|
|
PASKAIDROJUMA
RAKSTS
|
EXPLANATORY MEMORANDUM
|
|
1.
PRIEKŠLIKUMA KONTEKSTS
|
1.
CONTEXT OF THE PROPOSAL
|
|
Šajā paskaidrojuma rakstā sniegts
ierosinātā ES jaunā personas datu aizsardzības
tiesiskā regulējuma detalizētāks skaidrojums, kā tas
izklāstīts Paziņojumā COM(2012)9 final. Tiesiskais
regulējums aptver divus tiesību aktu priekšlikumus:
|
This explanatory memorandum further details
the approach for the new legal framework for the protection of personal data in
the EU as presented in Communication COM (2012) 9 final. The legal framework
consists of two legislative proposals:
|
|
–
priekšlikumu Eiropas Parlamenta un Padomes regulai
par fizisku personu aizsardzību attiecībā uz personas datu
apstrādi un šādu datu brīvu apriti (Vispārīgā
datu aizsardzības regula) un
|
–
a proposal for a Regulation of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data and on the free movement of such data (General
Data Protection Regulation), and
|
|
–
priekšlikuma Eiropas Parlamenta un Padomes
direktīvai par fizisku personu aizsardzību attiecībā uz
personas datu apstrādi, ko veic kompetentās iestādes, lai
novērstu, izmeklētu, atklātu noziedzīgus nodarījumus,
sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un
par šādu datu brīvu apriti.
|
–
a proposal for a Directive of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data by competent authorities for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and the free movement of such data.
|
|
Šis paskaidrojuma raksts attiecas uz otro no
šiem tiesību aktu priekšlikumiem.
|
This explanatory memorandum concerns the
latter legislative proposal.
|
|
Centrālais tiesību akts par personas
datu aizsardzību pašreizējā ES tiesiskajā
regulējumā ir Direktīva 95/46/EK[1],
ko pieņēma 1995. gadā, vēloties sasniegt divus
mērķus: aizsargāt pamattiesības uz datu aizsardzību un
garantēt personas datu brīvu plūsmu starp
dalībvalstīm. To papildina daži instrumenti, ar kuriem nosaka
īpašus datu aizsardzības noteikumus policijas un tiesu iestāžu
sadarbībai krimināllietās[2] (bijušais trešais
pīlārs), tai skaitā Pamatlēmums 2008/977/TI[3].
|
The centrepiece of existing EU legislation
on personal data protection, Directive 95/46/EC[1], was
adopted in 1995 with two objectives in mind: to protect the fundamental right
to data protection and to guarantee the free flow of personal data between
Member States. It was complemented by several instruments providing specific
data protection rules in the area of police and judicial co-operation in
criminal matters[2] (ex-third pillar), including Framework Decision 2008/977/JHA[3].
|
|
Eiropadome aicināja Komisiju izvērtēt, kā darbojas
ES tiesību akti par datu aizsardzību, un nepieciešamības
gadījumā iesniegt jaunus leģislatīvo vai
neleģislatīvo aktu priekšlikumus[4]. Eiropas
Parlaments Stokholmas programmas rezolūcijā[5]
izteicās par labu vispusīgam ES datu aizsardzības
regulējumam un cita starpā aicināja pārskatīt
Pamatlēmumu. Komisija savā Stokholmas programmas īstenošanas
rīcības plānā[6] norādīja, ka ir
nepieciešams nodrošināt, lai pamattiesības uz personas datu
aizsardzību konsekventi piemērotu visu ES politikas jomu
kontekstā. Rīcības plānā tika uzsvērts, ka "globālā
sabiedrībā, kurai raksturīgas straujas tehnoloģiskās
izmaiņas un kurā informācijas apmaiņai nav robežu, ir
īpaši svarīgi saglabāt privātumu. Savienībai
jānodrošina, lai tiktu konsekventi piemērotas pamattiesības uz
datu aizsardzību. Mums jāstiprina ES nostāja attiecībā
uz indivīda personas datu aizsardzību visu ES politikas virzienu
kontekstā, tostarp tiesībaizsardzībā un noziegumu
novēršanā, kā arī mūsu starptautiskajās
attiecībās."
|
The European Council invited the Commission to evaluate the
functioning of EU instruments on data protection and to present, where
necessary, further legislative and non-legislative initiatives[4]. In its resolution on the Stockholm Programme, the European
Parliament[5] welcomed a comprehensive data protection scheme in the EU and among
others called for the revision of the Framework Decision. The Commission
stressed in its Action Plan implementing the Stockholm Programme[6] the need to ensure that the fundamental right to personal data
protection is consistently applied in the context of all EU policies. The
Action Plan underlined that “in a global
society characterised by rapid technological change where information exchange
knows no borders, it is particularly important that privacy must be preserved.
The Union must ensure that the fundamental right to data protection is
consistently applied. We need to strengthen the EU’s stance in protecting the
personal data of the individual in the context of all EU policies, including
law enforcement and crime prevention as well as in our international relations.”
|
|
Savā paziņojumā
"Vispusīga pieeja personas datu aizsardzībai Eiropas
Savienībai"[7], Komisija secināja,
ka ES ir vajadzīga vispusīgāka un saskaņotāka
politiskā nostāja par pamattiesībām uz personas datu
aizsardzību.
|
In its Communication on “A comprehensive approach on personal data protection in the European
Union”[7], the Commission concluded that the
EU needs a more comprehensive and coherent policy on the fundamental right to
personal data protection.
|
|
Pamatlēmuma 2008/977/TI
darbības joma ir ierobežota, jo tas attiecas tikai uz pārrobežu datu
apstrādi un nevis uz apstrādes darbībām, ko veic policija
un tiesu iestādes tikai valsts līmenī. Tas var radīt
grūtības policijai un citām kompetentajām
iestādēm tiesu iestāžu sadarbībā
krimināllietās un policijas sadarbībā. Tās ne
vienmēr var viegli nošķirt starp apstrādi, kas notiek tikai
valsts līmenī, un pārrobežu apstrādi vai paredzēt to,
ka noteikti personas dati vēlāk var kļūt par pārrobežu
apmaiņas objektu (skat. 2. iedaļu turpmāk). Turklāt
tā būtības un satura dēļ Pamatlēmumā ir
atstāta plaša rīcības telpa dalībvalstīm,
īstenojot tā noteikumus savos tiesību aktos. Turklāt
tajā nav iekļauts mehānisms vai konsultatīvā grupa,
kas būtu līdzīga 29. panta darba grupai, kura
atbalstītu vienotu tā noteikumu interpretāciju, kā arī
tajā nav paredzētas Komisijas īstenošanas pilnvaras, lai
nodrošinātu kopēju pieeju tā īstenošanai.
|
Framework Decision 2008/977/JHA has a
limited scope of application, since it only applies to cross-border data
processing and not to processing activities by the police and judiciary
authorities at purely national level. This is liable to create difficulties for
police and other competent authorities in the areas of judicial co-operation in
criminal matters and police co-operation. They are not always able to easily
distinguish between purely domestic and cross-border processing or to foresee
whether certain personal data may become the object of a cross-border exchange
at a later stage(see Section 2 below). Moreover, because of its nature and
content, the Framework Decision leaves a large room for manoeuvre to Member
States' national laws in implementing its provisions. Additionally, it does not
contain any mechanism or advisory group similar to the Article 29 Working Party
supporting common interpretation of its provisions, nor foresees any
implementing powers for the Commission to ensure a common approach in its
implementation.
|
|
Līguma par Eiropas Savienības
darbību (LESD) 16. panta 1. punktā nostiprināts
princips, ka ikvienai personai ir tiesības uz personas datu
aizsardzību. Turklāt ar LESD 16. panta 2. punktu Lisabonas
līgums ievieš īpašu juridisko pamatu noteikumu pieņemšanai par
personas datu aizsardzību, kas attiecas arī uz policijas un tiesu
iestāžu sadarbību krimināllietās. Personas datu
aizsardzība ir ietverta ES Pamattiesību hartas 8. pantā,
piešķirot tai pamattiesības statusu. LESD 16. pants uzliek
pienākumu likumdevējam paredzēt arī noteikumus, kas
attiecas uz personu aizsardzību attiecībā uz to datu
apstrādi, kas tiek veikta, tiesu iestādēm sadarbojoties
krimināllietās un sadarbojoties policijas iestādēm,
iekļaujot gan datu pārrobežu apstrādi, gan personas datu
apstrādi valsts līmenī. Tas ļaus aizsargāt fizisku
personu pamattiesības un pamatbrīvības, jo īpaši to
tiesības uz personas datu aizsardzību, vienlaikus nodrošinot personas
datu apmaiņu, lai novērstu, izmeklētu, atklātu
noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai
izpildītu kriminālsodus. Tas palīdzēs veicināt
sadarbību cīņā ar noziedzību Eiropā.
|
Article 16 (1) of the Treaty on the
Functioning of the European Union (TFEU) establishes the principle that
everyone has the right to the protection of personal data. Moreover, with
Article 16 (2) TFEU, the Lisbon Treaty introduces a specific legal basis for
the adoption of rules on the protection of personal data that also applies to judicial
co-operation in criminal matters and police co-operation. Article 8 of the
Charter of Fundamental Rights
of the EU enshrines protection of personal data as a
fundamental right. Article 16 TFEU requires the legislator to lay down rules
relating to the protection of individuals with regard to the processing of
personal data also in the areas of judicial co-operation in criminal matters
and police co-operation, covering both cross-border and domestic processing of
personal data. This will allow protecting the fundamental rights and freedoms
of natural persons and in particular their right to the protection of personal
data, ensuring at the same time the exchange of personal data for the purposes
of prevention, investigation, detection or prosecution of criminal offences or
the execution of criminal penalties. This will contribute to facilitating the co-operation
in the fight against crime in Europe.
|
|
Tā kā policijas un tiesu
iestāžu sadarbība krimināllietās ir specifiska joma,
21. deklarācijā[8] tika atzīts, ka,
pamatojoties uz LESD 16. pantu, var būt nepieciešami īpaši
noteikumi par šo datu aizsardzību un par to brīvu apriti tiesu
iestāžu sadarbībā krimināllietās un policijas
sadarbībā.
|
Due to the specific nature of the field of
police and judicial co-operation in criminal matters it was acknowledged in
Declaration 21[8] that specific rules on the protection of personal data and the free
movement of such data in the fields of judicial co-operation in criminal
matters and police co-operation based on Article 16 TFEU may prove necessary.
|
|
2.
APSPRIEŠANĀS AR IEINTERESĒTAJĀM PERSONĀM UN
IETEKMES NOVĒRTĒJUMU REZULTĀTI
|
2.
RESULTS OF CONSULTATIONS WITH THE INTERESTED PARTIES
AND IMPACT ASSESSMENTS
|
|
Šis priekšlikums ir pieņemts pēc
plašas apspriešanās ar visām galvenajām
ieinteresētajām personām par pastāvošā tiesiskā
regulējuma pārskatīšanu attiecībā uz personas datu
aizsardzību, kura sastāvēja no diviem sabiedriskās
apspriešanas posmiem:
|
This initiative is the result of extensive
consultations with all major stakeholders on a review of the existing legal
framework for the protection of personal data, which included two phases of
public consultation:
|
|
–
no 2009. gada 9. jūlija līdz
31. decembrim Consultation on the legal framework for the fundamental
right to the protection of personal data (Sabiedriskā apspriešana par
pamattiesību uz personas datu aizsardzību tiesisko regulējumu).
Komisija saņēma 168 atbildes, no tām 127 atbildes no
fiziskām personām, komercsabiedrībām un asociācijām
un 12 atbildes no valsts iestādēm. Atbilžu nekonfidenciālās
versijas skatīt Komisijas tīmekļa vietnē[9];
|
–
From 9 July to 31 December 2009, the Consultation
on the legal framework for the fundamental right to the protection of personal
data. The Commission received 168 responses, 127 from individuals, business
organisations and associations and 12 from public authorities. The
non-confidential contributions can be consulted on the Commission’s website[9].
|
|
–
no 2010. gada 4. novembra līdz 2011. gada
15. janvārim Consultation on the Commission's comprehensive
approach on personal data protection in the European Union (Sabiedriskā
apspriešana par Komisijas vispusīgo pieeju personas datu aizsardzībai
Eiropas Savienībā). Komisija saņēma 305 atbildes, no
tām 54 atbildes no pilsoņiem, 31 atbildi no valsts
iestādēm un 220 no privātām organizācijām, jo
īpaši uzņēmumu asociācijām un nevalstiskām
organizācijām. Atbilžu nekonfidenciālās versijas
skatīt Komisijas tīmekļa vietnē[10].
|
–
From 4 November 2010 to 15 January 2011, the Consultation
on the Commission's comprehensive approach on personal data protection in the
European Union. The Commission received 305 responses, of which 54 from
citizens, 31 from public authorities and 220 from private organisations, in
particular business associations and non-governmental organisations. The
non-confidential contributions can be consulted on the Commission’s website[10].
|
|
Paralēli šīm apspriešanām, kas
lielākoties notika par Direktīvas 95/46/EK
pārskatīšanu, tika veiktas arī mērķorientētas
apspriešanas ar ieinteresētajām personām no tiesībaizsardzības
nozares: jo īpaši 2010. gada 29. jūnijā kopā ar
dalībvalstu iestādēm tika organizēts darbseminārs par
datu aizsardzības noteikumu piemērošanu publiskajām
iestādēm, ieskaitot policijas un tiesu iestāžu sadarbību
krimināllietās. Turklāt Komisija 2011. gada
2. februārī rīkoja darbsemināru ar dalībvalstu
iestādēm, lai apspriestu Pamatlēmuma 2008/977/TI
īstenošanu un vispārīgākā līmenī arī
datu aizsardzības jautājumus, kas saistīti ar policijas un tiesu
iestāžu sadarbību krimināllietās.
|
Whereas those consultations focused largely
on the review of Directive 95/46/EC, targeted consultations were conducted with
law enforcement stakeholders; in particular, a workshop was organised on 29
June 2010 with Member States' authorities on the application of data protection
rules to public authorities, including in the area of police co-operation and
judicial co-operation in criminal matters. Furthermore, on 2 February 2011, the
Commission convened a workshop with Member States' authorities to discuss the
implementation of Framework Decision 2008/977/JHA and, more generally, data
protection issues in the area of police co-operation and judicial co-operation
in criminal matters.
|
|
ES pilsoņu viedoklis tika uzklausīts
ar Eirobarometra aptaujas palīdzību, kas norisinājās
2010. gada novembrī un decembrī[11]. Tika veikti
vairāki pētījumi[12]. No "29. panta
darba grupas"[13] Komisija
saņēma vairākus atzinumus un lietderīgus priekšlikumus[14].
Eiropas Datu aizsardzības uzraudzītājs arī sniedza
vispusīgu atzinumu par jautājumiem, kas skarti Komisijas 2010.gada
novembra paziņojumā[15].
|
EU citizens were consulted through a
Eurobarometer survey held in November-December 2010[11]. A
number of studies were also launched.[12] The
“Article 29 Working Party”[13] provided several opinions and useful input to the Commission[14]. The European Data Protection Supervisor also issued a
comprehensive opinion on the issues raised in the Commission's November 2010
Communication.[15]
|
|
Eiropas Parlaments 2011. gada
6. jūlijā savā rezolūcijā apstiprināja
ziņojumu, kas atbalstīja Komisijas pieeju datu aizsardzības
regulējuma reformai[16]. Eiropas Savienības
Padome 2011. gada 24. februārī pieņēma
secinājumus, kuros tā plaši atbalsta Komisijas nolūku
reformēt datu aizsardzības regulējumu un piekrīt daudziem
Komisijas pieejas elementiem. Eiropas Ekonomikas un sociālo lietu komiteja
līdzīgi atbalstīja Komisijas vispārīgo mērķi
nodrošināt konsekventāku ES datu aizsardzības noteikumu
piemērošanu visās dalībvalstīs un pienācīgi
pārskatīt Direktīvu 95/46/EK[17].
|
The European Parliament approved by its
resolution of 6 July 2011 a report that supported the Commission’s approach to
reforming the data protection framework.[16] The
Council of the European Union adopted conclusions on 24 February 2011 in which
it broadly supports the Commission's intention to reform the data protection
framework and agrees with many elements of the Commission's approach. The
European Economic and Social Committee likewise supported the Commission's
general thrust to ensure a more consistent application of EU data protection
rules across all Member States and an appropriate revision of the Directive
95/46/EC.[17]
|
|
Saskaņā ar labāka
regulējuma politiku Komisija veica iespējamo politikas
alternatīvu ietekmes novērtējumu[18].
Ietekmes novērtējuma pamatā bija trīs politikas
mērķi, proti, uzlabot datu aizsardzību iekšējā
tirgū, uzlabot to, cik efektīvi indivīdi var izmantot savas
tiesības uz datu aizsardzību, un izveidot vispusīgu un
saskaņotu regulējumu, kas aptver visas Savienības kompetences
jomas, tostarp arī policijas un tiesu iestāžu sadarbību
krimināllietās. Jo īpaši attiecībā uz pēdējo
no nosauktajiem mērķiem tika izvērtēti divi politikas
risinājumi: pirmais risinājums bija datu aizsardzības noteikumu
piemērošanas jomas paplašināšana, attiecinot tos arī uz
minēto jomu, un robu aizpildīšana, kā arī citu
jautājumu risināšana, kas radušies saistībā ar
Pamatlēmumu, un otrais, tālejošākais risinājums
ietvēra preskriptīvus un stingrus noteikumus, kā
rezultātā nekavējoties tiktu grozīti arī citi
"bijušie trešā pīlāra" instrumenti. Trešais
"minimālais" risinājums galvenokārt
balstījās uz skaidrojošiem paziņojumiem un politikas atbalsta pasākumiem,
piemēram, finansējuma programmām un tehniskiem instrumentiem, ar
minimālu leģislatīvu iejaukšanos un to neuzskatīja par
piemērotu, lai pievērstos jautājumiem, kas šajā jomā
identificēti saistībā ar datu aizsardzību.
|
In line with its “Better Regulation”
policy, the Commission conducted an impact assessment of policy alternatives[18]. The impact assessment was based on the three policy objectives of
improving the internal market dimension of data protection, making the exercise
of data protection rights by individuals more effective and creating a
comprehensive and coherent framework covering all areas of Union competence,
including police co-operation and judicial co-operation in criminal matters. As
regards this latter objective in particular, two policy options were assessed:
a first one basically extending the scope of data protection rules in this area
and addressing the gaps and other issues raised by the Framework Decision, and
a second more far-reaching one with very prescriptive and stringent rules,
which would also entail the immediate amendment of all other "former third
pillar" instruments. A third "minimalistic" option based largely
on interpretative Communications and policy support measures, such as funding
programmes and technical tools, with minimum legislative intervention, was not
considered appropriate to address the issues identified in this area in
relation to data protection.
|
|
Saskaņā ar Komisijas pieņemto
metodoloģiju, katru politikas risinājumu ar dienestu
koordinācijas grupas palīdzību novērtēja
attiecībā uz tā efektivitāti politikas mērķu
sasniegšanai, tā ekonomisko ietekmi uz ieinteresētajām
personām (tai skaitā uz ES iestāžu budžetu), tā
sociālo ietekmi un ietekmi uz pamattiesībām. Ietekme uz vidi
netika novērota.
|
According to the Commission's established
methodology, each policy option was assessed, with the help of an inter-service
steering group, against its effectiveness to achieve the policy objectives, its
economic impact on stakeholders (including on the budget of the EU
institutions), its social impact and effect on fundamental rights.
Environmental impacts were not observed.
|
|
Kopējās ietekmes
novērtējuma rezultātā tika izstrādāts
vēlamais politikas risinājums, kas ir iekļauts šajā
priekšlikumā. Saskaņā ar novērtējumu tā
īstenošana nostiprinās datu aizsardzību šajā politikas
jomā, jo īpaši ietverot datu apstrādi valsts līmenī,
tādējādi kompetentajām iestādēm palielinot
tiesisko noteiktību tiesu iestāžu un policijas iestāžu
sadarbības krimināllietās jomā.
|
The analysis of the overall impact led to
the development of the preferred policy option which is incorporated in the
present proposal. According to the assessment, its implementation will lead to
further strengthening data protection in this policy area in particular by
including domestic data processing, thereby also enhancing legal certainty for competent
authorities in the areas of judicial co-operation in criminal matters and police
co-operation.
|
|
Ietekmes novērtējuma padome (IAB)
sniedza atzinumu par ietekmes novērtējuma projektu 2011. gada
9. septembrī. Ņemot vērā Ietekmes
novērtējuma padomes atzinumu, ietekmes novērtējumā
tika veiktas jo īpaši šādas izmaiņas:
|
The Impact Assessment Board (IAB) delivered
an opinion on the draft impact assessment on 9 September 2011. Following the
IAB’s opinion, in particular the following changes were made to the impact
assessment:
|
|
–
tika precizēti pašreizējā
tiesiskā regulējuma mērķi (cik lielā mērā
tie ir sasniegti un kas nav panākts) un iecerētās reformas
mērķi;
|
–
The objectives of the current legal framework
(to what extent they were achieved and to what extent they were not), as well
as the objectives of the envisaged reform, were clarified;
|
|
–
vairāki pierādījumi un papildus
skaidrojumi/precizējumi tika pievienoti iedaļā, kurā
formulēta problēma.
|
–
More evidence and additional
explanations/clarifications were added to the problems' definition section.
|
|
Komisija sagatavoja arī īstenošanas
ziņojumu par Pamatlēmumu 2008/977/TI, kas balstās uz
tā 29. panta 2. punktu; šo ziņojumu pieņems šīs
datu aizsardzības paketes ietvaros[19]. Ziņojuma
secinājumi, kas balstās uz dalībvalstu sniegto informāciju,
arī tika ņemti vērā, sagatavojot ietekmes
novērtējumu.
|
The Commission also prepared an
Implementation Report related to Framework Decision 2008/977/JHA, based on its
Article 29(2), which is to be adopted as part of the present data protection
package[19]. The findings of the report, based on input from Member States,
also fed into the preparation of the Impact Assessment.
|
|
3.
PRIEKŠLIKUMA JURIDISKIE ASPEKTI
3.1.
Juridiskais pamats
|
3.
LEGAL ELEMENTS OF THE PROPOSAL
3.1.
Legal Basis
|
|
Priekšlikums balstās uz
LESD 16. panta 2. punktu, kas ir jauns īpašs juridiskais
pamats, ko ieviesa ar Lisabonas līgumu, lai pieņemtu noteikumus par
personu aizsardzību attiecībā uz Savienības iestāžu un
struktūru veikto personas datu apstrādi, kā arī personas
datu apstrādi, ko veic dalībvalstis saistībā ar
Savienības tiesību aktu darbības jomu, un noteikumus par
šādu datu brīvu apriti.
|
The proposal is based on Article 16(2)
TFEU, which is a new, specific legal basis introduced by the Lisbon Treaty for
the adoption of rules relating to the protection of individuals with regard to
the processing of personal data by Union institutions, bodies, offices and
agencies, and by the Member States when carrying out activities which fall
within the scope of Union law, and the rules relating to the free movement of
such data.
|
|
Šī priekšlikuma mērķis ir
nodrošināt konsekventu un augsta līmeņa datu aizsardzību
šajā jomā, tādējādi uzlabojot savstarpējo
uzticēšanos starp policijas un tiesu iestādēm dažādās
dalībvalstīs un veicinot datu brīvu apriti un sadarbību
starp policijas un tiesu iestādēm.
|
The proposal aims to ensure a consistent
and high level of data protection in this field, thereby enhancing mutual trust
between police and judicial authorities of different Member States and
facilitating the free flow of data and co-operation between police and judicial
authorities.
|
|
3.2.
Subsidiaritāte un proporcionalitāte
|
3.2.
Subsidiarity and proportionality
|
|
Saskaņā ar subsidiaritātes
principu (LES 5. panta 3. punkts) Savienība rīkojas tikai
tad, ja dalībvalstis nevar pietiekami labi īstenot
paredzētās darbības mērķus, bet ierosinātās
darbības mēroga vai seku dēļ tie ir labāk sasniedzami
Savienības līmenī. Ņemot vērā iepriekš
aprakstītās problēmas, subsidiaritātes analīze
rāda, ka ES līmeņa rīcība attiecībā uz
policijas un tiesu iestāžu sadarbību krimināllietās ir
nepieciešama šādu iemeslu dēļ:
|
According to the principle of subsidiarity
(Article 5(3) TEU), action at Union level shall be taken only if and in so far
as the objectives envisaged cannot be achieved sufficiently by Member States,
but can rather, by reason of the scale or effects of the proposed action, be
better achieved by the Union. In the light of the problems outlined above, the
analysis of subsidiarity indicates the necessity of EU-level action in the
areas of police and criminal justice on the following grounds:
|
|
–
Pamattiesību hartas 8. pantā un LESD
16. panta 1. punktā ietvertās tiesības uz personas
datu aizsardzību nozīmē, ka ir nepieciešama vienāda
līmeņa aizsardzība visā Savienībā. Šajā
nolūkā valsts līmenī notiekošai datu apstrādei un
apmaiņai ar datiem ir jānodrošina tāda pati aizsardzības
pakāpe;
|
–
The right to the protection of personal data,
enshrined in Article 8 of the Charter of Fundamental Rights and in Article 16(1)
TFEU, requires the same level of data protection throughout the Union. It
requires the same level of protection for data exchanged and data processed at
domestic level.
|
|
–
palielinās tiesībaizsardzības
iestāžu nepieciešamība aizvien intensīvāk
apstrādāt datus un apmainīties ar datiem, lai novērstu un
apkarotu pārrobežu noziedzību. Šajā kontekstā skaidri un
konsekventi datu aizsardzības noteikumi ES līmenī
palīdzēs veicināt sadarbību starp šādām
iestādēm;
|
–
There is a growing need for law enforcement
authorities in Member States to process and exchange at rapidly increasing
rates for the purposes of preventing and combating transnational crime and
terrorism. In this context, clear and consistent rules on data protection at EU
level will help fostering co-operation between such authorities.
|
|
–
turklāt pastāv praktiskas problēmas
datu aizsardzības tiesību aktu izpildes jomā un ir nepieciešama
dalībvalstu un to iestāžu sadarbība, kas jāorganizē ES
līmenī, lai nodrošinātu, ka Savienības tiesības tiek
piemērotas vienādi. Dažās situācijas ES atrodas
labākā pozīcijā, lai efektīvi un konsekventi
nodrošinātu vienāda līmeņa aizsardzību personām,
kad viņu dati tiek nosūtīti uz trešām valstīm;
|
–
In addition, there are practical challenges to
enforcing data protection legislation and a need for co-operation between
Member States and their authorities, which need to be organised at EU level to
ensure unity of application of Union law. In certain situations, the EU is best
placed to ensure effectively and consistently the same level of protection for
individuals when their personal data are transferred to third countries.
|
|
–
dalībvalstis nevar vienas pašas mazināt
šobrīd aktuālās problēmas, jo īpaši tās, kas
radušās valstu tiesiskā regulējuma sadrumstalotības
dēļ. Tādējādi ir īpaša vajadzība izveidot
tuvinātu un saskaņotu regulējumu, kas nodrošina raitu personas
datu nosūtīšanu pāri robežām ES iekšienē, vienlaikus
garantējot efektīvu aizsardzību visām personām
visā ES;
|
–
Member States cannot alone reduce the problems
in the current situation, particularly those due to the fragmentation in
national legislations. Thus, there is a specific need to establish a harmonised
and coherent framework allowing for a smooth transfer of personal data across
borders within the EU while ensuring effective protection for all individuals
across the EU.
|
|
–
problēmu būtības un mēroga
dēļ, kas neskar tikai vienu vai vairākas dalībvalstīs,
ierosinātā ES leģislatīvā rīcība ļoti
iespējams būs efektīvāka nekā līdzīga
rīcība dalībvalstu līmenī.
|
–
The proposed EU legislative action is likely to
be more effective than similar actions at the level of Member States because of
the nature and scale of the problems, which are not confined to the level of
one or several Member States.
|
|
Saskaņā ar proporcionalitātes
principu jebkurai rīcībai ir jābūt
mērķtiecīgai un samērīgai ar mērķu
sasniegšanai nepieciešamo. Šis princips ir ņemts vērā visā
šā priekšlikuma sagatavošanas gaitā, sākot ar alternatīvo
politikas risinājumu noteikšanu un novērtēšanu līdz pat
tiesību akta priekšlikuma projekta sagatavošanai.
|
The principle of proportionality requires
that any intervention is targeted and does not go beyond what is necessary to
achieve the objectives. This principle has guided the preparation of this
proposal, from the identification and evaluation of alternative policy options
to the drafting of the legislative proposal.
|
|
Tādēļ direktīva ir
labākais instruments, lai ES līmenī nodrošinātu
harmonizāciju šajā jomā, vienlaikus dalībvalstīm
atstājot nepieciešamo elastību, lai valsts līmenī īstenotu
principus, noteikumus un izņēmumus no tiem. Ņemot vērā
valsts noteikumu sarežģītību, kuri pašlaik attiecas uz personas
datu aizsardzību, kas tiek apstrādāti, policijai un tiesu
iestādēm sadarbojoties krimināllietās, un visaptverošu šo
noteikumu tuvināšanu ar šo direktīvu, Komisijai būs
jālūdz dalībvalstīm sniegt skaidrojošus dokumentus, kas
izskaidro attiecības starp direktīvas komponentiem un valsts
transponēšanas instrumentu atbilstošajām daļām, lai tā
spētu veikt savu uzdevumu pārraudzīt direktīvas
transponēšanu.
|
A Directive is therefore the best
instrument to ensure harmonisation at EU level in this area while at the same
time leaving the necessary flexibility to Member States when implementing the
principles, the rules and their exemptions at national level. Given the
complexity of the current national rules for the protection of personal data
processed in the area of police co-operation and judicial co-operation in
criminal matters, and the objective of comprehensive harmonisation of these
rules by way of this Directive, the Commission will need to request Member
States to provide explanatory documents explaining the relationship between the
components of the Directive and the corresponding parts of national
transposition instruments in order to be able to carry out its task of
overseeing the transposition of this Directive.
|
|
3.3.
Kopsavilkums par pamattiesību jautājumiem
|
3.3.
Summary of fundamental rights issues
|
|
Tiesības uz personas datu
aizsardzību ir noteiktas ES Pamattiesību hartas 8. pantā,
LESD 16. pantā, kā arī Eiropas Cilvēktiesību
konvencijas 8. pantā. Kā to ir uzsvērusi Eiropas Savienības
Tiesa[20], tiesības uz
personas datu aizsardzību nav absolūta prerogatīva, bet ir
jāņem vērā saistībā ar to funkciju
sabiedrībā[21]. Datu aizsardzība
ir cieši saistīta ar privātās un ģimenes dzīves
neaizskaramību, ko aizsargā Hartas 7. pants. Tas ir
atspoguļots Direktīvas 95/46/EK 1. panta 1. punktā,
kas paredz, ka dalībvalstis aizsargā fizisku personu
pamattiesības un brīvības, un jo īpaši viņu
tiesības uz privātās dzīves neaizskaramību
attiecībā uz personas datu apstrādi.
|
The right to protection of personal data is
established by Article 8 of the Charter on Fundamental Rights of the EU and
Article 16 TFEU as well in Article 8 of the ECHR. As underlined by the Court of
Justice of the EU[20], the right to the protection of personal data is not an absolute
right, but must be considered in relation to its function in society[21]. Data protection is closely linked to respect for private and
family life protected by Article 7 of the Charter. This is reflected in Article
1(1) of Directive 95/46/EC, which provides that Member States shall protect
fundamental rights and freedoms of natural persons and in particular their
right to privacy with respect of the processing of personal data.
|
|
Citas Hartā aizsargātās
pamattiesības, kas potenciāli varētu tikt aizskartas, ir
jebkāda veida diskriminācijas aizliegums, tostarp rases,
etniskās izcelsmes, ģenētisko īpatnību, reliģijas
vai pārliecības, politisko vai jebkuru citu uzskatu,
invaliditātes vai dzimumorientācijas dēļ (21. pants),
bērnu tiesības (24. pants) un tiesības uz efektīvu
tiesību aizsardzību tiesā un tiesības uz taisnīgu
tiesu (47. pants).
|
Other potentially affected fundamental
rights enshrined in the Charter are the prohibition of any discrimination
amongst others on grounds such as race, ethnic origin, genetic features,
religion or belief, political opinion or any other opinion, disability or
sexual orientation (Article 21); the rights of the child (Article 24) and the right
to an effective remedy before a tribunal and a fair trial (Article
47).
|
|
3.4.
Sīks priekšlikuma pārskats
3.4.1.
I NODAĻA – VISPĀRĪGI NOTEIKUMI
|
3.4.
Detailed explanation of the proposal
3.4.1.
CHAPTER I – GENERAL PROVISIONS
|
|
Pirmajā pantā ir noteikts
direktīvas priekšmets, t.i., noteikumi, kas attiecas uz personas datu
apstrādi, lai novērstu, izmeklētu, atklātu noziedzīgus
nodarījumus, sauktu pie atbildības par tiem vai izpildītu
kriminālsodus, tajā ir noteikts direktīvas divējādais
mērķis, t.i., aizsargāt fizisku personu pamattiesības un
pamatbrīvības un jo īpaši to tiesības uz personas datu
aizsardzību, vienlaikus garantējot augsta līmeņa
sabiedrisko drošību, un nodrošināt personas datu apmaiņu starp
kompetentām iestādēm Savienībā.
|
Article 1 defines the subject matter of the
Directive, i.e. rules relating to processing of personal data for the purposes
of prevention, investigation, detection or prosecution of criminal offences or
the execution of criminal offences, and sets out the Directive's two-fold
objective, i.e. to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data while
guaranteeing a high level of public safety, and to ensure the exchange of
personal data between competent authorities within the Union.
|
|
Direktīvas piemērošanas joma ir
noteikta 2. pantā. Direktīvas piemērošanas joma
neaprobežojas tikai ar datu pārrobežu apstrādi, bet attiecas uz
visām apstrādes darbībām, ko "kompetentās
iestādes" (kā tās ir definētas 3. panta
14. punktā) veic šīs direktīvas nolūkiem.
Direktīvu nepiemēro apstrādei, kas tiek veikta tādas
darbības gaitā, kura ir ārpus Savienības tiesību aktu
darbības jomas, un Savienības iestāžu, struktūru, biroju un
aģentūru veiktai apstrādei, uz kuru attiecas Regula (EK)
Nr. 45/2001 un citi īpašie tiesību akti.
|
Article 2 defines the scope of application
of the Directive. The scope of the Directive is not limited to cross-border
data processing but applies to all processing activities carried out by
'competent authorities' (as defined in Article 3(14)) for the purposes of the
Directive. The Directive applies neither to processing in the course of an
activity which falls outside the scope of Union law, nor to processing by Union
institutions, bodies, offices and agencies, which is subject to Regulation (EC)
No 45/2001 and other specific legislation.
|
|
Direktīvas 3. pantā ir
ietvertas direktīvā izmantoto terminu definīcijas. Dažas
definīcijas ir pārņemtas no Direktīvas 95/46/EK un
Pamatlēmuma 2008/977/TI, savukārt citas ir pārveidotas vai
papildinātas ar papildu elementiem vai jaunievedumiem. Jaunas ir
"personas datu aizsardzības pārkāpuma",
"ģenētisko datu" un "biometrisko datu",
"kompetento iestāžu" (kas balstīta LESD 87. pantu un
Pamatlēmuma 2008/977/TI 2. panta h) punktu)
definīcijas un "bērna" definīcija, kas balstīta
uz ANO Konvenciju par bērna tiesībām[22].
|
Article 3 contains definitions of terms
used in the Directive. While some definitions are taken over from Directive
95/46/EC and Framework Decision 2008/977/JHA, others are modified, complemented
with additional or newly introduced elements. New definitions are those of
‘personal data breach’, ‘genetic data’ and ‘biometric data’, ‘competent
authorities’ (based on Article 87 TFEU and Article 2(h) of Framework Decision
2008/977/JHA) and, of a 'child’, based on the UN Convention on the Rights of
the Child[22].
|
|
3.4.2.
II NODAĻA – PRINCIPI
|
3.4.2.
CHAPTER II – PRINCIPLES
|
|
Direktīvas 4. pantā ir noteikti
principi, kas attiecas uz personas datu apstrādi, atspoguļojot
Direktīvas 95/46/EK 6. pantu un
Pamatlēmuma 2008/977/TI 3. pantu, vienlaikus piemērojot tos
direktīvas īpašajam kontekstam.
|
Article 4 sets out the principles relating
to processing of personal data reflecting Article 6 of Directive 95/46/EC and
Article 3 of Framework Decision 2008/977/JHA, while adjusting them to the
particular context of this Directive.
|
|
Direktīvas 5. pantā ir noteikta
prasība pēc iespējas nošķirt dažādu datu subjektu kategoriju
personas datus. Šis ir jauns noteikums, kas nebija iekļauts ne
Direktīvā 95/46/EK, ne Pamatlēmumā 2008/977/TI,
bet ko Komisija ierosināja Pamatlēmuma sākotnējā
priekšlikumā[23]. To ir iedvesmojis
Eiropas Padomes Ieteikums dalībvalstīm Nr. R (87)15.
Līdzīgi noteikumi jau pastāv attiecībā uz Eiropas
Policijas biroju[24] un Eurojust[25].
|
Article 5 requires the distinction, as far
as possible; between personal data of different categories of data subjects. This
is a new provision, included neither in Directive 95/46/EC nor in Framework
Decision 2008/977/JHA, but which had been proposed by the Commission in its original
proposal for the Framework Decision[23]. It is
inspired by the Council of Europe's Recommendation No R (87)15. Similar rules
already exist for Europol[24] and Eurojust[25].
|
|
Direktīvas 6. pants par
dažādām precizitātes un uzticamības pakāpēm
atspoguļo 3.2. principu Eiropas Padomes Ieteikumā
dalībvalstīm Nr. R (87)15. Līdzīgi noteikumi,
kuri arī tika iekļauti Komisijas priekšlikumā Pamatlēmumam,
pastāv arī attiecībā uz Eiropas Policijas biroju[26].
|
Article 6 on different degrees of accuracy
and reliability reflects principle 3.2 of Council of Europe Recommendation No R
(87)15. Similar rules, as also included in the Commission's proposal for the
Framework Decision, exist for Europol[26].
|
|
Direktīvas 7. pantā ir noteikts
likumīgas apstrādes pamatojums, proti, ja tā ir nepieciešama
uzdevuma izpildei, ko kompetentā iestāde, balstoties uz valsts tiesību
aktiem, veic nolūkā nodrošināt, ka datu pārzinis
ievēro tam piemērojamu tiesisku pienākumu, lai aizsargātu
datu subjekta vai citas personas īpaši svarīgas intereses vai
novērstu tiešus un nopietnus draudus sabiedriskajai drošībai. Cits
likumīgas apstrādes pamats, kas noteikts
Direktīvas 95/46/EK 7. pantā, nav piemērots
apstrādei policijas un tiesu iestāžu sadarbības jomā.
|
Article 7 sets out the grounds for lawful
processing, when necessary for the performance of a task carried out by a
competent authority based on national law, to comply with a legal obligation to
which the data controller is subject, in order to protect the vital interests
of the data subject or another person or to prevent an immediate and serious
threat to public security. The other grounds for lawful processing in Article 7
of Directive 95/46/EC are not appropriate for the processing in the area of
police and criminal justice.
|
|
Direktīvas 8. pantā noteikts
vispārīgs aizliegums apstrādāt īpašas personas datu
kategorijas un izņēmumi no šā vispārīgā noteikuma,
kuri balstās uz Direktīvas 95/46/EK 8. pantu, papildus
iekļaujot ģenētiskus datus saskaņā ar Eiropas
Cilvēktiesības tiesas judikatūru[27].
|
Article 8 sets out a general prohibition of
processing special categories of personal data and the exceptions from this
general rule, building on Article 8 of Directive 95/46/EC and adding genetic
data, following ECtHR case law[27].
|
|
Ar direktīvas 9. pantu ir noteikts
tādu pasākumu aizliegums, kuri balstās tikai uz personas datu
automatizētu apstrādi, ja tie nav atļauti ar likumu, kurā
ir paredzēti atbilstoši aizsardzības pasākumi saskaņā
ar Pamatlēmuma 2008/977/TI 7. pantu.
|
Article 9 establishes a prohibition of
measures based solely on automated processing of personal data if not
authorised by law providing appropriate safeguards, in line with Article 7 of
Framework Decision 2008/977/JHA.
|
|
3.4.3.
III NODAĻA – DATU SUBJEKTA TIESĪBAS
|
3.4.3.
CHAPTER III - RIGHTS OF THE DATA SUBJECT
|
|
Ar 10. pantu dalībvalstīm tiek
ieviests pienākums nodrošināt viegli pieejamu un saprotamu
informāciju, ko jo īpaši iedvesmojis Madrides rezolūcijas par
starptautiskajiem personas datu un privātuma aizsardzības standartiem
10. princips[28], un uzlikt
pienākumu pārziņiem nodrošināt procedūras un
mehānismus, lai veicinātu datu subjektu tiesību izmantošanu. Tas
ietver prasību, ka tiesību izmantošana pamatā ir bez maksas.
|
Article 10 introduces the obligation for
Member States to ensure easily accessible and understandable information,
inspired in particular by principle 10 of the Madrid Resolution on international
standards on the protection of personal data and privacy[28], and to
oblige controllers to provide procedures and mechanisms for facilitating the
exercise of the data subject's rights. This includes the requirement that the
exercise of the rights shall be in principle free of charge.
|
|
Direktīvas 11. pantā ir
precizēts dalībvalstu pienākums nodrošināt informāciju
datu subjektam. Šie pienākumi balstās uz
Direktīvas 95/46/EK 10. un 11. pantu, atsevišķos
pantos nenošķirot, vai informācija tiek vākta no datu subjekta,
vai nē, un paplašina sniedzamās informācijas apjomu. Tajos ir
noteikti izņēmumi no informēšanas pienākuma gadījumos,
kad šādi izņēmumi ir samērīgi un nepieciešami
demokrātiskā sabiedrībā, lai kompetentās iestādes
īstenotu savus uzdevumus (iedvesmojoties no Direktīvas 95/46/EK
13. panta un Pamatlēmuma 2008/977/TI 17. panta).
|
Article 11 specifies the obligation for
Member States to ensure the information towards the data subject. These
obligations are building on Articles 10 and 11 of Directive 95/46/EC, without
separate articles differentiating whether the information is collected from the
data subject or not, and enlarging the information to be provided. It lays down
exemptions from the obligation to inform, when such exemptions are
proportionate and necessary in a democratic society for the exercise of the
tasks of competent authorities (inspired by Article 13 of Directive 95/46/EC
and Article 17 Framework Decision 2008/977/JHA).
|
|
Direktīvas 12. pantā
paredzēts dalībvalstu pienākums nodrošināt datu subjekta
tiesības piekļūt saviem personas datiem. Tas līdzinās
Direktīvas 95/46/EK 12. panta a) apakšpunktam, pievienojot
jaunus elementus datu subjektam sniedzamajai informācijai (par
glabāšanas laiku, tiesībām uz labošanu, dzēšanu, vai
apstrādes ierobežošanu un tiesībām iesniegt sūdzību).
|
Article 12 provides the obligation for
Member States to ensure the data subject's right of access to their personal
data. It follows Article 12(a) of Directive 95/46/EC, adding new elements for
the information of the data subjects (on the storage period, their rights to
rectification, erasure, or restriction and to lodge a complaint).
|
|
Direktīvas 13. pantā, balstoties
uz Pamatlēmuma 2008/977/TI 17. panta 2. un 3. punktu,
paredzēts, ka dalībvalstis var pieņemt leģislatīvus
pasākumus, ar kuriem tiesības uz piekļuvi tiek ierobežotas, ja
tas ir nepieciešams datu apstrādes īpašās būtības
dēļ policijas un tiesu iestāžu sadarbībā
krimināllietās, un par datu subjekta informēšanu par
piekļuves ierobežojumiem.
|
Article 13 provides that Member States may
adopt legislative measures restricting the right of access if required by the specific
nature of data processing in the areas of police and criminal justice, and on
the information of the data subject on a restriction of access, following
Article 17(2) and (3) of Framework Decision 2008/977/JHA.
|
|
Ar 14. pantu tiek ieviests noteikums, ka
gadījumos, kad tieša piekļuve ir ierobežota, datu subjekts ir
jāinformē par netiešas piekļuves iespējām ar
uzraudzības iestādes starpniecību, kurai būtu
jāizmanto šīs tiesības viņa vārdā un
jāinformē datu subjekts par pārbaudes rezultātiem.
|
Article 14 introduces the rule that in
cases where direct access is restricted, the data subject must be informed on the
possibility of indirect access via the supervisory authority, which should
exercise the right on their behalf and must inform the data subject on the
outcome of its verifications.
|
|
Direktīvas 15. pants par
tiesībām uz datu labošanu balstās uz
Direktīvas 95/46/EK 12. panta b) apakšpunktu un
attiecībā uz pienākumiem atteikuma gadījumā –
Pamatlēmuma 2008/977/TI 18. panta 1. punktu.
|
Article 15 on the right to rectification
follows Article 12(b) of Directive 95/46/EC, and, as regards the obligations in
case of a refusal, Article 18(1) of Framework Decision 2008/977/JHA.
|
|
Direktīvas 16. pants par
tiesībām uz datu dzēšanu līdzinās
Direktīvas 95/46/EK 12. panta b) punktam un
attiecībā uz pienākumiem atteikuma gadījumā –
Pamatlēmuma 2008/977/TI 18. panta 1. punktam. Tajā ir
integrētas arī tiesības uz datu iezīmēšanu
atsevišķos gadījumos, aizstājot neskaidro terminu
"piekļuves noslēgšana" ["piekļuves
liegšana"], kas lietots Direktīvas 95/46/EK 12. panta
b) apakšpunktā un Pamatlēmuma 2008/977/TI 18. panta
1. punktā.
|
Article 16 on the right to erasure follows
Article 12(b) of Directive 95/46, and, as regards the obligations in case of a
refusal, Article 18(1) of Framework Decision 2008/977/JHA. It integrates also
the right to have the processing marked in certain cases, replacing the
ambiguous terminology "blocking", used by Article 12(b) of Directive
95/46/EC and Article 18(1) of Framework Decision 2008/977/JHA.
|
|
Direktīvas 17. pants par datu
labošanu, dzēšanu un apstrādes ierobežošanu tiesvedībā ir
precizēts, balstoties uz Pamatlēmuma 2008/977/TI 4. panta
4. punktu.
|
Article 17 on the rectification, erasure
and restriction of processing in judicial proceedings provides clarification
based on Article 4(4) of Framework Decision 2008/977/JHA.
|
|
3.4.4.
IV NODAĻA – PĀRZINIS UN
APSTRĀDĀTĀJS
3.4.4.1.
1. IEDAĻA – VISPĀRĪGIE
PIENĀKUMI
|
3.4.4.
CHAPTER IV - CONTROLLER AND PROCESSOR
3.4.4.1.
SECTION 1 GENERAL OBLIGATIONS
|
|
Direktīvas 18. pantā ir
aprakstīts datu pārziņa pienākums ievērot šo
direktīvu un nodrošināt tās ievērošanu, tai skaitā,
pieņemot vadlīnijas un mehānismus, lai nodrošinātu
ievērošanu.
|
Article 18 describes the responsibility of
the controller to comply with this Directive and to ensure compliance,
including the adoption of policies and mechanisms for ensuring compliance.
|
|
Direktīvas 19. pantā ir
noteikts, ka dalībvalstīm ir jānodrošina, lai datu pārzinis
ievērotu pienākumus, kas izriet no "integrētas datu
aizsardzības" principa un "datu aizsardzības pēc
noklusējuma" principa.
|
Article 19 sets out that the Member States
must ensure the compliance of the controller with the obligations arising from
the principles of data protection by design and by default.
|
|
Direktīvas 20. pantā par
kopīgajiem pārziņiem ir precizēts kopīgo
pārziņu statuss attiecībā uz to iekšējām
attiecībām.
|
Article 20 on joint controllers clarifies
the status of joint controllers as regards their internal relationship.
|
|
Direktīvas 21. pantā skaidrots
apstrādātāju stāvoklis un pienākumi, daļēji
balstoties uz Direktīvas 95/46/EK 17. panta 2. punktu un
pievienojot dažus jaunus elementus, piemēram, ka
apstrādātāju, kas apstrādā datus plašāk,
nekā to paredzējis datu pārzinis, uzskata par kopīgo
pārzini.
|
Article 21 clarifies the position and
obligation of processors, following partly Article 17(2) of Directive 95/46/EC,
and adding new elements, including that a processor that processes data beyond
the controller's instructions is to be considered a co-controller.
|
|
Direktīvas 22. pants par
apstrādi datu pārziņa un apstrādātāja
pakļautībā balstās uz Direktīvas 95/46/EK
16. pantu.
|
Article 22 on processing under the
authority of the controller and processor follows Article 16 of Directive 95/46/EC.
|
|
Ar direktīvas 23. pantu tiek
ieviests datu pārziņu un apstrādāju pienākums
uzglabāt visu apstrādes sistēmu un procedūru
dokumentāciju, par kurām tie ir atbildīgi.
|
Article 23 introduces the obligation for
controllers and processors to maintain documentation of all processing systems
and procedures under their responsibility.
|
|
Direktīvas 24. pants attiecas uz
reģistru uzturēšanu saskaņā ar
Pamatlēmuma 2008/977/TI 10. panta 1. punktu, vienlaikus
sniedzot turpmākus precizējumus.
|
Article 24 concerns the keeping of records,
in line with Article 10(1) of Framework Decision 2008/977, whilst providing further
clarifications.
|
|
Direktīvas 25. pantā
sīkāk skaidrots pārziņa un apstrādātāja
pienākums attiecībā uz sadarbību ar uzraudzības
iestādi.
|
Article 25 clarifies the obligations of the
controller and the processor regarding co-operation with the supervisory
authority.
|
|
Direktīvas 26. pants, kas
balstās uz Pamatlēmuma 2008/977/TI 23. pantu, attiecas uz
gadījumiem, kad apspriešanās ar uzraudzības iestādi ir
obligāta.
|
Article 26 concerns the cases where
consultation with the supervisory authority is mandatory prior to the
processing, based on Article 23 of Framework Decision 2008/977/JHA.
|
|
3.4.4.2.
2. IEDAĻA – DATU DROŠĪBA
|
3.4.4.2.
SECTION 2 DATA SECURITY
|
|
Direktīvas 27. pants par datu
apstrādes drošību balstās uz pašreizējo
Direktīvas 95/46/EK 17. panta 1. punktu par apstrādes
drošību un Pamatlēmuma 2008/977/TI 22. pantu, paplašinot
saistītos pienākumus attiecībā uz apstrādātājiem
neatkarīgi no to līguma ar pārzini.
|
Article 27 on the security of processing is
based on the current Article 17(1) of Directive 95/46 on the security of
processing, and Article 22 of Framework Decision 2008/977/JHA, extending the
related obligations to processors, irrespective of their contract with the
controller.
|
|
Ar direktīvas 28. un 29. pantu
tiek ieviests pienākums paziņot par personas datu aizsardzības
pārkāpumiem, ko iedvesmojis personas datu aizsardzības
pārkāpuma paziņojums, kas noteikts E-privātuma
direktīvas 2002/58/EK 4. panta 3. punktā,
precizējot un nodalot pienākumus paziņot uzraudzības iestādei
(28. pants) un pie īpašiem nosacījumiem paziņot datu
subjektam (29. pants). Direktīvas 29. pantā ir noteikti
arī izņēmumi, atsaucoties uz 11. panta 4. punktu.
|
Articles 28 and 29 introduce an obligation
to notify personal data breaches, inspired by the personal data breach
notification in Article 4(3) of the e-Privacy Directive 2002/58/EC, clarifying
and separating the obligations to notify the supervisory authority (Article 28)
and to communicate, in qualified circumstances, to the data subject (Article 29).
Article 29 also provides for exemptions by referring to Article 11(4).
|
|
3.4.4.3.
3. IEDAĻA – DATU AIZSARDZĪBAS
INSPEKTORS
|
3.4.4.3.
SECTION 3 DATA PROTECTION OFFICER
|
|
Ar direktīvas 30. pantu tiek
ieviests obligāts pienākums datu pārzinim iecelt datu
aizsardzības inspektoru, kuram būtu jāveic 32. pantā
uzskaitītie uzdevumi. Ja vairākas kompetentās iestādes
darbojas centrālās iestādes uzraudzībā, kura darbojas
kā datu pārzinis, vismaz šai centrālajai iestādei būtu
jāieceļ šāds datu aizsardzības inspektors.
Direktīvas 95/46/EK 18. panta 2. punkts sniedza
dalībvalstīm iespēju ieviest šādu prasību kā
šajā direktīvā paredzētās vispārīgās
paziņošanas prasības surogātu.
|
Article 30 introduces an obligation for the
controller to appoint a mandatory data protection officer who should fulfil the
tasks listed in Article 32. Where several competent authorities are acting
under the supervision of a central authority, functioning as controller, at
least this central authority should designate such a data protection officer. Article
18(2) of Directive 95/46/EC provided the possibility for Member States to
introduce such requirement as a surrogate to the general notification
requirement of that Directive.
|
|
Direktīvas 31. pantā noteikts
datu aizsardzības inspektora statuss.
|
Article 31 sets out the standing of the
data protection officer.
|
|
Direktīvas 32. pantā noteikti
datu aizsardzības inspektora uzdevumi.
|
Article 32 provides the tasks of the data
protection officer.
|
|
3.4.5.
V NODAĻA – PERSONAS DATU
NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM
ORGANIZĀCIJĀM
|
3.4.5.
CHAPTER V - TRANSFER OF PERSONAL DATA TO THIRD
COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
|
Direktīvas 33. pantā noteikti
vispārīgie principi datu nosūtīšanai uz trešām
valstīm vai starptautiskām organizācijām, policijai un
tiesu iestādēm sadarbojoties krimināllietās, ieskaitot
tālāku nosūtīšanu. Tajā precizēts, ka
nosūtīšanu uz trešām valstīm var veikt tikai, ja
nosūtīšana ir nepieciešama, lai novērstu, izmeklētu,
atklātu noziedzīgus nodarījumus, sauktu pie atbildības par
tiem vai izpildītu kriminālsodus.
|
Article 33 sets out the general principles
for data transfers to third countries or international organisations in the
area of police co-operation and judicial co-operation in criminal matters, including
onward transfers. It clarifies that transfers to third countries may take place
only if the transfer is necessary for the prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties..
|
|
Direktīvas 34. pantā
paredzēts, ka nosūtīšana uz trešo valsti var notikt, ja Komisija
ir pieņēmusi lēmumu par aizsardzības līmeņa
pietiekamību, pamatojoties uz Regulu …./../201X vai īpaši policijas
un tiesu iestāžu sadarbībai krimināllietās, vai,
nepastāvot šādiem lēmumiem, ja pastāv atbilstoši
aizsardzības pasākumi. Kamēr lēmumi par aizsardzības
līmeņa pietiekamību nav pieņemti, Direktīva nodrošina,
ka nosūtīšana var turpināties, balstoties uz atbilstošiem
aizsardzības pasākumiem un atkāpēm. Turklāt tajā
noteikti kritēriji, kas Komisijai jāņem vērā,
novērtējot, vai aizsardzības līmenis ir pietiekams, skaidri
ietverot tiesiskumu, tiesisko aizsardzību un neatkarīgu
uzraudzību. Pantā ir paredzēta iespēja, ka Komisija var
novērtēt aizsardzības līmeni, ko nodrošina kāda
teritorija vai apstrādes nozare trešajā valstī. Tas ievieš
noteikumu, ka vispārējs lēmums par aizsardzības
līmeņa pietiekamību, kas pieņemts, pamatojoties uz
Vispārīgās datu aizsardzības regulas 38. pantu, ir
piemērojams šās direktīvas darbības jomā. Otra
iespēja ir Komisijai pieņemt lēmumu tikai šīs
direktīvas nolūkiem.
|
Article 34 lays down that transfers to a
third country may take place in relation to which the Commission has adopted an
adequacy decision under Regulation …./../201X or specifically in the area of
police co-operation and judicial co-operation in criminal matters, or, in the
absence of such decisions, where appropriate safeguards are in place. As long
as adequacy decisions do not exist, the Directive ensures that transfers can
continue to take place on the basis of appropriate safeguards and derogations. It
furthermore sets out the criteria for the Commission’s assessment of an
adequate or not adequate level of protection, and expressly includes the rule
of law, judicial redress and independent supervision. The article also provides
for the possibility for the Commission to assess the level of protection
afforded by a territory or a processing sector within a third country. It
introduces that a general adequacy decision adopted, following the procedures
under Article 38 of the General Data Protection Regulation, shall be applicable
within the scope of this Directive. Alternatively an adequacy decision can be adopted
by the Commission exclusively for the purposes of this Directive.
|
|
Direktīvas 35. pantā ir
noteikti atbilstoši aizsardzības pasākumi, kas nepieciešami pirms
starptautiskas nosūtīšanas, ja nav pieņemts Komisijas
lēmums par aizsardzības līmeņa pietiekamību. Šie
aizsardzības pasākumi var būt noteikti juridiski saistošā
instrumentā, piemēram, starptautiskā nolīgumā. Otra
iespēja ir, ka datu pārziņi, balstoties uz nosūtīšanas
apstākļu novērtējumu, var secināt, ka tādi
pastāv.
|
Article 35 defines the appropriate
safeguards needed prior to international transfers, in the absence of a
Commission adequacy decision. These safeguards may be adduced by a legally
binding instrument such as an international agreement. Alternatively, the data
controller may on the basis of an assessment of the circumstances surrounding
the transfer conclude that they exist.
|
|
Direktīvas 36. pantā ir
noteiktas atkāpes datu nosūtīšanai, balstoties uz
Direktīvas 95/46/EK 26. pantu un
Pamatlēmuma 2008/977/TI 13. pantu.
|
Article 36 spells out the derogations for
data transfer based on Article 26 of Directive 95/46/EC and Article 13 of
Framework Decision 2008/977/JHA.
|
|
Direktīvas 37. pantā
dalībvalstīm ir uzlikts pienākums nodrošināt, ka
pārzinis informē saņēmēju par apstrādes
ierobežojumiem un veic visas saprātīgas darbības, lai
nodrošinātu, ka šos ierobežojumus izpilda personas datu
saņēmēji trešā valstī vai starptautiskā
organizācijā.
|
Article 37 obliges Member States to provide
that the controller informs the recipient of any processing restrictions and
takes all reasonable steps to ensure that these restrictions are met by
recipients of the personal data in the third country or international
organisation.
|
|
Direktīvas 38. pantā skaidri
noteikti personas datu aizsardzības starptautiskās sadarbības
mehānismi starp Komisiju un trešo valstu uzraudzības
iestādēm, jo īpaši tajās valstīs, par kurām
uzskata, ka tās nodrošina pietiekamu aizsardzības līmeni,
ņemot vērā Ekonomiskās sadarbības un
attīstības organizācijas (ESAO) 2007. gada
12. jūnija ieteikumu par pārrobežu sadarbību,
piemērojot likumus par privātuma aizsardzību (on Cross-border
Co-operation in the Enforcement of Laws Protecting Privacy).
|
Article 38 explicitly provides for
international co-operation mechanisms for the protection of personal data
between the Commission and the supervisory authorities of third countries, in
particular those considered offering an adequate level of protection, taking
into account the OECD’s Recommendation on Cross-border Co-operation in the
Enforcement of Laws Protecting Privacy of 12 June 2007.
|
|
VI NODAĻA – VALSTS
UZRAUDZĪBAS IESTĀDES
|
CHAPTER VI - NATIONAL SUPERVISORY
AUTHORITIES
|
|
3.4.5.1.
1. IEDAĻA – NEATKARĪBA
|
3.4.5.1.
SECTION 1 INDEPENDENT STATUS
|
|
Direktīvas 39. pants, kas
balstās uz Direktīvas 95/46/EK 28. panta 1. punktu un
Pamatlēmuma 2008/977/TI 25. pantu, uzliek pienākumu
dalībvalstīm izveidot uzraudzības iestādes, paplašinot šo
iestāžu uzdevumus veicināt Direktīvas konsekventu
piemērošanu visā Savienībā; tā var būt
uzraudzības iestāde, kas izveidota, pamatojoties uz
Vispārīgo datu aizsardzības regulu.
|
Article 39 obliges Member States to
establish supervisory authorities, following Article 28(1) of Directive
95/46/EC and Article 25 Framework Decision 2008/977/JHA, enlarging the mission
of these authorities to contribute to the consistent application of the Directive
throughout the Union, which may be the supervisory authority established under the
General Data Protection Regulation.
|
|
Direktīvas 40. pantā skaidroti
nosacījumi, kas izvirzīti uzraudzības iestādes
neatkarībai, īstenojot Eiropas Savienības Tiesas judikatūru[29]
un vadoties no Regulas (EK) Nr. 45/2001 44. panta[30].
|
Article 40 clarifies the conditions for the
independence of supervisory authorities, implementing case law of the Court of
Justice of the EU[29], inspired also by Article 44 of Regulation (EC) No 45/2001[30].
|
|
Direktīvas 41. pantā
paredzēti vispārīgi noteikumi par uzraudzības iestādes
locekļiem, ar šiem noteikumiem īstenota attiecīgā tiesu
prakse[31], par paraugu ņemot
Regulas (EK) 45/2001 42. panta 2. līdz 6. punktu.
|
Article 41 provides general conditions for
the members of the supervisory authority, implementing the relevant case law[31], inspired also by Article 42(2)-(6) of Regulation (EC) 45/2001.
|
|
Direktīvas 42. pantā ietverti
uzraudzības iestādes izveides noteikumi, kuri dalībvalstīm
jānosaka ar likumu, tai skaitā nosacījumi, kas attiecas uz
tās locekļiem.
|
Article 42 sets out rules on the
establishment of the supervisory authority, including on conditions for its
members, to be provided by the Member States by law.
|
|
Direktīvas 43. pants par
uzraudzības iestādes locekļu un tās personāla
pienākumu glabāt dienesta noslēpumu līdzinās
Direktīvas 95/46/EK 28. panta 7. punktam un
Pamatlēmuma 2008/977/TI 25. panta 4. punktam.
|
Article 43 on professional secrecy of the
members and staff of the supervisory authority follows Article 28(7) of
Directive 95/46/EC and Article 25(4) Framework Decision 2008/977/JHA.
|
|
3.4.5.2.
2. IEDAĻA – PIENĀKUMI UN PILNVARAS
|
3.4.5.2.
SECTION 2 DUTIES AND POWERS
|
|
Direktīvas 44. pantā ir
noteikta uzraudzības iestāžu kompetence, balstoties uz
Direktīvas 95/46/EK 28. panta 6. punktu un
Pamatlēmuma 2008/977/TI 25. panta 1. punktu. Tiesas, kad
tās pilda tiesas spriešanas funkciju, izņēmuma kārtā
ir atbrīvotas no uzraudzības iestādes uzraudzības, taču
tām ir jāpiemēro datu aizsardzības materiāltiesiskie
noteikumi.
|
Article 44 sets out the competence of the
supervisory authorities, based on Article 28(6) of Directive 95/46/EC and
Article 25(1) Framework Decision 2008/977/JHA. Courts, when acting in their judicial
authority, are exempted from the monitoring by the supervisory authority, but
not from the application of the substantive rules on data protection.
|
|
Direktīvas 45. pantā noteikts
dalībvalstu pienākums noteikt uzraudzības iestādes
pienākumus, ietverot sūdzību uzklausīšanu un
izmeklēšanu un sabiedrības informētības uzlabošanu par
riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām.
Īpašs uzraudzības iestāžu pienākums šīs
direktīvas kontekstā ir izmantot piekļuves tiesības datu
subjekta vārdā, lai pārbaudītu datu apstrādes
likumību, ja tieša piekļuve ir atteikta vai ierobežota.
|
Article 45 provides the obligation of
Member States to provide for the duties of the supervisory authority, including
hearing and investigating complaints and promoting the awareness of the public
on risk, rules, safeguards and rights. A particular duty of the supervisory
authorities in the context of this Directive is, where direct access is refused
or restricted, to exercise the right of access on behalf of data subjects and
to check the lawfulness of the data processing.
|
|
Direktīvas 46. pants, kas
balstās uz Direktīvas 95/46/EK 28. panta 3. punktu un Pamatlēmuma 2008/977/TI
25. panta 2. un 3. punktu, nosaka uzraudzības iestādes
pilnvaras. Direktīvas 47. pantā, pamatojoties uz
Direktīvas 95/46/EK 28. panta 5. punktu, uzlikts
pienākums uzraudzības iestādēm sagatavot ikgadējus
darbības ziņojumus.
|
Article 46 provides the powers of the
supervisory authority, based on Article 28(3) of Directive 95/46/EC, Article
25(2) and (3) of Framework Decision 2008/977/JHA.Article 47 obliges the
supervisory authorities to draw up annual activity reports, based on Article
28(5) of Directive 95/46/EC.
|
|
3.4.6.
VII NODAĻA – SADARBĪBA
|
3.4.6.
CHAPTER VII – CO-OPERATION
|
|
Ar direktīvas 48. pantu ievieš
noteikumus par obligātu savstarpēju palīdzību,
savukārt Direktīvas 95/46/EK 28. panta 6. punkta
otrā daļā paredzēts tikai vispārīgs pienākums
sadarboties, to sīkāk neprecizējot.
|
Article 48 introduces rules on mandatory
mutual assistance whereas Article 28 (6)2 of Directive 95/46/EC provided simply
a general obligation to co-operate, without specifying further.
|
|
Direktīvas 49. pantā ir
paredzēts, ka Eiropas Datu aizsardzības kolēģija, ko
izveido ar Vispārīgo datu aizsardzības regulu, īsteno savus
uzdevumus attiecībā uz apstrādes darbībām, kas ir
šīs direktīvas darbības jomā. Lai sniegtu papildu atbalstu,
Komisija uzklausīs to iestāžu pārstāvju padomus, kuras
dalībvalstīs ir atbildīgas par noziedzīgu nodarījumu
novēršanu, izmeklēšanu, atklāšanu un par saukšanu pie
atbildības par tiem, kā arī Eiropas Policijas biroja un Eurojust
pārstāvju padomus, izmantojot ekspertu grupu par datu
aizsardzības aspektiem, kas saistīti ar tiesībaizsardzību.
|
Article 49 provides that the European Data
Protection Advisory Board, established by the General Data Protection
Regulation, exercises its tasks also in relation to processing activities within
the scope of this Directive. In order to provide complementary support, the
Commission will seek the advice of representatives of authorities competent for
the prevention, investigation, detection and prosecution of criminal penalties
of the Member States, as well as representatives of Europol and Eurojust, by
means of an expert group on the law-enforcement related aspects of data
protection.
|
|
3.4.7.
VII NODAĻA – TIESĪBU
AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS
|
3.4.7.
CHAPTER VIII - REMEDIES, LIABILITY AND SANCTIONS
|
|
Direktīvas 50. pantā,
pamatojoties uz Direktīvas 95/46/EK 28. panta 4. punktu,
paredzēts, ka datu subjektam ir tiesības iesniegt sūdzību
uzraudzības iestādē, un tas attiecas uz jebkādu
Direktīvas pārkāpumu saistībā ar sūdzības
iesniedzēju. Tajā arī konkrēti norādīts,
kādas struktūras, organizācijas vai asociācijas var
iesniegt sūdzību datu subjekta vārdā un personas datu
aizsardzības pārkāpuma gadījumā arī
neatkarīgi no datu subjekta sūdzības.
|
Article 50 provides the right of any data
subject to lodge a complaint with a supervisory authority, based on Article
28(4) of Directive 95/46/EC, and relates to any infringement of the Directive
in relation to the complainant. It also specifies the bodies, organisations or
associations which may lodge a complaint on behalf of the data subject and also
in case of a personal data breach independently of a data subject's complaint.
|
|
Direktīvas 51. pants attiecas uz
tiesībām uz tiesas aizsardzību pret uzraudzības
iestādi. Tas balstās uz vispārīgo noteikumu, kas
paredzēts Direktīvas 95/46/EK 28. panta 3. punktā,
un īpaši nosaka, ka datu subjekts var vērsties tiesā, lai
panāktu, ka uzraudzības iestāde reaģē uz
sūdzību.
|
Article 51 concerns the right to a judicial
remedy against a supervisory authority. It builds on the general provision of
Article 28(3) of Directive 95/46/EC and provides specifically that the data
subject may launch a court action for obliging the supervisory authority to act
on a complaint.
|
|
Direktīvas 52. pants attiecas uz
tiesībām uz tiesas aizsardzību pret pārzini vai
apstrādātāju, kas balstās uz Direktīvas 95/46/EK
22. pantu un Pamatlēmuma 2008/977/TI 20. pantu.
|
Article 52 concerns the right to a judicial
remedy against a controller or processor, based on Article 22 of Directive
95/46/EC and Article 20 of Framework Decision 2008/977/JHA.
|
|
Ar Direktīvas 53. pantu ir ieviesti
kopēji noteikumi, kas attiecas uz tiesvedību, tai skaitā
struktūru, organizāciju vai asociāciju tiesības
pārstāvēt datu subjektus tiesās un uzraudzības
iestāžu tiesības iesaistīties juridiskās
procedūrās. Dalībvalstu pienākums nodrošināt raitu
tiesas darbību ir noteikts, vadoties pēc E-komercijas
direktīvas 2000/31/EK 18. panta 1. punkta[32].
|
Article 53 introduces common rules for
court proceedings, including the rights of bodies, organisations or
associations to represent data subjects before the courts, and the right of
supervisory authorities to engage in legal proceedings. The obligation of
Member States to ensure rapid court actions is inspired by Article 18(1) of the
e-Commerce Directive 2000/31/EC[32].
|
|
Direktīvas 54. panta
dalībvalstīm ir uzlikts pienākums nodrošināt tiesības
uz kompensāciju. Tas balstās uz Direktīvas 95/46/EK
23. pantu un Pamatlēmuma 2008/977/TI 19. panta
1. punktu, paplašinot tiesības uz zaudējumu atlīdzību,
kurus radījuši datu apstrādātāji, un sīkāk
skaidrojot līdzpārziņu un līdzapstrādātāju
atbildību.
|
Article 54 obliges Member States to provide
for the right to compensation. It builds on Article 23 of Directive 95/46/EC
and Article 19(1) of Framework Decision 2008/977/JHA, extends this right on
damages caused by processors and clarifies the liability of co-controllers and
co-processors.
|
|
Direktīvas 55. pantā
dalībvalstīm uzlikts pienākums paredzēt sodus par
direktīvas pārkāpumiem un nodrošināt to īstenošanu.
|
Article 55 obliges Member States to lay
down rules on penalties, to sanction infringements of the Directive, and to
ensure their implementation.
|
|
3.4.8.
X NODAĻA – DELEĢĒTIE AKTI UN
ĪSTENOŠANAS AKTI
|
3.4.8.
CHAPTER IX – DELEGATED ACTS AND IMPLEMENTING
ACTS
|
|
Direktīvas 56. pantā ietverti
standarta noteikumi par deleģēšanu saskaņā ar LESD
290. pantu. Tādējādi likumdevējs var deleģēt
Komisijai pilnvaras pieņemt vispārēji piemērojamus
neleģislatīvus aktus, lai papildinātu vai grozītu dažus
nebūtiskus leģislatīvu aktu elementus
(kvazileģislatīvi akti).
|
Article 56 contains standard provisions for
the exercise of delegations in line with Article 290 TFEU. This allows the
legislator to delegate to the Commission the power to adopt non-legislative
acts of general application to supplement or amend certain non-essential
elements of a legislative act (quasi-legislative acts).
|
|
Direktīvas 57. pantā ietverts
noteikums par komiteju procedūru, kas nepieciešama, lai piešķirtu
Komisijai īstenošanas pilnvaras gadījumos, kad saskaņā ar
LESD 291. pantu ir nepieciešami vienādi nosacījumi juridiski
saistošo Savienības aktu īstenošanai. Piemēro pārbaudes
procedūru.
|
Article 57 contains the provision for the
Committee procedure needed for conferring implementing powers on the Commission
in cases where, in accordance with Article 291 TFEU, uniform conditions for
implementing legally binding acts of the Union are needed. The examination
procedure applies.
|
|
3.4.9.
XI NODAĻA – NOBEIGUMA NOTEIKUMI
|
3.4.9.
CHAPTER X – FINAL PROVISIONS
|
|
Ar 58. pantu tiek atcelts
Pamatlēmums 2008/977/TI.
|
Article 58 repeals Framework Decision
2008/977/JHA.
|
|
Direktīvas 59. pantā ir
noteikts, ka netiek skarti īpaši noteikumi, kas iekļauti
Savienības tiesību aktos, kuri attiecas uz personas datu
apstrādi vai piekļuvi informācijas sistēmām
direktīvas darbības jomā un kuri pieņemti pirms šīs
direktīvas pieņemšanas, attiecībā uz personas datu
apstrādi, ko veic kompetentās iestādes, lai novērstu,
izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie
atbildības par tiem vai izpildītu kriminālsodus.
|
Article 59 sets out that specific
provisions with regard to the processing of personal data by competent authorities
for the purposes of prevention, investigation,
detection or prosecution of criminal offences or the execution of criminal
penalties in Union acts, regulating the processing of
personal data or the access to information systems within the scope of the
Directive, and adopted prior to the adoption of this Directive, remain
unaffected.
|
|
Direktīvas 60. pantā
precizēta šīs direktīvas saistība ar starptautiskiem
nolīgumiem, ko dalībvalstis iepriekš noslēgušas, tiesu
iestāžu un policijas iestāžu sadarbības krimināllietās
jomā.
|
Article 60 clarifies the relationship of
this Directive with previously concluded international agreements by Member
States in the field of judicial co-operation in criminal matters and police
co-operation.
|
|
Direktīvas 61. pantā ir
noteikts Komisijas pienākums izvērtēt direktīvas
īstenošanu un ziņot par to, lai novērtētu
nepieciešamību šai direktīvai pielāgot iepriekš pieņemtos
īpašos noteikumus, kas minēti 59. pantā.
|
Article 61 provides for the obligation of
the Commission to evaluate and report on the implementation of the Directive,
in order to assess the need to align the previously adopted specific provisions
referred to in Article 59 with this Directive.
|
|
Direktīvas 62. pantā ir
noteikts dalībvalstu pienākums transponēt šo direktīvu
savos valsts tiesību aktos un paziņot Komisijai noteikumus, kas
pieņemti, pamatojoties uz šo direktīvu.
|
Article 62 sets out the obligation of the
Member States to transpose the Directive in their national law and notify to
the Commission the provisions adopted pursuant to the Directive.
|
|
Direktīvas 63. pantā ir
noteikts šīs direktīvas spēkā stāšanās datums.
|
Article 63 determines the date of the entry
into force of the Directive.
|
|
Tās 64. pantā ir noteikti
direktīvas adresāti.
|
Article 64 lays down the addressees of this
Directive.
|
|
4. IETEKME UZ BUDŽETU
|
4. BUDGETARY IMPLICATIONS
|
|
Tiesību akta finanšu pārskats, kas
pievienots Vispārīgajai datu aizsardzības regulai, attiecas uz
regulas un šīs direktīvas ietekmi uz budžetu.
|
The legislative financial statement
accompanying the proposal for the General Data Protection Regulation covers the
budgetary impacts for the Regulation and this Directive.
|
|
2012/0010 (COD)
|
2012/0010 (COD)
|
|
Priekšlikums
|
Proposal for a
|
|
EIROPAS PARLAMENTA UN PADOMES
DIREKTĪVA
|
DIRECTIVE OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL
|
|
par fizisku personu aizsardzību
attiecībā uz personas datu apstrādi, ko veic kompetentās
iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus
nodarījumus, sauktu pie atbildības par tiem vai izpildītu
kriminālsodus, un par šādu datu brīvu apriti
|
on the protection of individuals with
regard to the processing of personal data by competent authorities for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties, and the free movement of such
data
|
|
EIROPAS PARLAMENTS UN EIROPAS
SAVIENĪBAS PADOME,
|
THE EUROPEAN PARLIAMENT AND THE
COUNCIL OF THE EUROPEAN EUROPEAN UNION,
|
|
ņemot vērā Līgumu par
Eiropas Savienības darbību un jo īpaši tā 16. panta
2. punktu,
|
Having regard to the Treaty on the
Functioning of the European Union, and in particular Article 16(2) thereof,
|
|
ņemot vērā Eiropas Komisijas
priekšlikumu,
|
Having regard to the proposal from the
European Commission,
|
|
pēc leģislatīvā akta
projekta nosūtīšanas valstu parlamentiem,
|
After transmission of the draft legislative
act to the national Parliaments,
|
|
pēc apspriešanās ar Eiropas Datu
aizsardzības uzraudzītāju[33],
|
After consulting the European Data
Protection Supervisor[33],
|
|
saskaņā ar parasto likumdošanas
procedūru,
|
Acting in accordance with the ordinary
legislative procedure,
|
|
tā kā:
|
Whereas:
|
|
(1)
Fizisku personu aizsardzība
attiecībā uz personas datu apstrādi ir pamattiesības.
Eiropas Savienības Pamattiesību hartas 8. panta 1. punkts
un Līguma par Eiropas Savienības darbību 16. panta
1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas
datu aizsardzību.
|
(1)
The protection of natural persons in relation to
the processing of personal data is fundamental right. Article 8(1) of the
Charter of Fundamental Rights of the European Union and Article 16(1) of the
Treaty of the Functioning of the European Union lay down that everyone has the
right to the protection of personal data concerning him or her.
|
|
(2)
Personas datu apstrādes mērķis ir
kalpot cilvēkam; noteikumiem par fizisku personu aizsardzību
attiecībā uz personas datu apstrādi un tās principiem
neatkarīgi no fiziskās personas valstspiederības vai
dzīvesvietas būtu jāievēro pamattiesības un
brīvības un jo īpaši tiesības uz personas datu aizsardzību.
Tiem būtu jāpalīdz izveidot brīvības, drošības un
tiesiskuma telpa.
|
(2)
The processing of personal data is designed to
serve man; the principles and rules on the protection of individuals with
regard to the processing of their personal data should, whatever the
nationality or residence of natural persons, respect their fundamental rights
and freedoms, notably their right to the protection of personal data. It should
contribute to the accomplishment of an area of freedom, security and justice.
|
|
(3)
Ātrā tehnoloģiju izaugsme un
globalizācija ir radījusi jaunas problēmas personas datu
aizsardzības jomā. Datu vākšanas un apmaiņas apjoms ir
dramatiski pieaudzis. Tehnoloģijas ļauj kompetentajām
iestādēm vēl nepieredzētā apjomā savas
darbības mērķiem izmantot personas datus.
|
(3)
Rapid technological developments and
globalisation have brought new challenges for the protection of personal data.
The scale of data collection and sharing has increased spectacularly.
Technology allows competent authorities to make use of personal data on an
unprecedented scale in order to pursue their activities.
|
|
(4)
Tādēļ ir nepieciešams atvieglot datu
brīvu apriti starp kompetentajām iestādēm
Savienībā un datu nosūtīšanu trešām valstīm un
starptautiskajām organizācijām, vienlaikus nodrošinot personas
datu augsta līmeņa aizsardzību. Šo pārmaiņu
dēļ ir nepieciešams izveidot stigru un saskaņotāku datu
aizsardzības regulējumu Savienībā, ko atbalsta ar stigru
izpildi.
|
(4)
This requires facilitating the free flow of data
between competent authorities within the Union and the transfer to third
countries and international organisations, while ensuring a high level of
protection of personal data. These developments require building a strong and
more coherent data protection framework in the Union, backed by strong
enforcement.
|
|
(5)
Eiropas Parlamenta un Padomes 1995. gada
24. oktobra Direktīva 95/46/EK par personu aizsardzību
attiecībā uz personas datu apstrādi un šādu datu brīvu
apriti[34] ir piemērojama
visām personas datu apstrādes darbībām
dalībvalstīs gan publiskajā, gan privātajā
sektorā. Tomēr to nepiemēro personas datu apstrādei "tādu
pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti",
piemēram, darbībām, kas veiktas, tiesu iestādēm un
policijai sadarbojoties krimināllietās.
|
(5)
Directive 95/46/EC of the European Parliament
and of the Council of 24 October 1995 on the protection of individuals with
regard to the processing of personal data and on the free movement of such data[34] applies to all personal data
processing activities in Member States in both the public and the private
sectors. However, it does not apply to the processing of personal data 'in the
course of an activity which falls outside the scope of Community law', such as
activities in the areas of judicial co-operation in criminal matters and police
co-operation.
|
|
(6)
Padomes 2008. gada 27. novembra
Pamatlēmums 2008/977/TI par tādu personas datu aizsardzību,
ko apstrādā, policijas un tiesu iestādēm sadarbojoties
krimināllietās[35], ir piemērojams
tiesu iestāžu sadarbībai krimināllietās un policijas
sadarbībai. Šā pamatlēmuma piemērošanas joma būtu
jāattiecina tikai uz tādu personas datu apstrādi, kurus
nosūta starp dalībvalstīm vai kurus dara savstarpēji
pieejamus.
|
(6)
Council Framework Decision 2008/977/JHA of 27
November 2008 on the protection of personal data processed in the framework of
police and judicial co-operation in criminal matters[35] applies in the areas of
judicial co-operation in criminal matters and police co-operation. The scope of
application of this Framework Decision is limited to the processing of personal
data transmitted or made available between Member States.
|
|
(7)
Konsekventas un augsta līmeņa personas
datu aizsardzības nodrošināšana personām un personas datu
apmaiņas veicināšana starp dalībvalstu kompetentajām
iestādēm ir būtiska, lai nodrošinātu efektīvu
policijas un tiesu iestāžu sadarbību krimināllietās.
Šajā nolūkā personu tiesību un brīvību
aizsardzības līmenim attiecībā uz personas datu
apstrādi, ko veikušas kompetentās iestādes, lai novērstu,
izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie
atbildības par tiem vai izpildītu kriminālsodus, ir
jābūt vienādam visās dalībvalstīs. Lai personas
datu aizsardzība visā Savienībā būtu efektīva,
nepieciešams stiprināt datu subjektu tiesības un to personu
pienākumus, kas apstrādā personas datus, turklāt
nepieciešams piešķirt arī līdzvērtīgas pilnvaras
uzraudzīt un nodrošināt personas datu aizsardzības noteikumu
ievērošanu dalībvalstīs.
|
(7)
Ensuring a consistent and high level of
protection of the personal data of individuals and facilitating the exchange of
personal data between competent authorities of Members States is crucial in
order to ensure effective judicial co-operation in criminal matters and police
cooperation. To that aim, the level of protection of the rights and freedoms of
individuals with regard to the processing of personal data by competent
authorities for the purposes of prevention, investigation, detection or
prosecution of criminal offences or the execution of criminal penalties must be
equivalent in all Member States. Effective protection of personal data
throughout the Union requires strengthening the rights of data subjects and the
obligations of those who process personal data, but also equivalent powers for
monitoring and ensuring compliance with the rules for the protection of
personal data in the Member States.
|
|
(8)
Līguma par Eiropas Savienības
darbību 16. panta 2. punktā ir noteikts, ka Eiropas
Parlamentam un Padomei būtu jāparedz noteikumi par fizisko personu
aizsardzību attiecībā uz personas datu apstrādi un
noteikumi par šādu datu brīvu apriti.
|
(8)
Article 16(2) of the Treaty on the Functioning
of the European Union provides that the European Parliament and the Council should
lay down the rules relating to the protection of individuals with regard to the
processing of personal data and the rules relating to the free movement of
personal data.
|
|
(9)
Balstoties uz to, Eiropas Parlamenta un Padomes
Regula ES …./2012 par fizisku personu aizsardzību attiecībā uz
personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā
datu aizsardzības regula) nosaka vispārīgos noteikumus, lai
aizsargātu fiziskas personas attiecībā uz to personas datu
apstrādi un nodrošinātu personas datu brīvu apriti Savienībā.
|
(9)
On that basis, Regulation EU …../2012 of the
European Parliament and of the Council on the protection of individuals with
regard to the processing of personal data and on the free movement of such data
(General Data Protection Regulation) lays down general rules to protect of
individuals in relation to the processing of personal data and to ensure the
free movement of personal data within the Union.
|
|
(10)
21. deklarācijā par personas datu
aizsardzību tiesu iestāžu sadarbībā
krimināllietās un policijas sadarbībā, kas pievienota
Lisabonas līgumu pieņēmušās Starpvaldību konferences
Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši
noteikumi par personas datu aizsardzību un par to brīvu apriti tiesu
iestāžu sadarbībā krimināllietās un policijas
sadarbībā, pamatojoties uz Līguma par Eiropas Savienības
darbību 16. pantu, šo jomu īpašo iezīmju dēļ.
|
(10)
In Declaration 21 on the protection of personal
data in the fields of judicial co-operation in criminal matters and police co-operation,
annexed to the final act of the intergovernmental conference which adopted the
Treaty of Lisbon, the Conference acknowledged that specific rules on the
protection of personal data and the free movement of such data in the fields of
judicial co-operation in criminal matters and police co-operation based on
Article 16 of the Treaty on the Functioning of the European Union may prove
necessary because of the specific nature of these fields.
|
|
(11)
Tādēļ atsevišķā
direktīvā būtu jāņem vērā šo jomu
īpašās iezīmes un jāparedz noteikumi par personu
aizsardzību attiecībā uz personas datu apstrādi, ko
kompetentās iestādes veic, lai novērstu, izmeklētu,
atklātu noziedzīgus nodarījumus, sauktu pie atbildības par
tiem vai izpildītu kriminālsodus.
|
(11)
Therefore a distinct Directive should meet the
specific nature of these fields and lay down the rules relating to the
protection of individuals with regard to the processing of personal data by
competent authorities for the purposes of prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties.
|
|
(12)
Lai nodrošinātu personām vienāda
līmeņa aizsardzību, izmantojot juridiski īstenojamas
tiesības, visā Savienībā un novērstu
atšķirības, kas traucē personas datu apmaiņu starp
kompetentajām iestādēm, direktīvai būtu jānosaka
saskaņoti noteikumi personas datu aizsardzībai un brīvai apritei
policijas un tiesu iestāžu sadarbībā krimināllietās.
|
(12)
In order to ensure the same level of protection
for individuals through legally enforceable rights throughout the Union and to
prevent divergences hampering the exchange of personal data between competent
authorities, the Directive should provide harmonised rules for the protection
and the free movement of personal data in the areas of judicial co-operation in
criminal matters and police co-operation.
|
|
(13)
Šī direktīva atļauj ņemt
vērā principu par publisku piekļuvi oficiāliem dokumentiem,
piemērojot direktīvā paredzētos noteikumus.
|
(13)
This Directive allows the principle of public
access to official documents to be taken into account when applying the
provisions set out in this Directive.
|
|
(14)
Šajā direktīvā noteiktajai
aizsardzībai saistībā ar personas datu apstrādi būtu
jāattiecas uz fiziskām personām neatkarīgi no to
valstspiederības vai dzīvesvietas.
|
(14)
The protection afforded by this Directive should
concern natural persons, whatever their nationality or place of residence, in
relation to the processing of personal data.
|
|
(15)
Fizisku personu aizsardzībai vajadzētu
būt tehnoloģiski neitrālai un neatkarīgai no izmantotajiem
paņēmieniem, jo pretējā gadījumā tas radītu
nopietnu likuma apiešanas risku. Fizisku personu aizsardzībai būtu
jāattiecas gan uz personas datu apstrādi ar automatizētiem
līdzekļiem, gan uz datu manuālu apstrādi, ja dati ir
ietverti vai tos paredzēts ietvert kartotēkā. Šīs
direktīvas piemērošanas jomā neietilpst datnes vai datņu
kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši
speciāliem kritērijiem. Šī direktīva nebūtu
jāpiemēro personas datu apstrādei tādas darbības
gaitā, kas ir ārpus Savienības tiesību aktu darbības jomas,
jo īpaši attiecībā uz valsts drošību, vai datiem, kurus
apstrādā Savienības iestādes, struktūras, biroji un
aģentūras, piemēram, Eiropas Policijas birojs vai Eurojust.
|
(15)
The protection of individuals should be
technological neutral and not depend on the techniques used; otherwise this
would create a serious risk of circumvention. The protection of individuals
should apply to processing of personal data by automated means, as well as to
manual processing if the data are contained or are intended to be contained in
a filing system. Files or sets of files as well as their cover pages, which are
not structured according to specific criteria, should not fall within the scope
of this Directive. This Directive should not apply to the processing of
personal data in the course of an activity which falls outside the scope of
Union law, in particular concerning national security, or to data processed by
the Union institutions, bodies, offices and agencies, such as Europol or
Eurojust.
|
|
(16)
Aizsardzības principi būtu
jāattiecina uz jebkādu informāciju par identificētu vai
identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir
identificējama, būtu jāņem vērā visi
līdzekļi, ko pārzinis vai kāda cita persona pamatoti
varētu izmantot, lai identificētu personu. Aizsardzības
principus nebūtu jāpiemēro datiem, ko sniedz anonīmi —
tā, ka datu subjekts vairs nav identificējams.
|
(16)
The principles of protection should apply to any
information concerning an identified or identifiable natural person. To
determine whether a natural person is identifiable, account should be taken of all
the means likely reasonably to be used either by the controller or by any other
person to identify the individual. The principles of data protection should not
apply to data rendered anonymous in such a way that the data subject is no
longer identifiable.
|
|
(17)
Personas veselības datiem īpaši būtu
jāaptver visi dati, kas norāda uz datu subjekta veselības
stāvokli, informācija par personas reģistrāciju ar
veselību saistītu pakalpojumu saņemšanai; informāciju par
maksājumiem vai tiesībām saņemt veselības aprūpi;
numuru, simbolu vai zīmi, kas piešķirta personai, lai to
viennozīmīgi identificētu veselības aprūpes
nolūkos; jebkuru informāciju par personu, ko vāc ar
veselības aprūpi saistītu pakalpojumu sniegšanas laikā;
informāciju, kas iegūta, pārbaudot vai izmeklējot kādu
ķermeņa daļu vai no tā iegūtu materiālu, tai
skaitā bioloģiskus paraugus; informāciju, kas identificē
kādu personu kā veselības aprūpes pakalpojumu
sniedzēju personai; vai citu informāciju par, piemēram,
slimību, traucējumiem, slimības risku, slimības
vēsturi, klīnisko aprūpi vai par aktuālo datu subjekta
fizisko vai biomedicīnisko stāvokli, neatkarīgi no tās
avota, piemēram, ārsta vai cita veselības aprūpes nozares
pārstāvja, slimnīcas, medicīniskas ierīces vai in
vitro diagnostikas testa.
|
(17)
Personal data relating to health should include
in particular all data pertaining to the health status of a data subject,
information about the registration of the individual for the provision of
health services; information about payments or eligibility for healthcare with
respect to the individual; a number, symbol or particular assigned to an
individual to uniquely identify the individual for health purposes; any
information about the individual collected in the course of the provision of
health services to the individual; information derived from the testing or
examination of a body part or bodily substance, including biological samples;
identification of a person as provider of healthcare to the individual; or any
information on, for example; a disease, disability, disease risk, medical
history, clinical treatment, or the actual physiological or biomedical state of
the data subject independent of its source, e.g. from a physician or other
health professional, a hospital, a medical device, or an in vitro diagnostic
test.
|
|
(18)
Jebkurai personas datu apstrādei būtu
jābūt godprātīgai un likumīgai attiecībā
pret personām. Jo īpaši konkrētajiem datu apstrādes
nolūkiem būtu jābūt skaidri noteiktiem.
|
(18)
Any processing of personal data must be fair and
lawful in relation to the individuals concerned. In particular, the specific
purposes for which the data are processed should be explicit.
|
|
(19)
Noziedzīgu nodarījumu novēršanai,
izmeklēšanai un saukšanai pie atbildības par tiem ir nepieciešams,
lai kompetentās iestādes glabā un apstrādā personas
datus, kas savākti saistībā ar konkrētu noziedzīgu
nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu
pie atbildības par tiem ārpus šā konteksta, lai iegūtu
izpratni par noziedzības parādībām un tendencēm, lai
iegūtu informāciju par organizētiem noziedzīgiem
tīkliem un konstatētu saikni starp dažādiem atklātajiem
nodarījumiem.
|
(19)
For the prevention, investigation and
prosecution of criminal offences, it is necessary for competent authorities to
retain and process personal data, collected in the context of the prevention,
investigation, detection or prosecution of specific criminal offences beyond
that context to develop an understanding of criminal phenomena and trends, to
gather intelligence about organised criminal networks, and to make links
between different offences detected.
|
|
(20)
Personas dati nebūtu jāapstrādā
tādiem nolūkiem, kas nav savienojami ar tiem nolūkiem, kuriem
dati ir savākti. Personas datiem vajadzētu būt piemērotiem,
atbilstīgiem un nevajadzētu būt pārmērīgiem
saistībā ar nolūkiem, kuriem dati tiek apstrādāti.
Būtu jāveic visi pamatoti pasākumi, lai nodrošinātu, ka
neprecīzi personas dati tiek laboti vai dzēsti.
|
(20)
Personal data should not be processed for
purposes incompatible with the purpose for which it was collected. Personal
data should be adequate, relevant and not excessive for the purposes for which
the personal data are processed. Every reasonable step should be taken to
ensure that personal data which are inaccurate should be rectified or erased.
|
|
(21)
Datu precizitātes princips būtu
jāpiemēro, ņemot vērā attiecīgās
apstrādes būtību un nolūkus. Jo īpaši
tiesvedībā izteikumi, kas satur personas datus, balstās uz
personu subjektīvu uztveri un dažos gadījumos tos ne vienmēr var
pārbaudīt. Attiecīgi prasībai par precizitāti
nebūtu jāattiecas uz izteikuma precizitāti, bet vienīgi uz
to, ka ir izdarīts konkrēts izteikums.
|
(21)
The principle of accuracy of data should be
applied taking account of the nature and purpose of the processing concerned.
In particular in judicial proceedings, statements containing personal data are
based on the subjective perception of individuals and are in some cases not
always verifiable. Consequently, the requirement of accuracy should not
appertain to the accuracy of a statement but merely to the fact that a specific
statement has been made.
|
|
(22)
Kompetentajām iestādēm,
interpretējot un piemērojot vispārējos personas datu
apstrādes principus, lai novērstu, izmeklētu, atklātu
noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai
izpildītu kriminālsodus, būtu jāņem vērā
nozares īpatnības, tai skaitā sasniedzamie mērķi.
|
(22)
In the interpretation and application of the
general principles relating to personal data processing by competent
authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, account should be taken of the
specificities of the sector, including the specific objectives pursued.
|
|
(23)
Personas datu apstrādei, kas tiek veikta,
policijai un tiesu iestādēm sadarbojoties krimināllietās,
ir raksturīgi, ka tiek apstrādi personas dati, kas attiecas uz
dažādām datu subjektu kategorijām. Tāpēc ir
nepieciešams, cik vien iespējams, skaidri nodalīt dažādu datu
subjektu kategoriju personas datus, piemēram, aizdomās turēto,
notiesāto, cietušo un trešo personu, piemēram, liecinieku, personu,
kam ir attiecīga informāciju vai kontakti, un aizdomās
turēto un notiesāto līdzdalībnieku personas datus.
|
(23)
It is inherent to the processing of personal data
in the areas of judicial co-operation in criminal matters and police
co-operation that personal data relating to different categories of data
subjects are processed. Therefore a clear distinction should as far as possible
be made between personal data of different categories of data subjects such as suspects,
persons convicted of a criminal offence, victims and third parties, such as
witnesses, persons possessing relevant information or contacts and associates
of suspects and convicted criminals.
|
|
(24)
Cik vien iespējams, personas dati būtu
jānošķir atkarībā no to precizitātes un
uzticamības pakāpes. Fakti būtu jānošķir no
personiskiem vērtējumiem, lai nodrošinātu gan personu
aizsardzību, gan kompetento iestāžu rīcībā esošās
informācijas kvalitāti un uzticamību.
|
(24)
As far as possible personal data should be
distinguished according to the degree of their accuracy and reliability. Facts
should be distinguished from personal assessments, in order to ensure both the
protection of individuals and the quality and reliability of the information
processed by the competent authorities.
|
|
(25)
Lai tā būtu likumīga, personas datu
apstrādei vajadzētu būt nepieciešamai, lai izpildītu
pārzinim uzliktu tiesisku pienākumu, lai izpildītu likumā
noteiktu uzdevumu, ko kompetentā iestāde veic sabiedrības
interesēs, vai lai aizsargātu datu subjekta vai citas personas
īpaši svarīgas intereses, vai lai novērstu tiešus un nopietnus
draudus sabiedrības drošībai.
|
(25)
In order to be lawful, the processing of
personal data should be necessary for compliance with a legal obligation to
which the controller is subject, for the performance of a task carried out in
the public interest by a competent authority based on law or in order to
protect the vital interests of the data subject or of another person, or for
the prevention of an immediate and serious threat to public security.
|
|
(26)
Personas dati, kas pēc savas būtības
ir īpaši sensitīvi saistībā ar pamattiesībām vai
privātumu, ir īpaši jāaizsargā. Šādi dati nebūtu
jāapstrādā, ja vien apstrādi īpaši neatļauj ar
likumu, kurā noteikti piemēroti pasākumi, lai aizsargātu
datu subjekta likumīgās intereses; vai apstrāde ir nepieciešama,
lai aizsargātu datu subjekta vai citas personas īpaši svarīgas
intereses; vai apstrāde attiecas uz datiem, kurus datu subjekts
apzināti ir publiskojis.
|
(26)
Personal data which are, by their nature,
particularly sensitive in relation to fundamental rights or privacy, including
genetic data, deserve specific protection. Such data should not be processed,
unless processing is specifically authorised by a law which provides for
suitable measures to safeguard the data subject's legitimate interests; or
processing is necessary to protect the vital interests of the data subject or
of another person; or the processing
relates to data which are manifestly made public by the data subject.
|
|
(27)
Katrai fiziskai personai vajadzētu būt
tiesībām nebūt par tāda pasākuma subjektu, kas
balstās tikai uz automatizētu apstrādi, ja tas rada
negatīvas juridiskās sekas šai personai, ja vien tas nav atļauts
ar likumu un uz to neattiecas piemēroti pasākumi, lai
nodrošinātu datu subjekta likumīgās intereses.
|
(27)
Every natural person should have the right not
to be subject to a measure which is based solely on automated processing if it produces
an adverse legal effect for that person, unless authorised by law and subject
to suitable measures to safeguard the data subject’s legitimate interests.
|
|
(28)
Lai īstenotu savas tiesības,
informācijai, kura sniedzama datu subjektam, vajadzētu būt
viegli pieejamai un viegli saprotamai, tai skaitā būtu jāizmanto
skaidra un vienkārša valoda.
|
(28)
In order to exercise their rights, any
information to the data subject should be easily accessible and easy to
understand, including the use of clear and plain language.
|
|
(29)
Būtu jāparedz kārtība, kas
atvieglotu datu subjektam šajā direktīvā paredzēto
tiesību izmantošanu, tai skaitā mehānismi, lai bez maksas
pieprasītu piekļuvi datiem, to labošanu un dzēšanu.
Pārzinim būtu jāuzliek pienākums atbildēt uz datu
subjekta pieprasījumiem bez nepamatotas kavēšanās.
|
(29)
Modalities should be provided for facilitating
the data subject’s exercise of their rights under this Directive, including
mechanisms to request, free of charge, in particular access to data,
rectification and erasure. The controller should be obliged to respond to
requests of the data subject without undue delay.
|
|
(30)
Godprātīgas apstrādes princips
nozīmē, ka datu subjektiem vajadzētu būt informētiem
jo īpaši par apstrādes darbībām un to nolūkiem, datu
glabāšanas ilgumu, par piekļuves, labošanas vai dzēšanas
tiesībām un par tiesībām iesniegt sūdzību. Ja
datus vāc no datu subjekta, datu subjekts būtu jāinformē,
vai viņam ir pienākums sniegt datus un kādas būs sekas, ja
viņš šos datus nesniegs.
|
(30)
The principle of fair processing requires that
the data subjects should be informed in particular of the existence of the
processing operation and its purposes, how long the data will be stored, on the
existence of the right of access, rectification or erasure and on the right to
lodge a complaint. Where the data are collected from the data subject, the data
subject should also be informed whether they are obliged to provide the data
and of the consequences, in cases they do not provide such data.
|
|
(31)
Informācija par datu subjekta personas datu
apstrādi būtu tam jāsniedz datu ieguves brīdī vai, ja
datus neiegūst no datu subjekta, datu reģistrēšanas
brīdī vai saprātīgā termiņā pēc datu
savākšanas, ņemot vērā īpašos apstākļus,
kādos dati tiek apstrādāti.
|
(31)
The information in relation to the processing of
personal data relating to the data subject should be given to them at the time
of collection, or, where the data are not obtained from the data subject, at
the time of the recording or within a reasonable period after the collection
having regard to the specific circumstances in which the data are processed.
|
|
(32)
Jebkurai personai vajadzētu būt
tiesībām piekļūt datiem, kas par viņu savākti, un
būtu jāvar viegli izmantot šīs tiesības, lai apzinātu
un pārbaudītu apstrādes likumību. Tādēļ
katram datu subjektam vajadzētu būt tiesībām zināt par
apstrādi un saņemt paziņojumu jo īpaši par nolūkiem,
kuriem dati tiek apstrādāti, un apstrādes laikposmu, par to,
kuri saņēmēji saņems datus, tai skaitā trešajās
valstīs. Datu subjektiem būtu jāvar saņemt savu
apstrādāto personas datu kopiju.
|
(32)
Any person should have the right of access to
data which has been collected concerning them, and to exercise this right
easily, in order to be aware of and verify the lawfulness of the processing.
Every data subject should therefore have the right to know about and obtain
communication in particular of the purposes for which the data are processed,
for what period, which recipients receive the data, including in third
countries Data subjects should be allowed to receive a copy of their personal data
which are being processed.
|
|
(33)
Būtu jāļauj dalībvalstīm
pieņemt tiesību aktus, ar kuriem atliek, ierobežo vai nesniedz datu
subjektiem informāciju vai piekļuvi saviem personas datiem,
ciktāl šāds pilnīgs vai daļējs ierobežojums,
ņemot vērā skartās personas likumīgās intereses,
ir nepieciešams un samērīgs pasākums demokrātiskā
sabiedrībā, lai novērstu, ka tiek traucēta oficiāla
vai tiesas pārbaude, izmeklēšana vai procedūra, lai
novērstu, ka tiek ietekmēta noziedzīgu nodarījumu
novēršana, atklāšana, izmeklēšana, saukšana pie atbildības
par tiem vai kriminālsodu izpilde, lai aizsargātu sabiedrības
vai valsts drošību vai lai aizsargātu datu subjektu vai citu personu
tiesības un brīvības.
|
(33)
Member States should be allowed to adopt
legislative measures delaying, restricting or omitting the information of data
subjects or the access to their personal data to the extent that and as long as
such partial or complete restriction constitutes a necessary and proportionate
measure in a democratic society with due regard for the legitimate interests of
the person concerned, to avoid obstructing official or legal inquiries,
investigations or procedures, to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or for the execution of
criminal penalties, to protect public security or national security, or, to
protect the data subject or the rights and freedoms of others.
|
|
(34)
Visi atteikumi vai piekļuves ierobežojumi
būtu rakstiski jāsniedz datu subjektam, iekļaujot faktiskos vai
tiesiskos iemeslus, uz kuriem lēmums balstās.
|
(34)
Any refusal or restriction of access should be
set out in writing to the data subject including the factual or legal reasons
on which the decision is based.
|
|
(35)
Ja dalībvalstis ir pieņēmušas
leģislatīvus pasākumus, ar kuriem pilnībā vai
daļēji ierobežo piekļuves tiesības, datu subjektam
vajadzētu būt tiesībām pieprasīt, lai kompetentā
uzraudzības iestāde pārbauda apstrādes likumību. Datu
subjekts būtu jāinformē par šīm tiesībām. Ja
piekļuvi īsteno uzraudzības iestāde datu subjekta
vārdā, uzraudzības iestādei būtu jāinformē datu
subjekts vismaz par to, ka visas nepieciešamās uzraudzības
iestādes pārbaudes ir notikušas, un par to rezultātu
attiecībā uz šis apstrādes likumību.
|
(35)
Where Member States have adopted legislative
measures restricting wholly or partly the right to access, the data subject should
have the right to request that the competent national supervisory authority
checks the lawfulness of the processing. The data subject should be informed of
this right. When access is exercised by the supervisory authority on behalf of
the data subject, the data subject should be informed by the supervisory
authority at least that all necessary verifications by the supervisory
authority have taken place and of the result as regards to the lawfulness of
the processing in question.
|
|
(36)
Visām personām vajadzētu būt
tiesībām, lai neprecīzi personas dati, kas uz tām attiecas,
tiktu laboti, un tiesībām uz datu dzēšanu, ja šādu datu
apstrāde neatbilst galvenajiem principiem, kuri noteikti šajā
direktīvā. Ja personas dati tiek apstrādāti
kriminālizmeklēšanas un tiesas procesa gaitā, labojumus,
tiesības uz informāciju, piekļuvi, dzēšanu un
apstrādes ierobežošanu var īstenot saskaņā ar valsts
tiesību aktiem par tiesvedību.
|
(36)
Any person should have the right to have inaccurate
personal data concerning them rectified and the right of erasure where the
processing of such data is not in compliance with the main principles laid down
in this Directive. Where the personal data are processed in the course of a criminal
investigation and proceedings,, rectification, the rights of information,
access, erasure and restriction of processing may be carried out in accordance
with national rules on judicial proceedings.
|
|
(37)
Būtu jāparedz pārziņa
vispusīga atbildība par personas datu apstrādi, ko veic
pārzinis vai pārziņa vārdā. Pārzinim jo
īpaši būtu jānodrošina apstrādes darbību
atbilstība noteikumiem, kas pieņemti, pamatojoties uz šo
direktīvu.
|
(37)
Comprehensive responsibility and liability of
the controller for any processing of personal data carried out by the
controller or on the controller's behalf should be established. In particular,
the controller should ensure the compliance of processing operations with the
rules adopted pursuant to this Directive.
|
|
(38)
Datu subjektu tiesību un brīvību
aizsardzībai attiecībā uz personas datu apstrādi ir
nepieciešams, lai tiktu veikti pienācīgi tehniskie un
organizatoriskie pasākumi, lai nodrošinātu šīs direktīvas
prasību izpildi. Lai nodrošinātu, ka noteikumi, kas pieņemti,
pamatojoties uz šo direktīvu, ir ievēroti, pārzinim būtu
jāpieņem vadlīnijas un jāīsteno atbilstoši
pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības
un datu aizsardzības pēc noklusējuma principiem.
|
(38)
The protection of the rights and freedoms of
data subjects with regard to the processing of personal data requires that
appropriate technical and organisational measures be taken to ensure that the
requirements of the Directive are met. In order to ensure compliance with the
provisions adopted pursuant to this Directive, the controller should adopt
policies and implement appropriate measures, which meet in particular the
principles of data protection by design and data protection by default.
|
|
(39)
Datu subjekta tiesību un brīvību
aizsardzība, kā arī pārziņa un
apstrādātāja pienākumi un atbildība, prasa skaidri
sadalīt pienākumus saskaņā ar šo direktīvu, tostarp
arī tajos gadījumos, kad pārzinis apstrādes nolūkus,
nosacījumus un līdzekļus nosaka kopā ar citiem pārziņiem
vai gadījumos, kad apstrādes darbības tiek veiktas
pārziņa vārdā.
|
(39)
The protection of the rights and freedoms of
data subjects as well as the responsibility and liability of controllers and
processors requires a clear attribution of the responsibilities under this
Directive, including where a controller determines the purposes, conditions and
means of the processing jointly with other controllers or where a processing
operation is carried out on behalf of a controller.
|
|
(40)
Pārzinim vai apstrādātājam
apstrādes darbības būtu jādokumentē, lai
uzraudzītu direktīvas ievērošanu. Katram pārzinim un
apstrādātājam vajadzētu būt pienākumam sadarboties
ar uzraudzības iestādi un pēc pieprasījuma darīt šo
dokumentāciju pieejamu, lai tā varētu kalpot apstrādes
darbību uzraudzības vajadzībām.
|
(40)
Processing activities should be documented by
the controller or processor, in order to monitor compliance with this
Directive. Each controller and processor should be obliged to co-operate with
the supervisory authority and make this documentation available upon request,
so that it might serve for monitoring processing operations. .
|
|
(41)
Lai nodrošinātu datu subjektu tiesību un
brīvību efektīvu aizsardzību ar preventīvu
pasākumu palīdzību, pārzinim un apstrādātajam
noteiktos gadījumos pirms apstrādes būtu jāapspriežas ar
uzraudzības iestādi.
|
(41)
In order to ensure effective protection of the
rights and freedoms of data subjects by way of preventive actions, the
controller or processor should consult with the supervisory authority in
certain cases prior to the processing.
|
|
(42)
Ja uz personas datu aizsardzības
pārkāpumiem nereaģē pienācīgi un savlaicīgi,
tie var radīt kaitējumu attiecīgajai personai, tai skaitā
reputācijas aizskārumu. Tādēļ, tiklīdz
pārzinis uzzina par šādu pārkāpumu, tam būtu
jāpaziņo par pārkāpumu kompetentajai valsts iestādei.
Personas, kuru datus vai privātumu var negatīvi ietekmēt šis
pārkāpums, būtu bez kavēšanās jāinformē, lai
tie varētu veikt nepieciešamos piesardzības pasākumus.
Pārkāpumu būtu jāuzskata par tādu, kas var
negatīvi ietekmēt datu subjekta personas datus vai privāto
dzīvi, ja tā rezultātā iespējama, piemēram,
identitātes zādzība vai viltošana, fizisks kaitējums,
nopietns pazemojums vai reputācijas aizskārums saistībā ar
personas datu apstrādi.
|
(42)
A personal data breach may, if not addressed in
an adequate and timely manner, result in harm, including reputational damage to
the individual concerned. Therefore, as soon as the controller becomes aware
that such a breach has occurred, it should notify the breach to the competent
national authority. The individuals whose personal data or privacy could be
adversely affected by the breach should be notified without undue delay in
order to allow them to take the necessary precautions. A breach should be
considered as adversely affecting the personal data or privacy of an individual
where it could result in, for example, identity theft or fraud, physical harm,
significant humiliation or damage to reputation in connection with the
processing of personal data.
|
|
(43)
Nosakot sīki izstrādātus noteikumus
par formātu un kārtību, kādā jāpaziņo par
personas datu aizsardzības pārkāpumiem, būtu
pienācīgi jāņem vērā apstākļi,
kādos noticis pārkāpums, tostarp tas, vai personas dati ir
bijuši aizsargāti ar piemērotiem tehniskiem
aizsarglīdzekļiem, ar kuru palīdzību var efektīvi
ierobežot ļaunprātīgas izmantošanas iespējamību.
Turklāt, izstrādājot šādus noteikumus un kārtību,
būtu jāņem vērā kompetento iestāžu
likumīgās intereses gadījumos, kad priekšlaicīga izpaušana
varētu nevajadzīgi kavēt pārkāpuma apstākļu
izmeklēšanu.
|
(43)
In setting detailed rules concerning the format
and procedures applicable to the notification of personal data breaches, due
consideration should be given to the circumstances of the breach, including
whether or not personal data had been protected by appropriate technical
protection measures, effectively limiting the likelihood of misuse. Moreover,
such rules and procedures should take into account the legitimate interests of
competent authorities in cases where early disclosure could unnecessarily
hamper the investigation of the circumstances of a breach.
|
|
(44)
Pārzinim vai apstrādātajam būtu
jānosaka persona, kura palīdzētu pārzinim vai
apstrādātājam uzraudzīt to noteikumu ievērošanu, kuri
pieņemti, pamatojoties uz šo direktīvu. Datu apstrādes
amatpersonu var iecelt vairākas kompetentās iestādes
vienības kopīgi. Datu aizsardzības inspektoriem ir
jābūt spējīgiem veikt savus pienākumus un uzdevumus
neatkarīgi un efektīvi.
|
(44)
The controller or the processor should designate
a person who would assist the controller or processor to monitor compliance
with the provisions adopted pursuant to this Directive. A data protection
officer may be appointed jointly by several entities of the competent authority.
The data protection officers must be in a position to perform their duties and
tasks independently and effectively.
|
|
(45)
Dalībvalstīm būtu jānodrošina,
ka nosūtīšana uz trešo valsti tiek veikta tikai, ja tā ir
nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus
nodarījumus, sauktu pie atbildības par tiem vai izpildītu
kriminālsodus, un pārzinis trešā valstī vai
starptautiskajā organizācijā ir kompetenta iestāde šīs
direktīvas izpratnē. Nosūtīšana var notikt gadījumos,
kad Komisija ir nolēmusi, ka attiecīga trešā valsts vai
starptautiskā organizācija nodrošina pietiekamu aizsardzības
līmeni vai ir noteikti atbilstoši aizsardzības pasākami.
|
(45)
Member States should ensure that a transfer to a
third country only takes place if it is necessary for the prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, and the controller in the third country or international
organisation is an authority competent within the meaning of this Directive. A
transfer may take place in cases where the Commission has decided that the
third country or international organisation in question ensures an adequate
level or protection, or when appropriate safeguards have been adduced.
|
|
(46)
Komisija var nolemt attiecībā uz visu
Savienību, ka konkrēta trešā valsts, trešās valsts
teritorija vai apstrādes nozare vai starptautiska organizācija
nodrošina pietiekamu datu aizsardzības līmeni,
tādējādi nodrošinot tiesisko noteiktību un vienotību
visā Savienībā attieksmē pret trešām valstīm vai
starptautiskām organizācijām, par kurām uzskata, ka
tās nodrošina šādu aizsardzības līmeni. Šādos
gadījumos personas datus uz šīm valstīm var nosūtīt un
nav vajadzīgs saņemt nekādu citu atļauju.
|
(46)
The Commission may decide with effect for the
entire Union that certain third countries, or a territory or a processing
sector within a third country, or an international organisation, offer an
adequate level of data protection, thus providing legal certainty and
uniformity throughout the Union as regards the third countries or international
organisations which are considered to provide such level of protection. In
these cases, transfers of personal data to these countries may take place without
needing to obtain any further authorisation.
|
|
(47)
Saskaņā ar pamatvērtībām,
uz kurām balstās Savienība, un jo īpaši
cilvēktiesību aizsardzību, Komisijai būtu jāņem
vērā, kā trešā valstī ir ievērots tiesiskums,
tiesu pieejamība, kā arī starptautiskās
cilvēktiesību normas un standarti.
|
(47)
In line with the fundamental values on which the
Union is founded, in particular the protection of human rights, the Commission
should take into account how the rule of law, access to justice, as well as international
human rights norms and standards, in that third country are respected.
|
|
(48)
Komisija tāpat būtu jāvar
atzīt, ka trešā valsts, trešās valsts teritorija vai
apstrādes nozare, vai starptautiska organizācija nenodrošina
pietiekamu aizsardzības līmeni. Attiecīgi personas datu
nosūtīšana uz šo trešo valsti būtu jāaizliedz, izņemot
gadījumus, kad tā balstās uz starptautisku nolīgumu,
atbilstošiem aizsardzības pasākumiem vai atkāpi. Būtu
jāparedz noteikumi par apspriešanās procesu starp Komisiju un
šādu trešo valsti vai starptautisku organizāciju. Tomēr
šādam Komisijas lēmumam nebūtu jāskar iespēja veikt
nosūtīšanu, balstoties uz atbilstošiem aizsardzības
pasākumiem vai uz atkāpi, kas paredzēta direktīvā.
|
(48)
The Commission should equally be able to
recognise that a third country, or a territory or a processing sector within a
third country, or an international organisation, does not offer an adequate
level of data protection. Consequently the transfer of personal data to that
third country should be prohibited except when they are based on an
international agreement, appropriate safeguards or a derogation. Provision
should be made for procedures for consultations between the Commission and such
third countries or international organisations. However, such a Commission
decision shall be without prejudice to the possibility to undertake transfers
on the basis of appropriate safeguards or on the basis of a derogation laid
down in the Directive.
|
|
(49)
Nosūtīšana, kas nebalstās uz
šādu lēmumu par aizsardzības līmeņa pietiekamību,
būtu jāatļauj tikai gadījumā, ja juridiski
saistošā instrumentā ir noteikti atbilstoši aizsardzības
pasākumi, kuri nodrošina personas datu aizsardzību, vai ja
pārzinis vai apstrādātājs ir izvērtējis visas
datu nosūtīšanas darbības vai darbību kopuma
apstākļus un, pamatojoties uz šo novērtējumu, uzskata, ka
pastāv atbilstoši aizsardzības pasākumi personas datu
aizsardzībai. Gadījumos, kad nepastāv iemesli, lai atļautu
datu nosūtīšanu, būtu jāatļauj atkāpes, ja
tās ir nepieciešamas, lai nodrošinātu datu subjekta vai citas
personas īpaši svarīgas intereses vai aizsargātu datu subjekta
likumīgas intereses, ja to nosaka tās dalībvalsts likums, kura
nosūta personas datus, vai ja tās ir nepieciešamas, lai novērstu
tiešus un nopietnus draudus sabiedrības drošībai šajā
dalībvalstī vai trešā valstī, vai individuālos
gadījumos – lai novērstu, izmeklētu, atklātu
noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai
izpildītu kriminālsodus, vai atsevišķos gadījumos – lai pamatotu,
īstenotu vai aizstāvētu tiesiskus prasījumus.
|
(49)
Transfers not based on such an adequacy decision
should only be allowed where appropriate safeguards have been adduced in a
legally binding instrument, which ensure the protection of the personal data or
where the controller or processor has assessed all the circumstances
surrounding the data transfer operation or the set of data transfer operations
and, based on this assessment, considers that appropriate safeguards with
respect to the protection of personal data exist. In cases where no grounds for
allowing a transfer exist, derogations should be allowed if necessary in order
to protect the vital interests of the data subject or another person, or to
safeguard legitimate interests of the data subject where the law of the Member
State transferring the personal data so provides, or where it is essential for
the prevention of an immediate and serious threat to the public security of a
Member State or a third country, or in individual cases for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, or in individual cases for the establishment,
exercise or defence of legal claims.
|
|
(50)
Personas datu pārvietošanās pāri
robežām var ievērojami ietekmēt personu spējas izmantot
tiesības uz datu aizsardzību, lai aizsargātu sevi pret datu
nelikumīgu izmantošanu vai izpaušanu. Vienlaikus uzraudzības
iestādes var saskarties ar situāciju, ka tās nevar
reaģēt uz sūdzībām vai veikt izmeklēšanu
saistībā ar darbībām, kas norisinās robežu otrā
pusē. Viņu pūliņus kopīgi strādāt
pārrobežu kontekstā var sarežģīt arī
nepietiekamās pilnvaras prevencijas vai tiesībaizsardzības
jomā un tiesisko regulējumu atšķirības. Tāpēc ir
nepieciešams veicināt ciešāku datu aizsardzības uzraudzības
iestāžu sadarbību, lai palīdzētu tām veikt
informācijas apmaiņu ar attiecīgajām iestādēm
citās valstīs.
|
(50)
When personal data moves across borders it may put
at increased risk the ability of individuals to exercise data protection rights
to protect themselves from the unlawful use or disclosure of that data. At the
same time, supervisory authorities may find that they are unable to pursue
complaints or conduct investigations relating to the activities outside their
borders. Their efforts to work together in the cross-border context may also be
hampered by insufficient preventative or remedial powers, inconsistent legal
regimes. Therefore, there is a need to promote closer co-operation among data
protection supervisory authorities to help them exchange information with their
foreign counterparts.
|
|
(51)
Uzraudzības iestāžu, kuras pilda savas
funkcijas pilnīgi neatkarīgi, izveide dalībvalstīs ir
būtiska sastāvdaļa personu aizsardzībā
attiecībā uz personas datu apstrādi. Uzraudzības
iestādēm būtu jāuzrauga noteikumu piemērošana, kuri
pieņemti, pamatojoties uz šo direktīvu, un jāpalīdz
nodrošināt tās konsekventu piemērošanu visā
Savienībā, lai aizsargātu fiziskās personas
saistībā ar to personas datu apstrādi. Šajā
nolūkā uzraudzības iestādēm būtu
jāsadarbojas vienai ar otru un ar Komisiju.
|
(51)
The establishment of supervisory authorities in
Member States, exercising their functions with complete independence, is an
essential component of the protection of individuals with regard to the
processing of their personal data. The supervisory authorities should monitor
the application of the provisions pursuant to this Directive and contribute to
its consistent application throughout the Union, in order to protect natural
persons in relation to the processing of their personal data. For that purpose,
the supervisory authorities should co-operate with each other and the
Commission.
|
|
(52)
Uzraudzības iestādei, kas
dalībvalstī jau izveidota, pamatojoties uz Regulu (ES) …/2012,
dalībvalsts var uzticēt arī tos pienākumus, kas jāveic
valsts uzraudzības iestādei, kura ir jāizveido saskaņā
ar šo direktīvu.
|
(52)
Member States may entrust a supervisory
authority already established in Member States under Regulation (EU)…./2012 with
the responsibility for the tasks to be performed by the national supervisory
authorities to be established under this Directive.
|
|
(53)
Būtu jāļauj dalībvalstīm
izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši
valsts konstitucionālajai, organizatoriskajai vai administratīvajai
uzbūvei. Katrai uzraudzības iestādei būtu
jāpiešķir atbilstoši finanšu un cilvēkresursi, telpas un
infrastruktūra, kas nepieciešama efektīvai uzdevumu izpildei, tostarp
arī to uzdevumu izpildei, kas saistīti ar savstarpējo
palīdzību un sadarbību ar citām uzraudzības
iestādēm visā Savienībā.
|
(53)
Member States should be allowed to establish
more than one supervisory authority to reflect their constitutional,
organisational and administrative structure. Each supervisory authority should
be provided with adequate financial and human resources, premises and
infrastructure, which are necessary for the effective performance of their
tasks, including for the tasks related to mutual assistance and co-operation
with other supervisory authorities throughout the Union.
|
|
(54)
Nosacījumi, lai kļūtu par
uzraudzības iestādes locekli, katrā dalībvalstī
būtu jānosaka ar likumu un jo īpaši būtu jānodrošina,
ka šos locekļus amatā ieceļ vai nu dalībvalsts parlaments,
vai valdība, turklāt būtu jāiekļauj noteikumi par
locekļu kvalifikāciju un statusu.
|
(54)
The general conditions for the members of the
supervisory authority should be laid down by law in each Member State and should
in particular provide that those members should be either appointed by the
parliament or the government of the Member State, and include rules on the
personal qualification of the members and the position of those members.
|
|
(55)
Kaut arī šī direktīva ir
piemērojama arī valsts tiesu darbībai, ja tiesa personas datus
apstrādā, veicot tiesas spriešanas funkciju, šāda apstrāde
nebūtu jāiekļauj uzraudzības iestādes kompetencē,
lai saglabātu tiesnešu neatkarību, pildot savus uzdevumus. Tomēr
šo izņēmumu būtu jāattiecina tikai uz tiesas spriešanas
darbībām tiesas lietā, tas nebūtu jāattiecina uz
citām darbībām, kurās tiesneši varētu būt
iesaistīti saskaņā ar valsts tiesību aktiem.
|
(55)
While this Directive applies also to the
activities of national courts, the competence of the supervisory authorities
should not cover the processing of personal data when they are acting in their
judicial capacity, in order to safeguard the independence of judges in the
performance of their judicial tasks. However, this exemption should be limited
to genuine judicial activities in court cases and not apply to other activities
where judges might be involved in accordance with national law.
|
|
(56)
Lai nodrošinātu konsekventu šīs
direktīvas piemērošanas uzraudzību un izpildi visā
Savienībā, uzraudzības iestādēm katrā
dalībvalstī būtu jābūt vieniem un tiem pašiem uzdevumiem
un efektīvām pilnvarām, ietverot izmeklēšanas pilnvaras,
juridiski saistošas iejaukšanās pilnvaras, tiesības pieņemt
lēmumus un lemt par sankcijām, jo īpaši fizisku personu
sūdzību gadījumos, un tiesības iesaistīties
juridiskās procedūrās.
|
(56)
In order to ensure consistent monitoring and
enforcement of this Directive throughout the Union, the supervisory authorities
should have the same duties and effective powers in each Member State,
including powers of investigation, legally binding intervention, decisions and
sanctions, particularly in cases of complaints from individuals, and to engage
in legal proceedings.
|
|
(57)
Katrai uzraudzības iestādei būtu
jābūt tiesīgai uzklausīt jebkura datu subjekta
sūdzību un izmeklēt to. Uz sūdzības pamata sākta
izmeklēšana būtu jāveic tādā apjomā, kāds ir
nepieciešams konkrētajā lietā, pakļaujot to tiesas
kontrolei. Uzraudzības iestādei saprātīgā
termiņā būtu jāinformē datu subjekts par
sūdzības virzību un iznākumu. Ja lietā ir nepieciešama
papildus izmeklēšana vai koordinācija ar citu uzraudzības
iestādi, datu subjektam būtu jāsniedz starpposma informācija.
|
(57)
Each supervisory authority should hear
complaints lodged by any data subject and should investigate the matter. The
investigation following a complaint should be carried out, subject to judicial
review, to the extent that is appropriate in the specific case. The supervisory
authority should inform the data subject of the progress and the outcome of the
complaint within a reasonable period. If the case requires further
investigation or coordination with another supervisory authority, intermediate
information should be given to the data subject.
|
|
(58)
Uzraudzības iestādēm būtu
vienai otra jāatbalsta savu pienākumu veikšanā un jāsniedz
savstarpēja palīdzība, lai nodrošinātu to noteikumu
konsekventu piemērošanu un izpildi, kuri pieņemti, pamatojoties uz šo
direktīvu.
|
(58)
The supervisory authorities should assist one
another in performing their duties and provide mutual assistance, so as to
ensure the consistent application and enforcement of the provisions adopted
pursuant to this Directive.
|
|
(59)
Eiropas Datu aizsardzības kolēģijai,
kas izveidota ar Regulu (ES) .../2012, būtu jāpalīdz nodrošināt
šīs direktīvas konsekventu piemērošanu visā
Savienībā, tostarp sniedzot padomus Komisijai un veicinot
uzraudzības iestāžu sadarbību visā Savienībā.
|
(59)
The European Data Protection Board established
by Regulation (EU)…./2012 should contribute to the consistent application of
this Directive throughout the Union, including advising the Commission and
promoting the co-operation of the supervisory authorities throughout the Union.
|
|
(60)
Katram datu subjektam vajadzētu būt
tiesībām iesniegt sūdzību jebkuras dalībvalsts
uzraudzības iestādē un tiesībām uz tiesas
aizsardzību, ja datu subjekts uzskata, ka viņa tiesības
saskaņā ar šo direktīvu ir pārkāptas vai ja
uzraudzības iestāde nereaģē uz sūdzību vai nerīkojas,
kad šāda rīcība ir nepieciešama, lai aizsargātu datu
subjekta tiesības.
|
(60)
Every data subject should have the right to
lodge a complaint with a supervisory authority in any Member State and have the
right to a judicial remedy if they consider that their rights under this
Directive are infringed or where the supervisory authority does not act on a
complaint or does not act where such action is necessary to protect the rights
of the data subject.
|
|
(61)
Jebkurai struktūrai, organizācijai vai
asociācijai, kuras mērķis ir datu subjektu tiesību un
interešu aizsardzība attiecībā uz viņu datu
aizsardzību un kas ir izveidota saskaņā ar dalībvalsts
tiesību aktiem, būtu jābūt tiesībām iesniegt
sūdzību vai tiesībām vērsties tiesā datu subjektu
vārdā, ja tie to ir atbilstoši pilnvarojuši, vai iesniegt savu
sūdzību neatkarīgi no datu subjekta sūdzības, ja
tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums.
|
(61)
Any body, organisation or association which aims
to protects the rights and interests of data subjects in relation to the
protection of their data and is constituted according to the law of a Member
State should have the right to lodge a complaint or exercise the right to a
judicial remedy on behalf of data subjects if duly mandated by them, or to
lodge, independently of a data subject's complaint, its own complaint where it
considers that a personal data breach has occurred.
|
|
(62)
Katrai fiziskai vai juridiskai personai būtu
jābūt tiesībām uz tiesas aizsardzību pret
uzraudzības iestādes lēmumiem, kas tos skar. Tiesvedībai
pret uzraudzības iestādi būtu jānotiek tās
dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.
|
(62)
Each natural or legal person should have the
right to a judicial remedy against decisions of a supervisory authority
concerning them. Proceedings against a supervisory authority should be brought
before the courts of the Member State where the supervisory authority is
established.
|
|
(63)
Dalībvalstīm būtu jānodrošina,
ka tiesa var efektīvi rīkoties un var ātri pieņemt
pasākumus, kas izlīdzina vai novērš šīs direktīvas
pārkāpumu.
|
(63)
Member States should ensure that court actions,
in order to be effective, allow the rapid adoption of measures to remedy or
prevent an infringement of this Directive.
|
|
(64)
Jebkurus zaudējumus, kurus persona var ciest
nelikumīgas apstrādes rezultātā, būtu
jākompensē pārzinim vai apstrādātājam, kuru var
atbrīvot no atbildības, ja tas pierāda, ka nav atbildīgs
par zaudējumiem, īpaši gadījumos, kad tas pierāda datu
subjekta vainu vai force majeure gadījumā.
|
(64)
Any damage which a person may suffer as a result
of unlawful processing should be compensated by the controller or processor,
who may be exempted from liability if they prove that they are not responsible
for the damage, in particular where they establish fault on the part of the
data subject or in case of force majeure.
|
|
(65)
Būtu jāpiemēro sankcijas jebkurai
fiziskai vai juridiskai personai – privāto vai publisko tiesību
subjektam, kura neievēro šo direktīvu. Dalībvalstīm būtu
jānodrošina, ka sankcijas ir efektīvas, samērīgas un
atturošas un tām būtu jāveic visi pasākumi, lai tās
īstenotu.
|
(65)
Penalties should be imposed on any natural or
legal person, whether governed by private or public law, that fails to comply
with this Directive. Member States should ensure that the penalties are
effective, proportionate and dissuasive and must take all measures to implement
the penalties.
|
|
(66)
Lai sasniegtu šīs direktīvas
mērķus, proti, aizsargātu fizisku personu pamattiesības un
brīvības un, jo īpaši tiesības uz personas datu aizsardzību,
un nodrošinātu brīvu apmaiņu ar personas datiem starp
kompetentajām iestādēm Savienībā, Komisijai būtu
jādeleģē pilnvaras pieņemt tiesību aktus
saskaņā ar Līguma par Eiropas Savienības darbību
290. pantu. Deleģētie akti jo īpaši būtu
jāpieņem attiecībā uz personas datu aizsardzības
pārkāpumu paziņošanu uzraudzības iestādei. Ir
ļoti svarīgi, lai Komisija sagatavošanās darba ietvaros
rīkotu atbilstošas apspriešanās, tostarp arī ekspertu
līmenī. Komisijai, sagatavojot un izstrādājot
deleģētos aktus, būtu jānodrošina, ka attiecīgie
dokumenti vienlaicīgi, savlaicīgi un atbilstoši tiek
nosūtīti Eiropas Parlamentam un Padomei.
|
(66)
In order to fulfil the objectives of this
Directive, namely to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data and to
ensure the free exchange of personal data by competent authorities within the
Union, the power to adopt acts in accordance with Article 290 of the Treaty on
the Functioning of the European Union should be delegated to the Commission. In
particular, delegated acts should be adopted in respect of notifications of a
personal data breach to the supervisory authority. It is of particular
importance that the Commission carry out appropriate consultations during its
preparatory work, including at expert level. The Commission, when preparing and
drawing-up delegated acts, should ensure a simultaneous, timely and appropriate
transmission of relevant documents to the European Parliament and Council.
|
|
(67)
Lai nodrošinātu vienotus šīs
direktīvas īstenošanas nosacījumus, kas attiecas uz
pārziņu un apstrādātāju veikto dokumentāciju, apstrādes
drošību, jo īpaši attiecībā uz šifrēšanas standartiem,
paziņojumiem par personas datu aizsardzības pārkāpumiem
uzraudzības iestādei un pietiekamu aizsardzības līmeni, ko
nodrošina trešā valsts vai tās teritorija vai apstrādes nozare
vai starptautiska organizācija, Komisijai būtu jāpiešķir
īstenošanas pilnvaras. Šīs pilnvaras būtu jāizmanto
saskaņā ar Eiropas Parlamenta un Padomes 2011. gada
16. februāra Regulu (ES) Nr. 182/2011, ar ko nosaka normas
un vispārīgus principus par dalībvalstu kontroles mehānismiem,
kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu[36].
|
(67)
In order to ensure uniform conditions for the
implementation of this Directive as regards documentation by controllers and
processors, security of processing, notably in relation to encryption
standards, notification of a personal data breach to the supervisory authority,
and the adequate level of protection afforded by a third country or a territory
or a processing sector within that third country or an international
organisation, implementing powers should be conferred on the Commission. Those
powers should be exercised in
accordance with Regulation (EU) No 182/2011 of the European Parliament and of
the Council of 16 February 2011 laying down the rules and general principles
concerning mechanisms for control by the Member States of the Commission's
exercise of implementing powers[36].
|
|
(68)
Pasākumu pieņemšanai, kuri attiecas uz
pārziņu un apstrādātāju veikto dokumentāciju,
apstrādes drošību, paziņojumiem par personas datu drošību
uzraudzības iestādei un pietiekamu aizsardzības līmeni, ko
nodrošina trešā valsts vai trešās valsts teritorija vai
apstrādes nozare vai starptautiska organizācija, ja šie akti ir
vispārēji, būtu jāizmanto pārbaudes procedūra.
|
(68)
The examination procedure should be used for the
adoption of measures as regards documentation by controllers and processors,
security of processing, notification of a personal data breach to the
supervisory authority, and the adequate level of protection afforded by a third
country or a territory or a processing sector within that third country or an
international organisation, given that those acts are of general scope.
|
|
(69)
Komisijai būtu jāpieņem
nekavējoties piemērojami īstenošanas akti, ja tas ir pamatoti
nepieciešams steidzamos gadījumos attiecībā uz trešo valsti vai
trešās valsts teritoriju vai apstrādes nozari vai starptautisku
organizāciju, kas nenodrošina pietiekamu aizsardzības līmeni.
|
(69)
The Commission should adopt immediately
applicable implementing acts where, in duly justified cases relating to a third
country or a territory or a processing sector within that third country or an
international organisation which does not ensure an adequate level of
protection, imperative grounds of urgency so require.
|
|
(70)
Ņemot vērā to, ka šīs
direktīvas mērķus — proti, visās dalībvalstis
aizsargāt fizisku personu pamattiesības un pamatbrīvības un
jo īpaši tiesības uz personas datu aizsardzību un
nodrošināt, ka kompetentās iestādes Savienībā
brīvi apmainās ar personas datiem, — nevar pietiekami labi sasniegt
atsevišķās dalībvalstīs, un to, ka rīcības
mēroga un iedarbības dēļ šos mērķus var
labāk sasniegt Savienības līmenī, Savienība var
pieņemt pasākumus saskaņā ar Līguma par Eiropas
Savienību 5. pantā noteikto subsidiaritātes principu.
Saskaņā ar minētajā pantā noteikto proporcionalitātes
principu šajā direktīvā paredz vienīgi tos pasākumus,
kas vajadzīgi šā mērķa sasniegšanai.
|
(70)
Since the objectives of this Directive, namely
to protect the fundamental rights and freedoms of natural persons and in
particular their right to the protection of personal data and to ensure the
free exchange of personal data by competent authorities within the Union,
cannot be sufficiently achieved by the Member States and can therefore, by
reason of the scale or effects of the action, be better achieved at Union
level, the Union may adopt measures, in accordance with the principle of
subsidiarity as set out in Article 5 of the Treaty on European Union. In
accordance with the principle of proportionality as set out in that Article,
this Directive does not go beyond what is necessary in order to achieve that
objective
|
|
(71)
Ar šo direktīvu būtu jāatceļ
Pamatlēmums 2008/977/TI.
|
(71)
Framework Decision 2008/977/JHA should be
repealed by this Directive.
|
|
(72)
Nebūtu jāskar īpaši noteikumi, kuri
iekļauti Savienības aktos, kas pieņemti pirms šīs
direktīvas pieņemšanas datuma, attiecībā uz personas datu
apstrādi, ko veic kompetentās iestādes, lai novērstu,
izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie
atbildības par tiem vai izpildītu kriminālsodus, un kas attiecas
uz personas datu apstrādi starp dalībvalstīm un dalībvalstu
noteikto iestāžu piekļuvi informācijas sistēmām
šīs direktīvas darbības jomā, kuras izveidotas,
pamatojoties uz Līgumiem. Komisijai būtu jānovērtē
situācija attiecībā uz šīs direktīvas saistību ar
aktiem, kas pieņemti pirms šīs direktīvas pieņemšanas
datuma, kuri attiecas uz personas datu apstrādi starp
dalībvalstīm vai noteiktu dalībvalstu iestāžu piekļuvi
informācijas sistēmām, kuras izveidotas, pamatojoties uz
Līgumiem, lai novērtētu nepieciešamību pielāgot šos
īpašos noteikumus šai direktīvai.
|
(72)
Specific provisions with regard to the
processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties in acts
of the Union which were adopted prior to the date of the adoption of this
Directive, regulating the processing of personal data between Member States or
the access of designated authorities of Member States to information systems
established pursuant to the Treaties, should remain unaffected. The Commission should
evaluate the situation with regard to the relation between this Directive and
the acts adopted prior to the date of adoption of this Directive regulating the
processing of personal data between Member States or the access of designated
authorities of Member States to information systems established pursuant to the
Treaties, in order to assess the need for alignment of these specific
provisions with this Directive.
|
|
(73)
Lai nodrošinātu visaptverošu un konsekventu
personas datu aizsardzību Savienībā, starptautiski
nolīgumi, ko dalībvalstis noslēgušas pirms šīs
direktīvas stāšanās spēka, būtu jāgroza saskaņā
ar šo direktīvu.
|
(73)
In order to ensure a comprehensive and coherent protection
of personal data in the Union, international agreements concluded by Member
States prior to the entry force of this Directive should be amended in line
with this Directive.
|
|
(74)
Šī direktīva neskar noteikumus par
seksuālas vardarbības pret bērniem, bērnu seksuālas
izmantošanas un bērnu pornogrāfijas apkarošanu, kas noteikti Eiropas
Parlamenta un Padomes 2011. gada 13. decembra
Direktīvā 2011/92/ES[37].
|
(74)
This Directive is without prejudice to the rules
on combating the sexual abuse and sexual exploitation of children and child
pornography as laid down in Directive 2011/92/EU of the European Parliament and
of the Council of 13 December 2011.[37]
|
|
(75)
Saskaņā ar 6.a pantu Protokolā
par Apvienotās Karalistes un Īrijas nostāju saistībā
ar brīvības, drošības un tiesiskuma telpu, kas pievienots
Līgumam par Eiropas Savienību un Līgumam par Eiropas
Savienības darbību, Apvienotai Karalistei un Īrijai nav saistoši
šīs direktīvas noteikumi tad, ja Apvienotajai Karalistei un
Īrijai nav saistoši noteikumi, ar ko reglamentē tiesu sadarbības
veidus krimināltiesību jomā vai policijas iestāžu
sadarbības veidus, sakarā ar kuriem ir jāievēro noteikumi,
kas paredzēti, pamatojoties uz Līguma par Eiropas Savienības
darbību 16. pantu.
|
(75)
In accordance with Article 6a of the Protocol on
the position of the United Kingdom and Ireland in respect of the area of
freedom, security and justice, as annexed to the Treaty on European Union and
to the Treaty on the Functioning of the European Union, the United Kingdom and
Ireland shall not be bound by the rules laid down in this Directive where the
United Kingdom and Ireland are not bound by the rules governing the forms of
judicial co-operation in criminal matters or police co-operation which require
compliance with the provisions laid down on the basis of Article 16 of the
Treaty on the Functioning of the European Union.
|
|
(76)
Saskaņā ar 2. pantu un
2.a pantu Protokolā par Dānijas nostāju, kas pievienots
Līgumam par Eiropas Savienību un Līgumam par Eiropas
Savienības darbību, šī direktīva Dānijai nav saistoša
un nav jāpiemēro. Tā kā šī direktīva pilnveido
Šengenas acquis, balstoties uz Līguma par Eiropas Savienību
Trešās daļas V sadaļu, Dānija saskaņā ar
minētā protokola 4. pantu sešos mēnešos pēc šīs
direktīvas pieņemšanas izlemj, vai tā šo direktīvu
ieviesīs savos tiesību aktos.
|
(76)
In accordance with Articles 2 and 2a of the
Protocol on the position of Denmark, as annexed to the Treaty on European Union
and to the Treaty on the Functioning of the European Union, Denmark is not
bound by this Directive or subject to its application. Given that this
Directive builds upon the Schengen acquis, under Title V of Part Three of the
Treaty on the Functioning of the European Union, Denmark shall, in accordance
with Article 4 of that Protocol, decide within six months after adoption of
this Directive whether it will implement it in its national law.
|
|
(77)
Attiecībā uz Islandi un
Norvēģiju – saskaņā ar Nolīgumu, kas noslēgts
starp Eiropas Savienības Padomi un Islandes Republiku un
Norvēģijas Karalisti par šo valstu asociēšanu Šengenas acquis
īstenošanā, pilnveidošanā un piemērošanā[38],
šis instruments ir Šengenas acquis noteikumu pilnveidošana.
|
(77)
As regards Iceland and Norway, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Agreement concluded by the Council of the European Union and the
Republic of Iceland and the Kingdom of Norway concerning the association of
those two States with the implementation, application and development of the
Schengen acquis[38].
|
|
(78)
Attiecībā uz Šveici – saskaņā
ar Nolīgumu starp Eiropas Savienību, Eiropas Kopienu un Šveices
Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis
īstenošanā, piemērošanā un pilnveidošanā[39],
šī direktīva ir Šengenas acquis noteikumu pilnveidošana.
|
(78)
As regards Switzerland, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Agreement between the European Union, the European Community and the
Swiss Confederation concerning the association of the Swiss Confederation with
the implementation, application and development of the Schengen acquis[39].
|
|
(79)
Attiecībā uz Lihtenšteinu – ar Protokolu
starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un
Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos
Nolīgumam starp Eiropas Savienību, Eiropas Kopienu un Šveices
Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas
acquis īstenošanā, piemērošanā un pilnveidošanā[40],
šī direktīva ir Šengenas acquis noteikumu pilnveidošana.
|
(79)
As regards Liechtenstein, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Protocol between the European Union, the European Community, the Swiss
Confederation and the Principality of Liechtenstein on the accession of the
Principality of Liechtenstein to the Agreement between the European Union, the
European Community and the Swiss Confederation on the Swiss Confederation’s
association with the implementation, application and development of the
Schengen acquis[40].
|
|
(80)
Šajā direktīvā ir ņemtas
vērā pamattiesības un ievēroti principi, kas atzīti
Eiropas Savienības Pamattiesību hartā, kā noteikts
Līgumā, it sevišķi tiesības uz privātās un
ģimenes dzīves neaizskaramību, tiesības uz personas datu
aizsardzību, tiesības uz efektīvu tiesību aizsardzību
un taisnīgu tiesu. Šo tiesību ierobežojumi ir saskaņā ar
Hartas 52. panta 1. punktu, jo tie ir nepieciešami
vispārējas nozīmes mērķiem, ko atzinusi
Savienība, vai vajadzībai aizsargāt citu personu tiesības
un brīvības.
|
(80)
This Directive respects the fundamental rights
and observes the principles recognised in the Charter of Fundamental Rights of
the European Union as enshrined in the Treaty, notably the right to respect for
private and family life, the right to the protection of personal data, the right
to an effective remedy and to a fair trial. Limitations placed on these rights
are in accordance with Article 52(1) of the Charter as they are necessary to meet
objectives of general interest recognised by the Union or the need to protect
the rights and freedoms of others.
|
|
(81)
Saskaņā ar 2011. gada
28. septembra dalībvalstu un Komisijas kopīgo politisko
deklarāciju par paskaidrojuma dokumentiem, dalībvalstis ir
apņēmušās paziņojumam par transponēšanas
pasākumiem, ja tas pamatoti, pievienot vienu vai vairākus dokumentus
ar skaidrojumu par direktīvas komponentu attiecībām ar
dalībvalstu transponēšanas instrumentu attiecīgajām
daļām. Likumdevējs uzskata, ka attiecībā uz šo
direktīvu šādu dokumentu nosūtīšana ir pamatota.
|
(81)
In accordance with the Joint Political
Declaration of Member States and the Commission on explanatory documents of 28
September 2011, Member States have undertaken to accompany, in justified cases,
the notification of their transposition measures with one or more documents
explaining the relationship between the components of a directive and the
corresponding parts of national transposition instruments. With regard to this
Directive, the legislator considers the transmission of such documents to be
justified.
|
|
(82)
Šai direktīvai nevajadzētu
dalībvalstīm liegt īstenot datu subjektu tiesības uz
informāciju, piekļuvi datiem, datu labošanu, dzēšanu un
ierobežošanu attiecībā uz personas datiem, kurus apstrādā
kriminālprocesa gaitā, un to iespējamus šo tiesību
ierobežojumus valsts noteikumos par kriminālprocesu,
|
(82)
This Directive should not preclude Member States
from implementing the exercise of the rights of data subjects on information, access,
rectification, erasure and restriction of their personal data processed in the
course of criminal proceedings, and their possible restrictions thereto, in
national rules on criminal procedure.
|
|
IR PIEŅĒMUŠI ŠO
DIREKTĪVU.
|
HAVE ADOPTED THIS DIRECTIVE:
|
|
I NODAĻA
|
CHAPTER I
|
|
VISPĀRĪGI NOTEIKUMI
|
GENERAL PROVISIONS
|
|
1. pants
Priekšmets un mērķi
|
Article 1
Subject matter and objectives
|
|
1. Šajā direktīvā
ir paredzēti noteikumi par personu aizsardzību attiecībā uz
personas datu apstrādi, ko kompetentās iestādes veic, lai
novērstu, izmeklētu, atklātu noziedzīgus nodarījumus,
sauktu pie atbildības par tiem vai izpildītu kriminālsodus.
|
1. This Directive lays down
the rules relating to the protection of individuals with regard to the
processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties.
|
|
2. Saskaņā ar šo
direktīvu dalībvalstis:
|
2. In accordance with this Directive,
Member States shall:
|
|
a) aizsargā fizisku personu
pamattiesības un brīvības un jo īpaši to tiesības uz
personas datu aizsardzību; un
|
(a) protect the fundamental rights and
freedoms of natural persons and in particular their right to the protection of
personal data; and
|
|
b) nodrošina, ka personas datu brīva
aprite starp kompetentajām iestādēm Savienībā nav
ierobežota vai aizliegta, pamatojoties uz iemesliem, kas saistīti ar fizisku
personu aizsardzību attiecībā uz personas datu apstrādi.
|
(b) ensure that the exchange of personal
data by competent authorities within the Union is neither restricted nor
prohibited for reasons connected with the protection of individuals with regard
to the processing of personal data.
|
|
2. pants
Piemērošanas joma
|
Article 2
Scope
|
|
1. Šo direktīvu
piemēro personas datu apstrādei, ko veic kompetentās
iestādes 1. panta 1. punktā minētajiem nolūkiem.
|
1. This Directive applies to the
processing of personal data by competent authorities for the purposes referred
to in Article 1(1).
|
|
2. Šo direktīvu
piemēro personas datu apstrādei, kas pilnībā vai
daļēji veikta ar automatizētiem līdzekļiem, un
tādu personas datu apstrādei, kuri veido daļu no kartotēkas
vai ir paredzēti, lai veidotu daļu no kartotēkas, ja
apstrādi neveic ar automatizētiem līdzekļiem.
|
2. This Directive applies to
the processing of personal data wholly or partly by automated means, and to the
processing other than by automated means of personal data which form part of a
filing system or are intended to form part of a filing system.
|
|
3. Šī direktīva
neattiecas uz personas datu apstrādi:
|
3. This Directive shall not
apply to the processing of personal data:
|
|
a) veicot darbību, kas neietilpst
Savienības tiesību piemērošanas jomā, jo īpaši
saistībā ar valsts drošību;
|
(a) in the course of an activity which
falls outside the scope of Union law, in particular concerning national
security;
|
|
b) ko veic Savienības
iestādēs, struktūrās, birojos un aģentūrās.
|
(b) by the Union institutions, bodies,
offices and agencies.
|
|
3. pants
Definīcijas
|
Article 3
Definitions
|
|
Šajā direktīvā:
|
For the purposes of this Directive:
|
|
1) "datu subjekts" ir
identificēta fiziska persona vai fiziska persona, ko tieši vai netieši var
identificēt, izmantojot līdzekļus, ko pārzinis vai jebkura
cita fiziska vai juridiska persona varētu pamatoti izmantot, jo īpaši
atsaucoties uz identifikācijas numuru, atrašanās vietas datiem,
tiešsaistes identifikatoru vai vienu vai vairākiem šai personai
raksturīgiem fiziskās, fizioloģiskās,
ģenētiskās, garīgās, saimnieciskās, kultūras
vai sociālās identitātes faktoriem;
|
(1)
'data subject' means an identified natural
person or a natural person who can be identified, directly or indirectly, by
means reasonably likely to be used by the controller or by any other natural or
legal person, in particular by reference to an identification number, location
data, online identifiers or to one or more factors specific to the physical,
physiological, genetic, mental, economic, cultural or social identity of that
person;
|
|
2) "personas dati" ir
jebkāda informācija, kas attiecas uz datu subjektu;
|
(2)
'personal data' means any information relating
to a data subject;
|
|
3) "apstrāde" ir jebkura
ar personas datiem veikta darbība vai darbību kopums, ko veic ar vai
bez automatizētiem līdzekļiem, piemēram, vākšana,
reģistrācija, organizēšana, strukturēšana, glabāšana,
pielāgošana vai pārveidošana, atgūšana, aplūkošana,
izmantošana, izpaušana – izmantojot nosūtīšanu, izplatīšanu vai,
citādi darot pieejamus, – saskaņošana vai kombinēšana,
ierobežošana, dzēšana vai iznīcināšana;
|
(3)
'processing' means any operation or set of
operations which is performed upon personal data or sets of personal data,
whether or not by automated means, such as collection, recording, organization,
structuring, storage, adaptation or alteration, retrieval, consultation, use,
disclosure by transmission, dissemination or otherwise making available,
alignment or combination, restriction, erasure or destruction;
|
|
4) "apstrādes
ierobežošana" ir uzglabātu personas datu iezīmēšana ar
mērķi ierobežot to apstrādi nākotnē;
|
(4)
'restriction of processing' means the marking of
stored personal data with the aim of limiting their processing in the future;
|
|
5) "kartotēka" ir
jebkurš sakārtots personas datu kopums, kurā šie dati ir pieejami
saskaņā ar īpašiem kritērijiem, neatkarīgi no tā,
vai datu kopums ir centralizēts, decentralizēts vai izkliedēts,
pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;
|
(5)
'filing system' means any structured set of
personal data which are accessible according to specific criteria, whether
centralized, decentralized or dispersed on a functional or geographical basis;
|
|
6) "pārzinis" ir
kompetentā publiskā iestāde, kas viena vai kopā ar citiem
nosaka personas datu apstrādes nolūkus, nosacījumus un
līdzekļus; ja apstrādes nolūkus, nosacījumus un līdzekļus
nosaka ar Savienības vai dalībvalsts tiesību aktu, pārzini
vai viņa iecelšanas konkrētos kritērijus var noteikt
Savienības vai dalībvalsts tiesību akti;
|
(6)
'controller' means the competent public authority which alone or jointly with
others determines the purposes, conditions and means of the processing of
personal data; where the purposes, conditions and means of processing are
determined by Union law or Member State law, the controller or the specific
criteria for his nomination may be designated by Union law or by Member State
law;
|
|
7) "apstrādātājs"
ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai
jebkura cita struktūra, kura pārziņa vārdā
apstrādā personas datus;
|
(7)
'processor' means a natural or legal person, public authority, agency or any
other body which processes personal data on behalf of the controller;
|
|
8) "saņēmējs"
ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai
jebkura cita struktūra, kurai tiek izpausti personas dati;
|
(8)
'recipient' means a natural or legal person,
public authority, agency or any other body to which the personal data are
disclosed;
|
|
9) "personas datu
aizsardzības pārkāpums" ir drošības
pārkāpums, kura rezultātā notiek nejauša vai
nelikumīga nosūtīto, uzglabāto vai citādi
apstrādāto personas datu iznīcināšana, nozaudēšana,
pārveidošana, neatļauta izpaušana vai piekļuve tiem;
|
(9)
'personal data breach' means a breach of security leading to the accidental or unlawful
destruction, loss, alteration, unauthorised disclosure of, or access to,
personal data transmitted, stored or otherwise processed;
|
|
10) "ģenētiskie dati"
ir visi dati, neatkarīgi no datu veida, par fiziskas personas
pazīmēm, kas mantotas vai iegūtas agrīnas pirmsnatālās
attīstības gaitā;
|
(10)
'genetic data' means all data, of whatever type,
concerning the characteristics of an individual which are inherited or acquired
during early prenatal development;
|
|
11) "biometriskie dati" ir visi
dati saistībā ar personas fiziskajām, psiholoģiskajām
vai uzvedības pazīmēm, kas ļauj veikt unikālu
identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;
|
(11)
'biometric data' means any data relating to the
physical, physiological or behavioural characteristics of an individual which
allow their unique identification, such as facial images, or dactyloscopic
data;
|
|
12) "veselības dati" ir
visa veida informācija saistībā ar personas fizisko vai
garīgo veselību vai veselības aprūpes pakalpojumu sniegšanu
personai;
|
(12)
‘data concerning health’ means any information
which relates to the physical or mental health of an individual, or to the
provision of health services to the individual;
|
|
13) "bērns" ir persona,
kas nav sasniegusi 18 gadu vecumu;
|
(13)
'child' means any person below the age of 18
years;
|
|
14) "kompetentās
iestādes" ir visas publiskās iestādes, kuru kompetencē
ir noziedzīgu nodarījumu novēršana, izmeklēšana,
atklāšana, saukšana pie atbildības par tiem vai kriminālsodu
izpilde;
|
(14)
'competent authorities’ means any public authority
competent for the prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties;
|
|
15) "uzraudzības
iestāde" ir valsts iestāde, ko dalībvalsts izveidojusi
saskaņā ar 39. pantu.
|
(15)
'supervisory authority' means a public authority
which is established by a Member State in accordance with Article 39.
|
|
II NODAĻA
|
CHAPTER II
|
|
PRINCIPI
|
PRINCIPLES
|
|
4. pants
Personas datu apstrādes principi
|
Article 4
Principles relating to personal data processing
|
|
Dalībvalstis paredz, ka personas datiem
jābūt:
|
Member States shall provide that personal
data must be:
|
|
a) godprātīgi un likumīgi
apstrādātiem;
|
(a) processed fairly and lawfully;
|
|
b) vāktiem konkrētiem, skaidriem
un likumīgiem nolūkiem, un tos nedrīkst tālāk
apstrādāt ar šiem nolūkiem nesavienojamā veidā;
|
(b) collected for specified, explicit and
legitimate purposes and not further processed in a way incompatible with those
purposes;
|
|
c) adekvātiem, atbilstīgiem un ne
pārlieku apjomīgiem, ņemot vērā nolūkus,
kādos tos apstrādā;
|
(c) adequate, relevant, and not excessive in relation to the purposes for
which they are processed;
|
|
d) precīziem un vajadzības
gadījumā tie jāatjaunina; jāveic visi pamatoti
pasākumi, lai nodrošinātu, ka neprecīzi personas dati,
ņemot vērā nolūkus, kādos tie tiek
apstrādāti, bez kavēšanās tiek dzēsti vai laboti;
|
(d) accurate and, where necessary, kept up
to date; every reasonable step must be taken to ensure that personal data that
are inaccurate, having regard to the purposes for which they are processed, are
erased or rectified without delay;
|
|
e) saglabātiem veidā, kas
pieļauj datu subjektu identifikāciju ne ilgāk, kā tas
nepieciešams nolūkiem, kuriem personas datus apstrādā;
|
(e) kept in a form which permits
identification of data subjects for no longer than it is necessary for the
purposes for which the personal data are processed;
|
|
f) un personas datus apstrādāt ir
pārziņa pienākums un atbildība, kurš nodrošina
atbilstību noteikumiem, kas pieņemti, pamatojoties uz šo
direktīvu.
|
(f) processed under the responsibility and liability of the controller,
who shall ensure compliance with the provisions adopted pursuant to this
Directive.
|
|
.
|
.
|
|
5. pants
Dažādu datu subjektu kategoriju nošķiršana
|
Article 5
Distinction between different categories of data subjects
|
|
1. Dalībvalstis nodrošina,
ka, cik iespējams, pārzinis skaidri nošķir dažādu datu
subjektu kategoriju personas datus, piemēram:
|
1. Member States shall provide
that, as far as possible, the controller makes a clear distinction between
personal data of different categories of data subjects, such as:
|
|
a) personas, attiecībā uz
kurām pastāv nopietns pamats ticēt, ka tās ir
izdarījušas vai drīzumā izdarīs noziedzīgu
nodarījumu;
|
(a) persons with regard to whom there are
serious grounds for believing that they have committed or are about to commit a
criminal offence;
|
|
b) personas, kas ir notiesātas par
noziedzīgu nodarījumu;
|
(b) persons convicted of a criminal
offence;
|
|
c) noziedzīgā nodarījumā
cietušas personas vai personas, attiecībā uz kurām noteikti fakti
liek ticēt, ka viņš vai viņa varētu būt
noziedzīgā nodarījumā cietušais;
|
(c) victims of a criminal offence, or
persons with regard to whom certain facts give reasons for believing that he or
she could be the victim of a criminal offence;
|
|
d) trešās personas saistībā
ar noziedzīgu nodarījumu, piemēram, personas, kuras varētu
aicināt sniegt liecības saistībā ar noziedzīgiem
nodarījumiem pēcāk notiekošā kriminālprocesā, vai
personas, kuras var sniegt informāciju par noziedzīgiem
nodarījumiem, vai kontaktpersona vai līdzdalībnieks kādai
no a) un b) apakšpunktā minētajām personām; un
|
(d) third parties to the criminal offence,
such as persons who might be called on to testify in investigations in
connection with criminal offences or subsequent criminal proceedings, or a
person who can provide information on criminal offences, or a contact or
associate to one of the persons mentioned in (a) and (b); and
|
|
e) personas, kuras neietilpst nevienā
no iepriekš minētajām kategorijām.
|
(e) persons who do not fall within any of
the categories referred to above.
|
|
6. pants
Personas datu precizitātes un uzticamības pakāpes
|
Article 6
Different degrees of accuracy and reliability of personal data
|
|
1. Dalībvalstis nodrošina, ka, cik
iespējams, dažādās apstrādāto personas datu
kategorijas, tiek nošķirtas atkarībā no to precizitātes un
uzticamības pakāpes.
|
1. Member States shall ensure that,
as far as possible, the different categories of personal data undergoing
processing are distinguished in accordance with their degree of accuracy and
reliability.
|
|
2. Dalībvalstis nodrošina, ka, cik
iespējams, personas dati, kas balstās uz faktiem, tiek nošķirti
no personas datiem, kas balstās uz personiskiem vērtējumiem.
|
2. Member States shall ensure that, as
far as possible, personal data based on facts are distinguished from personal
data based on personal assessments.
|
|
7. pants
Apstrādes likumīgums
|
Article 7
Lawfulness of processing
|
|
Dalībvalstis nodrošina, ka personas datu
apstrāde ir likumīga tikai, ja un ciktāl šī apstrāde
ir nepieciešama:
|
Member States shall provide that the
processing of personal data is lawful only if and to the extent that processing
is necessary:
|
|
a) uzdevuma izpildei, ko veic
kompetentā iestāde, pamatojoties uz likumu, nolūkiem, kas
minēti 1. panta 1. punktā; vai
|
(a)
for the performance of a task carried out by a
competent authority, based on law for the purposes set out in Article 1(1); or
|
|
b) lai izpildītu uz personas datu
pārzini attiecināmas juridiskas saistības; vai
|
(b)
for compliance with a legal obligation to which
the controller is subject; or
|
|
c) lai aizsargātu datu subjekta
vai citas personas īpaši svarīgas intereses; vai
|
(c)
in order to protect the vital interests of the
data subject or of another person; or
|
|
d) lai novērstu
tūlītējus un nopietnus draudus sabiedrības drošībai.
|
(d)
for the prevention of an immediate and serious
threat to public security.
|
|
8. pants
Īpašu kategoriju personas datu apstrāde
|
Article 8
Processing of special categories of personal data
|
|
1. Dalībvalstis aizliedz
tādu personas datu apstrādi, kas atklāj rasi vai etnisko
izcelsmi, politiskos uzskatus, reliģiju vai pārliecību,
dalību arodbiedrībās, ģenētiskos datus, kā
arī uz veselību vai seksuālo dzīvi attiecināmu datu
apstrādi.
|
1. Member States shall
prohibit the processing of personal data revealing race or ethnic origin,
political opinions, religion or beliefs, trade-union membership, of genetic
data or of data concerning health or sex life.
|
|
2. Šā panta 1. punktu
nepiemēro, ja:
|
2. Paragraph 1 shall not
apply where:
|
|
a) apstrāde ir atļauta
likumā, kas paredz pienācīgus drošības pasākumus; vai
|
(a) the processing is authorised by a law providing
appropriate safeguards; or
|
|
b) apstrāde ir nepieciešama, lai
aizsargātu datu subjekta vai citas personas īpaši svarīgas
intereses; vai
|
(b) the processing is necessary to protect
the vital interests of the data subject or of another
person; or
|
|
c) apstrāde attiecas uz datiem, kurus
datu subjekts acīmredzami ir publiskojis.
|
(c) the processing relates to data which
are manifestly made public by the data subject.
|
|
9. pants
Pasākumi, kas balstās uz profilēšanu un automatizētu
apstrādi
|
Article 9
Measures based on profiling and automated processing
|
|
1. Dalībvalsts nosaka, ka
pasākumi, kuri izraisa nelabvēlīgas tiesiskas sekas datu
subjektam vai būtiski to ietekmē un kuru pamatā ir tikai
automatizēta datu apstrāde, kas paredzēta, lai
izvērtētu konkrētus ar šo datu subjektu saistītus
personiskus aspektus, ir aizliegti, ja vien tie nav atļauti ar likumu,
kurā paredzēti arī pasākumi, lai aizsargātu datu
subjekta likumīgās intereses.
|
1. Member States shall
provide that measures which produce an adverse legal effect for the data
subject or significantly affect them and which are based solely on automated
processing of personal data intended to evaluate certain personal aspects
relating to the data subject shall be prohibited unless authorised by a law
which also lays down measures to safeguard the data subject’s legitimate
interests.
|
|
2. Personas datu
automatizētu apstrādi, kas paredzēta, lai izvērtētu
konkrētus ar šo datu subjektu saistītus personiskus aspektus, nebalsta
tikai uz īpašu kategoriju personas datiem, kas minēti
8. pantā.
|
2. Automated processing of
personal data intended to evaluate certain personal aspects relating to the
data subject shall not be based solely on special categories of personal data
referred to in Article 8.
|
|
III NODAĻA
|
CHAPTER III
|
|
DATU SUBJEKTA TIESĪBAS
|
RIGHTS OF THE
DATA SUBJECT
|
|
10. pants
Datu subjekta tiesību izmantošanas kārtība
|
Article 10
Modalities for exercising the rights of the data
subject
|
|
1. Dalībvalstis nodrošina,
ka pārzinis veic visus saprātīgos pasākumus, lai izveidotu
caurskatāmas un viegli pieejamas personas datu apstrādes un datu
subjektu tiesību izmantošanas vadlīnijas.
|
1. Member States shall provide
that the controller takes all reasonable steps to have transparent and easily
accessible policies with regard to the processing of personal data and for the
exercise of the data subjects' rights.
|
|
2. Dalībvalstis nodrošina,
ka pārzinis visu informāciju un paziņojumus datu subjektam
saistībā ar personas datu apstrādi sniedz saprotamā
veidā, izmantojot skaidru un vienkāršu valodu.
|
2. Member States shall provide
that any information and any communication relating to the processing of
personal data are to be provided by the controller to the data subject in an
intelligible form, using clear and plain language.
|
|
3. Dalībvalstis nodrošina,
ka pārzinis veic visus saprātīgos pasākumus, lai izveidotu
procedūras 11. pantā minētās informācijas
sniegšanai un 12. - 17. pantā minēto datu subjekta tiesību
izmantošanai.
|
3. Member States shall
provide that the controller takes all reasonable steps to establish procedures
for providing the information referred to in Article 11 and for the exercise of
the rights of data subjects referred to in Articles 12 to 17.
|
|
4. Dalībvalstis nodrošina,
ka pārzinis bez nepamatotas kavēšanās informē datu subjektu
par darbībām, kas veiktas saistībā ar tā
pieprasījumu.
|
4. Member States shall
provide that the controller informs the data subject about the follow-up given
to their request without undue delay.
|
|
5. Dalībvalstis nodrošina,
ka informācija un darbības, ko pārzinis veic pēc 3. un
4. punktā minētā pieprasījuma saņemšanas, ir bez
maksas. Ja pieprasījumi ir kaitnieciski, jo īpaši to regulāras
atkārtošanās, lieluma vai apmēra dēļ, pārzinis
var pieprasīt samaksu par informācijas sniegšanu vai par
pieprasītās darbības veikšanu, vai arī pārzinis var
neveikt pieprasīto darbību. Šādā gadījumā
pārzinim ir pienākums pierādīt, ka pieprasījums ir
kaitniecisks.
|
5. Member States shall
provide that the information and any action taken by the controller following a
request referred to in paragraphs 3 and 4 are free of charge. Where requests
are vexatious, in particular because of their repetitive character, or the size
or volume of the request, the controller may charge a fee for providing the
information or taking the action requested, or the controller may not take the
action requested. In that case, the controller shall bear the burden of proving
the vexatious character of the request.
|
|
11. pants
Datu subjekta informēšana
|
Article 11
Information to the data subject
|
|
1. Ja tiek vākti datu
subjekta personas dati, dalībvalstis nodrošina, ka pārzinis veic
piemērotus pasākumus, lai sniegtu datu subjektam vismaz šādu
informāciju:
|
1. Where personal data
relating to a data subject are collected, Member States shall ensure that the
controller takes all appropriate measures to provide the data subject with at
least the following information:
|
|
a) pārziņa un datu
aizsardzības inspektora identitāte un kontaktinformācija;
|
(a) the identity and the contact details
of the controller and of the data protection officer;
|
|
b) apstrādes nolūki, kam
paredzēti personas dati;
|
(b) the purposes of the processing for
which the personal data are intended;
|
|
c) termiņš, cik ilgi personas dati tiks
glabāti;
|
(c) the period for which the personal data
will be stored;
|
|
d) tiesības pieprasīt
pārzinim piekļuvi datu subjekta personas datiem un to labošanu,
dzēšanu vai personas datu apstrādes ierobežošanu;
|
(d) the existence of the right to request
from the controller access to and rectification, erasure or restriction of
processing of the personal data concerning the data subject;
|
|
e) tiesības iesniegt sūdzību
39. pantā minētajai uzraudzības iestādei un tās
kontaktinformāciju;
|
(e) the right to lodge a complaint to the
supervisory authority referred to in Article 39 and its contact details;
|
|
f) personas datu saņēmēji
vai datu saņēmēju kategorijas, tai skaitā trešajās
valstīs vai starptautiskās organizācijās;
|
(f) the recipients or categories of
recipients of the personal data, including in third countries or international
organisations;
|
|
g) jebkura citu papildu informācija,
ciktāl papildu informācija ir vajadzīga, lai garantētu
godprātīgu apstrādi attiecībā pret datu subjektu,
ņemot vērā konkrētos apstākļus, kādos
personas datus vāc.
|
(g) any further information in so far as
such further information is necessary to guarantee fair processing in respect
of the data subject, having regard to the specific circumstances in which the
personal data are processed.
|
|
2. Ja personas datus iegūst
no datu subjekta, papildus informācijai, kas minēta
1. punktā, pārzinis informē datu subjektu par to, vai
personas datu sniegšana ir obligāta vai brīvprātīga,
kā arī par iespējamām sekām, ja šādi dati netiks
sniegti.
|
2. Where the personal data
are collected from the data subject, the controller shall inform the data
subject, in addition to the information referred to in paragraph 1, whether the
provision of personal data is obligatory or voluntary, as well as the possible
consequences of failure to provide such data.
|
|
3. Pārzinis sniedz
informāciju, kas minēta 1. punktā:
|
3. The controller shall
provide the information referred to in paragraph 1:
|
|
a) personas datu ieguves laikā, ja tos
iegūst no datu subjekta; vai
|
(a) at the
time when the personal data are obtained from the data subject, or
|
|
b) ja personas datus neiegūst no datu
subjekta – reģistrēšanas laikā vai saprātīgā
termiņā pēc iegūšanas, ņemot vērā
konkrētos apstākļus, kādos dati ir apstrādāti.
|
(b) where the personal data are not
collected from the data subject, at the time of the recording or within a reasonable
period after the collection having regard to the specific circumstances in
which the data are processed.
|
|
4. Dalībvalstis var pieņemt
leģislatīvus pasākumus, lai atliktu, ierobežotu vai nesniegtu
informāciju datu subjektam, ciktāl šāds daļējs vai
pilnīgs ierobežojums ir nepieciešams un samērīgs
demokrātiskā sabiedrībā, ņemot vēra
attiecīgās personas likumīgās intereses:
|
4. Member States may adopt
legislative measures delaying, restricting or omitting the provision of the
information to the data subject to the extent that, and as long as, such
partial or complete restriction constitutes a necessary and proportionate
measure in a democratic society with due regard for the legitimate interests of
the person concerned:
|
|
a) lai izvairītos, ka tiek
traucēta oficiāla vai tiesas pārbaudes, izmeklēšana vai
procedūra;
|
(a)
to avoid obstructing official or legal
inquiries, investigations or procedures ;
|
|
b) lai netraucētu noziedzīgu
nodarījumu novēršanu, atklāšanu, izmeklēšanu, saukšanu pie
atbildības par tiem vai kriminālsodu izpildi;
|
(b)
to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or for the execution of
criminal penalties;
|
|
c) lai aizsargātu sabiedrības
drošību;
|
(c)
to protect public security;
|
|
d) lai aizsargātu valsts drošību;
|
(d)
to protect national security;
|
|
e) lai aizsargātu citu personu
tiesības un brīvības.
|
(e)
to protect the rights and freedoms of others.
|
|
5. Dalībvalstis var noteikt
datu apstrādes kategorijas, uz kurām daļēji vai
pilnībā attiecas 4. punktā minētie izņēmumi.
|
5. Member States may
determine categories of data processing which may wholly or partly fall under
the exemptions of paragraph 4.
|
|
12. pants
Datu subjekta piekļuves tiesības
|
Article 12
Right of access for the data subject
|
|
1. Dalībvalstis nodrošina,
ka datu subjektam jebkurā laikā pēc pieprasījuma ir
tiesības saņemt no pārziņa apstiprinājumu par to, vai
viņa personas dati tiek apstrādāti. Ja šādi personas dati
tiek apstrādāti, pārzinis sniedz šādu informāciju:
|
1. Member States shall provide
for the right of the data subject to obtain from the controller confirmation as
to whether or not personal data relating to them are being processed. Where
such personal data are being processed, the controller shall provide the
following information:
|
|
a) apstrādes nolūki;
|
(a) the purposes of the processing;
|
|
b) attiecīgo personas datu kategorijas;
|
(b) the categories of personal data
concerned;
|
|
c) personas datu saņēmēji vai
datu saņēmēju kategorijas, kam personas dati ir izpausti, jo
īpaši saņēmēji trešās valstīs;
|
(c) the recipients or categories of
recipients to whom the personal data have been disclosed, in particular the recipients
in third countries;
|
|
d) termiņš, cik ilgi personas dati tiks
glabāti;
|
(d) the period for which the personal data
will be stored;
|
|
e) tiesības pieprasīt
pārzinim datu subjekta personas datu labošanu, dzēšanu vai personas
datu apstrādes ierobežošanu;
|
(e) the existence of the right to request
from the controller rectification, erasure or restriction of processing of
personal data concerning the data subject;
|
|
f) tiesības iesniegt sūdzību
uzraudzības iestādē un uzraudzības iestādes
kontaktinformācija;
|
(f) the right to lodge a complaint to the
supervisory authority and the contact details of the supervisory authority;
|
|
g) paziņojums par apstrādē
esošajiem personas datiem un visa pieejamā informācija par datu
avotu.
|
(g) communication of the personal data
undergoing processing and of any available information as to their source.
|
|
2. Dalībvalstis nodrošina,
ka datu subjektam ir tiesības saņemt no pārziņa
apstrādē esošo personas datu kopiju.
|
2. Member States shall
provide for the right of the data subject to obtain from the controller a copy
of the personal data undergoing processing.
|
|
13. pants
Piekļuves tiesību ierobežojumi
|
Article 13
Limitations to the right of access
|
|
1.
Dalībvalstis var pieņemt
leģislatīvus pasākumus, lai pilnībā vai
daļēji ierobežotu datu subjekta piekļuves tiesības,
ciktāl šāds daļējs vai pilnīgs ierobežojums ir
nepieciešams un samērīgs demokrātiskā sabiedrībā,
ņemot vēra attiecīgās personas likumīgās
intereses:
|
1.
Member States may adopt legislative measures
restricting, wholly or partly, the data subject's right of access to the extent
that such partial or complete restriction constitutes a necessary and
proportionate measure in a democratic society with due regard for the
legitimate interests of the person concerned:
|
|
a) lai izvairītos, ka tiek
traucēta oficiāla vai tiesas pārbaude, izmeklēšana vai
procedūra;
|
(a)
to avoid obstructing official or legal
inquiries, investigations or procedures;
|
|
b) lai netraucētu noziedzīgu
nodarījumu novēršanu, atklāšanu, izmeklēšanu, saukšanu pie
atbildības par tiem vai kriminālsodu izpildi;
|
(b)
to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or the execution of criminal
penalties;
|
|
c) lai aizsargātu sabiedrības
drošību;
|
(c)
to protect public security;
|
|
d) lai aizsargātu valsts drošību;
|
(d)
to protect national security;
|
|
e) lai aizsargātu citu personu tiesības
un brīvības.
|
(e)
to protect the rights and freedoms of others.
|
|
2.
Dalībvalstis var likumā noteikt datu
apstrādes kategorijas, uz kurām daļēji vai
pilnībā attiecas 1. punktā minētie izņēmumi.
|
2.
Member States may determine by law categories of
data processing which may wholly or partly fall under the exemptions of paragraph
1.
|
|
3.
Gadījumos, kas minēti 1. un
2. punktā, dalībvalstis nodrošina, ka pārzinis rakstiski
informē datu subjektu par atteikumu vai ierobežojumiem piekļūt
datiem, par atteikuma iemesliem un par iespējām iesniegt
sūdzību uzraudzības iestādē un vērsties
tiesā. Informāciju par faktiskajiem vai tiesiskajiem iemesliem, kas
ir lēmuma pamatā, var nesniegt, ja šādas informācijas sniegšana
var apdraudēt vienu no 1. punktā noteiktajiem mērķiem.
|
3.
In cases referred to in paragraphs 1 and 2, Member
States shall provide that the controller informs the data subject in writing on
any refusal or restriction of access, on the reasons for the refusal and on the
possibilities of lodging a complaint to the supervisory authority and seeking a
judicial remedy. The information on factual or legal reasons on which the
decision is based may be omitted where the provision of such information would
undermine a purpose under paragraph 1.
|
|
4.
Dalībvalstis nodrošina, ka pārzinis
dokumentē iemeslus, kāpēc netiek sniegta informācija par
faktiskajiem vai tiesiskajiem iemesliem, kuri ir lēmuma pamatā.
|
4.
Member States shall ensure that the controller
documents the grounds for omitting the communication of the factual or legal
reasons on which the decision is based.
|
|
14. pants
Piekļuves tiesību izmantošanas kārtība
|
Article 14
Modalities for exercising the right of access
|
|
1. Dalībvalstis, jo
īpaši 13. pantā minētajos gadījumos, nodrošina datu
subjekta tiesības pieprasīt, lai uzraudzības iestāde
pārbauda apstrādes likumību.
|
1. Member States shall
provide for the right of the data subject to request, in particular in cases referred
to in Article 13, that the supervisory authority checks the lawfulness of the
processing.
|
|
2. Dalībvalstis nodrošina,
ka pārzinis informē datu subjektu par tiesībām
pieprasīt uzraudzības iestādes iejaukšanos saskaņā ar
1. punktu.
|
2. Member State shall provide
that the controller informs the data subject of the right to request the intervention
of the supervisory authority pursuant to paragraph 1.
|
|
3. Ja tiek izmantotas
1. punktā minētās tiesības, uzraudzības
iestāde informē datu subjektu vismaz par to, ka uzraudzības
iestāde ir veikusi visas nepieciešamās pārbaudes, un par to
rezultātiem attiecībā uz apstrādes likumību.
|
3. When the right referred to
in paragraph 1 is exercised, the supervisory authority shall inform the data
subject at least that all necessary verifications by the supervisory authority
have taken place, and of the result as regards the lawfulness of the processing
in question.
|
|
15. pants
Tiesības uz datu labošanu
|
Article 15
Right to rectification
|
|
1. Dalībvalstis nodrošina,
ka datu subjektam attiecībā pret pārzini ir tiesības uz
savu personas datu labošanu, ja tie ir neprecīzi. Datu subjektam ir
tiesības uz nepilnīgu personas datu papildināšanu, jo
īpaši, izmantojot paziņojumu par labojumiem.
|
1. Member States shall provide
for the right of the data subject to obtain from the controller the
rectification of personal data relating to them which are inaccurate. The data
subject shall have the right to obtain completion of incomplete personal data,
in particular by way of a corrective statement.
|
|
2. Dalībvalstis nodrošina,
ka pārzinis rakstiski informē datu subjektu par atteikumu labot
datus, par atteikuma iemesliem un par iespējām iesniegt
sūdzību uzraudzības iestādē un vērsties
tiesā.
|
2. Member States shall
provide that the controller informs the data subject in writing on any refusal
of rectification, on the reasons for the refusal and on the possibilities of
lodging a complaint to the supervisory authority and seeking a judicial remedy.
|
|
16. pants
Tiesības uz dzēšanu
|
Article 16
Right to erasure
|
|
1.
Dalībvalstis nodrošina datu subjektam
attiecībā pret pārzini tiesības panākt savu personas
datu dzēšanu, ja apstrāde neatbilst noteikumiem, kas pieņemti
saskaņā ar šīs direktīvas 4. panta a) līdz
e) apakšpunktu, 7. un 8. pantu.
|
1.
Member States shall provide for the right of the
data subject to obtain from the controller the erasure of personal data
relating to them where the processing does not comply with the provisions
adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive.
|
|
2.
Pārzinis nekavējoties dzēš datus.
|
2.
The controller shall carry out the erasure
without delay.
|
|
3.
Dzēšanas vietā pārzinis
iezīmē personas datus, ja:
|
3.
Instead of erasure, the controller shall mark
the personal data where:
|
|
a) datu subjekts apstrīd datu
precizitāti — uz laiku, kurā pārzinis pārbauda datu
precizitāti;
|
(a)
their accuracy is contested by the data subject,
for a period enabling the controller to verify the accuracy of the data;
|
|
b) personas dati ir jāsaglabā
kā pierādījumi;
|
(b)
the personal data have to be maintained for
purposes of proof;
|
|
c) datu subjekts iebilst pret datu
dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu.
|
(c)
the data subject opposes their erasure and requests
the restriction of their use instead.
|
|
4.
Dalībvalstis nodrošina, ka pārzinis
rakstiski informē datu subjektu par atteikumu dzēst datus vai
apstrādes iezīmēšanu, par atteikuma iemesliem un par
iespējām iesniegt sūdzību uzraudzības iestādē
un vērsties tiesā.
|
4.
Member States shall provide that the controller
informs the data subject in writing of any refusal of erasure or marking of the
processing, the reasons for the refusal and the possibilities of lodging a
complaint to the supervisory authority and seeking a judicial remedy.
|
|
17. pants
Datu subjekta tiesības kriminālizmeklēšanā un
kriminālprocesā
|
Article 17
Rights of the data subject in criminal investigations and proceedings
|
|
Dalībvalstis var noteikt, ka 11. –
16. pantā minētās tiesības uz informāciju,
piekļuvi, labošanu, dzēšanu un apstrādes ierobežošanu tiek
izmantotas saskaņā ar valsts procesuālajiem tiesību aktiem,
ja personas dati ir ietverti juridiskā lēmumā vai
reģistrā, ko apstrādā kriminālizmeklēšanas un
tiesas procesa gaitā.
|
Member States may provide that the rights
of information, access, rectification, erasure and restriction of processing
referred to in Articles 11 to 16 are carried out in accordance with national
rules on judicial proceedings where the personal data are contained in a
judicial decision or record processed in the course of criminal investigations
and proceedings.
|
|
IV NODAĻA
PĀRZINIS UN APSTRĀDĀTĀJS
|
CHAPTER IV
CONTROLLER AND PROCESSOR
|
|
1. IEDAĻA
VISPĀRĪGI PIENĀKUMI
|
SECTION
1
GENERAL OBLIGATIONS
|
|
18. pants
Pārziņa pienākumi
|
Article 18
Responsibility of the controller
|
|
1. Dalībvalstis nosaka, ka
pārzinis pieņem vadlīnijas un īsteno piemērotus
pasākumus, lai nodrošinātu, ka personas datu apstrāde notiek
atbilstoši noteikumiem, kas pieņemti saskaņā ar šo direktīvu.
|
1. Member States shall
provide that the controller adopts policies and implements appropriate measures
to ensure that the processing of personal data is performed in compliance with the
provisions adopted pursuant to this Directive.
|
|
2. Pasākumi, kas
minēti 1. punktā, jo īpaši ietver:
|
2. The measures referred to
in paragraph 1 shall in particular include:
|
|
a) dokumentācijas glabāšanu, kas
minēta 23. pantā;
|
(a) keeping the documentation referred to
in Article 23;
|
|
b) iepriekšējas apspriešanās
pienākuma ievērošanu saskaņā ar 26. pantu;
|
(b) complying with the requirements for
prior consultation pursuant to Article 26;
|
|
c) datu drošības prasību
īstenošanu, kas minētas 27. pantā;
|
(c) implementing the data security
requirements laid down in Article 27;
|
|
d) datu aizsardzības inspektora
iecelšanu saskaņā ar 30. pantu.
|
(d) designating a data protection officer
pursuant to Article 30.
|
|
3. Pārzinis īsteno mehānismus,
kas nodrošina šā panta 1. punktā minēto pasākumu
efektivitātes pārbaudi. Ja tas
ir samērīgi, šo pārbaudi veic neatkarīgs iekšējs vai
ārējs revidents.
|
3. The controller shall implement mechanisms to ensure the verification
of the effectiveness of the measures referred to in paragraph 1 of this Article. If proportionate, this verification shall be carried
out by independent internal or external auditors.
|
|
19. pants
Integrēta datu aizsardzība un datu aizsardzība pēc
noklusējuma
|
Article 19
Data protection by design and by default
|
|
1. Dalībvalstis paredz, ka,
ņemot vērā jaunākās tehniskās iespējas un to
ieviešanas izmaksas, pārzinis īsteno piemērotus tehniskus un
organizatoriskus pasākumus tā, lai apstrāde atbilstu
noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un
nodrošinātu datu subjektu tiesību aizsardzību.
|
1. Member States shall
provide that, having regard to the state of the
art and the cost of implementation, the controller shall implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of provisions adopted pursuant
to this Directive and ensure the protection of the rights of the data subject.
|
|
2. Pārzinis īsteno
mehānismus, lai nodrošinātu, ka pēc noklusējuma, tiek
apstrādāti tikai tie personas dati, kuri ir nepieciešami
apstrādes nolūkiem.
|
2. The controller shall
implement mechanisms for ensuring that, by default, only those personal data
which are necessary for the purposes of the processing are processed.
|
|
20. pants
Kopīgi pārziņi
|
Article 20
Joint controllers
|
|
Dalībvalstis nodrošina, ka,
gadījumā ja pārzinis personas datu apstrādes nolūkus,
nosacījumus un līdzekļus nosaka kopīgi ar citiem,
kopīgie pārziņi, savstarpēji vienojoties, nosaka savus
attiecīgos pienākumus, lai nodrošinātu atbilstību
noteikumiem, kas pieņemti saskaņā ar šo direktīvu, jo
īpaši attiecībā uz procedūrām un mehānismiem datu
subjekta tiesību izmantošanai.
|
Member States shall provide that where a
controller determines the purposes, conditions and means of the processing of
personal data jointly with others, the joint controllers must determine the
respective responsibilities for compliance with the provisions adopted pursuant
to this Directive, in particular as regards the procedures and mechanisms for
exercising the rights of the data subject, by means of an arrangement between
them.
|
|
21. pants
Apstrādātājs
|
Article 21
Processor
|
|
1.
Dalībvalstis paredz, ka, gadījumos ja
apstrādes darbību veic pārziņa vārdā,
pārzinim ir jāizvēlas apstrādātājs, kas sniedz
pietiekamas garantijas par to, ka tas īsteno piemērotus tehniskus un
organizatoriskus pasākumus un procedūras tā, lai apstrāde
atbilstu noteikumiem, kas pieņemti saskaņā ar šo direktīvu,
un nodrošinātu datu subjektu tiesību aizsardzību.
|
1.
Member States shall provide that where a
processing operation is carried out on behalf of a controller, the controller
must choose a processor providing sufficient guarantees to implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of the provisions adopted
pursuant to this Directive and ensure the protection of the rights of the data
subject.
|
|
2.
Dalībvalstis paredz, ka apstrādi, kuru
veic datu apstrādātājs, reglamentē ar tiesību aktu,
kurš pārzini saista ar apstrādātāju un paredz
konkrētus noteikumus, jo īpaši to, ka apstrādātājs
rīkojas tikai saskaņā ar pārziņa
norādījumiem, jo īpaši gadījumos, kad izmantoto personas
datu nosūtīšana ir aizliegta.
|
2.
Member States shall provide that the carrying
out of processing by a processor must be governed by a legal act binding the
processor to the controller and stipulating in particular that the processor
shall act only on instructions from the controller, in particular, where the
transfer of the personal data used is prohibited.
|
|
3.
Ja apstrādātājs apstrādā
personas datus citādi, nekā norādījis pārzinis,
apstrādātāju uzskata par pārzini attiecībā uz šo
apstrādi un viņam ir piemērojami 20. pantā
paredzētie noteikumi par kopīgiem pārziņiem.
|
3.
If a processor processes personal data other
than as instructed by the controller, the processor shall be considered to be a
controller in respect of that processing and shall be subject to the rules on
joint controllers laid down in Article 20.
|
|
22. pants
Apstrāde pārziņa un apstrādātāja
pakļautībā
|
Article 22
Processing under the authority of the controller and processor
|
|
Dalībvalstis nodrošina, ka
apstrādātājs un jebkura persona, kas darbojas pārziņa
vai apstrādātāja pakļautībā un kam ir
piekļuve personas datiem, var apstrādāt šos datus tikai
saskaņā ar pārziņa norādījumiem vai ja to nosaka
Savienības vai dalībvalsts tiesību akti.
|
Member States shall provide that the
processor and any person acting under the authority of the controller or of the
processor, who has access to personal data, may only process them on
instructions from the controller or where required by Union or Member State
law.
|
|
23. pants
Dokumentācija
|
Article 23
Documentation
|
|
1. Dalībvalstis nodrošina,
ka katrs datu pārzinis un apstrādātājs saglabāt visu
apstrādes sistēmu un procedūru dokumentāciju, par
kurām tas ir atbildīgs.
|
1. Member States shall
provide that each controller and processor maintains documentation of all
processing systems and procedures under their responsibility.
|
|
2. Dokumentācijā
ietver vismaz šādu informāciju:
|
2. The documentation shall
contain at least the following information:
|
|
a) pārziņa vai kopīgo
pārziņu nosaukumu un kontaktinformāciju;
|
(a) the name and contact details of the
controller, or any joint controller or processor;
|
|
b) apstrādes nolūkus;
|
(b) the purposes of the processing;
|
|
c) personas datu saņēmējus
vai datu saņēmēju kategorijas;
|
(c) the recipients or categories of
recipients of the personal data;
|
|
d) informāciju par datu
nosūtīšanu uz trešo valsti vai starptautisku organizāciju,
ietverot šīs trešās valsts vai starptautiskās organizācijas
identifikāciju.
|
(d) transfers of data to a third country
or an international organisation, including the identification of that third
country or international organisation.
|
|
3. Pārzinis un
apstrādātājs dara šo dokumentāciju pieejamu
uzraudzības iestādei pēc tās pieprasījuma.
|
3. The controller and the
processor shall make the documentation available, on request, to the
supervisory authority.
|
|
24. pants
Reģistrs
|
Article 24
Keeping of records
|
|
1. Dalībvalstis nodrošina,
ka tiek reģistrēta un saglabāta informācija par vismaz
šādām apstrādes darbībām: vākšanu, pārveidošanu,
aplūkošanu, izpaušanu, kombinēšanu vai dzēšanu. Ierakstos par
aplūkošanu un izpaušanu jo īpaši atklāj šādu darbību
nolūkus, datumu un laiku, un, ciktāl iespējams, identificē
personu, kura aplūkoja vai izpauda personas datus.
|
1. Member States shall ensure
that records are kept of at least the following processing operations:
collection, alteration, consultation, disclosure, combination or erasure. The
records of consultation and disclosure shall show in particular the purpose,
date and time of such operations and as far as possible the identification of the
person who consulted or disclosed personal data.
|
|
2. Reģistru izmanto tikai,
lai pārbaudītu datu apstrādes likumību, veiktu
pašuzraudzību un nodrošinātu datu integritāti un drošību.
|
2. The records shall be used solely
for the purposes of verification of the lawfulness of the data processing, self-monitoring
and for ensuring data integrity and data security.
|
|
25. pants
Sadarbība ar uzraudzības iestādi
|
Article 25
Cooperation with the supervisory authority
|
|
1. Dalībvalstis
nodrošina, ka pārzinis un apstrādātājs, pildot savus
uzdevumus, pēc pieprasījuma sadarbojas ar uzraudzības
iestādi, jo īpaši sniedzot visu informāciju, kas
uzraudzības iestādei ir nepieciešama tās uzdevumu veikšanai.
|
1. Member
States shall provide that the controller
and the processor shall co-operate, on request, with the supervisory authority in
the performance of its duties, in particular by providing all information necessary
for the supervisory authority to perform its duties.
|
|
2. Ja
uzraudzības iestāde izmanto savas pilnvaras saskaņā ar
46. panta a) un b) apakšpunktu, pārzinis un
apstrādātājs atbild uzraudzības iestādei
saprātīgā termiņā, ko nosaka uzraudzības
iestāde. Atbildē ietilpst arī veikto pasākumu apraksts un
rezultāti, kas panākti, reaģējot uz uzraudzības iestādes
piezīmēm.
|
2. In
response to the supervisory authority's exercise of its powers under points (a)and
(b) of Article 46, the controller and the
processor shall reply to the supervisory authority within a reasonable period.
The reply shall include a description of the measures taken and the results
achieved, in response to the remarks of the supervisory authority.
|
|
26. pants
Iepriekšēja apspriešanās ar uzraudzības iestādi
|
Article 26
Prior consultation of the supervisory authority
|
|
1.
Dalībvalstis nodrošina, ka pārzinis vai
apstrādātājs pirms tādu personas datu apstrādes, kurus
ietvers jaunizveidotā kartotēkā, apspriežas ar valsts
uzraudzības iestādi gadījumos, ja:
|
1.
Member States shall ensure that the controller
or the processor consults the supervisory authority prior to the processing of
personal data which will form part of a new filing system to be created where:
|
|
a) tiks apstrādāti īpašu
kategoriju dati, kas minēti 8. pantā;
|
(a) special categories of data referred to
in Article 8 are to be processed;
|
|
b) datu apstrādes veids, jo īpaši
izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, rada
cita veida īpašu risku attiecībā uz datu subjekta
pamattiesībām un brīvībām, jo īpaši
attiecībā uz personas datu aizsardzību.
|
(b) the type of processing, in particular
using new technologies, mechanisms or procedures, holds otherwise specific
risks for the fundamental rights and freedoms, and in particular the protection
of personal data, of data subjects.
|
|
2.
Dalībvalstis var noteikt, ka uzraudzības
iestāde izveido apstrādes darbību sarakstu, par kurām veic
iepriekšēju apspriešanos saskaņā ar 1. punktu.
|
2.
Member States may provide that the supervisory
authority establishes a list of the processing operations which are subject to
prior consultation pursuant to paragraph 1.
|
|
2. IEDAĻA
DATU DROŠĪBA
|
SECTION
2
data SECURITY
|
|
27. pants
Apstrādes drošība
|
Article 27
Security of processing
|
|
1. Dalībvalstis
nodrošina, ka, ņemot vērā jaunākās tehniskās
iespējas un to ieviešanas izmaksas, pārzinis un apstrādātājs
īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai
nodrošinātu tādu drošības līmeni, kas atbilst ar
apstrādi saistītajam riskam un aizsargājamo datu īpatnībām.
|
1. Member
States shall provide that the controller and the processor implements appropriate
technical and organisational measures to ensure a level of security appropriate
to the risks represented by the processing and the nature of the data to be
protected, having regard to the state of the art and the cost of their
implementation.
|
|
2. Attiecībā
uz datu automatizētu apstrādi katra dalībvalsts nodrošina, ka
pārzinis vai apstrādātājs pēc risku
izvērtēšanas īsteno pasākumus, lai:
|
2. In
respect of automated data processing, each Member State shall provide that the
controller or processor, following an evaluation of the risks, implements
measures designed to:
|
|
a) liegtu nepiederošām personām
pieeju datu apstrādes iekārtām, kuras izmanto personas datu
apstrādei (piekļuves kontrole iekārtām);
|
(a)
deny unauthorised persons access to
data-processing equipment used for processing personal data (equipment access
control);
|
|
b) novērstu datu nesankcionētu
nolasīšanu, kopēšanu, grozīšanu vai datu nesēju
izņemšanu (datu nesēju kontrole);
|
(b)
prevent the unauthorised reading, copying,
modification or removal of data media (data media control);
|
|
c) liegtu datu neatļautu
ievadīšanu datubāzē, kā arī liegtu saglabāto
personas datu neatļautu apskati, grozīšanu vai dzēšanu
(glabāšanas kontrole);
|
(c)
prevent the unauthorised input of data and the
unauthorised inspection, modification or deletion of stored personal data
(storage control);
|
|
d) liegtu izmantot datu apstrādes
automatizētas sistēmas nepilnvarotām personām, izmantojot
datu komunikācijas iekārtas (lietotāju kontrole);
|
(d)
prevent the use of automated data-processing
systems by unauthorised persons using data communication equipment (user
control);
|
|
e) nodrošinātu, ka personām, kas
ir pilnvarotas izmantot datu apstrādes automatizētu sistēmu, ir
piekļuve tikai tiem datiem, uz kuriem attiecas viņu piekļuves
tiesības (datu piekļuves kontrole);
|
(e)
ensure that persons authorised to use an
automated data-processing system only have access to the data covered by their
access authorisation (data access control);
|
|
f) nodrošinātu, ka ir iespējams
pārbaudīt un noteikt, kurām struktūrām dati ir vai var
tikt nosūtīti vai izpausti, izmantojot datu komunikācijas
iekārtas (komunikācijas kontrole);
|
(f)
ensure that it is possible to verify and
establish to which bodies personal data have been or may be transmitted or made
available using data communication equipment (communication control);
|
|
g) nodrošinātu, ka pēc tam ir
iespējams pārbaudīt un noteikt, kādi personas dati ir
ievadīti datu automatizētas apstrādes sistēmās,
kā arī ievadīšanas laiku un ievadītāju (ievades
kontrole);
|
(g)
ensure that it is subsequently possible to
verify and establish which personal data have been input into automated
data-processing systems and when and by whom the data were input (input
control);
|
|
h) novērstu personas datu
nesankcionētu nolasīšanu, kopēšanu, grozīšanu vai
dzēšanu personas datu nosūtīšanas laikā vai datu
nesēja transportēšanas laikā (transportēšanas kontrole);
|
(h)
prevent the unauthorised reading, copying,
modification or deletion of personal data during transfers of personal data or
during transportation of data media (transport control);
|
|
i) nodrošinātu, ka traucējumu
gadījumā uzstādītās sistēmas var atjaunot
(atgūšana);
|
(i)
ensure that installed systems may, in case of
interruption, be restored (recovery);
|
|
j) nodrošinātu, ka sistēma
funkcionē tā, ka par darbības kļūdu
parādīšanos tiek ziņots (drošums) un saglabātie dati nevar
tikt sabojāti sistēmas darbības traucējumu dēļ
(integritāte).
|
(j)
ensure that the functions of the system perform,
that the appearance of faults in the functions is reported (reliability) and
that stored personal data cannot be corrupted by means of a malfunctioning of
the system (integrity).
|
|
3. Komisija
nepieciešamības gadījumā var pieņemt īstenošanas
aktus, lai precizētu 1. un 2. minētos noteikumus
dažādās situācijās, jo īpaši šifrēšanas
standartus. Šos īstenošanas aktus pieņem saskaņā ar
pārbaudes procedūru, kas minēta 57. panta
2. punktā.
|
3. The
Commission may adopt, where necessary, implementing acts for specifying the
requirements laid down in paragraphs 1 and 2 to various situations, notably
encryption standards. Those implementing acts shall be adopted in accordance
with the examination procedure referred to in Article 57(2).
|
|
28. pants
Personas datu aizsardzības
pārkāpuma paziņošana uzraudzības iestādei
|
Article 28
Notification of a personal data breach to the
supervisory authority
|
|
1. Dalībvalstis nodrošina,
ka personas datu aizsardzības pārkāpuma gadījumā
pārzinis bez nepamatotas kavēšanās un, ja tas iespējams, ne
vēlāk kā 24 stundās no brīža, kad tas kļuvis
zināms, paziņo uzraudzības iestādei par personas datu
aizsardzības pārkāpumu. Pārzinis pēc pieprasījuma
sniedz uzraudzības iestādei pamatotu paskaidrojumu gadījumos,
kad paziņošana nav notikusi 24 stundu laikā.
|
1. Member States shall
provide that in the case of a personal data breach, the controller notifies,
without undue delay and, where feasible, not later than 24 hours after having
become aware of it, the personal data breach to the supervisory authority. The controller
shall provide, on request, to the supervisory authority a reasoned
justification in cases where the notification is not made within 24 hours.
|
|
2. Apstrādātājs
pēc tam, kad viņam ir kļuvis zināms par personas datu
aizsardzības pārkāpumu, nekavējoties brīdina un
informē pārzini.
|
2. The processor shall alert
and inform the controller immediately after having become aware of a personal
data breach.
|
|
3. Paziņojumā, kas
minēts 1. punktā, ietver vismaz šādu informāciju:
|
3. The notification referred
to in paragraph 1 shall at least:
|
|
a) apraksta personas datu aizsardzības
pārkāpuma būtību, tostarp skarto datu subjektu kategorijas
un skaitu un skarto datu ierakstu kategorijas un skaitu;
|
(a) describe the nature of the personal
data breach including the categories and number of data subjects concerned and
the categories and number of data records concerned;
|
|
b) paziņo 30. pantā
minētā datu aizsardzības inspektora vai cita kontaktpunkta, kur
var iegūt papildu informāciju, identitāti un
kontaktinformāciju;
|
(b) communicate the identity and contact
details of the data protection officer referred to in Article 30 or other
contact point where more information can be obtained;
|
|
c) iesaka pasākumus personas datu
aizsardzības pārkāpuma iespējamās
nelabvēlīgās ietekmes mazināšanai;
|
(c) recommend measures to mitigate the
possible adverse effects of the personal data breach;
|
|
d) apraksta personas datu aizsardzības
pārkāpuma iespējamās sekas;
|
(d) describe the possible consequences of
the personal data breach;
|
|
e) apraksta pārziņa
ierosinātos vai veiktos pasākumus, lai risinātu personas datu
aizsardzības pārkāpumu.
|
(e) describe the measures proposed or
taken by the controller to address the personal data breach.
|
|
4. Dalībvalstis nodrošina,
ka pārzinis dokumentē visus personas datu aizsardzības
pārkāpumus, norādot pārkāpumu izdarīšanas
apstākļus, to sekas un veiktās koriģējošās
darbības. Dokumentācijai jāļauj uzraudzības
iestādei pārbaudīt šā panta ievērošanu.
Dokumentācijā ietver tikai šim nolūkam nepieciešamo
informāciju.
|
4. Member States shall
provide that the controller documents any personal data breaches, comprising
the facts surrounding the breach, its effects and the remedial action taken.
This documentation must enable the supervisory authority to verify compliance
with this Article. The documentation shall only include the information
necessary for that purpose.
|
|
5. Komisijai piešķir
tiesības pieņemt deleģētos aktus saskaņā ar
56. pantu ar nolūku sīkāk precizēt kritērijus un
prasības attiecībā uz 1. un 2. punktā minētā
personas datu aizsardzības pārkāpuma konstatēšanu un jo
īpaši apstākļus, kuros pārzinim un
apstrādātājam ir pienākums ziņot par personas datu
aizsardzības pārkāpumu.
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 56 for the purpose
of specifying further the criteria and requirements for establishing the data
breach referred to in paragraphs 1 and 2 and for the particular circumstances
in which a controller and a processor is required to notify the personal data
breach.
|
|
6. Komisija var noteikt
šāda paziņojuma uzraudzības iestādei standarta formu,
procedūras, kas piemērojamas pienākumam paziņot, un formu
un kārtību dokumentācijai, kas minēta 4. punktā,
ietverot arī termiņus, kuros dzēš tajā ietverto informāciju.
Šos īstenošanas aktus pieņem saskaņā ar pārbaudes
procedūru, kas minēta 57. panta 2. punktā.
|
6. The Commission may lay
down the standard format of such notification to the supervisory authority, the
procedures applicable to the notification requirement and the form and the
modalities for the documentation referred to in paragraph 4, including the time
limits for erasure of the information contained therein. Those implementing
acts shall be adopted in accordance with the examination procedure referred to
in Article 57(2).
|
|
29. pants
Datu subjekta informēšana par personas
datu aizsardzības pārkāpumu
|
Article 29
Communication of a personal data breach to
the data subject
|
|
1. Dalībvalstis nodrošina,
ka, gadījumā ja personas datu aizsardzības pārkāpums
var nelabvēlīgi ietekmēt datu subjekta personas datu vai
privātuma aizsardzību, pārzinis pēc tam, kad ir
paziņojis par pārkāpumu saskaņā ar 28. pantu, bez
nepamatotas kavēšanās informē datu subjektu par personas datu
aizsardzības pārkāpumu.
|
1. Member States shall
provide that when the personal data breach is likely to adversely affect the
protection of the personal data or privacy of the data subject, the controller
shall, after the notification referred to in Article 28, communicate the
personal data breach to the data subject without undue delay.
|
|
2. Paziņojumā datu
subjektam, kas minēts 1. punktā, apraksta personas datu
aizsardzības pārkāpuma būtību un ietver vismaz
28. panta 3. punkta b) un c) apakšpunktā minēto
informāciju un ieteikumus.
|
2. The communication to the
data subject referred to in paragraph 1 shall describe the nature of the
personal data breach and contain at least the information and the
recommendations provided for in points (b) and (c) of Article 28(3).
|
|
3. Datu subjekts nav
jāinformē par personas datu aizsardzības pārkāpumu, ja
pārzinis uzraudzības iestādei ir uzskatāmi
pierādījis, ka tas ir īstenojis atbilstīgus tehniskus
aizsardzības pasākumus un šie pasākumi tikuši piemēroti
personas datiem, ko skāris personas datu aizsardzības
pārkāpums. Ar šādiem tehniskiem aizsardzības
pasākumiem datus padara nesaprotamus personām, kurām nav
pilnvaru piekļūt datiem.
|
3. The communication of a
personal data breach to the data subject shall not be required if the
controller demonstrates to the satisfaction of the supervisory authority that
it has implemented appropriate technological protection measures, and that
those measures were applied to the personal data concerned by the personal data
breach. Such technological protection measures shall render the data
unintelligible to any person who is not authorised to access it.
|
|
4. Paziņojumu datu
subjektam var atlikt, ierobežot vai nesniegt, pamatojoties uz iemesliem, kas
minēti 11. panta 4. punktā.
|
4. The communication to the
data subject may be delayed, restricted or omitted on the grounds referred to
in Article 11(4).
|
|
3. IEDAĻA
DATU AIZSARDZĪBAS INSPEKTORS
|
SECTION 3
DATA PROTECTION OFFICER
|
|
30. pants
Datu aizsardzības inspektora iecelšana
|
Article 30
Designation of the data protection officer
|
|
1.
Dalībvalstis nodrošina, ka pārzinis vai
apstrādātājs ieceļ datu aizsardzības inspektoru.
|
1.
Member States shall provide that the controller or
the processor designates a data protection officer.
|
|
2.
Datu aizsardzības inspektoru ieceļ,
pamatojoties uz tā profesionālo kvalifikāciju, jo īpaši
pamatojoties uz eksperta līmeņa zināšanām datu
aizsardzības tiesību un prakses jomā un spēju pildīt
uzdevumus, kas minēti 32. pantā.
|
2.
The data protection officer shall be designated on
the basis of professional qualities and, in particular, expert knowledge of
data protection law and practices and ability to fulfil the tasks referred to
in Article 32.
|
|
3.
Datu aizsardzības inspektoru var iecelt
vairākām vienībām, ņemot vērā
kompetentās iestādes organizatorisko uzbūvi
|
3.
The data protection officer may be designated for several entities, taking account of the organisational
structure of the competent authority.
|
|
31. pants
Datu aizsardzības inspektora statuss
|
Article 31
Position of the data protection officer
|
|
1.
Dalībvalstis paredz, ka pārzinis vai
apstrādātājs nodrošina, ka datu aizsardzības inspektors
tiek pienācīgi un laicīgi iesaistīts visos jautājumos
saistībā ar personas datu aizsardzību.
|
1.
Member States shall provide that the controller
or the processor ensures that the data protection officer is properly and in a
timely manner involved in all issues which relate to the protection of personal
data.
|
|
2.
Pārzinis un apstrādātājs
nodrošina, ka datu aizsardzības inspektoram ir nepieciešamie
līdzekļi, lai pildītu 32. pantā minētos
pienākumus un uzdevumus efektīvi un neatkarīgi un lai viņš
nesaņemtu nekādus norādījumus attiecībā uz savu
funkciju veikšanu.
|
2.
The controller or processor shall ensure that
the data protection officer is provided with the means to perform duties and
tasks referred to under Article 32 effectively and independently, and does not
receive any instructions as regards the exercise of the function.
|
|
32. pants
Datu aizsardzības inspektora uzdevumi
|
Article 32
Tasks of the data protection officer
|
|
Dalībvalstis nodrošina, ka pārzinis
un apstrādātājs uztic datu aizsardzības inspektoram vismaz
šādus uzdevumus:
|
Member States shall provide that the
controller or the processor entrusts the data protection officer at least with the
following tasks:
|
|
a) informēt un konsultēt
pārzini vai apstrādātāju par viņu pienākumiem
saskaņā noteikumiem, kas pieņemti, pamatojoties uz šo
direktīvu, un dokumentēt šīs darbības un saņemtās
atbildes;
|
(a)
to inform and advise the controller or the processor
of their obligations in accordance with the provisions adopted pursuant to this
Directive and to document this activity and the responses received;
|
|
b) uzraudzīt vadlīniju
īstenošanu un piemērošanu saistībā ar personas datu
aizsardzību, ietverot arī pienākumu sadali, apstrādes
darbībās iesaistīto darbinieku mācības un ar to
saistītas revīzijas.
|
(b)
to monitor the implementation and application of
the policies in relation to the protection of personal data, including the
assignment of responsibilities, the training of staff involved in the
processing operations and the related audits;
|
|
c) uzraudzīt noteikumu, kas
pieņemti, pamatojoties uz šo direktīvu, īstenošanu un
piemērošanu, jo īpaši attiecībā uz prasībām
saistībā ar integrētu datu aizsardzību, datu
aizsardzību pēc noklusējuma un datu drošību, un
saistībā ar datu subjektu informēšanu un datu subjektu pieprasījumiem,
izmantojot viņu tiesības saskaņā ar noteikumiem, kas
pieņemti, pamatojoties uz šo direktīvu;
|
(c)
to monitor the implementation and application of
the provisions adopted pursuant to this Directive, in particular as to the
requirements related to data protection by design, data protection by default
and data security and to the information of data subjects and their requests in
exercising their rights under the provisions adopted pursuant to this
Directive;
|
|
d) nodrošināt, ka tiek
saglabāta 23. pantā minētā dokumentācija;
|
(d)
to ensure that the documentation referred to in
Article 23 is maintained;
|
|
e) uzraudzīt dokumentāciju,
paziņojumus un informēšanu par personas datu aizsardzības
pārkāpumiem saskaņā ar 28. un 29. pantu;
|
(e)
to monitor the documentation, notification and
communication of personal data breaches pursuant to Articles 28 and 29;
|
|
f) uzraudzīt pieteikumu par
iepriekšēju apspriešanos ar uzraudzības iestādi, ja tas ir
nepieciešams saskaņā ar 26. pantu;
|
(f)
to monitor the application for prior consultation
to the supervisory authority, if required pursuant to Article 26 ;
|
|
g) uzraudzīt atbildes uz
uzraudzības iestādes pieprasījumiem un datu aizsardzības
inspektora kompetences ietvaros sadarboties ar uzraudzības iestādi
pēc tās pieprasījuma vai pēc paša iniciatīvas;
|
(g)
to monitor the response to requests from the
supervisory authority, and, within the sphere of the data protection officer's competence,
co-operating with the supervisory authority at the latter's request or on his
own initiative;
|
|
h) būt par uzraudzības
iestādes kontaktpunktu ar apstrādi saistītos jautājumos un
attiecīgos gadījumos konsultēties ar uzraudzības
iestādi, pēc datu aizsardzības inspektora paša iniciatīvas.
|
(h) to act as the contact point for the
supervisory authority on issues related to the processing and consult with the
supervisory authority, if appropriate, on the data protection officer's own
initiative.
|
|
V NODAĻA
PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI
STARPTAUTISKĀM ORGANIZĀCIJĀM
|
CHAPTER V
TRANSFER OF PERSONAL DATA
TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
|
33. pants
Personas datu nosūtīšanas vispārīgie principi
|
Article 33
General principles for transfers of
personal data
|
|
Dalībvalstis nodrošina, ka personas datu
nosūtīšanu, kas tiek apstrādāti vai kurus ir paredzēts
apstrādāt pēc nosūtīšanas uz trešo valsti vai
starptautisku organizāciju, ietverot arī personas datu
tālāku nosūtīšanu citai trešai valstij vai citai
starptautiskai organizācijai, kompetentās iestādes var veikt
tikai tad, ja:
|
Member States shall provide that any transfer of personal
data by competent authorities that is undergoing processing or is intended for
processing after transfer to a third country, or to an international
organisation, including further onward transfer to another third country or
international organisation, may take place only if:
|
|
a) nosūtīšana ir nepieciešama, lai
novērstu, izmeklētu, atklātu noziedzīgus nodarījumus,
sauktu pie atbildības par tiem vai izpildītu kriminālsodus; un
|
(a) the transfer is necessary for the
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties; and
|
|
b) pārzinis un
apstrādātājs izpilda šajā nodaļā paredzētos
nosacījumus.
|
(b) the conditions laid down in this
Chapter are complied with by the controller and processor.
|
|
34. pants
Nosūtīšana, pamatojoties uz lēmumu par aizsardzības
līmeņa pietiekamību
|
Article 34
Transfers with an adequacy decision
|
|
1. Dalībvalsts nodrošina,
ka personas datu nosūtīšana trešai valstij vai starptautiskai
organizācijai var notikt, ja Komisija saskaņā ar Regulas (ES)
…./2012 41. pantu vai saskaņā ar šā panta 3. punktu ir
lēmusi, ka trešā valsts vai teritorija vai apstrādes nozare
attiecīgajā trešajā valstī vai starptautiskajā
organizācijā nodrošina pietiekamu aizsardzības līmeni.
Šādai nosūtīšanai nav nepieciešama nekāda cita
atļauja.
|
1. Member States shall provide
that a transfer of personal data to a third country or an international
organisation may take place where the Commission has decided in accordance with
Article 41 of Regulation (EU) …./2012 or in accordance with paragraph 3 of this
Article that the third country or a territory or a processing sector within
that third country, or the international organisation in question ensures an
adequate level of protection. Such transfer shall not require any further authorisation.
|
|
2. Ja nav pieņemts
lēmums, pamatojoties uz Regulas (ES) …./2012 41. pantu, Komisija
novērtē aizsardzības līmeņa pietiekamību, ņemot
vērā šādus elementus:
|
2. Where no decision adopted
in accordance with Article 41 of Regulation (EU) …./2012 exists, the Commission
shall assess the adequacy of the level of protection, giving consideration to
the following elements:
|
|
a) tiesiskuma princips, spēkā
esošie attiecīgie tiesību akti – gan vispārīgie, gan nozaru
– ietverot arī tos, kas attiecas uz sabiedrības drošību,
aizsardzību, valsts drošību un krimināltiesībām,
drošības pasākumi, kurus ievēro šajā valstī vai
starptautiskajā organizācijā, kā arī tiesību
efektivitāte un īstenojamība, ietverot efektīvus datu
subjektu tiesībaizsardzības līdzekļus gan
administratīvā kārtā, gan tiesā un jo īpaši
attiecībā uz tiem datu subjektiem, kas dzīvo Savienībā
un kuru datus nosūta;
|
(a) the rule of law, relevant legislation
in force, both general and sectoral, including concerning public security,
defence, national security and criminal law as well as the security measures
which are complied with in that country or by that international organisation; as
well as effective and enforceable rights including effective administrative and
judicial redress for data subjects, in particular for those data subjects
residing in the Union whose personal data are being transferred;
|
|
b) vai attiecīgajā trešā
valstī vai starptautiskajā organizācijā pastāv un
efektīvi darbojas viena vai vairākas uzraudzības iestādes,
kas atbildīgas par datu aizsardzības noteikumu ievērošanas
nodrošināšanu, par datu subjekta atbalstīšanu un konsultēšanu
saistībā ar tiesību izmantošanu un par sadarbību ar
Savienības un dalībvalstu uzraudzības iestādēm; un
|
(b) the existence and effective functioning
of one or more independent supervisory authorities in the third country or
international organisation in question responsible for ensuring compliance with
the data protection rules, for assisting and advising the data subject in
exercising their rights and for co-operation with the supervisory authorities
of the Union and of Member States; and
|
|
c) kādas starptautiskās
saistības uzņēmusies attiecīgā trešā valsts vai
starptautiskā organizācija.
|
(c) the international commitments the
third country or international organisation in question has entered into.
|
|
3. Komisija šīs
direktīvas darbības jomā var nolemt, ka trešā valsts,
trešās valsts teritorija vai apstrādes nozare, vai starptautiska
organizācija nodrošina pietiekamu aizsardzības līmeni
2. punkta izpratnē. Šos īstenošanas aktus pieņem
saskaņā ar pārbaudes procedūru, kas minēta
57. panta 2. punktā.
|
3. The Commission may decide,
within the scope of this Directive, that a third country or a territory or a
processing sector within that third country or an international organisation
ensures an adequate level of protection within the meaning of paragraph 2. Those
implementing acts shall be adopted in accordance with the examination procedure
referred to in Article 57(2).
|
|
4. Īstenošanas aktā
norāda tā ģeogrāfisko un nozaru piemērošanas jomu un
attiecīgā gadījumā norāda uzraudzības
iestādi, kas minēta 2. punkta b) apakšpunktā.
|
4. The implementing act shall
specify its geographical and sectoral application, and, where applicable, identify
the supervisory authority mentioned in point (b) of paragraph 2.
|
|
5. Komisija šīs
direktīvas piemērošanas jomā var nolemt, ka trešā valsts
vai trešās valsts teritorija vai apstrādes nozare, vai starptautiska
organizācija nenodrošina pietiekamu aizsardzības līmeni
2. punkta nozīmē, jo īpaši gadījumos, kad
attiecīgie trešā valstī vai starptautiskā
organizācijā spēkā esošie tiesību akti – gan
vispārīgie, gan nozaru – negarantē efektīvas un
īstenojamas tiesības, ietverot efektīvus datu subjektu
tiesībaizsardzības līdzekļus gan administratīvā
kārtā, gan tiesā un jo īpaši attiecībā uz tiem
datu subjektiem, kuru datus nosūta. Šos īstenošanas aktus pieņem
saskaņā ar pārbaudes procedūru, kas minēta
57. panta 2. punktā, vai saskaņā ar procedūru,
kas minēta 57. panta 3. punktā, ja tas ir
ārkārtīgi steidzami saistībā ar personas
tiesībām uz personas datu aizsardzību.
|
5. The Commission may decide within
the scope of this Directive that a third country or a territory or a processing
sector within that third country or an international organisation does not
ensure an adequate level of protection within the meaning of paragraph 2, in
particular in cases where the relevant legislation, both general and sectoral,
in force in the third country or international organisation, does not guarantee
effective and enforceable rights including effective administrative and
judicial redress for data subjects, in particular for those data subjects whose
personal data are being transferred. Those implementing acts shall be adopted
in accordance with the examination procedure referred to in Article 57(2), or,
in cases of extreme urgency for individuals with respect to their right to
personal data protection, in accordance with the procedure referred to in
Article 57(3).
|
|
6. Dalībvalstis nodrošina,
ka, gadījumā ja Komisija pieņem lēmumu saskaņā ar
5. punktu, personas datu nosūtīšana uz attiecīgo trešo
valsti, trešās valsts teritoriju vai apstrādes nozari vai
starptautisko organizāciju ir aizliegta, neskarot nosūtīšanu
saskaņā ar 35. panta 1. punktu un 36. pantu.
Atbilstīgā laikā Komisija sāk sarunas ar trešo valsti vai
starptautisko organizāciju ar nolūku labot situāciju, kas izriet
no lēmuma, kas pieņemts saskaņā ar šā panta
5. punktu.
|
6. Member States shall ensure
that where the Commission decides pursuant to paragraph 5, that any transfer of
personal data to the third country or a territory or a processing sector within
that third country, or the international organisation in question shall be
prohibited, this decision shall be without prejudice to transfers under Article
35(1) or in accordance with Article 36. At the appropriate time, the Commission
shall enter into consultations with the third country or international
organisation with a view to remedying the situation resulting from the Decision
made pursuant to paragraph 5 of this Article.
|
|
7. Komisija Eiropas
Savienības Oficiālajā Vēstnesī publicē
sarakstu ar tām trešām valstīm, trešo valstu teritorijām un
apstrādes nozarēm vai starptautiskām organizācijām,
par kurām ir pieņemts lēmums par aizsardzības
līmeņa pietiekamību vai nepietiekamību.
|
7. The Commission shall
publish in the Official Journal of the European Union a list of those
third countries, territories and processing sectors within a third country or
an international organisation where it has decided that an adequate level of
protection is or is not ensured.
|
|
8. Komisija uzrauga 3. un
5. punktā minēto īstenošanas aktu piemērošanu.
|
8. The Commission shall
monitor the application of the implementing acts referred to in paragraphs 3
and 5.
|
|
35. pants
Nosūtīšana, pamatojoties uz atbilstošiem aizsardzības
pasākumiem
|
Article 35
Transfers by way of appropriate safeguards
|
|
1. Ja Komisija nav
pieņēmusi lēmumu saskaņā ar 34. pantu,
dalībvalstis nodrošina, ka personas datu nosūtīšana
saņēmējam trešā valstī vai starptautiskā
organizācijā var notikt, ja:
|
1. Where the Commission has
taken no decision pursuant to Article 34, Member States shall provide that a
transfer of personal data to a recipient in a third country or an international
organisation may take place where:
|
|
a) juridiski saistošā aktā ir
nodrošināti atbilstoši personas datu aizsardzības pasākumi; vai
|
(a) appropriate safeguards with respect to
the protection of personal data have been adduced in a legally binding instrument;
or
|
|
b) pārzinis vai
apstrādātājs ir izvērtējis visus apstākļus
saistībā ar datu nosūtīšanu un secinājis, ka
pastāv atbilstoši personas datu aizsardzības pasākumi.
|
(b) the controller or processor has
assessed all the circumstances surrounding the transfer of personal data and
concludes that appropriate safeguards exist with respect to the protection of
personal data.
|
|
1. Lēmumu par
nosūtīšanu, pamatojoties uz 1. punkta b) apakšpunktu,
pieņem pienācīgi pilnvarots darbinieks. Šo nosūtīšanu
dokumentē un dokumentāciju pēc pieprasījuma dara pieejamu
uzraudzības iestādei.
|
1. The decision for transfers
under paragraph 1 (b) must be made by duly authorised staff. These transfers must
be documented and the documentation must be made available to the supervisory
authority on request.
|
|
36. pants
Atkāpes
|
Article 36
Derogations
|
|
Atkāpjoties
no 34. un 35. panta, dalībvalstis nodrošina, ka personas datu
nosūtīšana saņēmējam trešā valstī vai
starptautiskā organizācijā var notikt tikai, ja:
|
By way of derogation
from Articles 34 and 35, Member States shall provide that a transfer of
personal data to a third country or an international organisation may take
place only on condition that:
|
|
a) nosūtīšana ir vajadzīga,
lai aizsargātu datu subjekta vai citas personas īpaši svarīgas
intereses; vai
|
(a) the transfer is necessary in order to
protect the vital interests of the data subject or another person; or
|
|
b) nosūtīšana ir nepieciešama, lai
aizsargātu datu subjektu likumīgās intereses, gadījumos,
kad tas ir noteikts nosūtošās dalībvalsts tiesību aktos;
vai
|
(b) the transfer is necessary to safeguard
legitimate interests of the data subject where the law of the Member State
transferring the personal data so provides; or
|
|
c) datu nosūtīšana ir
būtiska, lai novērstu tiešus un nopietnus draudus sabiedrības
drošībai dalībvalstī vai trešā valstī; vai
|
(c) the transfer of the data is essential
for the prevention of an immediate and serious threat to public security of a
Member State or a third country; or
|
|
d) nosūtīšana ir nepieciešama
individuālos gadījumos, lai novērstu, izmeklētu,
atklātu noziedzīgus nodarījumus, sauktu pie atbildības par
tiem vai izpildītu kriminālsodus; vai
|
(d) the transfer is necessary in individual cases for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties; or
|
|
e) nosūtīšana ir nepieciešama
individuālos gadījumos, lai pamatotu, īstenotu vai
aizstāvētu tiesiskus prasījumus saistībā ar
noziedzīgu nodarījumu novēršanu, izmeklēšanu,
atklāšanu, saukšanu pie atbildības par tiem vai kriminālsodu
izpildi.
|
(e) the transfer is necessary in
individual cases for the establishment, exercise or defence of legal claims
relating to the prevention, investigation, detection or prosecution of a
specific criminal offence or the execution of a specific criminal penalty.
|
|
37. pants
Īpaši nosacījumi personas datu nosūtīšanai
|
Article 37
Specific conditions for the transfer of personal data
|
|
Dalībvalstis nodrošina, ka pārzinis
informē personas datu saņēmēju par apstrādes
ierobežojumiem un veic visus saprātīgos pasākumus, lai
nodrošinātu, ka šie ierobežojumi tiek ievēroti.
|
Member States shall provide that the controller
informs the recipient of the personal data of any processing restrictions and
takes all reasonable steps to ensure that these restrictions are met.
|
|
38. pants
Starptautiskā sadarbība personas datu aizsardzības jomā
|
Article 38
International co-operation for the protection of personal data
|
|
1. Attiecībā uz
trešām valstīm un starptautiskām organizācijām
Komisija un dalībvalstis veic atbilstošus pasākumus, lai:
|
1. In relation to third
countries and international organisations, the Commission and Member States
shall take appropriate steps to:
|
|
a) izstrādātu efektīvus
starptautiskās sadarbības mehānismus, kas veicina personas datu
aizsardzības tiesību aktu izpildi;
|
(a)
develop effective international co-operation mechanisms
to facilitate the enforcement of legislation for the protection of personal
data;
|
|
b) sniegtu starptautisku savstarpēju
palīdzību personas datu aizsardzības tiesību aktu izpildei,
ietverot paziņojumus, sūdzību tālāku
nosūtīšanu, palīdzību izmeklēšanai un
informācijas apmaiņu, ievērojot atbilstošus personas datu
aizsardzības pasākumus un citas pamattiesības un
brīvības;
|
(b)
provide international mutual assistance in the
enforcement of legislation for the protection of personal data, including
through notification, complaint referral, investigative assistance and
information exchange, subject to appropriate safeguards for the protection of
personal data and other fundamental rights and freedoms;
|
|
c) iesaistītu attiecīgās
ieinteresētās personas diskusijās un pasākumos, kuru
mērķis ir uzlabot starptautisko sadarbību datu aizsardzības
tiesību aktu izpildē;
|
(c)
engage relevant stakeholders in discussion and
activities aimed at furthering international co-operation in the enforcement of
legislation for the protection of personal data;
|
|
d) veicinātu personas datu
aizsardzības tiesību aktu un prakses piemēru apmaiņu un
dokumentēšanu.
|
(d)
promote the exchange and documentation of
personal data protection legislation and practice.
|
|
2. Nolūkos, kas minēti
1. punktā, Komisija īsteno atbilstošus pasākumus, lai
veicinātu attiecības ar trešām valstīm vai ar
starptautiskām organizācijām un jo īpaši to
uzraudzības iestādēm, ja Komisija ir pieņēmusi
lēmumu, ka tās nodrošina pietiekamu aizsardzības līmeni
34. panta 3. punkta nozīmē.
|
2. For the purposes of
paragraph 1, the Commission shall take appropriate steps to advance the
relationship with third countries or with international organisations, and in
particular their supervisory authorities, where the Commission has decided that
they ensure an adequate level of protection within the meaning of Article 34(3).
|
|
VI NODAĻA
NEATKARĪGA UZRAUDZĪBAS IESTĀDE
|
CHAPTER VI
INDEPENDENT SUPERVISORY
AUTHORITIES
|
|
1. IEDAĻA
NEATKARĪBA
|
SECTION
1
INDEPENDENT STATUS
|
|
39. pants
Uzraudzības iestāde
|
Article 39
Supervisory authority
|
|
1.
Katra dalībvalsts nosaka vienu vai
vairākas publiskas iestādes, kuras ir atbildīgas par to
noteikumu uzraudzīšanu, kuri pieņemti, pamatojoties uz šo direktīvu,
un par tās konsekventas piemērošanas veicināšanu visā
Savienībā, lai aizsargātu fizisku personu pamattiesības un
brīvības saistībā ar personas datu apstrādi un
veicinātu personas datu brīvu apriti Savienībā. Šajā
nolūkā uzraudzības iestādes sadarbojas viena ar otru un ar
Komisiju.
|
1.
Each Member State shall provide that one or more
public authorities are responsible for monitoring the application of the
provisions adopted pursuant to this Directive and for contributing to its
consistent application throughout the Union, in order to protect the
fundamental rights and freedoms of natural persons in relation to the
processing of their personal data and to facilitate the free flow of personal
data within the Union. For this purpose, the supervisory authorities shall co-operate
with each other and the Commission.
|
|
2.
Dalībvalstis var noteikt, ka uzraudzības
iestāde, kas dalībvalstī izveidota, pamatojoties uz Regulu (ES)
..../2012, veic uzraudzības iestādes uzdevumus, kuru ir
jāizveido saskaņā ar šā panta 1. punktu.
|
2.
Member States may provide that the supervisory
authority established in Member States pursuant to Regulation (EU)…./2012 assumes
responsibility for the tasks of the supervisory authority to be established pursuant
to paragraph 1 of this Article.
|
|
3.
Ja dalībvalstī ir vairāk nekā
viena uzraudzības iestāde, šī dalībvalsts norīko to
uzraudzības iestādi, kas darbojas kā vienotais kontaktpunkts
efektīvai šo iestāžu dalībai Eiropas Datu aizsardzības kolēģijā.
|
3.
Where more than one supervisory authority is
established in a Member State, that Member State shall designate the
supervisory authority which functions as a single contact point for the
effective participation of those authorities in the European Data Protection
Board.
|
|
40. pants
Neatkarība
|
Article 40
Independence
|
|
1. Dalībvalstis nodrošina,
ka uzraudzības iestāde, pildot tai uzticētos pienākumus un
īstenojot savas pilnvaras, rīkojas pilnīgi neatkarīgi.
|
1. Member States shall ensure
that the supervisory authority acts with complete independence in exercising
the duties and powers entrusted to it.
|
|
2. Katra dalībvalsts
nodrošina, ka uzraudzības iestāde, veicot savus pienākumus, ne
no viena nelūdz un nepieņem norādījumus.
|
2. Each Member State shall
provide that the members of the supervisory authority, in the performance of their
duties, neither seek nor take instructions from anybody.
|
|
3. Uzraudzības
iestādes locekļi atturas veikt jebkādas darbības, kas nav
savienojamas ar viņu pienākumiem, un esot amatā, neuzņemas
nekādu citu nesavienojamu algotu vai nealgotu darbu.
|
3. Members of the supervisory
authority shall refrain from any action incompatible with their duties and
shall not, during their term of office, engage in any incompatible occupation,
whether gainful or not.
|
|
4. Uzraudzības
iestādes locekļi pēc pilnvaru laika beigām izturas
godīgi un apdomīgi attiecībā uz amatu un priekšrocību
pieņemšanu.
|
4. Members of the supervisory
authority shall behave, after their term of office, with integrity and
discretion as regards the acceptance of appointments and benefits.
|
|
5. Katra dalībvalsts
nodrošina, ka uzraudzības iestādei ir piešķirti atbilstoši
cilvēkresursi, tehniskie un finanšu resursi, telpas un
infrastruktūra, kas nepieciešami efektīvai uzdevumu izpildei un
pilnvaru īstenošanai, tostarp arī to uzdevumu izpildei, ko veic
saistībā ar savstarpējo palīdzību, sadarbību un
aktīvu dalību Eiropas Datu aizsardzības kolēģijā.
|
5. Each Member State shall
ensure that the supervisory authority is provided with the adequate human,
technical and financial resources, premises and infrastructure necessary for
the effective performance of its duties and powers including those to be
carried out in the context of mutual assistance, co-operation and active
participation in the European Data Protection Board.
|
|
6 Katra dalībvalsts
nodrošina, ka uzraudzības iestādei ir savs personāls, ko
amatā ieceļ uzraudzības iestādes vadītājs un kas
ir pakļauts tikai viņa vadībai.
|
6 Each Member State shall
ensure that the supervisory authority must have its own staff which shall be
appointed by and subject to the direction of the head of the supervisory
authority.
|
|
7. Dalībvalstis nodrošina,
ka uzraudzības iestāde ir pakļauta finanšu kontrolei, kas
neietekmē tas neatkarību. Dalībvalstis nodrošina, ka
uzraudzības iestādei ir atsevišķs gada budžets. Budžetu dara zināmu
atklātībai.
|
7. Member States shall ensure
that the supervisory authority is subject to financial control which shall not affect
its independence. Member States shall ensure that the supervisory authority has
separate annual budgets. The budgets shall be made public.
|
|
41. pants
Vispārīgi noteikumi par uzraudzības iestādes
locekļiem
|
Article 41
General conditions for the members of the supervisory authority
|
|
1. Dalībvalstis nodrošina,
ka uzraudzības iestādes locekļus amatā ieceļ vai nu
attiecīgās dalībvalsts parlaments vai valdība.
|
1. Member States shall
provide that the members of the supervisory authority must be appointed either
by the parliament or the government of the Member State concerned.
|
|
2. Locekļus izvēlas no
personu loka, kuru neatkarība nav apšaubāma un kuri uzskatāmi
pierāda, ka tiem piemīt nepieciešamā pieredze un prasmes, lai
pildītu savus pienākumus.
|
2. The members shall be
chosen from persons whose independence is beyond doubt and whose experience and
skills required to perform their duties are demonstrated.
|
|
3. Locekļu pienākumi
beidzas, beidzoties pilnvaru laikam, atkāpjoties no amata vai atlaišanas
gadījumā, ievērojot 5. punktu.
|
3. The duties of a member
shall end in the event of the expiry of the term of office, resignation or
compulsory retirement in accordance with paragraph 5.
|
|
4. Kompetentā valsts tiesa
var atlaist locekli no amata vai atņemt tam tiesības uz pensiju vai
citas priekšrocības, ja viņš vairs neatbilst savu pienākumu
izpildes nosacījumiem vai ir vainīgs smaga amatpārkāpuma
izdarīšanā.
|
4. A member may be dismissed
or deprived of the right to a pension or other benefits in its stead by the
competent national court, if the member no longer fulfils the conditions
required for the performance of the duties or is guilty of serious misconduct.
|
|
5. Beidzoties amata pilnvaru
laikam vai atkāpjoties no amata, loceklis turpina pildīt savus
pienākumus, kamēr amatā nav iecelts jauns loceklis.
|
5. Where the term of office
expires or the member resigns, the member shall continue to exercise their
duties until a new member is appointed.
|
|
42. pants
Noteikumi uzraudzības iestādes izveidei
|
Article 42
Rules on the establishment of the supervisory authority
|
|
Katra dalībvalsts ar likumu nosaka:
|
Each Member
State shall provide by law:
|
|
a) uzraudzības iestādes
izveidi un statusu saskaņā ar 39. un 40. pantu;
|
(a) the establishment and status of
the supervisory authority in accordance with Articles 39 and 40;
|
|
b) uzraudzības iestādes
locekļu kvalifikāciju, pieredzi un prasmes, kas nepieciešamas
pienākumu veikšanai;
|
(b) the qualifications, experience
and skills required to perform the duties of the members of the supervisory
authority;
|
|
c) noteikumus un procedūras
uzraudzības iestādes locekļu iecelšanai amatā, kā
arī noteikumus par rīcību vai darbu, kas nav savienojams ar
amata pienākumiem;
|
(c) the rules and procedures for the
appointment of the members of the supervisory authority, as well as the rules
on actions or occupations incompatible with the duties of the office;
|
|
d) uzraudzības iestādes
locekļu amata pilnvaru laiku, kas nav mazāks par četriem gadiem,
izņemot pirmo amata pilnvaru laiku pēc šīs direktīvas
stāšanās spēkā, kas daļēji var būt uz
īsāku laiku;
|
(d) the duration of the term of the
members of the supervisory authority, which shall be no less than four years,
except for the first appointment after entry into force of this Directive, part
of which may take place for a shorter period;
|
|
e) vai uzraudzības iestādes
locekļus var atkārtoti iecelt amatā;
|
(e) whether the members of the
supervisory authority shall be eligible for reappointment;
|
|
f) noteikumus un vienotus
nosacījumus attiecībā uz uzraudzības iestādes
locekļu un personāla pienākumiem;
|
(f) the regulations and common
conditions governing the duties of the members and staff of the supervisory
authority;
|
|
g) noteikumus un procedūras par
uzraudzības iestādes locekļu pienākumu izbeigšanos arī
gadījumā, ja tie vairs neatbilst savu pienākumu izpildes nosacījumiem
vai ir vainīgi smaga amatpārkāpuma izdarīšanā.
|
(g) the rules and procedures on the
termination of the duties of the members of the supervisory authority,
including where they no longer fulfil the conditions required for the
performance of their duties or if they are guilty of serious misconduct.
|
|
43. pants
Dienesta noslēpums
|
Article 43
Professional secrecy
|
|
Dalībvalstis nodrošina, ka, esot
amatā un arī pēc pilnvaru laika beigām, uzraudzības
iestādes locekļi un personāls ievēro pienākumu
glabāt dienesta noslēpumu attiecībā uz jebkādu
konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata
pienākumus.
|
Member States shall provide that the
members and the staff of the supervisory authority are subject, both during and
after their term of office, to a duty of professional secrecy with regard to
any confidential information which has come to their knowledge in the course of
the performance of their official duties.
|
|
2. IEDAĻA
PIENĀKUMI UN PILNVARAS
|
SECTION
2
DUTIES AND POWERS
|
|
44. pants
Kompetence
|
Article 44
Competence
|
|
1. Dalībvalstis nodrošina,
ka katra uzraudzības iestāde savas dalībvalsts teritorijā
īsteno pilnvaras, kas tai piešķirtas ar šo direktīvu.
|
1. Member States shall
provide that each supervisory authority exercises, on the territory of its own
Member State, the powers conferred on it in accordance with this Directive.
|
|
2. Dalībvalstis nodrošina,
ka uzraudzības iestāde nav kompetenta uzraudzīt apstrādes
darbības, ko veic tiesa, pildot tiesas spriešanas funkciju.
|
2. Member
States shall provide that the supervisory authority is not competent to
supervise processing operations of courts when acting in their judicial
capacity.
|
|
45. pants
Pienākumi
|
Article 45
Duties
|
|
1. Dalībvalstis nodrošina,
ka uzraudzības iestāde:
|
1. Member States shall
provide that the supervisory authority:
|
|
a) uzrauga un nodrošina, pamatojoties uz šo
direktīvu pieņemto noteikumu piemērošanu, un tās
īstenošanas pasākumus;
|
(a)
monitors and ensures the application of the
provisions adopted pursuant to this Directive and its implementing measures;
|
|
b) izskata datu subjekta vai viņu
pārstāvošās asociācijas, kura ir pienācīgi
pilnvarota, sūdzības saskaņā ar 50. pantu,
atbilstošā apjomā izmeklē jautājumu un
saprātīgā termiņā informē datu subjektu vai
asociāciju par lietas virzību un sūdzības rezultātiem,
jo īpaši, ja ir nepieciešama papildus izmeklēšana vai
koordinācija ar citu uzraudzības iestādi;
|
(b)
hears complaints lodged by any data subject, or
by an association representing and duly mandated by that data subject in
accordance with Article 50, investigates, to the extent appropriate, the matter
and informs the data subject the association of the progress and the outcome of
the complaint within a reasonable period, in particular where further
investigation or coordination with another supervisory authority is necessary;
|
|
c) pārbauda datu apstrādes
likumību saskaņā ar 14. pantu un saprātīgā
termiņā informē datu subjektu par pārbaudes
rezultātiem vai iemesliem, kādēļ pārbaude netika
veikta;
|
(c)
checks the lawfulness of data processing
pursuant to Article 14, and informs the data subject within a reasonable period
on the outcome of the check or on the reasons why the check has not been
carried out;
|
|
d) sniedz palīdzību citām
uzraudzības iestādēm un nodrošina, pamatojoties uz šo
direktīvu pieņemto noteikumu, konsekventu piemērošanu;
|
(d)
provides mutual assistance to other supervisory
authorities and ensures the consistency of application and enforcement of the provisions
adopted pursuant to this Directive;
|
|
e) veic izmeklēšanu vai nu pati
pēc savas iniciatīvas vai pamatojoties uz sūdzību vai citas
uzraudzības iestādes pieprasījumu un saprātīgā
termiņā informē attiecīgo datu subjektu, ja tas ir
iesniedzis sūdzību, par izmeklēšanas rezultātiem;
|
(e)
conducts investigations either on its own
initiative or on the basis of a complaint, or on request of another supervisory
authority, and informs the data subject concerned, if the data subject has
addressed a complaint, of the outcome of the investigations within a reasonable
period;
|
|
f) uzrauga nozīmīgas
attīstības tendences, ciktāl tās ietekmē personas datu
aizsardzību, un jo īpaši informācijas un komunikāciju
tehnoloģiju attīstību;
|
(f)
monitors relevant developments, insofar as they
have an impact on the protection of personal data, in particular the
development of information and communication technologies;
|
|
g) konsultē dalībvalsts
iestādes un struktūras par leģislatīviem un
administratīviem pasākumiem saistībā ar personas tiesību
un brīvību aizsardzību attiecībā uz personas datu
apstrādi;
|
(g)
is consulted by Member State institutions and
bodies on legislative and administrative measures relating to the protection of
individuals' rights and freedoms with regard to the processing of personal
data;
|
|
h) konsultē par apstrādes
darbībām saskaņā ar 26. pantu;
|
(h)
is consulted on processing operations pursuant
to Article 26;
|
|
i) piedalās Eiropas Datu
aizsardzības kolēģijas darbībās.
|
(i)
participates in the activities of the European
Data Protection Board.
|
|
2. Katra uzraudzības
iestāde uzlabo sabiedrības informētību par riskiem, noteikumiem,
aizsardzības pasākumiem un tiesībām saistībā ar
personas datu apstrādi. Īpašu uzmanību pievērš
darbībām, kas īpaši attiecas uz bērniem.
|
2. Each supervisory authority
shall promote the awareness of the public on risks, rules, safeguards and
rights in relation to the processing of personal data. Activities addressed
specifically to children shall receive specific attention.
|
|
3. Uzraudzības iestāde
pēc pieprasījuma konsultē datu subjektu par tiesību
izmantošanu, kuras izriet no noteikumiem, kas pieņemti saskaņā
ar šo direktīvu, un attiecīgā gadījumā šajā
sakarā sadarbojas ar uzraudzības iestādēm citās
dalībvalstīs.
|
3. The supervisory authority
shall, upon request, advise any data subject in exercising the rights laid down
in provisions adopted pursuant to this Directive, and, if appropriate, co-operate
with the supervisory authorities in other Member States to this end.
|
|
4. Attiecībā uz
sūdzībām, kas minētas 1. punkta
b) apakšpunktā, uzraudzības iestāde nodrošina elektroniski
aizpildāmu sūdzības iesniegšanas veidlapu, neizslēdzot
arī citus saziņas līdzekļus.
|
4. For complaints referred to
in point (b) of paragraph 1, the supervisory authority shall provide a
complaint submission form, which can be completed electronically, without
excluding other means of communication.
|
|
5. Dalībvalstis nodrošina,
ka attiecībā uz datu subjektu uzraudzības iestāde savus
pienākumus veic bez maksas.
|
5. Member States shall
provide that the performance of the duties of the supervisory authority shall
be free of charge for the data subject.
|
|
6. Ja pieprasījumi ir
kaitnieciski, jo īpaši to regulāras atkārtošanās
dēļ, uzraudzības iestāde var pieprasīt samaksu vai
neveikt datu subjekta pieprasīto darbību. Uzraudzības
iestādei ir pienākums pierādīt, ka pieprasījums ir
kaitniecisks.
|
6. Where requests are vexatious,
in particular due to their repetitive character, the supervisory authority may
charge a fee or not take the action required by the data subject. The
supervisory authority shall bear the burden of proving of the vexatious
character of the request.
|
|
46. pants
Pilnvaras
|
Article 46
Powers
|
|
Dalībvalstis nodrošina, ka katrai
iestādei ir piešķirtas:
|
Member States shall provide that each
supervisory authority must in particular be endowed with:
|
|
a) izmeklēšanas pilnvaras,
piemēram pilnvaras piekļūt datiem, kuri ir apstrādes
darbību priekšmets, un pilnvaras vākt visu informāciju, kas ir
nepieciešama tās uzraudzības pienākumu veikšanai;
|
(a) investigative powers, such as powers
of access to data forming the subject matter of processing operations and
powers to collect all the information necessary for the performance of its
supervisory duties;
|
|
b) efektīvas iejaukšanās
pilnvaras, piemēram, pilnvaras sniegt atzinumus pirms datu apstrādes
darbību veikšanas un pilnvaras nodrošināt šo atzinumu atbilstīgu
publiskošanu, pilnvaras ierobežot piekļuvi datiem, dzēst vai
iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei,
brīdināt vai izteikt aizrādījumu pārzinim vai
pilnvaras nodot jautājumu izskatīšanai valsts parlamentam vai
citām politiskām institūcijām;
|
(b) effective powers of intervention, such
as the delivering of opinions before processing is carried out, and ensuring
appropriate publication of such opinions, ordering the restriction, erasure or
destruction of data, imposing a temporary or definitive ban on processing,
warning or admonishing the controller, or referring the matter to national
parliaments or other political institutions ;
|
|
c) pilnvaras iesaistīties
juridiskās procedūrās, ja pārkāpti saskaņā
ar šo direktīvu pieņemtie noteikumi, vai darīt zināmus šos
pārkāpumus tiesu iestādēm.
|
(c) the power to engage in legal
proceedings where the provisions adopted pursuant to this Directive have been
infringed or to bring this infringement to the attention of the judicial
authorities.
|
|
47. pants
Darbības pārskats
|
Article 47
Activities report
|
|
Dalībvalstis nodrošina, ka katra
uzraudzības iestāde sagatavo ikgadēju ziņojumu par savu
darbību. Ziņojumu dara pieejamu Komisijai un Eiropas Datu
uzraudzības kolēģijai.
|
Member States shall provide that each
supervisory authority draws up an annual report on its activities. The report
shall be made available to the Commission and the European Data Protection
Board.
|
|
VII NODAĻA
Sadarbība
|
CHAPTER VII
CO-OPERATION
|
|
48. pants
Savstarpēja palīdzība
|
Article 48
Mutual assistance
|
|
1. Dalībvalstis nodrošina,
ka uzraudzības iestādes sniedz savstarpēju palīdzību,
lai konsekventā veidā īstenotu un piemērotu noteikumus,
pamatojoties uz šo direktīvu, un nosaka pasākumus efektīvai
savstarpējai sadarbībai. Savstarpēja palīdzība
attiecas jo īpaši uz informācijas pieprasījumiem un
uzraudzības pasākumiem, piemēram, pieprasījumiem veikt
iepriekšējas apspriešanās, pārbaudes vai izmeklēšanas.
|
1. Member States shall
provide that supervisory authorities provide each other with mutual assistance
in order to implement and apply the provisions pursuant to this Directive in a
consistent manner, and shall put in place measures for effective co-operation
with one another. Mutual assistance shall cover, in particular, information
requests and supervisory measures, such as requests to carry out prior
consultations, inspections and investigations.
|
|
2. Dalībvalstis nodrošina,
ka uzraudzības iestāde veic visus atbilstošos pasākumus, kas
nepieciešami, lai atbildētu uz citas uzraudzības iestādes
pieprasījumu.
|
2. Member States shall
provide that a supervisory authority takes all appropriate measures required to
reply to the request of another supervisory authority.
|
|
3. Uzraudzības
iestāde, kurai pieprasījumus adresēts, informē pieprasošo
uzraudzības iestādi par rezultātiem, vai attiecīgā
gadījumā par progresu vai pasākumiem, kas veikti, lai
izpildītu pieprasošās iestādes pieprasījumu.
|
3. The requested supervisory
authority shall inform the requesting supervisory authority of the results or,
as the case may be, of the progress or the measures taken in order to meet the
request by the requesting supervisory
authority.
|
|
49. pants
Eiropas Datu aizsardzības kolēģijas uzdevumi
|
Article 49
Tasks of the European Data Protection Board
|
|
1. Eiropas Datu
aizsardzības kolēģija, ko izveido ar Regulu (ES) …./2012,
īsteno šādus uzdevumus attiecībā uz apstrādes
darbībām, kas ir šīs direktīvas piemērošanas
jomā:
|
1. The European Data
Protection Board established by Regulation (EU)…./2012 shall exercise the
following tasks in relation to processing within the scope of this Directive:
|
|
a) sniedz padomus Komisijai par visiem
jautājumiem, kas attiecas uz personas datu aizsardzību
Savienībā, tai skaitā par visiem šīs direktīvas
grozījumiem, kas tiek ierosināti;
|
(a)
advise the Commission on any issue related to
the protection of personal data in the Union, including on any proposed
amendment of this Directive;
|
|
b) pēc Komisijas pieprasījuma vai
pēc pašas kolēģijas vai viena no tās locekļu
iniciatīvas pārbauda jautājumus, kas attiecas uz to noteikumu
piemērošanu, kuri pieņemti, pamatojoties uz šo direktīvu, un
izdod vadlīnijas, ieteikumus un norādījumus par paraugpraksi,
kas adresēti uzraudzības iestādēm, lai veicinātu šo
noteikumu konsekventu piemērošanu;
|
(b)
examine, on request of the Commission or on its own
initiative or of one of its members, any question covering the application of the
provisions adopted pursuant to this Directive and issue guidelines,
recommendations and best practices addressed to the supervisory authorities in
order to encourage consistent application of those provisions;
|
|
c) pārskata b) apakšpunkta
minēto vadlīniju, ieteikumu un paraugprakses īstenošanu un
regulāri par to ziņo Komisijai;
|
(c)
review the practical application of guidelines,
recommendations and best practices referred to in point (b) and report
regularly to the Commission on these;
|
|
d) sniedz atzinumu Komisijai par
aizsardzības līmeni trešās valstīs un starptautiskās
organizācijās;
|
(d)
give the Commission an opinion on the level of
protection in third countries or international organisations;
|
|
e) veicina sadarbību un efektīvu
divpusēju un daudzpusēju apmaiņu ar informāciju un praksi
starp uzraudzības iestādēm;
|
(e)
promote the co-operation and the effective
bilateral and multilateral exchange of information and practices between the
supervisory authorities;
|
|
f) veicina kopīgas apmācības
programmas un personāla apmaiņu starp uzraudzības
iestādēm, kā arī, ja tas ir atbilstoši, ar trešo valstu vai
starptautisko organizāciju uzraudzības iestādēm;
|
(f)
promote common training programmes and
facilitate personnel exchanges between the supervisory authorities, as well as,
where appropriate, with the supervisory authorities of third countries or of
international organisations;
|
|
g) veicina zināšanu un
dokumentācijas apmaiņu ar datu aizsardzības uzraudzības
iestādēm visā pasaulē, tai skaitā par datu
aizsardzības tiesību aktiem un praksi.
|
(g)
promote the exchange of knowledge and
documentation with data protection supervisory authorities worldwide, including
data protection legislation and practice.
|
|
2. Ja Komisija lūdz Eiropas Datu
aizsardzības kolēģijas padomu, tā var noteikt termiņu,
kādā Eiropas Datu aizsardzības kolēģijai šāds
padoms ir jāsniedz, ņemot vērā jautājuma
steidzamību.
|
2. Where the Commission requests advice
from the European Data Protection Board, it may lay out a time limit within
which the European Data Protection Board shall provide such advice, taking into
account the urgency of the matter.
|
|
3. Eiropas Datu
aizsardzības kolēģija savus atzinumus, vadlīnijas,
ieteikumus un paraugprakses nosūta Komisijai un 57. panta
1. punktā norādītajai komitejai un publisko tos.
|
3. The European Data
Protection Board shall forward its opinions, guidelines, recommendations, and
best practices to the Commission and to the committee referred to in Article 57(1)
and make them public.
|
|
4. Komisija informē Eiropas
Datu aizsardzības kolēģiju par darbību, kas veikta,
ņemot vērā, Eiropas Datu aizsardzības kolēģijas
sagatavotos atzinumus, vadlīnijas, ieteikumus un paraugpraksi.
|
4. The Commission shall
inform the European Data Protection Board of the action it has taken following
opinions, guidelines, recommendations and best practices issued by the European
Data Protection Board.
|
|
VIII NODAĻA
TIESISKĀS AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN
SANKCIJAS
|
CHAPTER VIII
REMEDIES, LIABILITY AND
SANCTIONS
|
|
50. pants
Tiesības iesniegt sūdzību uzraudzības iestādē
|
Article 50
Right to lodge a complaint with a supervisory authority
|
|
1. Neskarot citus
administratīvus vai tiesiskus aizsardzības līdzekļus,
dalībvalstis nodrošina, ka katram datu subjektam ir tiesības iesniegt
sūdzību uzraudzības iestādei jebkurā
dalībvalstī, ja tas uzskata, ka viņa personas datu apstrāde
neatbilst noteikumiem, kas pieņemti saskaņā ar šo
direktīvu.
|
1. Without prejudice to any
other administrative or judicial remedy, Member States shall provide for the
right of every data subject to lodge a complaint with a supervisory authority
in any Member State, if they consider that the processing of personal data
relating to them does not comply with provisions adopted pursuant to this
Directive.
|
|
2. Dalībvalstis nodrošina,
ka jebkurai struktūrai, organizācijai vai asociācijai, kuras
mērķis ir aizsargāt datu subjektu tiesības un intereses
saistībā ar to datu aizsardzību un kura ir atbilstoši izveidota
saskaņā ar dalībvalsts tiesību aktiem, ir tiesības
iesniegt sūdzību jebkuras dalībvalsts uzraudzības
iestādē viena vai vairāku datu subjektu vārdā, ja
tā uzskata, ka datu subjektu tiesības, pamatojoties uz šo
direktīvu, ir pārkāptas personas datu apstrādes
rezultātā. Datu subjektam (subjektiem) šī organizācija vai
asociācija ir atbilstoši jāpilnvaro.
|
2. Member States shall
provide for the right of any body, organisation or association which aims to
protect data subjects’ rights and interests concerning the protection of their
personal data and is being properly constituted according to the law of a
Member State to lodge a complaint with a supervisory authority in any Member
State on behalf of one or more data subjects, if it considers that a data
subject’s rights under this Directive have been infringed as a result of the
processing of personal data. The organisation or association must be duly
mandated by the data subject(s).
|
|
3. Dalībvalstis nodrošina,
ka 2. punktā minētajai struktūrai, organizācijai vai
asociācijai ir tiesības neatkarīgi no datu subjekta
sūdzības iesniegt sūdzību dalībvalsts uzraudzības
iestādē, ja tā uzskata, ka ir noticis personas datu
aizsardzības pārkāpums.
|
3. Member States shall
provide for the right of any body, organisation or association referred to in
paragraph 2, independently of a data subject's complaint, to lodge a complaint
with a supervisory authority in any Member State, if it considers that a
personal data breach has occurred.
|
|
51. pants
Tiesības vērsties tiesā pret uzraudzības iestādi
|
Article 51
Right to a judicial remedy against a
supervisory authority
|
|
1.
Dalībvalstis nodrošina tiesības
vērsties tiesā pret uzraudzības iestādes lēmumiem.
|
1.
Member States shall provide for the right to a
judicial remedy against decisions of a supervisory authority.
|
|
2.
Katram datu subjektam ir tiesības
vērsties tiesā, lai liktu uzraudzības iestādei
reaģēt uz sūdzību, ja nav pieņemts lēmums, kas
nepieciešams viņu tiesību aizsardzībai, vai ja uzraudzības
iestāde trīs mēnešu laikā neinformē datu subjektu par
lietas virzību vai sūdzības rezultātiem saskaņā
ar 45. panta 1. punkta b) apakšpunktu.
|
2.
Each data subject shall have the right to a
judicial remedy for obliging the supervisory authority to act on a complaint,
in the absence of a decision which is necessary to protect their rights, or
where the supervisory authority does not inform the data subject within three
months on the progress or outcome of the complaint pursuant to point (b) of Article
45(1).
|
|
3.
Dalībvalstis nodrošina, ka tiesvedība
pret uzraudzības iestādi tiek uzsākta tās dalībvalsts
tiesās, kurā atrodas uzraudzības iestāde.
|
3.
Member States shall provide that proceedings
against a supervisory authority shall be brought before the courts of the
Member State where the supervisory authority is established.
|
|
52. pants
Tiesības vērsties tiesā pret pārzini vai
apstrādātāju
|
Article 52
Right to a judicial remedy against a controller or processor
|
|
Neskarot pieejamos administratīvos
aizsardzības līdzekļus, tai skaitā tiesības iesniegt
sūdzību uzraudzības iestādē, dalībvalstis
fiziskām personām nodrošina tiesības vērsties tiesā,
ja tās uzskata, ka to tiesības, kas paredzētas noteikumos, kuri
pieņemti, pamatojoties uz šo direktīvu, ir aizskartas personas datu
apstrādes rezultātā, kura neatbilst šiem noteikumiem.
|
Without prejudice to any available
administrative remedy, including the right to lodge a complaint with a
supervisory authority, Member States shall provide for the right of every
natural person to a judicial remedy if they consider that that their rights laid
down in provisions adopted pursuant to this Directive have been infringed as a
result of the processing of their personal data in non-compliance with these
provisions.
|
|
53. pants
Kopējie tiesvedības noteikumi
|
Article 53
Common rules for court proceedings
|
|
1. Dalībvalstis nodrošina,
ka visām 50. panta 2. punkta minētajām
struktūrām, organizācijām vai asociācijām ir
tiesības izmantot 51. un 52. pantā minētās
tiesības viena vai vairāku datu subjektu vārdā.
|
1. Member States shall
provide for the right of any body, organisation or association referred to in
Article 50(2) to exercise the rights referred to in Articles 51 and 52 on
behalf of one or more data subjects.
|
|
2. Katrai uzraudzības
iestādei ir tiesības iesaistīties juridiskās
procedūrās un vērsties tiesā, lai īstenotu noteikumus,
kas pieņemti, pamatojoties uz šo direktīvu vai nodrošinātu
personas datu aizsardzības konsekvenci Savienībā.
|
2. Each supervisory authority
shall have the right to engage in legal proceedings and bring an action to
court, in order to enforce the provisions adopted pursuant to this Directive or
to ensure consistency of the protection of personal data within the Union.
|
|
3. Dalībvalstis nodrošina,
ka tiesvedība, ko var veikt, pamatojoties uz valsts tiesību aktiem,
ļauj ātri pieņemt pasākumus, tai skaitā pagaidu
pasākumus, lai izbeigtu potenciālu pārkāpumu un
novērstu turpmāku attiecīgo interešu aizskaršanu.
|
3. Member States shall ensure
that court actions available under national law allow for the rapid adoption of
measures including interim measures, designed to terminate any alleged
infringement and to prevent any further impairment of the interests involved.
|
|
54. pants
Atbildība un tiesības uz kompensāciju
|
Article 54
Liability and the right to compensation
|
|
1. Dalībvalstis paredz to,
ka jebkurai personai, kurai nodarīts kaitējums nelikumīgas datu
apstrādes vai tādu darbību rezultātā, kuras neatbilst
noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu, ir
tiesības saņemt no pārziņa kompensāciju par
nodarīto kaitējumu.
|
1. Member States shall
provide that any person who has suffered damage as a result of an unlawful
processing operation or of an action incompatible with the provisions adopted
pursuant to this Directive shall have the right to receive compensation from
the controller or the processor for the damage suffered.
|
|
2. Ja apstrādē ir
iesaistīts vairāk nekā viens pārzinis vai
apstrādātājs, visi pārziņi vai
apstrādātāji par nodarīto kaitējumu atbild
solidāri.
|
2. Where more than one
controller or processor is involved in the processing, each controller or
processor shall be jointly and severally liable for the entire amount of the
damage.
|
|
3. Pārzini vai
apstrādātāju var pilnībā vai daļēji
atbrīvot no šīs atbildības, ja pārzinis vai
apstrādātājs pierāda, ka nav atbildīgs par notikumu,
kas radījis šo kaitējumu.
|
3. The controller or the
processor may be exempted from this liability, in whole or in part, if the
controller or processor proves that they are not responsible for the event
giving rise to the damage.
|
|
55. pants
Sankcijas
|
Article 55
Penalties
|
|
Dalībvalstis paredz noteikumus par
sankcijām, kas piemērojamas par noteikumu pārkāpumiem, kuri
pieņemti, pamatojoties uz šo direktīvu, un veic visus vajadzīgos
pasākumus, lai nodrošinātu to īstenošanu. Paredzētajām
sankcijām ir jābūt efektīvām, samērīgām
un atturošām.
|
Member States shall lay down the rules on
penalties, applicable to infringements of the provisions adopted pursuant to
this Directive and shall take all measures necessary to ensure that they are
implemented. The penalties provided for must be effective, proportionate and
dissuasive.
|
|
IX NODAĻA
DELEĢĒTIE AKTI UN ĪSTENOŠANAS AKTI
|
CHAPTER IX
DELEGATED ACTS AND IMPLEMENTING ACTS
|
|
56. pants
Deleģēšana
|
Article 56
Exercise of the delegation
|
|
1. Pilnvaras pieņemt
deleģētus aktus Komisijai piešķir, ievērojot šajā
pantā izklāstītos nosacījumus.
|
1. The power to adopt
delegated acts is conferred on the Commission subject to the conditions laid
down in this Article.
|
|
2. Direktīvas
28. panta 5. punktā minētās pilnvaras ir
deleģētas Komisijai uz nenoteiktu laiku, sākot ar šīs
direktīvas spēkā stāšanās datumu.
|
2. The delegation of power
referred to in Article 28(5) shall be conferred on the Commission for an
indeterminate period of time from the date of entry into force of this Directive.
|
|
3. Eiropas Parlaments vai Padome
var jebkurā laikā atsaukt 28. panta 5. punktā
minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu
izbeidzas lēmumā norādītās tiesības pieņemt
deleģētos aktus. Lēmums stājas spēkā
nākamajā dienā pēc lēmuma publicēšanas Eiropas
Savienības Oficiālajā Vēstnesī vai
vēlākā dienā, kas tajā norādīta. Tas neskar
jau spēkā esošos deleģētos aktus.
|
3. The delegation of power
referred to in Article 28(5) may be revoked at any time by the European
Parliament or by the Council. A decision of revocation shall put an end to the
delegation of the power specified in that decision. It shall take effect the
day following the publication of the decision in the Official Journal of the
European Union or at a later date specified therein. It shall not affect
the validity of any delegated acts already in force.
|
|
4. Tiklīdz Komisija
pieņem deleģēto aktu, tā paziņo par to vienlaikus
Eiropas Parlamentam un Padomei.
|
4. As soon as it adopts a
delegated act, the Commission shall notify it simultaneously to the European
Parliament and to the Council.
|
|
5. Saskaņā ar
28. panta 5. punktu pieņemts deleģētais akts
stājas spēkā tikai tad, ja divu mēnešu laikā pēc
Eiropas Parlamenta un Padomes informēšanas par šo aktu ne Eiropas Parlaments,
ne Padome pret to nav izteikuši iebildumus vai ja pirms minētā
termiņa beigām gan Eiropas Parlaments, gan Padome ir informējuši
Komisiju, ka tie iebildumus neizteiks. Šo termiņu pagarina par
2 mēnešiem pēc Eiropas Parlamenta vai Padomes iniciatīvas.
|
5. A delegated act adopted
pursuant to Article 28(5) shall enter into force only if no objection has been
expressed either by the European Parliament or the Council within a period of 2
months of notification of that act to the European Parliament and the Council
or if, before the expiry of that period, the European Parliament and the
Council have both informed the Commission that they will not object. That
period shall be extended by 2 months at the initiative of the European
Parliament or the Council.
|
|
57. pants
Komiteju procedūra
|
Article 57
Committee procedure
|
|
1.
Komisijai palīdz komiteja. Minētā
komiteja ir komiteja Regulas (ES) Nr. 182/2011 izpratnē.
|
1.
The Commission shall be assisted by a committee.
That committee shall be a committee within the meaning of Regulation (EU) No
182/2011.
|
|
2.
Ja ir atsauce uz šo punktu, piemēro
Regulas (ES) Nr. 182/2011 5. pantu.
|
2.
Where reference is made to this paragraph,
Article 5 of Regulation (EU) No 182/2011 shall apply.
|
|
3.
Ja ir atsauce uz šo punktu, piemēro Regulas
(ES) Nr. 182/2011 8. pantu saistībā ar tās
5. pantu.
|
3.
Where reference is made to this paragraph,
Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5
thereof, shall apply.
|
|
X NODAĻA
NOBEIGUMA NOTEIKUMI
|
CHAPTER X
FINAL PROVISIONS
|
|
58. pants
Atcelšana
|
Article 58
Repeals
|
|
1. Padomes
Pamatlēmums 2008/977/TI ir atcelts.
|
1. Council Framework Decision
2008/977/JHA is repealed.
|
|
2. Atsauces uz atcelto
pamatlēmumu, kas minēts 1. punkta, uzskata par atsaucēm uz
šo direktīvu.
|
2. References to the repealed Framework Decision referred to in
paragraph 1 shall be construed as references to this Directive.
|
|
59. pants
Saistība ar iepriekš pieņemtiem Savienības aktiem par
policijas un tiesu iestāžu sadarbību krimināllietās
|
Article 59
Relation with previously adopted acts of the Union for judicial co-operation
in criminal matters and police co-operation
|
|
Netiek skarti īpašie noteikumi par
personas datu aizsardzību attiecībā uz personas datu
apstrādi, ko veic kompetentās iestādes, lai novērstu,
izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie
atbildības par tiem vai izpildītu kriminālsodus, kuri
iekļauti Savienības aktos, kas pieņemti pirms šīs
direktīvas pieņemšanas datuma, kuri attiecas uz personas datu
apstrādi starp dalībvalstīm un dalībvalstu noteikto
iestāžu piekļuvi informācijas sistēmām šīs
direktīvas piemērošanas jomā, kuras izveidotas, pamatojoties uz
Līgumiem.
|
The specific provisions for the protection of
personal data with regard to the processing of personal data by competent
authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties in acts of the Union adopted
prior to the date of adoption of this Directive regulating the processing of
personal data between Member States and the access of designated authorities of
Member States to information systems established pursuant to the Treaties within
the scope of this Directive remain unaffected.
|
|
60. pants
Saistība ar iepriekš noslēgtiem starptautiskiem nolīgumiem par
policijas un tiesu iestāžu sadarbību krimināllietās
|
Article 60
Relationship with previously concluded international agreements in the field of
judicial co-operation in criminal matters and police co-operation
|
|
Starptautiski nolīgumus, ko
dalībvalstis noslēgušas pirms šīs direktīvas
stāšanās spēkā, ja nepieciešams, groza piecus gadus
pēc šīs direktīvas stāšanās spēkā.
|
International agreements concluded by Member
States prior to the entry force of this Directive shall be amended, where
necessary, within five years after the entry into force of this Directive.
|
|
61. pants
Izvērtēšana
|
Article 61
Evaluation
|
|
1. Komisija izvērtē
šīs direktīvas piemērošanu.
|
1. The Commission shall
evaluate the application of this Directive.
|
|
2. Komisija
trīs gadus pēc šīs direktīvas stāšanās spēka
pārskata citus Eiropas Savienības pieņemtos aktus, kas attiecas
uz personas datu apstrādi, ko kompetentās iestādes veic, lai
novērstu, izmeklētu, atklātu noziedzīgus nodarījumus,
sauktu pie atbildības par tiem vai izpildītu kriminālsodus, jo
īpaši tos Savienības aktus, kas minēti 59. pantā, lai
izvērtētu nepieciešamību pielāgot tos šai direktīvai
un, ja nepieciešams, iesniedz vajadzīgos priekšlikumus šos aktu
grozīšanai, lai nodrošinātu konsekventu pieeju to personas datu
aizsardzībai, uz kuriem attiecas šīs direktīvas
piemērošanas joma.
|
2. The
Commission shall review within three years after the entry into force of this
Directive other acts adopted by the European Union which regulate the processing
of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties, in
particular those acts adopted by the Union referred to in Article 59, in order
to assess the need to align them with this Directive and make, where
appropriate, the necessary proposals to amend these acts to ensure a consistent
approach on the protection of personal data within the scope of this Directive.
|
|
3. Komisija regulāri
iesniedz Eiropas Parlamentam un Padomei ziņojumus, kuros saskaņā
ar 1. punktu izvērtē un pārskata šo direktīvu. Pirmo
ziņojumu iesniedz ne vēlāk kā četrus gadus pēc
šīs direktīvas stāšanās spēkā. Turpmākos
ziņojumus iesniedz reizi četros gados. Komisija, ja nepieciešams,
iesniedz atbilstošus priekšlikumus, ar mērķi grozīt šo
direktīvu un pielāgot citus tiesību aktus. Ziņojums ir
publiski pieejams.
|
3. The Commission shall
submit reports on the evaluation and review of this Directive pursuant to
paragraph 1 to the European Parliament and the Council at regular intervals.
The first reports shall be submitted no later than four years after the entry
into force of this Directive. Subsequent reports shall be submitted every four
years thereafter. The Commission shall submit, if necessary, appropriate
proposals with a view of amending this Directive and aligning other legal
instruments. The report shall be made public.
|
|
62. pants
Īstenošana
|
Article 62
Implementation
|
|
1. Dalībvalstis ne
vēlāk kā [datums/2 gadus pēc direktīvas
stāšanās spēkā] pieņem un publicē normatīvos
un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs
direktīvas prasības. Dalībvalstis tūlīt dara Komisijai
zināmus minēto noteikumu tekstus.
|
1. Member States shall adopt
and publish, by [date/ two years after entry into force] at the latest, the
laws, regulations and administrative provisions necessary to comply with this
Directive. They shall forthwith notify to the Commission the text of those
provisions.
|
|
Tās piemēro minētos noteikumus no
xx.xx.201x.[datums/divi gadi pēc tās stāšanās
spēkā].
|
They shall apply those provisions from xx.xx.201x
[date/ two years after entry into force].
|
|
Kad dalībvalstis pieņem minētos
noteikumus, tajos ietver atsauci uz šo direktīvu vai arī šādu
atsauci pievieno to oficiālajai publikācijai. Dalībvalstis
nosaka paņēmienus, kā izdarāma šāda atsauce.
|
When Member States adopt those provisions, they
shall contain a reference to this Directive or be accompanied by such a
reference on the occasion of their official publication. Member States shall
determine how such reference is to be made.
|
|
2. Dalībvalstis dara
zināmus Komisijai tiesību aktu svarīgāko noteikumu tekstu,
ko tās pieņem jomā, uz ko attiecas šī direktīva.
|
2. Member States shall
communicate to the Commission the text of the main provisions of national law
which they adopt in the field covered by this Directive.
|
|
63. pants
Stāšanās spēkā un piemērošana
|
Article 63
Entry into force and application
|
|
Šī direktīva stājas
spēkā nākamajā dienā pēc tās
publicēšanas Eiropas Savienības Oficiālajā
Vēstnesī.
|
This Directive shall enter into force on
the first day following that of its publication in the Official Journal of
the European Union.
|
|
64. pants
Adresāti
|
Article 64
Addressees
|
|
Šī
direktīva ir adresēta dalībvalstīm.
|
This
Directive is addressed to the Member States.
|
|
Briselē, 25.1.2012
|
Done at Brussels, 25.1.2012
|
|
Eiropas Parlamenta vārdā Padomes
vārdā
|
For the European Parliament For
the Council
|
|
priekšsēdētājs priekšsēdētājs
|
The President The
President
|
|
[1] Eiropas Parlamenta un Padomes
Direktīva 95/46/EK (1995. gada 24. oktobris) par personu
aizsardzību attiecībā uz personas datu apstrādi un
šādu datu brīvu apriti, OV L 281, 23.11.1995.,
31. lpp.
|
[1] Directive 95/46/EC of the European Parliament and of
the Council of 24 October 1995 on the protection of individuals with regard to
the processing of personal data and on the free movement of such data, OJ L
281/95, p.31.
|
|
[2] Skat. pilno sarakstu ietekmes novērtējuma
3. pielikumā (SEC(2012)72).
|
[2] See the full list in Annex 3 to the Impact Assessment
(SEC(2012)72).
|
|
[3] Padomes Pamatlēmums 2008/977/TI
(2008. gada 27. novembris) par tādu personas datu aizsardzību,
ko apstrādā, policijas un tiesu iestādēm sadarbojoties
krimināllietās, OV L 350, 30.12.2008., 60. lpp.
|
[3] Council Framework Decision 2008/977/JHA of 27
November 2008 on the protection of personal data processed in the framework of
police and judicial cooperation in criminal matters, OJ L 350, 30.12.2008, p.
60.
|
|
[4] Stokholmas programmā, OV C 115,
4.5.2010., 1. lpp.
|
[4] In the Stockholm Programme, OJ C 115, 4.5.2010, p. 1.
|
|
[5] Skat. Eiropas Parlamenta rezolūciju par Stokholmas
programmu, kas pieņemta 2009. gada 25. novembrī.
|
[5] See the Resolution of the European Parliament on the
Stockholm Programme adopted on 25 November 2009.
|
|
[6] COM(2010)171 galīgā redakcija.
|
[6] COM(2010)171final.
|
|
[7] Eiropas Komisija, Paziņojums "Vispusīga
pieeja personas datu aizsardzībai Eiropas Savienībai",
COM(2010)609 galīgā redakcija, 2010. gada
4. novembris.
|
[7] European Commission, Communication on “A
comprehensive approach on personal data protection in the European Union”,
COM(2010)609 final, 4 November 2010.
|
|
[8] 21. deklarācija par personas datu
aizsardzību tiesu iestāžu sadarbībā
krimināllietās un policijas sadarbībā (kas pievienota
Lisabonas līgumu pieņēmušās starpvaldību konferences
nobeiguma aktam, 13.12.2007.).
|
[8] Declaration 21 on the protection of personal data in
the fields of judicial cooperation in criminal matters and police cooperation
(annexed to the Final Act of the Intergovernmental Conference which adopted the
Treaty of Lisbon, 13.12.2007).
|
|
[9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
|
[9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
|
|
[10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
|
[10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
|
|
[11] Īpašais Eirobarometrs (EB) 359, Data Protection
and Electronic Identity in the EU ("Datu aizsardzība un
elektroniskā identitāte ES") (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
|
[11] Special Eurobarometer (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
|
|
[12] Sk. Study on the economic benefits of privacy enhancing
technologies (Pētījums par ekonomisko labumu, ko sniedz
privātuma aizsardzību veicinošas tehnoloģijas) vai Comparative
study on different approaches to new privacy challenges, in particular in the
light of technological developments (Salīdzinošais pētījums
par dažādām pieejām jaunajām ar privātumu
saistītajām problēmām, jo īpaši ņemot
vērā tehnikas attīstību, 2010. gada janvāris.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
|
[12] See the Study on the economic benefits of privacy
enhancing technologies or the Comparative study on different approaches
to new privacy challenges, in particular in the light of technological
developments, January 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
|
|
[13] Darba grupu izveidoja 1996. gadā ( ar
Direktīvas 29. pantu) un tai ir padomdevējas struktūras
statuss, to veido valstu datu aizsardzību uzraugošo iestāžu (DAIs),
Eiropas Datu aizsardzības uzraudzītāja (EDAU) un Komisijas
pārstāvji. Plašāku informāciju par tās darbību
sk. šeit: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
[13] The Working Party was set up in 1996 (by Article 29 of
the Directive) with advisory status and composed of representatives of national
Data Protection Supervisory Authorities (DPAs), the European Data Protection
Supervisor (EDPS) and the Commission. For more information on its activities
see http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
|
[14] Jo īpaši sk. šādus atzinumus: par
"Privātuma nākotni" (2009. gads, WP 168); par
"personas datu apstrādātāja" un
"apstrādātāja" jēdzienu (1/2010, WP 169); par
biheiviorālo reklāmu tiešsaistē (2/2010, WP 171); par
pārskatatbildības principu (3/2010, WP 173); par
piemērojamiem tiesību aktiem (8/2010, WP 179); par piekrišanu
(15/2011, WP 187). Pēc Komisijas lūguma tā
pieņēma šādus konsultējošus dokumentus: par paziņojumiem,
par sensitīviem datiem un par Direktīvas 95/46/EK 28. panta
6. punkta praktisko īstenošanu. Tiem visiem var piekļūt
šeit: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.
|
[14] See in particular the following opinions: on the
"Future of Privacy" (2009, WP 168); on the concepts of
"controller” and “processor" (1/2010, WP 169); on online behavioural advertising (2/2010, WP 171); on
the principle of accountability (3/2010, WP 173); on applicable law (8/2010, WP
179); and on consent (15/2011, WP 187). Upon the Commission's request, it
adopted also the three following Advice Papers: on notifications, on sensitive
data and on the practical implementation of Article 28(6) of the Directive 95/46/EC.
They can all be accessed at: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.
|
|
[15] Pieejams EDAU tīmekļa vietnē: http://www.edps.europa.eu/EDPSWEB/.
|
[15] Available on the EDPS website: http://www.edps.europa.eu/EDPSWEB/.
|
|
[16] EP 2011. gada 6. jūlija rezolūcija par
vispusīgu pieeju personas datu aizsardzībai Eiropas
Savienībā (2011/2025(INI)), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=LV&ring=A7-2011-0244
(ziņotājs MEP Axel Voss (EPP/DE)).
|
[16] EP resolution of 6 July 2011 on a comprehensive
approach on personal data protection in the European Union (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(rapporteur: MEP Axel Voss (EPP/DE).
|
|
[17] CESE 999/2011.
|
[17] CESE 999/2011.
|
|
[18] SEC(2012)72.
|
[18] SEC(2012)72.
|
|
[19] COM(2012)12.
|
[19] COM(2012)12.
|
|
[20] Eiropas Savienības Tiesas 2010. gada
9. novembra spriedums apvienotajās lietās C-92/09 un C-93/09 Volker
un Markus Schecke un Eifert 2010., Krājums I-0000. lpp.
|
[20] Court of Justice of the EU, judgment of 9.11.2010, Joined
Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010] ECR I-0000.
|
|
[21] Saskaņā ar Hartas 52. panta 1. punktu
tiesību uz personas datu aizsardzību izmantošanai var noteikt
ierobežojumus, taču tiem ir jābūt noteiktiem tiesību aktos,
tajos jārespektē šo tiesību un brīvību
būtība un, ievērojot proporcionalitātes principu,
ierobežojumus drīkst uzlikt tikai tad, ja tie ir nepieciešami un
patiešām atbilst vispārējas nozīmes mērķiem, ko
atzinusi Savienība, vai vajadzībai aizsargāt citu personu
tiesības un brīvības.
|
[21] In line with Article 52(1) of the Charter, limitations
may be imposed on the exercise of the right to data protection as long as the
limitations are provided for by law, respect the essence of the right and
freedoms and, subject to the principle of proportionality, are necessary and
genuinely meet objectives of general interest recognised by the European Union
or the need to protect the rights and freedoms of others.
|
|
[22] Minēta arī 2. panta a) punktā
Eiropas Parlamenta un Padomes 2011. gada 13. decembra
Direktīvā 2011/92/ES par seksuālas vardarbības pret
bērniem, bērnu seksuālas izmantošanas un bērnu
pornogrāfijas apkarošanu, un ar kuru aizstāj Padomes Pamatlēmumu 2004/68/TI,
OV L 335, 17.12.2011., 1. lpp.
|
[22] Referred to also in Article 2 (a) of Directive
2011/92/EU of the European Parliament and of the Council of 13 December
2011 on combating the sexual abuse and sexual exploitation of children and
child pornography, and replacing Council Framework Decision 2004/68/JHA, OJ L
335, 17.12.2011, p. 1.
|
|
[23] COM(2005)475 galīgā
redakcija.
|
[23] COM(2005) 475 final.
|
|
[24] Lēmuma 2009/371/TI, ar ko
izveido Eiropas Policijas biroju, 14. pants.
|
[24] Article 14 Europol Decision 2009/371/JHA.
|
|
[25] Lēmuma 2009/426/TI par Eurojust
15. pants.
|
[25] Article 15 Eurojust Decision 2009/426/JHA.
|
|
[26] Lēmuma 2009/371/TI, ar ko izveido Eiropas
Policijas biroju, 14. pants.
|
[26] Article 14 Europol Decision 2009/371/JHA.
|
|
[27] Eiropas Cilvēktiesību tiesas 2008. gada
4. decembra spriedums lietā S un Marper pret AK
(pieteikumi nr. 30562/04 un 30566/04)
|
[27] ECtHR, judgment of 4.12.2008, S. and Marper v. UK
(Application nos. 30562/04 and 30566/04).
|
|
[28] Pieņemta Starptautiskajā datu aizsardzības
un privātuma komisāru konferencē 2009. gada
5. novembrī.
|
[28] Adopted by the International Conference of Data
Protection and Privacy Commissioners on 5.11.2009.
|
|
[29] Eiropas Savienības Tiesas 2010. gada
9. marta spriedums lietā Komisija pret Vāciju (C-518/07,
Krājums 2010., I-1885. lpp.).
|
[29] Court of Justice of the EU, judgment of 9.3.2010,
Commission / Germany (C-518/07, ECR 2010 p. I-1885)
|
|
[30] Eiropas parlamenta un padomes regula (EK) Nr. 45/2001
(2000. gada 18. decembris) par fizisku personu aizsardzību
attiecībā uz personas datu apstrādi Kopienas iestādēs
un struktūrās un par šādu datu brīvu apriti,
OV L 008, 12.1.2001., 1. lpp.
|
[30] Regulation (EC) No 45/2001 of the European Parliament
and of the Council of 18 December 2000 on the protection of individuals with
regard to the processing of personal data by the Community institutions and
bodies and on the free movement of such data; OJ L 008 , 12/.01/.2001, p.1.
|
|
[31] Sk. 27. zemsvītras piezīmi.
|
[31] Op. cit., footnote 27.
|
|
[32] Par pamatu ņemot Eiropas Parlamenta un Padomes
2000. gada 8. jūnija Direktīvu 2000/31/EK par dažiem
informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo
īpaši elektronisko tirdzniecību, iekšējā tirgū
("Direktīva par elektronisko tirdzniecību");
OV L 178, 17.7.2000., 1. lpp.
|
[32] Directive 2000/31/EC of the European Parliament and of
the Council of 8 June 2000 on certain legal aspects of information society
services, in particular electronic commerce, in the Internal Market ('Directive
on electronic commerce'); OJ L 178, 17.7.2000, p. 1.
|
|
[33] OV C …, , lpp.
|
[33] OJ C… , p. .
|
|
[34] OV L 281, 23.11.1995., 31. lpp.
|
[34] OJ L 281, 23.11.1995, p. 31.
|
|
[35] OV L 350, 30.12.2008., 60. lpp.
|
[35] OJ L 350, 30.12.2008, p. 60.
|
|
[36] OV L 55, 28.2.2011., 13. lpp.
|
[36] OJ L 55, 28.2.2011, p. 13.
|
|
[37] OV L 335, 17.12.2011., 1. lpp.
|
[37] OJ L335,
17.12.2011, p. 1.
|
|
[38] OV L 176, 10.7.1999., 36. lpp.
|
[38] OJ L 176, 10.7.1999, p. 36.
|
|
[39] OV L 53, 27.2.2008., 52. lpp.
|
[39] OJ L 53, 27.2.2008, p. 52.
|
|
[40] OV L 160, 18.6.2011., 19. lpp.
|
[40] OJ L 160 of 18.6.2011, p. 19.
|