikomi kiekvienai informacijai apie asmenį, kurio asmens tapatybė yra žinoma arba gali būti nustatyta. Kad būtų galima nuspręsti, ar galima nustatyti asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias minėto asmens tapatybei nustatyti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo. Apsaugos principai neturėtų būti taikomi duomenims, iš kurių negalima nustatyti duomenų subjekto tapatybės.

(8) The principles of data protection should apply to any information concerning an identified or identifiable person. To determine whether a person is identifiable, account should be taken of all the means likely to be reasonably used either by the controller or by any other person to identify the said person. The principles of protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable.

(9) Pagal Direktyvą 95/46/EB valstybės narės, tvarkydamos fizinių asmenų asmens duomenis, turi ginti jų pagrindines teises ir laisves, svarbiausia — jų teisę į privataus gyvenimo neliečiamumą ir užtikrinti laisvą asmens duomenų judėjimą Bendrijoje.

(9) Directive 95/46/EC requires Member States to protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data, in order to ensure the free flow of personal data in the Community.

(10) 1997 m. gruodžio 15 d. Europos Parlamento ir Tarybos direktyva 97/66/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos telekomunikacijų sektoriuje [5] detalizuoja ir papildo Direktyvą 95/46/EB dėl asmens duomenų tvarkymo telekomunikacijų sektoriuje.

(10) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector(5) specifies and adds to Directive 95/46/EC with respect to the processing of personal data in the telecommunications sector.

(11) Įvairios kitos Bendrijos priemonės, įskaitant nacionalinės valdžios institucijų ir Komisijos tarpusavio pagalbą, taip pat skirtos detalizuoti ir papildyti Direktyvą 95/46/EB su jomis susijusiuose sektoriuose.

(11) Various other Community measures, including measures on mutual assistance between national authorities and the Commission, are also designed to specify and add to Directive 95/46/EC in the sectors to which they relate.

(12) Visoje Bendrijoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, reglamentuojančių asmenų pagrindinių teisių ir laisvių apsaugą, taikymas tvarkant asmens duomenis.

(12) Consistent and homogeneous application of the rules for the protection of individuals' fundamental rights and freedoms with regard to the processing of personal data should be ensured throughout the Community.

(13) Taip siekiama užtikrinti ir veiksmingą taisyklių, reglamentuojančių asmenų pagrindinių teisių ir laisvių apsaugą bei laisvą asmens duomenų judėjimą tarp valstybių narių ir Bendrijos institucijų ir įstaigų arba tarp Bendrijos institucijų ir įstaigų, siekiant su jų atitinkamos kompetencijos vykdymu susijusių tikslų.

(13) The aim is to ensure both effective compliance with the rules governing the protection of individuals' fundamental rights and freedoms and the free flow of personal data between Member States and the Community institutions and bodies or between the Community institutions and bodies for purposes connected with the exercise of their respective competences.

(14) Tam tikslui turėtų būti imtasi Bendrijos institucijoms ir įstaigoms privalomų priemonių. Šios priemonės turėtų būti taikomos visiems Bendrijos visų institucijų tvarkomiems asmens duomenims, jeigu atliekant visas Bendrijos teisėje numatytas veiklos rūšis ar jų dalį yra taip tvarkomi duomenys.

(14) To this end measures should be adopted which are binding on the Community institutions and bodies. These measures should apply to all processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.

(15) Jeigu Bendrijos institucijos ar įstaigos asmens duomenis tvarko vykdydamos tokią veiklą, kuriai netaikomas šis reglamentas, pirmiausia tokią, kuri nurodyta Europos Sąjungos sutarties V ir VI antraštinėse dalyse, asmens pagrindinių teisių ir laisvių apsauga užtikrinama deramai atsižvelgus į Europos Sąjungos sutarties 6 straipsnį. Teisės susipažinti su dokumentais, įskaitant asmens duomenis saugojančius dokumentus, sąlygas reguliuoja pagal EB sutarties 255 straipsnį, kurio taikymo sritis apima Europos Sąjungos sutarties V ir VI antraštines dalis, priimtos taisyklės.

(15) Where such processing is carried out by Community institutions or bodies in the exercise of activities falling outside the scope of this Regulation, in particular those laid down in Titles V and VI of the Treaty on European Union, the protection of individuals' fundamental rights and freedoms shall be ensured with due regard to Article 6 of the Treaty on European Union. Access to documents, including conditions for access to documents containing personal data, is governed by the rules adopted on the basis of Article 255 of the EC Treaty the scope of which includes Titles V and VI of the Treaty on European Union.

(16) Ne Bendrijos sistemoje įkurtoms įstaigoms neturėtų būti taikomos minėtos priemonės ir prižiūrėti tokių įstaigų tvarkomus asmens duomenis neturėtų būti Europos duomenų apsaugos priežiūros pareigūno kompetencijoje.

(16) The measures should not apply to bodies established outside the Community framework, nor should the European Data Protection Supervisor be competent to monitor the processing of personal data by such bodies.

(17) Dėl asmens duomenų Sąjungoje tvarkymo taikoma veiksminga asmens apsauga iš anksto numato atsižvelgiant į įvairias įstatymais numatytas sąlygas atitinkamoms veiklos rūšims nuosekliai taikyti atitinkamas taisykles ir procedūras. Pagrindinių principų dėl teisminio bendradarbiavimo, policijos ir muitinės bendradarbiavimo apsaugant asmens duomenis, bendrų pagal Europolo konvenciją įsteigtų priežiūros institucijų sekretoriato sukūrimas, Konvencija dėl muitinėms taikomų informacinių technologijų ir Šengeno konvencija yra darbo šia kryptimi pirmasis žingsnis.

(17) The effectiveness of the protection of individuals with regard to the processing of personal data in the Union presupposes the consistency of the relevant rules and procedures applicable to activities pertaining to different legal contexts. The development of fundamental principles on the protection of personal data in the fields of judicial cooperation in criminal affairs and police and customs cooperation, and the setting-up of a secretariat for the joint supervisory authorities established by the Europol Convention, the Convention on the Use of Information Technology for Customs Purposes and the Schengen Convention represent a first step in this regard.

(18) Šis reglamentas neturėtų daryti įtakos Direktyvose 95/46/EB ir 97/66/EB numatytoms valstybių narių teisėms ir pareigoms. Juo neketinama keisti esamos tvarkos ir praktikos, kurią valstybės saugumo, viešosios tvarkos pažeidimų prevencijos arba nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo baudžiamojon atsakomybėn srityse pagal Europos Bendrijų Privilegijų ir imunitetų protokolą bei tarptautinę teisę pasirėmusios įstatymais įgyvendino valstybės narės.

(18) This Regulation should not affect the rights and obligations of Member States under Directives 95/46/EC and 97/66/EC. It is not intended to change existing procedures and practices lawfully implemented by the Member States in the field of national security, prevention of disorder or prevention, detection, investigation and prosecution of criminal offences in compliance with the Protocol on Privileges and Immunities of the European Communities and with international law.

(19) Bendrijos institucijos ir įstaigos turėtų valstybių narių kompetentingas institucijas informuoti tais atvejais, kai jos mano, kad jų telekomunikacijų tinklais perduodami pranešimai (informacija) turėtų būti pasiklausomi vadovaujantis taikomomis nacionalinėmis nuostatomis.

(19) The Community institutions and bodies should inform the competent authorities in the Member States when they consider that communications on their telecommunications networks should be intercepted, in keeping with the national provisions applicable.

(20) Bendrijos institucijoms ir įstaigoms taikomos nuostatos turėtų atitikti tas nuostatas, kurios nustatytos su valstybės vidaus įstatymų suderinimu arba kitų Bendrijos politikos sričių, ypač savitarpio pagalbos, įgyvendinimu susijusioms nuostatoms. Tačiau tais atvejais, kai Bendrijos institucijos ir įstaigos tvarko asmens duomenis, tas nuostatas, kai reikia užtikrinti apsaugą, gali prireikti detalizuoti ir papildyti.

(20) The provisions applicable to the Community institutions and bodies should correspond to those provisions laid down in connection with the harmonisation of national laws or the implementation of other Community policies, notably in the mutual assistance sphere. It may be necessary, however, to specify and add to those provisions when it comes to ensuring protection in the case of the processing of personal data by the Community institutions and bodies.

(21) Tai taikytina asmenų, kurių asmens duomenys yra tvarkomi, teisėms, asmens duomenis tvarkančių Bendrijos institucijų ir įstaigų įsipareigojimams ir už šio reglamento tinkamą vykdymą atsakingos nepriklausomos priežiūros institucijos įgaliojimams.

(21) This holds true for the rights of the individuals whose data are being processed, for the obligations of the Community institutions and bodies doing the processing, and for the powers to be vested in the independent supervisory authority responsible for ensuring that this Regulation is properly applied.

(22) Duomenų subjektui suteiktos teisės ir jų įgyvendinimas neturėtų daryti įtakos duomenų valdytojo įsipareigojimams.

(22) The rights accorded the data subject and the exercise thereof should not affect the obligations placed on the controller.

(23) Nepriklausoma priežiūros institucija turėtų vykdyti savo priežiūros funkcijas pagal Sutartį ir atsižvelgiant į žmogaus teises bei pagrindines laisves. Savo tyrimus ji turėtų atlikti vadovaudamasi Privilegijų ir imunitetų protokolu ir Europos Bendrijų pareigūnų tarnybos nuostatais bei Bendrijų kitų tarnautojų įdarbinimo sąlygomis.

(23) The independent supervisory authority should exercise its supervisory functions in accordance with the Treaty and in compliance with human rights and fundamental freedoms. It should conduct its enquiries in compliance with the Protocol on Privileges and Immunities and with the Staff Regulations of Officials of the European Communities and the conditions of employment applicable to Other Servants of the Communities.

(24) Turėtų būti imtasi būtinų techninių priemonių, kad per nepriklausomą priežiūros instituciją būtų suteikta teisė susipažinti su duomenų apsaugos pareigūnų tvarkymo veiksmų registrais.

(24) The necessary technical measures should be adopted to allow access to the registers of processing operations carried out by Data Protection Officers through the independent supervisory authority.

(25) Kaip apibrėžta šiame reglamente, nepriklausomos priežiūros institucijos veiklos ataskaitoje turėtų būti paskelbti su duomenų tvarkymo veiksmais susiję jos sprendimai dėl išimčių, garantijų, leidimų ir sąlygų. Be skelbiamos metinės veiklos ataskaitos, nepriklausoma priežiūros institucija gali paskelbti konkrečių klausimų ataskaitas.

(25) The decisions of the independent supervisory authority regarding exemptions, guarantees, authorisations and conditions relating to data processing operations, as defined in this Regulation, should be published in the activities report. Independently of the publication of an annual activities report, the independent supervisory authority may publish reports on specific subjects.

(26) Tam tikriems tvarkymo veiksmams, galintiems duomenų subjektų teisėms ir laisvėms sukelti konkrečią riziką, nepriklausoma priežiūros institucija atlieka išankstinę patikrą. Išvada dėl tokios išankstinės patikros, tarp jų išvada dėl per nustatytą laiką nepateikto atsakymo, neturėtų nepriklausomos priežiūros institucijos riboti vėliau vykdyti minėto tvarkymo atžvilgiu numatytus įgaliojimus.

(26) Certain processing operations likely to present specific risks with respect to the rights and freedoms of data subjects are subject to prior checking by the independent supervisory authority. The opinion given in the context of such prior checking, including the opinion resulting from failure to reply within the set period, should be without prejudice to the subsequent exercise by the independent supervisory authority of its powers with regard to the processing operation in question.

(27) Visuomenės labui atliekamas Bendrijos institucijų ir įstaigų asmens duomenų tvarkymas apima asmens duomenų, būtinų šioms institucijoms ir įstaigoms valdyti bei joms dirbti, tvarkymą.

(27) Processing of personal data for the performance of tasks carried out in the public interest by the Community institutions and bodies includes the processing of personal data necessary for the management and functioning of those institutions and bodies.

(28) Tam tikrais atvejais, kad galėtų būti tvarkomi asmens duomenys, toks veiksmas turėtų būti numatytas Bendrijos nuostatomis arba teisės aktais, į kuriuos yra perkeltos Bendrijos nuostatos. Nepaisant to, pereinamuoju laikotarpiu, kai dar nėra priimtos tokios nuostatos, prieš jas priimant, Europos duomenų apsaugos priežiūros pareigūnas gali leisti tvarkyti tokius duomenis, jeigu imamasi tinkamų apsaugos priemonių. Taip darydamas jis visų pirma turėtų atsižvelgti į valstybių narių priimtas nuostatas, kaip reikėtų elgtis panašiais atvejais.

(28) In certain cases the processing of data should be authorised by Community provisions or by acts transposing Community provisions. Nevertheless, in the transitional period during which such provisions do not exist, pending their adoption, the European Data Protection Supervisor may authorise processing of such data provided that adequate safeguards are adopted. In so doing, he should take account in particular of the provisions adopted by the Member States to deal with similar cases.

(29) Šie atvejai yra susiję su duomenų apie rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėje sąjungoje tvarkymu, ir duomenų apie sveikatą ar lytinį gyvenimą, kurie būtini, kad duomenų valdytojas galėtų įgyvendinti specifines su darbo teise susijusias teises ir įsipareigojimus, tvarkymu arba tuos atvejus veikia svarbus visuomenės interesas. Jie taip pat susiję su duomenų apie nusikaltimus, teistumus tvarkymu ar apsaugos priemonėmis ir leidimu priimti sprendimą duomenų subjektui, kuris turi teisines pasekmes arba turi jam didelę įtaką, ir remiasi tik tam tikras jo asmenines savybes įvertinančių duomenų tvarkymu automatiniu būdu.

(29) These cases concern the processing of data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life which are necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law or for reasons of substantial public interest. They also concern the processing of data relating to offences, criminal convictions or security measures and authorisation to apply a decision to the data subject which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her.

(30) Gali prireikti prižiūrėti Bendrijos institucijų ir įstaigų tvarkomus kompiuterinius tinklus, kad būtų išvengta neteisėto naudojimo. Europos duomenų apsaugos priežiūros pareigūnas turėtų nustatyti, ar tai galima pasiekti, ir kokiomis sąlygomis tai padaryti.

(30) It may be necessary to monitor the computer networks operated under the control of the Community institutions and bodies for the purposes of prevention of unauthorised use. The European Data Protection Supervisor should determine whether and under what conditions that is possible.

(31) Atsakomybę už visus šio reglamento pažeidimus reglamentuoja Sutarties 288 straipsnio antra pastraipa.

(31) Liability arising from any breach of this Regulation is governed by the second paragraph of Article 288 of the Treaty.

(32) Kiekvienos Bendrijos institucijos ar įstaigos vienas ar keletas duomenų apsaugos pareigūnų turėtų užtikrinti, kad būtų taikomos šio reglamento nuostatos, ir dėl įsipareigojimų vykdymo konsultuoti duomenų valdytojus.

(32) In each Community institution or body one or more Data Protection Officers should ensure that the provisions of this Regulation are applied and should advise controllers on fulfilling their obligations.

(33) Pagal 1997 m. vasario 17 d. Tarybos reglamento (EB) Nr. 322/97 dėl Bendrijos statistikos [6] 21 straipsnį tas reglamentas yra taikomas nepažeidžiant Direktyvos 95/46/EB.

(33) Under Article 21 of Council Regulation (EC) No 322/97 of 17 February 1997 on Community statistics(6), that Regulation is to apply without prejudice to Directive 95/46/EC.

(34) Pagal 1998 m. lapkričio 23 d. Tarybos reglamento (EB) Nr. 2533/98 dėl Europos centrinio banko renkamos statistinės informacijos [7] 8 straipsnio 8 dalį tas reglamentas yra taikomas nepažeidžiant Direktyvos 95/46/EB.

(34) Under Article 8(8) of Council Regulation (EC) No 2533/98 of 23 November 1998 concerning the collection of statistical information by the European Central Bank(7), that Regulation is to apply without prejudice to Directive 95/46/EC.

(35) Pagal 1990 m. birželio 11 d. Tarybos reglamento (Euratomas, EEB) Nr. 1588/90 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai [8] 1 straipsnio 2 dalį tas reglamentas nenukrypsta nuo specialių Bendrijos ar nacionalinių nuostatų, reglamentuojančių konfidencialumo apsaugą, išskyrus statistiškai konfidencialius duomenis.

(35) Under Article 1(2) of Council Regulation (Euratom, EEC) No 1588/90 of 11 June 1990 on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities(8), that Regulation does not derogate from the special Community or national provisions concerning the safeguarding of confidentiality other than statistical confidentiality.

(36) Šiuo reglamentu nesiekiama apriboti valstybių narių laisvės rengti savo nacionalinius įstatymus dėl duomenų apsaugos pagal Direktyvos 95/46/EB 32 straipsnį Sutarties 249 straipsnyje nustatyta tvarka,

(36) This Regulation does not aim to limit Member States' room for manoeuvre in drawing up their national laws on data protection under Article 32 of Directive 95/46/EC, in accordance with Article 249 of the Treaty,

PRIĖMĖ ŠĮ REGLAMENTĄ:

HAVE ADOPTED THIS REGULATION:

I SKYRIUS

BENDROSIOS NUOSTATOS

CHAPTER I

1 straipsnis

GENERAL PROVISIONS

Reglamento tikslas

Article 1

1. Vadovaujantis šiuo reglamentu, pagal Europos Bendrijų steigimo sutartis arba jomis vadovaujantis įsteigtos institucijos ir įstaigos (toliau — Bendrijos institucijos ar įstaigos) gina fizinių asmenų pagrindines teises ir laisves, o svarbiausia — su asmens duomenų tvarkymu susijusią jų teisę į privataus gyvenimo neliečiamumą, ir nei riboja, nei draudžia laisvai judėti asmens duomenims arba juos gauti duomenų gavėjams, kuriems taikomas Direktyvą 95/46/EB įgyvendinantis valstybių narių nacionalinis įstatymas.

Object of the Regulation

2. Šiuo reglamentu įsteigta nepriklausoma priežiūros institucija (toliau — Europos duomenų apsaugos priežiūros pareigūnas) prižiūri, kaip visiems Bendrijos institucijos ar įstaigos tvarkymo veiksmams taikomos šio reglamento nuostatos.

1. In accordance with this Regulation, the institutions and bodies set up by, or on the basis of, the Treaties establishing the European Communities, hereinafter referred to as "Community institutions or bodies", shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data and shall neither restrict nor prohibit the free flow of personal data between themselves or to recipients subject to the national law of the Member States implementing Directive 95/46/EC.

2 straipsnis

2. The independent supervisory authority established by this Regulation, hereinafter referred to as the European Data Protection Supervisor, shall monitor the application of the provisions of this Regulation to all processing operations carried out by a Community institution or body.

Apibrėžimai

Šiame reglamente:

Article 2

a) "asmens duomenys" — bet kuri informacija, susijusi su fiziniu asmeniu (toliau — duomenų subjektas), kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienu ar keliais asmeniui būdingais fizinio, fiziologinio, protinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiais;

Definitions

b) "asmens duomenų tvarkymas" (toliau — tvarkymas) — bet kuris su asmens duomenimis atliekamas vienkartinis ar daugkartinis veiksmas, toks kaip rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, lyginimas ar sujungimas, tvarkymo sustabdymas, trynimas ar naikinimas, nepaisant to, ar tokie veiksmai atliekami automatiniu būdu ar ne;

For the purposes of this Regulation:

c) "susisteminta asmens duomenų rinkmena" (toliau — susisteminta rinkmena) — bet kuris pagal tam tikrus specifinius kriterijus prieinamų asmens duomenų rinkinys, nepaisant to, ar asmens duomenys yra centralizuoti, decentralizuoti ar išskirstyti funkciniu ar geografiniu pagrindu;

(a) "personal data" shall mean any information relating to an identified or identifiable natural person hereinafter referred to as "data subject"; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity;

d) "duomenų valdytojas" — Bendrijos institucija ar įstaiga, generalinis direktoratas, skyrius ar bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; jeigu tvarkymo tikslai ir priemonės yra nustatomi konkrečiu Bendrijos teisės aktu, pagal tokį Bendrijos teisės aktą gali būti paskirtas duomenų valdytojas arba nustatyti konkretūs jo paskyrimo kriterijai;

(b) "processing of personal data" hereinafter referred to as "processing" shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

e) "duomenų tvarkytojas" — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar bet kuri kita institucija, kuri duomenų valdytojo vardu tvarko asmens duomenis;

(c) "personal data filing system" hereinafter referred to as "filing system" shall mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

f) "trečioji šalis" — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar kita institucija, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra duomenų valdytojo ar duomenų tvarkytojo tiesiogiai įgalioti tvarkyti asmens duomenis;

(d) "controller" shall mean the Community institution or body, the Directorate-General, the unit or any other organisational entity which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by a specific Community act, the controller or the specific criteria for its nomination may be designated by such Community act;

g) "duomenų gavėjas" — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar bet kuri kita institucija, kuriai, nepaisant to, ar ji yra trečioji šalis, ar ne, yra atskleidžiami duomenys; tačiau institucijos, kurios gali gauti konkretaus tyrimo duomenis, nėra laikomos duomenų gavėjais;

(e) "processor" shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;

h) "duomenų subjekto sutikimas" — bet kuris savanoriškas duomenų subjekto konkretus sutikimas, kuriuo duomenų subjektas nurodo savo sutikimą tvarkyti jo asmens duomenis jam žinomu tikslu.

(f) "third party" shall mean a natural or legal person, public authority, agency or body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;

3 straipsnis

(g) "recipient" shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;

Taikymo sritis

(h) "the data subject's consent" shall mean any freely given specific and informed indication of his or her wishes by which the data subject signifies his or her agreement to personal data relating to him or her being processed.

1. Visos Bendrijos institucijos ir įstaigos šį reglamentą taiko visiems tvarkomiems asmens duomenims, jeigu asmens duomenys yra tvarkomi atsižvelgiant į Bendrijos teisėje numatytas visas veiklos rūšis ar jų dalį.

2. Šis reglamentas taikomas visiškai arba iš dalies automatiniu būdu tvarkomiems asmens duomenims ir neautomatiniu būdu tvarkomiems asmens duomenims, kurie yra arba yra skirti sudaryti susistemintos rinkmenos dalį.

Article 3

II SKYRIUS

Scope

BENDROSIOS TAISYKLĖS, REGLAMENTUOJANČIOS ASMENS DUOMENŲ TVARKYMO TEISĖTUMĄ1

1. This Regulation shall apply to the processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.

1 SKIRSNIS

2. This Regulation shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.

DUOMENŲ KOKYBĖS PRINCIPAI

4 straipsnis

CHAPTER II

Duomenų kokybė

GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA

1. Asmens duomenys turi būti:

SECTION 1

a) tvarkomi sąžiningai ir teisėtai;

PRINCIPLES RELATING TO DATA QUALITY

b) renkami atsižvelgiant į apibrėžtus, aiškius ir teisėtus tikslus, ir po to negali būti tvarkomi su šiais tikslais nesuderintu būdu. Tolesnis surinktų asmens duomenų tvarkymas istoriniais, statistiniais ar mokslinio tyrimo tikslais nėra laikomas neatitinkančiu nustatytų tikslų, jeigu duomenų valdytojas nustato tinkamas apsaugos priemones, visų pirma tam, kad užtikrintų, jog duomenys nebus tvarkomi jokiais kitais tikslais arba naudojami pateisinti konkretaus asmens atžvilgiu taikomas priemones ar priimamus sprendimus;

Article 4

c) adekvatūs, tinkami ir tokios apimties, kuri būtina siekiant tikslų, kuriems duomenys yra renkami ir (arba) po to tvarkomi;

Data quality

d) tikslūs ir prireikus atnaujinami; turi būti imtasi visų pagrįstų priemonių užtikrinti, kad netikslūs ar nepilni duomenys, atsižvelgus į tikslus, kuriais jie yra renkami arba po to tvarkomi, bus sunaikinti ar ištaisyti;

1. Personal data must be:

e) saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys buvo surinkti arba po to tvarkomi. Bendrijos institucija ar įstaiga nustato, kad asmens duomenys, kurie istoriniais, statistiniais ar mokslinio tyrimo tikslais turi būti saugomi ilgiau, būtų saugomi tik tokia forma, kuri neleistų nustatyti asmens tapatybės, arba, jeigu tai neįmanoma, tik su užkoduota duomenų subjektų tapatybe. Bet kuriuo atveju asmens duomenys neturi būti naudojami kitais tikslais, išskyrus istorinius, statistinius ar mokslinio tyrimo tikslus.

(a) processed fairly and lawfully;

2. Duomenų valdytojas turi užtikrinti, kad būtų laikomasi 1 dalies nuostatų.

(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of personal data for historical, statistical or scientific purposes shall not be considered incompatible provided that the controller provides appropriate safeguards, in particular to ensure that the data are not processed for any other purposes or used in support of measures or decisions regarding any particular individual;

2 SKIRSNIS

(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;

DUOMENŲ TVARKYMO TEISĖTUMO KRITERIJAI

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;

5 straipsnis

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. The Community institution or body shall lay down that personal data which are to be stored for longer periods for historical, statistical or scientific use should be kept either in anonymous form only or, if that is not possible, only with the identity of the data subjects encrypted. In any event, the data shall not be used for any purpose other than for historical, statistical or scientific purposes.

Teisėtas tvarkymas

2. It shall be for the controller to ensure that paragraph 1 is complied with.

Asmens duomenys gali būti tvarkomi tik tuo atveju, jeigu:

a) juos reikia tvarkyti, kad visuomenės labui būtų vykdoma užduotis vadovaujantis Europos Bendrijų steigimo sutartimis arba kitais jomis remiantis priimtais teisės aktais, arba teisėtai įgyvendinant Bendrijos institucijos ar įstaigos arba trečiosios šalies, kuriai atskleidžiami duomenys, įgaliojimus; arba

SECTION 2

b) tvarkyti reikia vykdant teisinį įsipareigojimą, kuris nustatomas duomenų valdytojui; arba

CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE

c) tvarkyti reikia vykdant sutartį, kai duomenų subjektas yra viena iš šalių, arba duomenų subjektui paprašius būtų imtasi priemonių prieš sudarant sutartį; arba

Article 5

d) duomenų subjektas nedviprasmiškai duoda sutikimą; arba

Lawfulness of processing

e) tvarkyti reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus.

Personal data may be processed only if:

6 straipsnis

(a) processing is necessary for the performance of a task carried out in the public interest on the basis of the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or in the legitimate exercise of official authority vested in the Community institution or body or in a third party to whom the data are disclosed, or

Tikslo pakeitimas

(b) processing is necessary for compliance with a legal obligation to which the controller is subject, or

Nepažeidžiant 4, 5 ir 10 straipsnių:

(c) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract, or

1. Asmens duomenys tvarkomi kitais tikslais nei tais, kuriais jie buvo surinkti tik tuo atveju, jeigu tikslo pakeitimas yra aiškiai numatytas Bendrijos institucijos ar įstaigos vidaus taisyklėse.

(d) the data subject has unambiguously given his or her consent, or

2. Asmens duomenys, surinkti tik tam, kad būtų užtikrintas tvarkymo sistemų ar veiksmų saugumas ar kontrolė, negali būti naudojami kitais tikslais, išskyrus tuos atvejus, kai to reikia sunkių kriminalinių nusikaltimų užkardymui, tyrimui, nustatymui ir patraukimui baudžiamojon atsakomybėn.

(e) processing is necessary in order to protect the vital interests of the data subject.

7 straipsnis

Asmens duomenų perdavimas Bendrijos institucijose ar įstaigose, ar tarpusavyje

Article 6

Nepažeidžiant 4, 5, 6 ir 10 straipsnių:

Change of purpose

1. Asmens duomenys perduodami Bendrijos institucijose ar įstaigose, ar tarpusavyje tik tuo atveju, jeigu duomenys yra būtini, kad būtų galima teisėtai vykdyti duomenų gavėjo kompetencijai priklausančias užduotis.

Without prejudice to Articles 4, 5 and 10:

2. Jeigu duomenys yra perduodami gavus duomenų gavėjo prašymą, ir duomenų valdytojas, ir duomenų gavėjas atsako už duomenų perdavimo teisėtumą.

1. Personal data shall only be processed for purposes other than those for which they have been collected if the change of purpose is expressly permitted by the internal rules of the Community institution or body.

Duomenų valdytojas privalo patikrinti duomenų gavėjo kompetenciją ir iš anksto įvertinti duomenų perdavimo būtinybę. Kilus abejonėms dėl tokios būtinybės, duomenų valdytojas prašo duomenų gavėją perduoti papildomos informacijos.

2. Personal data collected exclusively for ensuring the security or the control of the processing systems or operations shall not be used for any other purpose, with the exception of the prevention, investigation, detection and prosecution of serious criminal offences.

Duomenų gavėjas užtikrina, kad vėliau gali būti patikrinta būtinybė perduoti duomenis.

3. Duomenų gavėjas asmens duomenis tvarko tik tais tikslais, kuriais jie buvo perduoti.

Article 7

8 straipsnis

Transfer of personal data within or between Community institutions or bodies

Asmens duomenų perdavimas duomenų gavėjams, kuriems taikoma Direktyva 95/46/EB, išskyrus Bendrijos institucijas ir įstaigas

Without prejudice to Articles 4, 5, 6 and 10:

Nepažeidžiant 4, 5, 6 ir 10 straipsnių, asmens duomenys perduodami tik tiems duomenų gavėjams, kuriems yra taikomas Direktyvą 95/46/EB įgyvendinantis nacionalinis įstatymas:

1. Personal data shall only be transferred within or to other Community institutions or bodies if the data are necessary for the legitimate performance of tasks covered by the competence of the recipient.

a) jeigu duomenų gavėjas nustato, kad duomenys yra būtini vykdant užduotį visuomenės labui arba įgyvendinti valstybinės valdžios institucijos įgaliojimus; arba

2. Where the data are transferred following a request from the recipient, both the controller and the recipient shall bear the responsibility for the legitimacy of this transfer.

b) jeigu duomenų gavėjas įrodo būtinybę gauti perduotus duomenis ir nėra priežasties manyti, kad gali būti pažeisti teisėti duomenų subjekto interesai.

The controller shall be required to verify the competence of the recipient and to make a provisional evaluation of the necessity for the transfer of the data. If doubts arise as to this necessity, the controller shall seek further information from the recipient.

9 straipsnis

The recipient shall ensure that the necessity for the transfer of the data can be subsequently verified.

Asmens duomenų perdavimas duomenų gavėjams, kuriems netaikoma Direktyva 95/46/EB, išskyrus Bendrijos institucijas ir įstaigas

3. The recipient shall process the personal data only for the purposes for which they were transmitted.

1. Asmens duomenys perduodami tik tiems duomenų gavėjams, išskyrus Bendrijos institucijas ir įstaigas, kuriems nėra taikomi nacionaliniai įstatymai, priimti vadovaujantis Direktyva 95/46/EB, jeigu duomenų gavėjo šalyje arba jo tarptautinėje organizacijoje yra užtikrinta tinkama apsauga ir duomenys yra perduodami tik tam, kad būtų atliktos duomenų valdytojo kompetencijai priklausančios užduotys.

2. Minėtos trečiosios šalies ar tarptautinės organizacijos suteiktas adekvatus apsaugos lygis įvertinamas atsižvelgus į visas su duomenų perdavimo veiksmu arba veiksmais susijusias aplinkybes; ypač atsižvelgiant į duomenų pobūdį, siūlomą duomenų tvarkymo veiksmo ar veiksmų tikslą ir trukmę, duomenų gavėją trečiąją šalį ar duomenų gavėją tarptautinę organizaciją, bendrąsias bei sektorių teisės normas, galiojančias minėtoje trečiojoje šalyje arba tarptautinėje organizacijoje, bei profesines taisykles ir apsaugos priemones, kurių laikomasi toje trečiojoje šalyje arba tarptautinėje organizacijoje.

Article 8

3. Bendrijos institucijos ir įstaigos informuoja Komisiją ir Europos duomenų apsaugos priežiūros pareigūną apie atvejus, kai jos mano, kad minėta trečioji šalis arba tarptautinė organizacija neužtikrina, kaip apibrėžta 2 dalyje, adekvataus apsaugos lygio.

Transfer of personal data to recipients, other than Community institutions and bodies, subject to Directive 95/46/EC

4. Komisija informuoja valstybes nares apie visus 3 dalyje minėtus atvejus.

Without prejudice to Articles 4, 5, 6 and 10, personal data shall only be transferred to recipients subject to the national law adopted for the implementation of Directive 95/46/EC,

5. Bendrijos institucijos ir įstaigos imasi visų priemonių, būtinų laikytis Komisijos sprendimų, kai ji pagal Direktyvos 95/46/EB 25 straipsnio 4 ir 6 dalis nustato, kad trečioji šalis arba tarptautinė organizacija užtikrina arba neužtikrina adekvataus apsaugos lygio.

(a) if the recipient establishes that the data are necessary for the performance of a task carried out in the public interest or subject to the exercise of public authority, or

6. Šio straipsnio 1 ir 2 dalims taikant išlygą, Bendrijos institucija ar įstaiga gali perduoti asmens duomenis, jeigu:

(b) if the recipient establishes the necessity of having the data transferred and if there is no reason to assume that the data subject's legitimate interests might be prejudiced.

a) duomenų subjektas nedviprasmiškai duoda sutikimą perduoti siūlomus asmens duomenis; arba

b) perdavimas yra būtinas, kad būtų vykdoma duomenų subjekto ir duomenų valdytojo sudaryta sutartis arba prieš sutarties vykdymą įgyvendintos priemonės, kurių buvo imtasi duomenų subjekto prašymu; arba

Article 9

c) perdavimas yra būtinas, kad būtų sudaryta arba vykdoma sutartis tarp duomenų valdytojo ir trečiosios šalies duomenų subjekto interesais; arba

Transfer of personal data to recipients, other than Community institutions and bodies, which are not subject to Directive 95/46/EC

d) perdavimas yra būtinas arba teisiškai reikalaujama atsižvelgti į svarbų visuomenės interesą arba pagrįsti, vykdyti arba ginti teisėtus reikalavimus; arba

1. Personal data shall only be transferred to recipients, other than Community institutions and bodies, which are not subject to national law adopted pursuant to Directive 95/46/EC, if an adequate level of protection is ensured in the country of the recipient or within the recipient international organisation and the data are transferred solely to allow tasks covered by the competence of the controller to be carried out.

e) perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto interesus; arba

2. The adequacy of the level of protection afforded by the third country or international organisation in question shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the recipient third country or recipient international organisation, the rules of law, both general and sectoral, in force in the third country or international organisation in question and the professional rules and security measures which are complied with in that third country or international organisation.

f) perdavimas yra iš registro, kuris pagal Bendrijos teisę yra skirtas teikti visuomenei informaciją ir kuriuo gali naudotis plačioji visuomenė arba bet kuris asmuo, galintis įrodyti savo teisėtą interesą, duomenys perduodami tiek, kiek kiekvienu konkrečiu atveju yra įvykdytos Bendrijos teisėje nustatytos sąlygos dėl susipažinimo su informacija.

3. The Community institutions and bodies shall inform the Commission and the European Data Protection Supervisor of cases where they consider the third country or international organisation in question does not ensure an adequate level of protection within the meaning of paragraph 2.

7. Nepažeisdamas šio straipsnio 6 dalies nuostatų, Europos duomenų apsaugos priežiūros pareigūnas gali leisti vienąkart arba daugkart perduoti asmens duomenis trečiajai šaliai arba tarptautinei organizacijai, kuri neužtikrina adekvataus apsaugos lygio, kaip apibrėžta šio straipsnio 1 ir 2 dalyse, jeigu duomenų valdytojas pateikia įrodymų dėl asmenų privataus gyvenimo ir pagrindinių teisių ir laisvių tinkamos apsaugos bei atitinkamų teisių įgyvendinimo; pirmiausia tokios apsaugos priemonės gali būti numatytos atitinkamose sutarties sąlygose.

4. The Commission shall inform the Member States of any cases as referred to in paragraph 3.

8. Bendrijos institucijos ir įstaigos informuoja Europos duomenų apsaugos priežiūros pareigūną apie tuos atvejus, kai buvo taikytos šio straipsnio 6 ir 7 dalys.

5. The Community institutions and bodies shall take the necessary measures to comply with decisions taken by the Commission when it establishes, pursuant to Article 25(4) and (6) of Directive 95/46/EC, that a third country or an international organisation ensures or does not ensure an adequate level of protection.

3 SKIRSNIS

6. By way of derogation from paragraphs 1 and 2, the Community institution or body may transfer personal data if:

YPATINGŲ ASMENS DUOMENŲ TVARKYMAS

(a) the data subject has given his or her consent unambiguously to the proposed transfer; or

10 straipsnis

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken in response to the data subject's request; or

Ypatingų asmens duomenų tvarkymas

(c) the transfer is necessary for the conclusion or performance of a contract entered into in the interest of the data subject between the controller and a third party; or

1. Draudžiama tvarkyti asmens duomenis, kurie atskleidžia asmens rasinę ir etninę kilmę, politinius, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose ir duomenis apie sveikatą ar lytinį gyvenimą.

(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or

2. Šio straipsnio 1 dalies nuostatos netaikomos, jeigu:

(e) the transfer is necessary in order to protect the vital interests of the data subject; or

a) duomenų subjektas davė aiškų sutikimą tvarkyti tokius asmens duomenis, išskyrus tuos atvejus, kai Bendrijos institucijos ar įstaigos vidaus taisyklėse numatyta, kad šio straipsnio 1 dalyje minėtas draudimas negali būti panaikintas net ir gavus duomenų subjekto sutikimą; arba

(f) the transfer is made from a register which, according to Community law, is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, to the extent that the conditions laid down in Community law for consultation are fulfilled in the particular case.

b) tvarkymas yra būtinas, kad būtų įgyvendintos darbo teisėje numatytos duomenų valdytojo specifines teisės ir įsipareigojimai, ir reikia tvarkyti taip, kaip yra numatyta Europos Bendrijų steigimo sutartyse arba kituose jomis remiantis priimtuose teisiniuose dokumentuose, arba prireikus ir taikant tinkamas apsaugos priemones taip, kaip nustatė Europos duomenų apsaugos priežiūros pareigūnas; arba

7. Without prejudice to paragraph 6, the European Data Protection Supervisor may authorise a transfer or a set of transfers of personal data to a third country or international organisation which does not ensure an adequate level of protection within the meaning of paragraphs 1 and 2, where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.

c) tvarkymas yra būtinas, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai, jeigu duomenų subjektas nepajėgia duoti sutikimo arba yra neveiksnus; arba

8. The Community institutions and bodies shall inform the European Data Protection Supervisor of categories of cases where they have applied paragraphs 6 and 7.

d) tvarkomi asmens duomenys, kuriuos duomenų subjektas paskelbė viešai, arba yra reikalingi nustatyti, įvykdyti ar apginti teisinius ieškinius; arba

e) duomenis tvarko ne pelno organizacija, kuri yra Bendrijos institucijos ar įstaigos subjektas, kuriam pagal Direktyvos 95/46/EB 4 straipsnį netaikomas nacionalinis duomenų apsaugos įstatymas, teisėtos tinkamai apsaugotos veiklos tikslais ir siekiant politinių, filosofinių, religinių ar profsąjungos tikslų ir tik tuo atveju, kai tvarkomi asmens duomenys yra susiję su šios įstaigos nariais arba asmenimis, kurie nuolat palaiko ryšius su šia organizacija ir su ja susijusiais tikslais, ir kai be duomenų subjektų sutikimo trečiajai šaliai negali būti atskleidžiami asmens duomenys.

SECTION 3

3. Šio straipsnio 1 dalis netaikoma, kai duomenis reikia tvarkyti teikiant profilaktines medicinos, medicininės diagnostikos, medicinos priežiūros, gydymo, sveikatos apsaugos paslaugas ir kai tokius duomenis tvarko sveikatos apsaugos darbuotojas, įpareigotas laikytis profesinės paslapties reikalavimo, arba kitas asmuo, kuris taip pat privalo laikytis lygiaverčio įsipareigojimo saugoti paslaptis.

SPECIAL CATEGORIES OF PROCESSING

4. Jeigu yra taikomos tinkamos apsaugos priemonės ir dėl svarbių visuomeninių interesų, be šio straipsnio 2 dalyje numatytų išimčių gali būti taikomos ir kitos Europos Bendrijų steigimo sutartyse ar kituose jomis remiantis priimtuose teisiniuose dokumentuose, arba prireikus Europos duomenų apsaugos priežiūros pareigūno sprendime numatytos išimtys.

Article 10

5. Asmens duomenys, susiję su nusikalstamomis veikomis, teistumu ar saugumo priemonėmis, gali būti tvarkomi tik tuo atveju, jeigu tai leidžia daryti Europos Bendrijų steigimo sutartys, jomis remiantis priimti kiti teisiniai dokumentai arba prireikus Europos duomenų apsaugos priežiūros pareigūnas, jeigu yra taikomos tinkamos konkrečios apsaugos priemonės.

The processing of special categories of data

6. Europos duomenų apsaugos priežiūros pareigūnas nustato sąlygas, kuriomis Bendrijos institucija ar įstaiga gali tvarkyti asmens kodą arba kitą bendro taikymo žymenį.

1. The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and of data concerning health or sex life, are prohibited.

4 SKIRSNIS

2. Paragraph 1 shall not apply where:

DUOMENŲ SUBJEKTO INFORMAVIMAS

(a) the data subject has given his or her express consent to the processing of those data, except where the internal rules of the Community institution or body provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his or her consent, or

11 straipsnis

(b) processing is necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law insofar as it is authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof, or, if necessary, insofar as it is agreed upon by the European Data Protection Supervisor, subject to adequate safeguards, or

Teiktina informacija tais atvejais, kai asmens duomenys buvo gauti iš duomenų subjekto

(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his or her consent, or

1. Duomenų valdytojas privalo duomenų subjektui, iš kurio jis tiesiogiai renka jo asmens duomenis, suteikti bent tokią informaciją, išskyrus tuos atvejus, kai jis jau turi tokią informaciją:

(d) processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims, or

a) duomenų valdytojo tapatybę;

(e) processing is carried out in the course of its legitimate activities with appropriate safeguards by a non-profit-seeking body which constitutes an entity integrated in a Community institution or body, not subject to national data protection law by virtue of Article 4 of Directive 95/46/EC, and with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of this body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects.

b) šių asmens duomenų tvarkymo tikslus;

3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.

c) duomenų gavėjus arba gavėjų kategorijas;

4. Subject to the provision of appropriate safeguards, and for reasons of substantial public interest, exemptions in addition to those laid down in paragraph 2 may be laid down by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by decision of the European Data Protection Supervisor.

d) ar yra privaloma atsakyti į klausimus ar leidžiama atsakyti savanoriškai, o neatsakius — numatyti galimas neatsakymo pasekmes;

5. Processing of data relating to offences, criminal convictions or security measures may be carried out only if authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by the European Data Protection Supervisor, subject to appropriate specific safeguards.

e) teisės susipažinti su savo asmens duomenimis ir teisės juos ištaisyti buvimas;

6. The European Data Protection Supervisor shall determine the conditions under which a personal number or other identifier of general application may be processed by a Community institution or body.

f) bet kokią papildomą informaciją, t. y.:

i) tvarkymo veiksmo, kuriam yra skirti duomenys, teisinis pagrindas;

SECTION 4

ii) duomenų saugojimo laikas;

INFORMATION TO BE GIVEN TO THE DATA SUBJECT

iii) teisė bet kada kreiptis į Europos duomenų apsaugos priežiūros pareigūną,

Article 11

kiek tokios papildomos informacijos reikia atsižvelgus į konkrečias duomenų rinkimo aplinkybes, kad duomenų subjekto atžvilgiu būtų užtikrintas tinkamas asmens duomenų tvarkymas.

Information to be supplied where the data have been obtained from the data subject

2. Nukrypstant nuo šio straipsnio 1 dalies, informacijos ar jos dalies teikimas, išskyrus šio straipsnio 1 dalies a, b ir d punktuose nurodytą informaciją, gali būti atidėtas tokiam laikui, kuris būtinas statistiniais tikslais. Informacija privalo būti pateikta nedelsiant, kai tik nebelieka priežasties, dėl kurios informacija buvo sulaikyta.

1. The controller shall provide a data subject from whom data relating to himself/herself are collected with at least the following information, except where he or she already has it:

12 straipsnis

(a) the identity of the controller;

Teiktina informacija, kai duomenys gaunami ne iš duomenų subjekto

(b) the purposes of the processing operation for which the data are intended;

1. Kai duomenys gaunami ne iš duomenų subjekto, duomenų valdytojas, užrašydamas asmens duomenis, arba jeigu numatyta juos atskleisti trečiajai šaliai ne vėliau nei tuo metu, kai duomenys yra atskleidžiami pirmą kartą, duomenų subjektui pateikia bent tokią toliau nurodytą informaciją, išskyrus tuos atvejus, kai jis tokią informaciją jau turi:

(c) the recipients or categories of recipients of the data;

a) duomenų valdytojo tapatybę;

(d) whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply;

b) tvarkymo tikslus;

(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;

c) tvarkomų duomenų kategorijas;

(f) any further information such as:

d) duomenų gavėjus ar jų kategorijas;

(i) the legal basis of the processing operation for which the data are intended,

e) teisės susipažinti su savo asmens duomenimis ir teisės juos ištaisyti buvimas;

(ii) the time-limits for storing the data,

f) bet kokią papildomą informaciją, t. y.:

(iii) the right to have recourse at any time to the European Data Protection Supervisor,

i) tvarkymo veiksmo, kuriam yra skirti duomenys, teisinį pagrindą;

insofar as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.

ii) duomenų saugojimo laiką;

2. By way of derogation from paragraph 1, the provision of information or part of it, except for the information referred to in paragraph 1(a), (b) and (d), may be deferred as long as this is necessary for statistical purposes. The information must be provided as soon as the reason for which the information is withheld ceases to exist.

iii) teisę bet kada kreiptis į Europos duomenų apsaugos priežiūros pareigūną;

iv) asmens duomenų kilmę, išskyrus tuos atvejus, kai duomenų valdytojas negali pateikti tokios informacijos dėl profesinės paslapties,

Article 12

kiek tokios papildomos informacijos reikia, atsižvelgus į konkrečias asmens duomenų tvarkymo aplinkybes, kad duomenų subjekto atžvilgiu būtų užtikrintas tinkamas asmens duomenų tvarkymas.

Information to be supplied where the data have not been obtained from the data subject

2. Šio straipsnio 1 dalies nuostatos netaikomos, ypač kai asmens duomenys yra tvarkomi statistiniais, istoriniais arba mokslinio tyrimo tikslais, tais atvejais, kai tokios informacijos pateikti neįmanoma arba pastangos yra ekonomiškai nepagrįstos, arba jeigu jų užrašymas ar teikimas yra aiškiai nustatytas Bendrijos teisėje. Tais atvejais Bendrijos institucija ar įstaiga, pasikonsultavusi su Europos duomenų apsaugos priežiūros pareigūnu, numato tinkamas apsaugos priemones.

1. Where the data have not been obtained from the data subject, the controller shall at the time of undertaking the recording of personal data or, if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed, provide the data subject with at least the following information, except where he or she already has it:

5 SKIRSNIS

(a) the identity of the controller;

DUOMENŲ SUBJEKTO TEISĖS

(b) the purposes of the processing operation;

13 straipsnis

(c) the categories of data concerned;

Teisė susipažinti su savo asmens duomenimis

(d) the recipients or categories of recipients;

Duomenų subjektas turi teisę be jokių apribojimų bet kada per tris mėnesius nuo paklausimo gavimo neatlygintinai iš duomenų valdytojo gauti:

(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;

a) patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi ar ne;

(f) any further information such as:

b) informaciją bent jau apie asmens duomenų tvarkymo tikslus, atitinkamų asmens duomenų kategorijas ir duomenų gavėjams ar gavėjų kategorijoms atskleidžiamus asmens duomenis;

(i) the legal basis of the processing operation for which the data are intended,

c) pranešimą suprantamu pavidalu apie tvarkomus asmens duomenis ir visą prieinamą informaciją apie jų šaltinius;

(ii) the time-limits for storing the data,

d) informaciją apie loginius metodus, naudojamus priimant dėl jo sprendimą automatiniu būdu.

(iii) the right to have recourse at any time to the European Data Protection Supervisor,

14 straipsnis

(iv) the origin of the data, except where the controller cannot disclose this information for reasons of professional secrecy,

Asmens duomenų ištaisymas

insofar as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.

Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis nedelsdamas ištaisytų netikslius ar neišsamius asmens duomenis.

2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by Community law. In these cases the Community institution or body shall provide for appropriate safeguards after consulting the European Data Protection Supervisor.

15 straipsnis

Asmens duomenų tvarkymo veiksmų sustabdymas

SECTION 5

1. Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis sustabdytų duomenų tvarkymo veiksmus, jeigu:

RIGHTS OF THE DATA SUBJECT

a) duomenų subjektas užginčija jų tikslumą, tokiam laikotarpiui, per kurį duomenų valdytojas galėtų patikrinti duomenų tikslumą, įskaitant jų išsamumą; arba

Article 13

b) duomenų valdytojo atliekamoms užduotims jie nebūtini, tačiau turi būti laikomi, kad būtų galima panaudoti įrodinėjimo tikslais; arba

Right of access

c) asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas prieštarauja, kad jie būtų sunaikinti, vietoje to reikalaudamas sustabdyti duomenų tvarkymo veiksmus.

The data subject shall have the right to obtain, without constraint, at any time within three months from the receipt of the request and free of charge from the controller:

2. Automatiniu būdu tvarkomose susistemintose rinkmenose asmens duomenų tvarkymo veiksmų sustabdymas iš esmės užtikrinamas techninėmis priemonėmis. Apie asmens duomenų susistemintoje rinkmenoje tvarkymo veiksmų sustabdymą yra nurodoma taip, kad būtų aišku, jog yra draudžiama naudoti asmens duomenis.

(a) confirmation as to whether or not data related to him or her are being processed;

3. Asmens duomenys, kurių tvarkymo veiksmai yra sustabdomi pagal šį straipsnį, išskyrus jų saugojimą, tvarkomi tik norint panaudoti įrodinėjimo tikslais arba gavus duomenų subjekto sutikimą arba ginant trečiosios šalies teises.

(b) information at least as to the purposes of the processing operation, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed;

4. Duomenų valdytojas, prieš pradėdamas toliau tvarkyti asmens duomenis, kurių tvarkymo veiksmai duomenų subjekto prašymu buvo sustabdyti, duomenų subjektui privalo apie tai pranešti.

(c) communication in an intelligible form of the data undergoing processing and of any available information as to their source;

16 straipsnis

(d) knowledge of the logic involved in any automated decision process concerning him or her.

Asmens duomenų ištrynimas

Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis sunaikintų neteisėtai tvarkomus jo asmens duomenis visų pirma tais atvejais, kai buvo pažeistos II skyriaus 1, 2 ir 3 skirsnių nuostatos.

Article 14

17 straipsnis

Rectification

Pranešimas trečiosioms šalims

The data subject shall have the right to obtain from the controller the rectification without delay of inaccurate or incomplete personal data.

Duomenų subjektas turi teisę kreiptis į duomenų valdytoją, kad jis pagal 13–16 straipsnių nuostatas trečiosioms šalims, kurioms buvo atskleisti asmens duomenys, praneštų apie asmens duomenų ištaisymą, ištrynimą ar jų tvarkymo veiksmų sustabdymą, nebent paaiškėja, kad tai padaryti yra neįmanoma arba pastangos yra ekonomiškai nepagrįstos.

18 straipsnis

Article 15

Duomenų subjekto teisė nesutikti

Blocking

Duomenų subjektas turi teisę:

1. The data subject shall have the right to obtain from the controller the blocking of data where:

a) bet kada dėl įtikinamų teisėtų priežasčių, susijusių su konkrečia jo padėtimi, nesutikti dėl savo asmens duomenų tvarkymo, išskyrus šio reglamento 5 straipsnio b, c ir d punktuose numatytus atvejus. Jeigu toks nesutikimas yra pagrįstas, tokie asmens duomenys nebegali būti toliau tvarkomi;

(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy, including the completeness, of the data, or;

b) prieš jo asmens duomenis pirmą kartą atskleidžiant trečiosioms šalims arba prieš jo vardu naudojant juos tiesioginės rinkodaros tikslais, būti neatlygintinai aiškiai informuotas ir supažindintas su savo teise nesutikti dėl tokių asmens duomenų atskleidimo ar naudojimo.

(b) the controller no longer needs them for the accomplishment of its tasks but they have to be maintained for purposes of proof, or;

19 straipsnis

(c) the processing is unlawful and the data subject opposes their erasure and demands their blocking instead.

Automatiniai individualūs sprendimai

2. In automated filing systems blocking shall in principle be ensured by technical means. The fact that the personal data are blocked shall be indicated in the system in such a way that it becomes clear that the personal data may not be used.

Duomenų subjektas turi teisę, kad jo atžvilgiu nebus daromas sprendimas, kuris sukuria jam teisinių poveikių arba didelių neigiamų padarinių, ir kuris yra paremtas tiktai automatiniu duomenų tvarkymu, siekiant įvertinti tam tikras jo asmenines savybes, tokias kaip jo darbingumą, patikimumą ar elgesį, nebent sprendimas yra aiškiai numatytas nacionaliniais ar Bendrijos teisės aktais, arba prireikus leidimą duoda Europos duomenų apsaugos priežiūros pareigūnas. Bet kuriuo atveju, turi būti imtasi priemonių apsaugoti teisėtus duomenų subjekto interesus, tokius kaip susitarimus, leidžiančius jam pareikšti savo nuomonę.

3. Personal data blocked pursuant to this Article shall, with the exception of their storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of a third party.

6 SKIRSNIS

4. The data subject who requested and obtained the blocking of his or her data shall be informed by the controller before the data are unblocked.

IŠIMTYS IR APRIBOJIMAI

20 straipsnis

Article 16

Išimtys ir apribojimai

Erasure

1. Bendrijos institucijos ir įstaigos gali apriboti šio reglamento 4 straipsnio 1 dalies, 11 straipsnio, 12 straipsnio 1 dalies, 13–17 straipsnių ir 37 straipsnio 1 dalies taikymą, jeigu toks apribojimas yra būtinas, kad užtikrintų:

The data subject shall have the right to obtain from the controller the erasure of data if their processing is unlawful, particularly where the provisions of Sections 1, 2 and 3 of Chapter II have been infringed.

a) baudžiamųjų veikų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn;

b) svarbų valstybės narės ar Europos Bendrijų ekonominį ar finansinį interesą, įskaitant valiutos, biudžeto ir mokesčių klausimus;

Article 17

c) duomenų subjekto arba kitų asmenų teisių ir laisvių apsaugą;

Notification to third parties

d) valstybių narių valstybės, visuomenės saugumą ar krašto apsaugą;

The data subject shall have the right to obtain from the controller the notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking pursuant to Articles 13 to 16 unless this proves impossible or involves a disproportionate effort.

e) užduoties, net ir atsitiktinai susijusios su tarnybinių įgaliojimų a ir b punktuose minėtais atvejais vykdymu, priežiūra, tikrinimu ar kontrole.

2. Šio reglamento 13–16 straipsnių nuostatos netaikomos tais atvejais, kai asmens duomenys yra tvarkomi tik mokslinio tyrimo tikslais arba saugomi tokia forma, kuri leidžia nustatyti asmens tapatybę laikotarpiui, kuris nėra ilgesnis nei laikas, būtinas tik statistiniams duomenims kaupti, jeigu nėra aiškios rizikos pažeisti duomenų subjekto teisę į privataus gyvenimo neliečiamumą, o duomenų valdytojas imasi tinkamų teisinių apsaugos priemonių visų pirma tam, kad užtikrintų, jog asmens duomenys nebūtų naudojami imantis priemonių ar priimant sprendimus konkrečių asmenų atžvilgiu.

Article 18

3. Jeigu yra nustatytas šio straipsnio 1 dalyje numatytas apribojimas, duomenų subjektas pagal Bendrijos teisę yra informuojamas apie pagrindines tokio apribojimo taikymo priežastis ir savo teisę kreiptis į Europos duomenų apsaugos priežiūros pareigūną.

The data subject's right to object

4. Jeigu šio straipsnio 1 dalyje numatytas apribojimas yra nustatytas tam, kad nebūtų leista duomenų subjektui susipažinti su savo asmens duomenimis, Europos duomenų apsaugos priežiūros pareigūnas tirdamas skundą tik informuoja jį, ar duomenys buvo tvarkomi tiksliai, o jeigu ne, ar duomenys buvo ištaisyti.

The data subject shall have the right:

5. Šio straipsnio 3 ir 4 dalyse minėtos informacijos teikimas gali būti atidėtas tokiam laikui, kuris būtinas pagal šio straipsnio 1 dalį nustatytam tokios informacijos apribojimui.

(a) to object at any time, on compelling legitimate grounds relating to his or her particular situation, to the processing of data relating to him or her, except in the cases covered by Article 5(b), (c) and (d). Where there is a justified objection, the processing in question may no longer involve those data;

7 SKIRSNIS

(b) to be informed before personal data are disclosed for the first time to third parties or before they are used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosure or use.

ASMENS DUOMENŲ TVARKYMO KONFIDENCIALUMAS IR SAUGUMAS

21 straipsnis

Article 19

Asmens duomenų tvarkymo konfidencialumas

Automated individual decisions

Asmuo, dirbantis Bendrijos institucijoje ar įstaigoje, ir bet kuri Bendrijos institucija ar įstaiga, kuri veikia kaip duomenų tvarkytojas, turėdami teisę gauti asmens duomenis, tvarko juos tik gavę duomenų valdytojo nurodymus, nebent to reikalaujama pagal nacionalinę ar Bendrijos teisę.

The data subject shall have the right not to be subject to a decision which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her, such as his or her performance at work, reliability or conduct, unless the decision is expressly authorised pursuant to national or Community legislation or, if necessary, by the European Data Protection Supervisor. In either case, measures to safeguard the data subject's legitimate interests, such as arrangements allowing him or her to put his or her point of view, must be taken.

22 straipsnis

Asmens duomenų tvarkymo saugumas

SECTION 6

1. Atsižvelgdamas į šiuolaikiškumą ir įgyvendinimo išlaidas, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų tvarkymo keliamą riziką ir jų pobūdį.

EXEMPTIONS AND RESTRICTIONS

Tokių priemonių pirmiausia turi būti imtasi tam, kad būtų išvengta bet kokio neteisėto asmens duomenų atskleidimo arba susipažinimo su jais, atsitiktinio arba neteisėto sunaikinimo, atsitiktinio praradimo arba jų pakeitimo ir būtų užkirstas kelias bet kokiems kitiems neteisėtiems tvarkymo būdams.

Article 20

2. Jeigu asmens duomenys yra tvarkomi automatiniu būdu, priemonių imamasi deramai atsižvelgus į rizikos rūšis visų pirma siekiant:

Exemptions and restrictions

a) užkirsti kelią neįgaliotiems asmenims naudotis kompiuterių sistemomis, kuriomis yra tvarkomi asmens duomenys;

1. The Community institutions and bodies may restrict the application of Article 4(1), Article 11, Article 12(1), Articles 13 to 17 and Article 37(1) where such restriction constitutes a necessary measure to safeguard:

b) užkirsti kelią neteisėtai skaityti, kopijuoti, keisti ar pašalinti laikmenas;

(a) the prevention, investigation, detection and prosecution of criminal offences;

c) užkirsti kelią neteisėtai duomenų įvesčiai į kompiuterio atmintį, o taip pat bet kokiam neteisėtam saugomų asmens duomenų atskleidimui, pakeitimui ar ištrynimui;

(b) an important economic or financial interest of a Member State or of the European Communities, including monetary, budgetary and taxation matters;

d) užkirsti kelią neįgaliotiems asmenims duomenų perdavimo įranga naudoti duomenų tvarkymo sistemas;

(c) the protection of the data subject or of the rights and freedoms of others;

e) užtikrinti, kad teisėtai duomenų tvarkymo sistemas naudojantys asmenys negalėtų gauti asmens duomenų, išskyrus tuos, kuriuos jie turi teisę gauti;

(d) the national security, public security or defence of the Member States;

f) užrašyti, kada ir kam buvo perduoti atitinkami asmens duomenys;

(e) a monitoring, inspection or regulatory task connected, even occasionally, with the exercise of official authority in the cases referred to in (a) and (b).

g) užtikrinti, kad vėliau būtų galima patikrinti, kokie asmens duomenys buvo tvarkomi, kada ir kas juos tvarkė;

2. Articles 13 to 16 shall not apply when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of compiling statistics, provided that there is clearly no risk of breaching the privacy of the data subject and that the controller provides adequate legal safeguards, in particular to ensure that the data are not used for taking measures or decisions regarding particular individuals.

h) užtikrinti, kad trečiųjų šalių vardu tvarkomi asmens duomenys galėtų būti tvarkomi tik susitariančiosios institucijos ar įstaigos nustatyta tvarka;

3. If a restriction provided for by paragraph 1 is imposed, the data subject shall be informed, in accordance with Community law, of the principal reasons on which the application of the restriction is based and of his or her right to have recourse to the European Data Protection Supervisor.

i) užtikrinti, kad perduodant asmens duomenis ir vežant laikmenas, asmens duomenų be leidimo nebūtų galima skaityti, kopijuoti ar naikinti;

4. If a restriction provided for by paragraph 1 is relied upon to deny access to the data subject, the European Data Protection Supervisor shall, when investigating the complaint, only inform him or her of whether the data have been processed correctly and, if not, whether any necessary corrections have been made.

j) sukurti tokią institucijos ar įstaigos organizacinę struktūrą, kad ji atitiktų specialius duomenų apsaugos reikalavimus.

5. Provision of the information referred to under paragraphs 3 and 4 may be deferred for as long as such information would deprive the restriction imposed by paragraph 1 of its effect.

23 straipsnis

Duomenų valdytojų vardu tvarkomi asmens duomenys

SECTION 7

1. Jeigu tvarkymo veiksmas atliekamas duomenų valdytojo įgaliojimu, jis parenka tokį duomenų tvarkytoją, kuris garantuotų pagal 22 straipsnį būtinas pakankamas technines ir organizacines apsaugos priemones ir užtikrintų tokių priemonių laikymąsi.

CONFIDENTIALITY AND SECURITY OF PROCESSING

2. Duomenų tvarkytojo atliekamą tvarkymo veiksmą reglamentuoja sutartis arba teisinis aktas, įpareigojantis duomenų tvarkytoją laikytis duomenų valdytojo nurodymų, ir visų pirma numato, kad:

Article 21

a) duomenų tvarkytojas asmens duomenis tvarkys tik pagal duomenų valdytojo nurodymus;

Confidentiality of processing

b) šio reglamento 21 ir 22 straipsniuose nurodyti įsipareigojimai turi būti nustatyti ir duomenų tvarkytojui, nebent pagal Direktyvos 95/46/EB 16 straipsnį arba 17 straipsnio 3 dalies antrą pastraipą duomenų tvarkytojas jau vykdo vienos iš valstybių narių nacionalinėje teisėje nustatytus slaptumo ir saugumo įsipareigojimus.

A person employed with a Community institution or body and any Community institution or body itself acting as processor, with access to personal data, shall not process them except on instructions from the controller, unless required to do so by national or Community law.

3. Siekiant turėti įrodymų su asmens duomenų apsauga ir 22 straipsnyje minėtoms priemonėms keliamais reikalavimais susijusio sutarties ar teisinio akto dalys turi būti parengtos raštu arba kita lygiaverte forma.

8 SKIRSNIS

Article 22

DUOMENŲ APSAUGOS PAREIGŪNAS

Security of processing

24 straipsnis

1. Having regard to the state of the art and the cost of their implementation, the controller shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected.

Duomenų apsaugos pareigūno paskyrimas ir uždaviniai

Such measures shall be taken in particular to prevent any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and to prevent all other unlawful forms of processing.

1. Kiekviena Bendrijos institucija ir įstaiga paskiria bent po vieną asmenį eiti duomenų apsaugos pareigūno pareigas. Tas asmuo privalo:

2. Where personal data are processed by automated means, measures shall be taken as appropriate in view of the risks in particular with the aim of:

a) užtikrinti, kad duomenų valdytojai ir duomenų subjektai būtų informuoti apie šiame reglamente nustatytas savo teises ir įsipareigojimus;

(a) preventing any unauthorised person from gaining access to computer systems processing personal data;

b) atsakyti į Europos duomenų apsaugos priežiūros pareigūno prašymus ir kiek leidžia jo kompetencija Europos duomenų apsaugos priežiūros pareigūno prašymu arba savo iniciatyva su juo bendradarbiauti;

(b) preventing any unauthorised reading, copying, alteration or removal of storage media;

c) savarankiškai užtikrinti, kad jo organizacijoje būtų taikomos šio reglamento nuostatos;

(c) preventing any unauthorised memory inputs as well as any unauthorised disclosure, alteration or erasure of stored personal data;

d) tvarkyti duomenų valdytojo tvarkymo veiksmų registrą, kuriame įrašyta šio reglamento 25 straipsnio 2 dalyje paminėta informacija;

(d) preventing unauthorised persons from using data-processing systems by means of data transmission facilities;

e) Europos duomenų apsaugos priežiūros pareigūnui pranešti apie tvarkymo veiksmus, galinčius kelti šio reglamento 27 straipsnyje apibrėžtą konkrečią riziką.

(e) ensuring that authorised users of a data-processing system can access no personal data other than those to which their access right refers;

Tokiu būdu tas asmuo užtikrina, kad tvarkymo veiksmai neturės neigiamos įtakos duomenų subjektų teisėms ir laisvėms.

(f) recording which personal data have been communicated, at what times and to whom;

2. Duomenų apsaugos pareigūnas parenkamas atsižvelgus į jo asmenines ir profesines savybes, o svarbiausia — jo profesines duomenų apsaugos žinias.

(g) ensuring that it will subsequently be possible to check which personal data have been processed, at what times and by whom;

3. Pasirenkant duomenų apsaugos pareigūną, negali atsirasti interesų konflikto dėl jo kaip duomenų apsaugos pareigūno ir bet kurių kitų tarnybinių pareigų, ypač susijusių su šio reglamento nuostatų taikymu.

(h) ensuring that personal data being processed on behalf of third parties can be processed only in the manner prescribed by the contracting institution or body;

4. Duomenų apsaugos pareigūnas skiriamas nuo dvejų iki penkerių metų trukmės kadencijai. Jis gali būti skiriamas pakartotinai, ne ilgesnei nei dešimties metų bendros trukmės kadencijai. Jeigu duomenų apsaugos pareigūnas nebeatitinka jo pareigoms nustatytų sąlygų, duomenų apsaugos pareigūną paskyrusi Bendrijos institucija ar įstaiga gali atleisti jį iš šių pareigų tik Europos duomenų apsaugos priežiūros pareigūno sutikimu.

(i) ensuring that, during communication of personal data and during transport of storage media, the data cannot be read, copied or erased without authorisation;

5. Duomenų apsaugos pareigūną paskyrusi institucija ar įstaiga po jo paskyrimo jį užregistruoja Europos duomenų apsaugos priežiūros pareigūno institucijoje.

(j) designing the organisational structure within an institution or body in such a way that it will meet the special requirements of data protection.

6. Duomenų apsaugos pareigūną paskyrusi Bendrijos institucija ar įstaiga aprūpina jį personalu ir ištekliais, būtinais jo pareigoms atlikti.

7. Duomenų apsaugos pareigūnui negali būti duodami jokie nurodymai dėl jo pareigų atlikimo.

Article 23

8. Kiekviena Bendrijos institucija ar įstaiga pagal šio reglamento priedo nuostatas priima papildomas, su duomenų apsaugos pareigūnu susijusias įgyvendinimo taisykles. Įgyvendinimo taisyklės pirmiausia turi nustatyti duomenų apsaugos pareigūno uždavinius, pareigas ir įgaliojimus.

Processing of personal data on behalf of controllers

25 straipsnis

1. Where a processing operation is carried out on its behalf, the controller shall choose a processor providing sufficient guarantees in respect of the technical and organisational security measures required by Article 22 and ensure compliance with those measures.

Pranešimas duomenų apsaugos pareigūnui

2. The carrying out of a processing operation by way of a processor shall be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:

1. Duomenų valdytojas turi iš anksto pranešti duomenų apsaugos pareigūnui apie bet kurį ar keletą tvarkymo veiksmų, skirtų vieninteliam ar keliems susijusiems tikslams.

(a) the processor shall act only on instructions from the controller;

2. Teiktinoje informacijoje turi būti nurodyta:

(b) the obligations set out in Articles 21 and 22 shall also be incumbent on the processor unless, by virtue of Article 16 or Article 17(3), second indent, of Directive 95/46/EC, the processor is already subject to obligations with regard to confidentiality and security laid down in the national law of one of the Member States.

a) duomenų valdytojo vardas ir pavardė, adresas bei institucijos ar įstaigos, kuriai konkrečiu tikslu pavesta tvarkyti asmens duomenis, organizacinė struktūra;

3. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in Article 22 shall be in writing or in another equivalent form.

b) tvarkymo tikslas ar tikslai;

c) duomenų ar duomenų subjektų kategorija ar kategorijos, ar su jomis susijusios duomenų kategorijos;

SECTION 8

d) tvarkymo veiksmo, kuriam yra skirti asmens duomenys, teisinis pagrindas;

DATA PROTECTION OFFICER

e) duomenų gavėjai ar jų kategorijos, kuriems galėtų būti atskleisti duomenys;

Article 24

f) bendro pobūdžio informacija apie įvairių asmens duomenų kategorijų tvarkymo veiksmų sustabdymui ir tų duomenų sunaikinimui skirtą laiką;

Appointment and tasks of the Data Protection Officer

g) siūlomi duomenų perdavimai į trečiąsias šalis ar tarptautines organizacijas;

1. Each Community institution and Community body shall appoint at least one person as data protection officer. That person shall have the task of:

h) bendras aprašas, padedantis atlikti išankstinį įvertinimą siekiant nustatyti priemonių, kurių buvo imtasi 22 straipsnyje nustatyta tvarka, tinkamumą užtikrinant tvarkymo saugumą.

(a) ensuring that controllers and data subjects are informed of their rights and obligations pursuant to this Regulation;

3. Apie kiekvieną pasikeitimą, turintį įtakos šio straipsnio 2 dalyje minėtai informacijai, nedelsiant pranešama duomenų apsaugos pareigūnui.

(b) responding to requests from the European Data Protection Supervisor and, within the sphere of his or her competence, cooperating with the European Data Protection Supervisor at the latter's request or on his or her own initiative;

26 straipsnis

(c) ensuring in an independent manner the internal application of the provisions of this Regulation;

Registras

(d) keeping a register of the processing operations carried out by the controller, containing the items of information referred to in Article 25(2);

Kiekvienas duomenų apsaugos pareigūnas tvarko duomenų tvarkymo veiksmų, apie kuriuos pranešama šio reglamento 25 straipsnyje nustatyta tvarka, registrą.

(e) notifying the European Data Protection Supervisor of the processing operations likely to present specific risks within the meaning of Article 27.

Registruose nurodoma bent jau šio reglamento 25 straipsnio 2 dalies a–g punktuose minima informacija. Registrus tiesiogiai ar netiesiogiai per Europos duomenų tvarkymo priežiūros pareigūną gali patikrinti bet kuris asmuo.

That person shall thus ensure that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.

9 SKIRSNIS

2. The Data Protection Officer shall be selected on the basis of his or her personal and professional qualities and, in particular, his or her expert knowledge of data protection.

EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNO ATLIEKAMA IŠANKSTINĖ PATIKRA IR ĮSIPAREIGOJIMAS BENDRADARBIAUTI

3. The selection of the Data Protection Officer shall not be liable to result in a conflict of interests between his or her duty as Data Protection Officer and any other official duties, in particular in relation to the application of the provisions of this Regulation.

27 straipsnis

4. The Data Protection Officer shall be appointed for a term of between two and five years. He or she shall be eligible for reappointment up to a maximum total term of ten years. He or she may be dismissed from the post of Data Protection Officer by the Community institution or body which appointed him or her only with the consent of the European Data Protection Supervisor, if he or she no longer fulfils the conditions required for the performance of his or her duties.

Išankstinė patikra

5. After his or her appointment the Data Protection Officer shall be registered with the European Data Protection Supervisor by the institution or body which appointed him or her.

1. Tvarkymo veiksmus, galinčius kelti konkrečią riziką duomenų subjektų teisėms ir laisvėms dėl jų pobūdžio, jų apimties ar tikslų, iš anksto patikrina Europos duomenų apsaugos priežiūros pareigūnas.

6. The Community institution or body which appointed the Data Protection Officer shall provide him or her with the staff and resources necessary to carry out his or her duties.

2. Tokią riziką gali kelti toliau paminėti veiksmai:

7. With respect to the performance of his or her duties, the Data Protection Officer may not receive any instructions.

a) asmens duomenų apie sveikatą ir įtariamus nusikaltimus, nusikaltimus, teistumus ar saugos priemones tvarkymas;

8. Further implementing rules concerning the Data Protection Officer shall be adopted by each Community institution or body in accordance with the provisions in the Annex. The implementing rules shall in particular concern the tasks, duties and powers of the Data Protection Officer.

b) tvarkymo veiksmai, kuriais siekiama įvertinti duomenų subjekto asmenines savybes, įskaitant jo veiksnumą, darbingumą ir elgesį;

c) tvarkymo veiksmai, leidžiantys sujungti skirtingais tikslais tvarkomus asmens duomenis nenumatytais nacionaliniuose ar Bendrijos teisės aktuose atvejais;

Article 25

d) tvarkymo veiksmai, kuriais siekiama atimti asmenims teisę, naudą ar pašalinti juos iš sutarties.

Notification to the Data Protection Officer

3. Išankstines patikras atlieka Europos duomenų apsaugos priežiūros pareigūnas gavęs duomenų apsaugos pareigūno pranešimą, kuris, kilus abejonėms dėl išankstinės patikros būtinybės, konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

1. The controller shall give prior notice to the Data Protection Officer of any processing operation or set of such operations intended to serve a single purpose or several related purposes.

4. Per du mėnesius nuo pranešimo gavimo Europos duomenų apsaugos priežiūros pareigūnas turi pateikti savo nuomonę. Šis laikotarpis gali būti sustabdytas tol, kol Europos duomenų apsaugos priežiūros pareigūnas negaus papildomos jį dominančios informacijos. Jeigu klausimas yra sudėtingas, Europos duomenų apsaugos priežiūros pareigūno sprendimu šis laikas gali būti pratęstas dar dvejiems mėnesiams. Duomenų valdytojui apie šį sprendimą turi būti pranešta prieš pasibaigiant pirminiam dviejų mėnesių laikotarpiui.

2. The information to be given shall include:

Jeigu nuomonė nebuvo pateikta per du mėnesius arba iki pratęsto laikotarpio pabaigos, manoma, kad ji yra palanki.

(a) the name and address of the controller and an indication of the organisational parts of an institution or body entrusted with the processing of personal data for a particular purpose;

Jeigu Europos duomenų apsaugos priežiūros pareigūnas mano, kad duomenų tvarkymas, apie kurį buvo pranešta, gali pažeisti bet kurią šio reglamento nuostatą, tam tikrais atvejais jis pasiūlo, kaip išvengti tokio pažeidimo. Jeigu duomenų valdytojas atitinkamai nepataiso tam tikro duomenų tvarkymo veiksmo, Europos duomenų apsaugos priežiūros pareigūnas gali pasinaudoti šio reglamento 47 straipsnio 1 dalyje nustatyta tvarka jam suteiktais įgaliojimais.

(b) the purpose or purposes of the processing;

5. Europos duomenų apsaugos priežiūros pareigūnas tvarko visų duomenų tvarkymo veiksmų, apie kuriuos jam buvo pranešta šio straipsnio 2 dalyje nustatyta tvarka, registrą. Registre nurodoma šio reglamento 25 straipsnyje minėta informacija, o pats registras gali būti viešai patikrintas.

(c) a description of the category or categories of data subjects and of the data or categories of data relating to them;

28 straipsnis

(d) the legal basis of the processing operation for which the data are intended;

Konsultavimas

(e) the recipients or categories of recipient to whom the data might be disclosed;

1. Bendrijos institucijos ir įstaigos Europos duomenų apsaugos priežiūros pareigūną informuoja apie rengiamas administracines priemones, susijusias su atskiros Bendrijos institucijos ar įstaigos ar kartu su kitomis institucijomis tvarkomais asmens duomenimis.

(f) a general indication of the time limits for blocking and erasure of the different categories of data;

2. Komisija priimdama siūlomą įstatymo projektą dėl asmens teisių ir laisvių apsaugos tvarkant asmens duomenis konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

(g) proposed transfers of data to third countries or international organisations;

29 straipsnis

(h) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 22 to ensure security of processing.

Įsipareigojimas teikti informaciją

3. Any change affecting information referred to in paragraph 2 shall be notified promptly to the Data Protection Officer.

Bendrijos institucijos ir įstaigos informuoja Europos duomenų apsaugos priežiūros pareigūną apie papildomas priemones, kurių buvo imtasi atsižvelgus į šio reglamento 46 straipsnio h punkte paminėtus jo sprendimus ar įgaliojimus.

30 straipsnis

Article 26

Įsipareigojimas bendradarbiauti

Register

Europos duomenų apsaugos priežiūros pareigūno prašymu duomenų valdytojai padeda jam atlikti savo pareigas, visų pirma teikdami šio reglamento 47 straipsnio 2 dalies a punkte nurodytą informaciją ir suteikdami šio reglamento 47 straipsnio 2 dalies b punkte numatytą teisę.

A register of processing operations notified in accordance with Article 25 shall be kept by each Data Protection Officer.

31 straipsnis

The registers shall contain at least the information referred to in Article 25(2)(a) to (g). The registers may be inspected by any person directly or indirectly through the European Data Processing Supervisor.

Įsipareigojimas reaguoti į pareiškimus

Atsižvelgdamas į šio reglamento 47 straipsnio 1 dalies b punkte numatytus Europos duomenų apsaugos priežiūros pareigūno įgaliojimus, atitinkamas duomenų valdytojas per priežiūros pareigūno nustatytą atitinkamą laiką pastarajam pareiškia savo nuomonę. Atsakydamas nurodo priemones, kurių, atsižvelgiant į Europos duomenų apsaugos priežiūros pareigūno pastabas, buvo imtasi, jeigu iš viso buvo imtasi.

SECTION 9

III SKYRIUS

PRIOR CHECKING BY THE EUROPEAN DATA PROTECTION SUPERVISOR AND OBLIGATION TO COOPERATE

TEISĖS GYNIMO PRIEMONĖS

Article 27

32 straipsnis

Prior checking

Teisės gynimo priemonės

1. Processing operations likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes shall be subject to prior checking by the European Data Protection Supervisor.

1. Europos Bendrijų Teisingumo Teismas yra kompetentingas nagrinėti visus ginčus, susijusius su šio reglamento nuostatomis, įskaitant ieškinius atlyginti nuostolius.

2. The following processing operations are likely to present such risks:

2. Nepažeisdamas jokios teisminės teisės gynimo priemonės, kiekvienas duomenų subjektas gali Europos duomenų apsaugos priežiūros pareigūnui paduoti skundą, jeigu jis mano, kad Bendrijos institucijai ar įstaigai tvarkant jo asmens duomenis buvo pažeista Sutarties 286 straipsnyje numatyta teisė.

(a) processing of data relating to health and to suspected offences, offences, criminal convictions or security measures;

Jeigu per šešis mėnesius Europos duomenų apsaugos priežiūros pareigūnas neatsako, skundas laikomas atmestu.

(b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, efficiency and conduct;

3. Ieškinys dėl Europos duomenų apsaugos priežiūros pareigūno sprendimų, turi būti paduodamas Europos Bendrijų Teisingumo Teismui.

(c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data processed for different purposes;

4. Kiekvienas asmuo, patyręs žalą dėl neteisėto tvarkymo veiksmo arba bet kurio kito su šiuo reglamentu nesuderinto veiksmo, turi teisę Sutarties 288 straipsnyje nustatyta tvarka gauti žalos atlyginimą.

(d) processing operations for the purpose of excluding individuals from a right, benefit or contract.

33 straipsnis

3. The prior checks shall be carried out by the European Data Protection Supervisor following receipt of a notification from the Data Protection Officer who, in case of doubt as to the need for prior checking, shall consult the European Data Protection Supervisor.

Bendrijos darbuotojų skundai

4. The European Data Protection Supervisor shall deliver his or her opinion within two months following receipt of the notification. This period may be suspended until the European Data Protection Supervisor has obtained any further information that he or she may have requested. When the complexity of the matter so requires, this period may also be extended for a further two months, by decision of the European Data Protection Supervisor. This decision shall be notified to the controller prior to expiry of the initial two-month period.

Kiekvienas Bendrijos institucijoje ar įstaigoje dirbantis asmuo, nesinaudodamas oficialiais kanalais, gali Europos duomenų apsaugos priežiūros pareigūnui paduoti skundą dėl šio reglamento nuostatų, reglamentuojančių asmens duomenų tvarkymą, tariamo pažeidimo. Nė vienas asmuo negali nukentėti dėl Europos duomenų apsaugos priežiūros pareigūnui paduoto skundo, kuriame tvirtinama, kad buvo pažeistos asmens duomenų tvarkymą reglamentuojančios nuostatos.

If the opinion has not been delivered by the end of the two-month period, or any extension thereof, it shall be deemed to be favourable.

IV SKYRIUS

If the opinion of the European Data Protection Supervisor is that the notified processing may involve a breach of any provision of this Regulation, he or she shall where appropriate make proposals to avoid such breach. Where the controller does not modify the processing operation accordingly, the European Data Protection Supervisor may exercise the powers granted to him or her under Article 47(1).

ASMENS DUOMENŲ IR PRIVATAUS GYVENIMO APSAUGA VIDAUS TELEKOMUNIKACIJŲ TINKLUOSE

5. The European Data Protection Supervisor shall keep a register of all processing operations that have been notified to him or her pursuant to paragraph 2. The register shall contain the information referred to in Article 25 and shall be open to public inspection.

34 straipsnis

Taikymo sritis

Article 28

Nepažeidžiant kitų šio reglamento nuostatų, šis skyrius taikomas asmens duomenų tvarkymui ryšium su Bendrijos institucijos ar įstaigos tvarkomų telekomunikacijų tinklų ar galinių įrenginių naudojimu.

Consultation

Šiame skyriuje "naudotojas" — fizinis asmuo, naudojantis Bendrijos institucijos ar įstaigos tvarkomą telekomunikacijų tinklą ar galinius įrenginius.

1. The Community institutions and bodies shall inform the European Data Protection Supervisor when drawing up administrative measures relating to the processing of personal data involving a Community institution or body alone or jointly with others.

35 straipsnis

2. When it adopts a legislative proposal relating to the protection of individuals' rights and freedoms with regard to the processing of personal data, the Commission shall consult the European Data Protection Supervisor.

Saugumas

1. Bendrijos institucijos ir įstaigos turi imtis tinkamų techninių ir organizacinių priemonių tam, kad užtikrintų saugų telekomunikacijų tinklų ir galinių įrenginių naudojimą, prireikus — kartu su viešai prieinamų telekomunikacijų paslaugų teikėjais ar bendrųjų telekomunikacijų tinklų operatoriais. Atsižvelgiant į minėtų priemonių šiuolaikiškumą ir jų įgyvendinimo išlaidas, jos turi užtikrinti keliamą grėsmę atitinkantį saugumo lygį.

Article 29

2. Iškilus konkrečiai tinklo ir galinio įrenginio saugumo pažeidimo rizikai, atitinkama Bendrijos institucija ar įstaiga informuoja naudotojus apie tą riziką ir visas galimas teisės gynimo priemones bei alternatyvius ryšio būdus.

Obligation to provide information

36 straipsnis

The Community institutions and bodies shall inform the European Data Protection Supervisor of the measures taken further to his or her decisions or authorisations as referred to in Article 46(h).

Ryšio konfidencialumas

Bendrijos institucijos ir įstaigos ryšio konfidencialumą užtikrina telekomunikacijų tinklais ir galiniais įrenginiais pagal bendruosius Bendrijos teisės principus.

Article 30

37 straipsnis

Obligation to cooperate

Srauto ir sąskaitų duomenys

At his or her request, controllers shall assist the European Data Protection Supervisor in the performance of his or her duties, in particular by providing the information referred to in Article 47(2)(a) and by granting access as provided in Article 47(2)(b).

1. Su naudotojais susiję srauto duomenys, kurie yra tvarkomi ir kaupiami nustatant skambučius ir per telekomunikacijų tinklus palaikomą kitą ryšį, nepažeidžiant šio straipsnio 2, 3 ir 4 dalių, pasibaigus skambučiui ar kitam ryšiui yra sunaikinami arba padaromi anonimiškais.

2. Prireikus su Europos duomenų apsaugos priežiūros pareigūnu suderintame sąraše nurodyti srauto duomenys gali būti tvarkomi tik telekomunikacijų biudžeto ir srauto valdymo tikslu, įskaitant patikrinimą, ar telekomunikacijų sistemos yra naudojamos teisėtai. Šie duomenys kuo greičiau, bet ne vėliau nei praėjus šešiems mėnesiams nuo jų surinkimo, turi būti sunaikinti arba padaryti anonimiškais, jeigu juos reikia saugoti ilgiau, kad būtų galima nustatyti, įgyvendinti ar ginti teisę, kuri gali būti teisme nagrinėjamo teisėto reikalavimo pagrindas.

Article 31

3. Srauto ir sąskaitų duomenis gali tvarkyti tik asmenys, atsakingi už sąskaitų pateikimą, srauto ir biudžeto valdymą.

Obligation to react to allegations

4. Telekomunikacijų tinklų naudotojai dėl skambučių turi teisę gauti nedetalias sąskaitas ar kitus dokumentus dėl skambučių.

In response to the European Data Protection Supervisor's exercise of his or her powers under Article 47(1)(b), the controller concerned shall inform the Supervisor of its views within a reasonable period to be specified by the Supervisor. The reply shall also include a description of the measures taken, if any, in response to the remarks of the European Data Protection Supervisor.

38 straipsnis

Naudotojų sąrašai

CHAPTER III

1. Spausdintuose ar elektroniniuose abonentų sąrašuose nurodyti asmens duomenys ir teisė pasinaudoti tokiais naudotojų sąrašais griežtai apribota tokia apimtimi, kuri būtina konkrečiais sąrašų tikslais.

REMEDIES

2. Bendrijos institucijos ir įstaigos imasi visų priemonių, būtinų, kad tuose sąrašuose įtraukti asmens duomenys nebūtų naudojami tiesioginės rinkodaros tikslais, nepaisant to, ar jie yra viešai prieinami ar ne.

Article 32

39 straipsnis

Remedies

Ryšio linijos, iš kurios skambinama ir į kurią skambinama, nustatymo galimybė ir apribojimas

1. The Court of Justice of the European Communities shall have jurisdiction to hear all disputes which relate to the provisions of this Regulation, including claims for damages.

1. Jeigu galima nustatyti ryšio liniją, iš kurios skambinama, skambinančiam naudotojui suteikiama galimybė paprastomis priemonėmis nemokamai panaikinti galimybę nustatyti ryšio liniją, iš kurios skambinama.

2. Without prejudice to any judicial remedy, every data subject may lodge a complaint with the European Data Protection Supervisor if he or she considers that his or her rights under Article 286 of the Treaty have been infringed as a result of the processing of his or her personal data by a Community institution or body.

2. Jeigu galima nustatyti ryšio liniją, iš kurios skambinama, naudotojui, kuriam skambinama, suteikiama galimybė paprastomis priemonėmis nemokamai neleisti nustatyti ryšio linijos, iš kurios skambinama.

In the absence of a response by the European Data Protection Supervisor within six months, the complaint shall be deemed to have been rejected.

3. Jeigu galima nustatyti ryšio liniją, į kurią skambinama, naudotojui, kuriam skambinama, suteikiama galimybė paprastomis priemonėmis ir nemokamai panaikinti galimybę skambinančiam naudotojui nustatyti ryšio liniją, į kurią skambinama.

3. Actions against decisions of the European Data Protection Supervisor shall be brought before the Court of Justice of the European Communities.

4. Jeigu galima nustatyti ryšio liniją, iš kurios ir į kurią skambinama, Bendrijos institucijos ir įstaigos apie tai informuoja naudotojus ir juos supažindina su šio straipsnio 1, 2 ir 3 dalyse nurodytomis galimybėmis.

4. Any person who has suffered damage because of an unlawful processing operation or any action incompatible with this Regulation shall have the right to have the damage made good in accordance with Article 288 of the Treaty.

40 straipsnis

Leidžiančios nukrypti nuostatos

Article 33

Bendrijos institucijos ir įstaigos užtikrina, kad būtų nustatyta skaidri tvarka, reguliuojanti būdą, kuriuo jos gali atsisakyti panaikinti galimybę nustatyti ryšio liniją, iš kurios skambinama:

Complaints by Community staff

a) laikinai, gavusios naudotojo prašymą nustatyti piktybiškus ar erzinančius skambučius;

Any person employed with a Community institution or body may lodge a complaint with the European Data Protection Supervisor regarding an alleged breach of the provisions of this Regulation governing the processing of personal data, without acting through official channels. No-one shall suffer prejudice on account of a complaint lodged with the European Data Protection Supervisor alleging a breach of the provisions governing the processing of personal data.

b) konkrečios linijos atveju organizacijoms, kurios aptarnauja pagalbos skambučius, kad būtų galima atsakyti į tokius skambučius.

V SKYRIUS

CHAPTER IV

NEPRIKLAUSOMA PRIEŽIŪROS INSTITUCIJA: EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS

PROTECTION OF PERSONAL DATA AND PRIVACY IN THE CONTEXT OF INTERNAL TELECOMMUNICATIONS NETWORKS

41 straipsnis

Article 34

Europos duomenų apsaugos priežiūros pareigūnas

Scope

1. Šiuo reglamentu įsteigiama nepriklausoma priežiūros institucija, vadinama Europos duomenų apsaugos priežiūros pareigūnu.

Without prejudice to the other provisions of this Regulation, this Chapter shall apply to the processing of personal data in connection with the use of telecommunications networks or terminal equipment operated under the control of a Community institution or body.

2. Europos duomenų apsaugos priežiūros pareigūnas atsako už tai, kad būtų užtikrinta, jog Bendrijos institucijos ir įstaigos, tvarkydamos asmens duomenis, gerbia fizinių asmenų pagrindines teises ir laisves, svarbiausia — jų teisę į privataus gyvenimo neliečiamumą.

For the purposes of this Chapter, "user" shall mean any natural person using a telecommunications network or terminal equipment operated under the control of a Community institution or body.

Europos duomenų apsaugos priežiūros pareigūnas atsako už šio reglamento ir visų kitų Bendrijos aktų, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą Bendrijos institucijai ar įstaigai tvarkant asmens duomenis, nuostatų vykdymo priežiūrą ir užtikrina jų taikymą bei Bendrijos institucijų, įstaigų ir duomenų subjektų konsultavimą visais su asmens duomenų tvarkymu susijusiais klausimais. Tais tikslais jis vykdo šio reglamento 46 straipsnyje nurodytas pareigas ir 47 straipsnyje suteiktus įgaliojimus.

42 straipsnis

Article 35

Paskyrimas

Security

1. Europos Parlamentas ir Taryba bendromis pastangomis vadovaudamiesi Komisijos parengtu sąrašu paskiria Europos duomenų apsaugos priežiūros pareigūną penkerių metų kadencijai tik po šioms pareigoms eiti paskelbto viešo konkurso.

1. The Community institutions and bodies shall take appropriate technical and organisational measures to safeguard the secure use of the telecommunications networks and terminal equipment, if necessary in conjunction with the providers of publicly available telecommunications services or the providers of public telecommunications networks. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.

Ta pačia tvarka ir tos pačios trukmės kadencijai paskirtas priežiūros pareigūno pavaduotojas padeda priežiūros pareigūnui eiti pastarojo pareigas ir pavaduoja jį, kai jo nėra arba jis negali eiti savo pareigų.

2. In the event of any particular risk of a breach of the security of the network and terminal equipment, the Community institution or body concerned shall inform users of the existence of that risk and of any possible remedies and alternative means of communication.

2. Europos duomenų apsaugos priežiūros pareigūnas parenkamas iš tokių asmenų, kurių nepriklausomumas nekelia abejonių, kurie turi pripažintą patirtį ir kvalifikaciją, būtiną eiti Europos duomenų apsaugos priežiūros pareigūno pareigas, pavyzdžiui, dėl to, kad jie priklauso arba priklausė Direktyvos 95/46/EB 28 straipsnyje minėtoms priežiūros institucijoms.

3. Europos duomenų apsaugos priežiūros pareigūno kadencija gali būti atnaujinta.

Article 36

4. Išskyrus Europos duomenų apsaugos priežiūros pareigūno pakeitimą įprasta tvarka ar jo mirties atveju, jo kadencija baigiasi jam atsistatydinus šio straipsnio 5 dalyje nustatyta tvarka arba priverstinai išeinant į pensiją.

Confidentiality of communications

5. Teisingumo Teismas Europos Parlamento, Tarybos ar Komisijos prašymu gali Europos duomenų apsaugos priežiūros pareigūną atleisti iš pareigų arba atimti iš jo teisę į pensiją arba kitas išmokas, jeigu jis nebeatitinka jo pareigoms nustatytų sąlygų arba yra kaltas dėl rimto nusižengimo.

Community institutions and bodies shall ensure the confidentiality of communications by means of telecommunications networks and terminal equipment, in accordance with the general principles of Community law.

6. Jeigu Europos duomenų apsaugos priežiūros pareigūnas yra pakeičiamas įprasta tvarka arba savanoriškai atsistatydina iš pareigų, nepaisant to, jis ir toliau eina savo pareigas, kol yra pakeičiamas.

7. Europos duomenų apsaugos priežiūros pareigūnui taip pat yra taikomi Europos Bendrijų Privilegijų ir imunitetų protokolo 12–15 ir 18 straipsniai.

Article 37

8. Šio straipsnio 2–7 dalys taikomos ir priežiūros pareigūno pavaduotojui.

Traffic and billing data

43 straipsnis

1. Without prejudice to the provisions of paragraphs 2, 3 and 4, traffic data relating to users which are processed and stored to establish calls and other connections over the telecommunications network shall be erased or made anonymous upon termination of the call or other connection.

Nuostatai ir bendrosios sąlygos, reglamentuojančios Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą, darbuotojus ir finansinius išteklius

2. If necessary, traffic data as indicated in a list agreed by the European Data Protection Supervisor may be processed for the purpose of telecommunications budget and traffic management, including the verification of authorised use of the telecommunications systems. These data shall be erased or made anonymous as soon as possible and no later than six months after collection, unless they need to be kept for a longer period to establish, exercise or defend a right in a legal claim pending before a court.

1. Europos Parlamentas, Taryba ir Komisija bendromis pastangomis parengia nuostatus ir nustato bendrąsias sąlygas, reguliuojančias Europos duomenų apsaugos priežiūros pareigūno pareigas (kompetenciją), svarbiausia — jo atlyginimą, pašalpas ir visas kitas vietoj atlygio gaunamas išmokas.

3. Processing of traffic and billing data shall only be carried out by persons handling billing, traffic or budget management.

2. Už biudžetą atsakanti institucija užtikrina, kad Europos duomenų apsaugos priežiūros pareigūnui jo darbams atlikti būtų paskirti būtini darbuotojai ir skirtos atitinkamos lėšos.

4. Users of the telecommunication networks shall have the right to receive non-itemised bills or other records of calls made.

3. Europos Sąjungos bendrojo biudžeto VIII skirsnyje atskira biudžeto eilute nurodytas Europos duomenų apsaugos priežiūros pareigūno biudžetas.

4. Europos duomenų apsaugos priežiūros pareigūnui padeda sekretoriatas. Sekretoriato pareigūnus ir kitus darbuotojus skiria Europos duomenų apsaugos priežiūros pareigūnas; jų viršininkas yra Europos duomenų apsaugos priežiūros pareigūnas ir jie vykdo tik jo nurodymus. Jų skaičius yra nustatomas kiekvienais metais planuojant biudžetą.

Article 38

5. Europos duomenų apsaugos priežiūros sekretoriato pareigūnai ir kiti darbuotojai laikosi Europos Bendrijų pareigūnams ir kitiems tarnautojams taikomų taisyklių ir nuostatų.

Directories of users

6. Europos duomenų apsaugos priežiūros pareigūnas, spręsdamas sekretoriato darbuotojų klausimus, turi tą patį statusą, kaip ir Europos Bendrijų pareigūnų pareigybinių nuostatų 1 straipsnyje apibrėžtos institucijos.

1. Personal data contained in printed or electronic directories of users and access to such directories shall be limited to what is strictly necessary for the specific purposes of the directory.

44 straipsnis

2. The Community institutions and bodies shall take all the necessary measures to prevent personal data contained in those directories, regardless of whether they are accessible to the public or not, from being used for direct marketing purposes.

Nepriklausomumas

1. Europos duomenų apsaugos priežiūros pareigūnas savo pareigas atlieka visiškai nepriklausomai.

Article 39

2. Europos duomenų apsaugos priežiūros pareigūnas eidamas savo pareigas nei siekia gauti kitų nurodymus, nei juos vykdo.

Presentation and restriction of calling and connected line identification

3. Europos duomenų apsaugos priežiūros pareigūnas nesiima jokių su jo pareigomis nesuderinamų veiksmų ir savo kadencijos metu neužsiima jokia kita veikla, nepaisant to, ar ji būtų pelninga ar ne.

1. Where presentation of calling-line identification is offered, the calling user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the calling-line identification.

4. Europos duomenų apsaugos priežiūros pareigūnas pasibaigus kadencijai elgiasi dorai ir protingai, sutikdamas dirbti kitose pareigose ir gauti atlyginimą.

2. Where presentation of calling-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to prevent the presentation of the calling-line identification of incoming calls.

45 straipsnis

3. Where presentation of connected-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the connected-line identification to the calling user.

Profesinė paslaptis

4. Where presentation of calling or connected-line identification is offered, the Community institutions and bodies shall inform the users thereof and of the possibilities set out in paragraphs 1, 2 and 3.

Europos duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

46 straipsnis

Article 40

Pareigos

Derogations

Europos duomenų apsaugos priežiūros pareigūnas privalo:

Community institutions and bodies shall ensure that there are transparent procedures governing the way in which they may override the elimination of the presentation of calling-line identification:

a) nagrinėti ir tirti skundus bei per protingą terminą informuoti duomenų subjektą apie išvadas;

(a) on a temporary basis, upon application of a user requesting the tracing of malicious or nuisance calls;

b) savo iniciatyva arba remdamasis skundu, vykdyti tyrimus ir per protingą laiką informuoti duomenų subjektus apie jų išvadas;

(b) on a per-line basis for organisational entities dealing with emergency calls, for the purpose of answering such calls.

c) prižiūrėti ir užtikrinti, kad būtų taikomos šio reglamento ir visų kitų Bendrijos teisės aktų nuostatos dėl fizinių asmenų apsaugos, susijusios su Bendrijos institucijos ar įstaigos asmens duomenų tvarkymu, išskyrus Europos Bendrijų Teisingumo Teismą, kai jis vykdo teismo funkcijas;

d) savo iniciatyva arba suteikdamas konsultaciją, visas Bendrijos institucijas ir įstaigas konsultuoja visais su asmens duomenų tvarkymu susijusiais klausimais, pirmiausia prieš joms pradedant rengti vidaus taisykles, susijusias su pagrindinių teisių ir laisvių apsauga, atsižvelgiant į asmens duomenų tvarkymą;

CHAPTER V

e) stebėti, kiek atitinkamų įvykių raida turi poveikį asmens duomenų apsaugai, pirmiausia informacijos ir ryšio technologijų raidą;

INDEPENDENT SUPERVISORY AUTHORITY: THE EUROPEAN DATA PROTECTION SUPERVISOR

f) i) šalyse, kurioms taikoma direktyva, bendradarbiauti su Direktyvos 95/46/EB 28 straipsnyje minėtomis nacionalinėmis priežiūros institucijomis tiek, kiek tai būtina jų atitinkamoms pareigoms atlikti, pirmiausia keičiantis visa vertinga informacija, prašant tokios institucijos ar įstaigos įgyvendinti savo įgaliojimus arba atsakant į tokios institucijos ar įstaigos prašymą;

Article 41

ii) taip pat bendradarbiauti su duomenų apsaugos priežiūros įstaigomis, įsteigtomis Europos Sąjungos sutarties VI antraštinėje dalyje nustatyta tvarka, pirmiausia siekiant, kad normos ir procedūros, už kurių taikymą jos atsako, būtų taikomos nuosekliai;

European Data Protection Supervisor

g) dalyvauti darbo grupės dėl asmenų apsaugos tvarkant asmens duomenis, įsteigtos Direktyvos 95/46/EB 29 straipsnyje nustatyta tvarka, darbe;

1. An independent supervisory authority is hereby established referred to as the European Data Protection Supervisor.

h) nustatyti, pagrįsti ir paviešinti išimtis, apsaugos priemones, leidimus ir sąlygas, išvardytas 10 straipsnio 2 dalies b punkte, 4, 5 ir 6 dalyse, 12 straipsnio 2 dalyje, 19 straipsnyje ir 37 straipsnio 2 dalyje;

2. With respect to the processing of personal data, the European Data Protection Supervisor shall be responsible for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to privacy, are respected by the Community institutions and bodies.

i) tvarkyti tvarkymo veiksmų, apie kuriuos jam buvo pranešta pagal šio reglamento 27 straipsnio 2 dalį, registrą ir juos užregistruoti 27 straipsnio 5 dalyje nustatyta tvarka bei sudaryti galimybę susipažinti su duomenų apsaugos pareigūnų pagal 26 straipsnį tvarkomais registrais;

The European Data Protection Supervisor shall be responsible for monitoring and ensuring the application of the provisions of this Regulation and any other Community act relating to the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data by a Community institution or body, and for advising Community institutions and bodies and data subjects on all matters concerning the processing of personal data. To these ends he or she shall fulfil the duties provided for in Article 46 and exercise the powers granted in Article 47.

j) atlikti tvarkymo veiksmo, apie kurį jam buvo pranešta, išankstinę patikrą;

k) nustatyti savo darbo tvarkos taisykles.

Article 42

47 straipsnis

Appointment

Įgaliojimai

1. The European Parliament and the Council shall appoint by common accord the European Data Protection Supervisor for a term of five years, on the basis of a list drawn up by the Commission following a public call for candidates.

1. Europos duomenų apsaugos priežiūros pareigūnas gali:

An Assistant Supervisor shall be appointed in accordance with the same procedure and for the same term, who shall assist the Supervisor in all the latter's duties and act as a replacement when the Supervisor is absent or prevented from attending to them.

a) konsultuoti duomenų subjektus dėl jų teisių įgyvendinimo;

2. The European Data Protection Supervisor shall be chosen from persons whose independence is beyond doubt and who are acknowledged as having the experience and skills required to perform the duties of European Data Protection Supervisor, for example because they belong or have belonged to the supervisory authorities referred to in Article 28 of Directive 95/46/EC.

b) perduoti klausimą duomenų valdytojui, jeigu tariamai buvo pažeistos asmens duomenų tvarkymą reglamentuojančios nuostatos, ir tam tikrais atvejais siūlyti, kaip ištaisyti tokį pažeidimą ir geriau apsaugoti duomenų subjektus;

3. The European Data Protection Supervisor shall be eligible for reappointment.

c) reikalauti, kad būtų patenkinti prašymai įgyvendinti tam tikras teises susijusias su asmens duomenimis, jeigu tokie prašymai buvo atmesti pažeidus šio reglamento 13–19 straipsnius;

4. Apart from normal replacement or death, the duties of the European Data Protection Supervisor shall end in the event of resignation or compulsory retirement in accordance with paragraph 5.

d) perspėti ar paraginti duomenų valdytoją;

5. The European Data Protection Supervisor may be dismissed or deprived of his or her right to a pension or other benefits in its stead by the Court of Justice at the request of the European Parliament, the Council or the Commission, if he or she no longer fulfils the conditions required for the performance of his or her duties or if he or she is guilty of serious misconduct.

e) įsakyti ištaisyti, ištrinti ar sunaikinti visus duomenis ar sustabdyti jų tvarkymo veiksmus, jeigu jie buvo tvarkomi pažeidžiant asmens duomenų tvarkymą reglamentuojančias nuostatas, ir pranešti apie tokius veiksmus trečiosioms šalims, kurioms buvo atskleisti duomenys;

6. In the event of normal replacement or voluntary resignation, the European Data Protection Supervisor shall nevertheless remain in office until he or she has been replaced.

f) laikinai ar galutinai uždrausti tvarkyti asmens duomenis;

7. Articles 12 to 15 and 18 of the Protocol on the Privileges and Immunities of the European Communities shall also apply to the European Data Protection Supervisor.

g) perduoti klausimą atitinkamai Bendrijos institucijai ar įstaigai, o prireikus — Europos Parlamentui, Tarybai ir Komisijai;

8. Paragraphs 2 to 7 shall apply to the Assistant Supervisor.

h) Sutarties nustatytomis sąlygomis perduoti klausimą Europos Bendrijų Teisingumo Teismui;

i) įstoti į Europos Bendrijų Teisingumo Teismo nagrinėjamą bylą.

Article 43

2. Europos duomenų apsaugos priežiūros pareigūnas turi teisę:

Regulations and general conditions governing the performance of the European Data Protection Supervisor's duties, staff and financial resources

a) iš duomenų valdytojo arba Bendrijos institucijos ar įstaigos gauti priėjimą susipažinti su visais asmens duomenimis ir visa jo tyrimams atlikti būtina informacija;

1. The European Parliament, the Council and the Commission shall by common accord determine the regulations and general conditions governing the performance of the European Data Protection Supervisor's duties and in particular his or her salary, allowances and any other benefits in lieu of remuneration.

b) gauti leidimą įeiti į visas patalpas, kuriose duomenų valdytojas arba Bendrijos institucijos ar įstaiga dirba, jeigu yra pakankamas pagrindas manyti, kad ten yra vykdoma šiame reglamente numatyta veikla.

2. The budget authority shall ensure that the European Data Protection Supervisor is provided with the human and financial resources necessary for the performance of his or her tasks.

48 straipsnis

3. The European Data Protection Supervisor's budget shall be shown in a separate budget heading in Section VIII of the general budget of the European Union.

Veiklos ataskaita

4. The European Data Protection Supervisor shall be assisted by a Secretariat. The officials and the other staff members of the Secretariat shall be appointed by the European Data Protection Supervisor; their superior shall be the European Data Protection Supervisor and they shall be subject exclusively to his or her direction. Their numbers shall be decided each year as part of the budgetary procedure.

1. Europos duomenų apsaugos priežiūros pareigūnas Europos Parlamentui, Tarybai ir Komisijai pateikia savo veiklos metinę ataskaitą, tuo pačiu metu ją paskelbdamas viešai.

5. The officials and the other staff members of the European Data Protection Supervisor's Secretariat shall be subject to the rules and regulations applicable to officials and other servants of the European Communities.

2. Europos duomenų apsaugos priežiūros pareigūnas savo veiklos ataskaitą nusiunčia kitoms Bendrijos institucijoms ir įstaigoms, kurios gali teikti savo pastabas siekdamos, kad ši ataskaita būtų išnagrinėta Europos Parlamente, visų pirma dėl aprašytų priemonių, kurių buvo imtasi po to, kai Europos duomenų apsaugos priežiūros pareigūnas pagal 31 straipsnį pateikė savo pastabas.

6. In matters concerning the Secretariat staff, the European Data Protection Supervisor shall have the same status as the institutions within the meaning of Article 1 of the Staff Regulations of Officials of the European Communities.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

Article 44

49 straipsnis

Independence

Sankcijos

1. The European Data Protection Supervisor shall act in complete independence in the performance of his or her duties.

Jeigu pareigūnas ar kitas Europos Bendrijų tarnautojas tyčia ar per aplaidumą nevykdo šiame reglamente nustatytų įsipareigojimų, pagal Europos Bendrijų pareigūnų pareigybinių nuostatų normas ir procedūras arba kitiems tarnautojams taikomas darbo sutarties sąlygas jam gali būti iškelta drausminė byla.

2. The European Data Protection Supervisor shall, in the performance of his or her duties, neither seek nor take instructions from anybody.

50 straipsnis

3. The European Data Protection Supervisor shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any other occupation, whether gainful or not.

Pereinamasis laikotarpis

4. The European Data Protection Supervisor shall, after his or her term of office, behave with integrity and discretion as regards the acceptance of appointments and benefits.

Bendrijos institucijos ir įstaigos užtikrina, kad per vienerius nuo šios dienos metus šio reglamento įsigaliojimo dieną atliekami duomenų tvarkymo veiksmai būtų suderinti su šio reglamento nuostatomis.

51 straipsnis

Article 45

Įsigaliojimas

Professional secrecy

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Bendrijų Oficialiajame leidinyje.

The European Data Protection Supervisor and his or her staff shall, both during and after their term of office, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.

Šis reglamentas yra privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Article 46

Priimta Briuselyje, 2000 m. gruodžio 18 d.

Duties

Europos Parlamento vardu

The European Data Protection Supervisor shall:

Pirmininkas

(a) hear and investigate complaints, and inform the data subject of the outcome within a reasonable period;

N. Fontaine

(b) conduct inquiries either on his or her own initiative or on the basis of a complaint, and inform the data subjects of the outcome within a reasonable period;

Tarybos vardu

(c) monitor and ensure the application of the provisions of this Regulation and any other Community act relating to the protection of natural persons with regard to the processing of personal data by a Community institution or body with the exception of the Court of Justice of the European Communities acting in its judicial capacity;

Pirmininkas

(d) advise all Community institutions and bodies, either on his or her own initiative or in response to a consultation, on all matters concerning the processing of personal data, in particular before they draw up internal rules relating to the protection of fundamental rights and freedoms with regard to the processing of personal data;

D. Voynet

(e) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;

[1] OL C 376E, 1999 12 28, p. 24.

(f) (i) cooperate with the national supervisory authorities referred to in Article 28 of Directive 95/46/EC in the countries to which that Directive applies to the extent necessary for the performance of their respective duties, in particular by exchanging all useful information, requesting such authority or body to exercise its powers or responding to a request from such authority or body;

[2] OL C 51, 2000 2 23, p. 48.

(ii) also cooperate with the supervisory data protection bodies established under Title VI of the Treaty on European Union particularly with a view to improving consistency in applying the rules and procedures with which they are respectively responsible for ensuring compliance;

[3] 2000 m. lapkričio 14 d. Europos Parlamento nuomonė ir 2000 m. lapkričio 30 d. Tarybos sprendimas.

(g) participate in the activities of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up by Article 29 of Directive 95/46/EC;

[4] OL L 281, 1995 11 23, p. 31.

(h) determine, give reasons for and make public the exemptions, safeguards, authorisations and conditions mentioned in Article 10(2)(b),(4), (5) and (6), in Article 12(2), in Article 19 and in Article 37(2);

[5] OL L 24, 1998 1 30, p. 1.

(i) keep a register of processing operations notified to him or her by virtue of Article 27(2) and registered in accordance with Article 27(5), and provide means of access to the registers kept by the Data Protection Officers under Article 26;

[6] OL L 52, 1997 2 22, p. 1.

(j) carry out a prior check of processing notified to him or her;

[7] OL L 318, 1998 11 27, p. 8.

(k) establish his or her Rules of Procedure.

[8] OL L 151, 1990 6 15, p. 1. Reglamentas su pakeitimais, padarytais Reglamentu (EB) Nr. 322/97 (OL L 52, 1997 2 22, p. 1).

--------------------------------------------------

Article 47

PRIEDAS

Powers

1. Duomenų apsaugos pareigūnas jį paskyrusiai Bendrijos institucijai ar įstaigai teikia rekomendacijas, kaip geriau saugoti duomenis, ir ją bei atitinkamą duomenų valdytoją konsultuoja asmens duomenų apsaugos nuostatų taikymo klausimais. Be to, jis savo iniciatyva arba jį paskyrusios Bendrijos institucijos ar įstaigos, duomenų valdytojo, atitinkamo darbuotojų komiteto ar bet kurio asmens prašymu gali ištirti klausimus ir tiesiogiai su jo darbu susijusius atvejus, apie kuriuos jis sužinojo, bei atsakyti tyrimą užsakiusiam asmeniui arba duomenų valdytojui.

1. The European Data Protection Supervisor may:

2. Duomenų apsaugos pareigūną paskyrusi Bendrijos institucija ar įstaiga, atitinkamas duomenų valdytojas, atitinkamas darbuotojų komitetas ir bet kuris asmuo, nesikreipdamas į oficialius kanalus, gali konsultuoti duomenų apsaugos pareigūną šio reglamento aiškinimo ar taikymo klausimu.

(a) give advice to data subjects in the exercise of their rights;

3. Nė vienas asmuo negali nukentėti dėl to, kad atkreipė kompetentingo duomenų apsaugos pareigūno dėmesį į klausimą, tvirtindamas, jog buvo pažeistos šio reglamento nuostatos.

(b) refer the matter to the controller in the event of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, make proposals for remedying that breach and for improving the protection of the data subjects;

4. Kiekvienas atitinkamas duomenų valdytojas privalo padėti duomenų apsaugos pareigūnui vykdyti savo pareigas ir atsakyti į klausimus. Duomenų apsaugos pareigūnas vykdydamas savo pareigas visada turi teisę susipažinti su asmens duomenimis, kurie yra tvarkymo veiksmų dalykas, ir įeiti į visus biurus, naudotis duomenų tvarkymo įranga bei duomenų laikmenomis.

(c) order that requests to exercise certain rights in relation to data be complied with where such requests have been refused in breach of Articles 13 to 19;

5. Tiek, kiek būtina, duomenų apsaugos pareigūnas yra atleidžiamas nuo kitų veiklos rūšių. Duomenų apsaugos pareigūnas ir jo darbuotojai, kuriems yra taikomas Sutarties 287 straipsnis, negali atskleisti jiems žinomos informacijos ar einant savo pareigas gautų dokumentų.

(d) warn or admonish the controller;

--------------------------------------------------

(e) order the rectification, blocking, erasure or destruction of all data when they have been processed in breach of the provisions governing the processing of personal data and the notification of such actions to third parties to whom the data have been disclosed;

(f) impose a temporary or definitive ban on processing;

(g) refer the matter to the Community institution or body concerned and, if necessary, to the European Parliament, the Council and the Commission;

(h) refer the matter to the Court of Justice of the European Communities under the conditions provided for in the Treaty;

(i) intervene in actions brought before the Court of Justice of the European Communities.

2. The European Data Protection Supervisor shall have the power:

(a) to obtain from a controller or Community institution or body access to all personal data and to all information necessary for his or her enquiries;

(b) to obtain access to any premises in which a controller or Community institution or body carries on its activities when there are reasonable grounds for presuming that an activity covered by this Regulation is being carried out there.

Article 48

Activities report

1. The European Data Protection Supervisor shall submit an annual report on his or her activities to the European Parliament, the Council and the Commission and at the same time make it public.

2. The European Data Protection Supervisor shall forward the activities report to the other Community institutions and bodies, which may submit comments with a view to possible examination of the report in the European Parliament, in particular in relation to the description of the measures taken in response to the remarks made by the European Data Protection Supervisor under Article 31.

CHAPTER VI

FINAL PROVISIONS

Article 49

Sanctions

Any failure to comply with the obligations pursuant to this Regulation, whether intentionally or through negligence on his or her part, shall make an official or other servant of the European Communities liable to disciplinary action, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Communities or in the conditions of employment applicable to other servants.

Article 50

Transitional period

Community institutions and bodies shall ensure that processing operations already under way on the date this Regulation enters into force are brought into conformity with this Regulation within one year of that date.

Article 51

Entry into force

This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Communities.

This Regulation shall be binding in its entirety and directly applicable in all Member States.

Done at Brussels, 18 December 2000.

For the European Parliament

The President

N. Fontaine

For the Council

The President

D. Voynet

(1) OJ C 376E, 28.12.1999, p. 24.

(2) OJ C 51, 23.2.2000, p. 48.

(3) Opinion of the European Parliament of 14 November 2000 and Council Decision of 30 November 2000.

(4) OJ L 281, 23.11.1995, p. 31.

(5) OJ L 24, 30.1.1998, p. 1.

(6) OJ L 52, 22.2.1997, p. 1.

(7) OJ L 318, 27.11.1998, p. 8.

(8) OJ L 151, 15. 6.1990, p. 1. Regulation as amended by Regulation (EC) No 322/97 (OJ L 52, 22.2.1997, p. 1).

ANNEX

1. The Data Protection Officer may make recommendations for the practical improvement of data protection to the Community institution or body which appointed him or her and advise it and the controller concerned on matters concerning the application of data protection provisions. Furthermore he or she may, on his or her own initiative or at the request of the Community institution or body which appointed him or her, the controller, the Staff Committee concerned or any individual, investigate matters and occurrences directly relating to his or her tasks and which come to his or her notice, and report back to the person who commissioned the investigation or to the controller.

2. The Data Protection Officer may be consulted by the Community institution or body which appointed him or her, by the controller concerned, by the Staff Committee concerned and by any individual, without going through the official channels, on any matter concerning the interpretation or application of this Regulation.

3. No one shall suffer prejudice on account of a matter brought to the attention of the competent Data Protection Officer alleging that a breach of the provisions of this Regulation has taken place.

4. Every controller concerned shall be required to assist the Data Protection Officer in performing his or her duties and to give information in reply to questions. In performing his or her duties, the Data Protection Officer shall have access at all times to the data forming the subject-matter of processing operations and to all offices, data-processing installations and data carriers.

5. To the extent required, the Data Protection Officer shall be relieved of other activities. The Data Protection Officer and his or her staff, to whom Article 287 of the Treaty shall apply, shall be required not to divulge information or documents which they obtain in the course of their duties.