32018R1725

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Reglamentas - 2018/1725 - EN - EUR-Lex

Document 32018R1725

Help

2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (Tekstas svarbus EEE.)

PE/31/2018/REV/1

OJ L 295, 21.11.2018, p. 39–98 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2018/1725/oj

HTML

PDF

Official Journal

21.11.2018

Europos Sąjungos oficialusis leidinys

L 295/39

EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2018/1725

2018 m. spalio 23 d.

dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB

(Tekstas svarbus EEE)

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę (1),

laikydamiesi įprastos teisėkūros procedūros (2),

kadangi:

(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą. Ši teisė taip pat užtikrinta Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsniu;

(2)

Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001 (3) fiziniams asmenims nustatytos teisės, kurias jie gali teisiškai įgyvendinti, Bendrijos institucijų ir organų duomenų valdytojams nustatomi duomenų tvarkymo įpareigojimai ir įsteigiama nepriklausoma priežiūros institucija – Europos duomenų apsaugos priežiūros pareigūnas, atsakingas už Sąjungos institucijose ir organuose atliekamą asmens duomenų tvarkymą. Tačiau jis netaikomas duomenų tvarkymui, Sąjungos institucijoms ir organams vykdant veiklą, kuriai netaikoma Sąjungos teisė;

(3)

Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (4) ir Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (5) buvo priimti 2016 m. balandžio 27 d. Reglamente nustatomos bendrosios fizinių asmenų apsaugos taisyklės, kurios yra susijusios su asmens duomenų tvarkymu ir kuriomis siekiama užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, o direktyva nustatomos specialiosios fizinių asmenų apsaugos taisyklės, tvarkant asmens duomenis ir užtikrinant laisvą asmens duomenų judėjimą Sąjungoje teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

(4)	Reglamente (ES) 2016/679 numatoma pritaikyti Reglamentą (EB) Nr. 45/2001 siekiant užtikrinti tvirtą ir suderintą duomenų apsaugos sistemą Sąjungoje ir suteikti galimybę jį taikyti tuo pačiu metu su Reglamentu (ES) 2016/679;

(5)

siekiant laikytis suderinto požiūrio į asmens duomenų apsaugą visoje Sąjungoje ir į laisvą asmens duomenų judėjimą Sąjungoje, reikėtų kuo labiau suderinti Sąjungos institucijoms, organams, tarnyboms ir agentūroms taikomas duomenų apsaugos taisykles, patvirtintas valstybių narių viešajame sektoriuje. Jei šio reglamento nuostatos grindžiamos tomis pačiomis sąvokomis kaip ir tos, kurios vartojamos Reglamente (ES) 2016/679, laikantis Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) praktikos, abi nuostatas reikėtų aiškinti vienodai, visų pirma todėl, kad šio reglamento sistemą reikėtų laikyti lygiaverte Reglamento (ES) 2016/679 sistemai;

(6)

turėtų būti ginami asmenys, kurių asmens duomenis Sąjungos institucijos ir organai, nesvarbu, kokiomis aplinkybėmis jie būtų tvarkomi, pavyzdžiui, todėl, kad jie dirba tose institucijose ir organuose. Šis reglamentas neturėtų būti taikomas mirusių asmenų asmens duomenų tvarkymui. Šis reglamentas neapima juridinių asmenų ir, visų pirma, juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo;

(7)	siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų;

(8)

šis reglamentas turėtų būti taikomas visų Sąjungos institucijų, organų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui. Jis turėtų būti taikomas asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų tvarkymui ne automatizuotomis priemonėmis, kai šie duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

(9)

Deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo. Todėl atskiras šio reglamento skyrius, apimantis bendrąsias taisykles, turėtų būti taikomas tokiam operatyvinių asmens duomenų tvarkymui, kaip, pavyzdžiui, Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą teisminio bendradarbiavimo, baudžiamųjų bylų ir policijos bendradarbiavimo srityje, baudžiamojo tyrimo tikslais atliekamas asmens duomenų tvarkymas;

(10)

Direktyvoje (ES) 2016/680 nustatytos suderintos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir laisvo tokių duomenų judėjimo, įskaitant apsaugos priemones ir grėsmių visuomenės saugumui prevenciją, taisyklės. Siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį, šiuo tikslu suteikiant jiems teisiškai įgyvendinamas teises visoje Sąjungoje, ir užkirsti kelią skirtumams, dėl kurių Sąjungos organams, tarnyboms ar agentūroms, vykdančioms veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, ir kompetentingoms valdžios institucijoms trukdoma keistis asmens duomenimis, tokių Sąjungos organų, tarnybų ar agentūrų tvarkomų operatyvinių asmens duomenų apsauga ir laisvas jų judėjimas turėtų atitikti Direktyvą (ES) 2016/680;

(11)

atskirame šio reglamento skyriuje dėl operatyvinių asmens duomenų tvarkymo išdėstytos bendrosios taisyklės turėtų būti taikomos nedarant poveikio specialiosioms taisyklėms, taikomoms Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui. Šios specialiosios taisyklės turėtų būti laikomos lex specialis šio reglamento skyriaus dėl operatyvinių asmens duomenų tvarkymo nuostatų atžvilgiu (lex specialis derogat legi generali). Siekiant sumažinti teisinę fragmentaciją, specialiosios taisyklės, taikomos Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui, turėtų būti suderintos su principais, kuriais grindžiamas šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo, ir šio reglamento nuostatomis dėl nepriklausomos priežiūros, teisių gynimo priemonių, atsakomybės ir sankcijų;

(12)

šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo turėtų būti taikomas Sąjungos organams, tarnyboms ir agentūroms, vykdančioms veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, kai jos tokią veiklą kaip savo pagrindinę arba papildomą užduotį vykdo nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas tikslais. Vis dėlto šis skyrius neturėtų būti taikomas Europolui ar Europos prokuratūrai, kol teisės aktai kuriais įsteigiamas Europolas ir Europos prokuratūra, nebus iš dalies pakeisti siekiant nustatyti, kad, pritaikius, jiems taikomas šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo su pakeitimais;

(13)

Komisija turėtų atlikti šio reglamento, ypač atskiro šio reglamento skyriaus dėl operatyvinių asmens duomenų tvarkymo, peržiūrą. Be to, Komisija turėtų atlikti kitų teisės aktų, priimtų remiantis Sutartimis ir reglamentuojančių Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamą operatyvinių asmens duomenų tvarkymą, peržiūrą. Po tokios peržiūros Komisija turėtų turėti galimybę teikti atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų, įskaitant pasiūlymus prireikus pritaikyti šio reglamento skyrių dėl operatyvinių asmens duomenų tvarkymo, norėdama užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant asmens duomenis, ir šiuo tikslu siekdama, kad jis būtų taikomas Europolui ir Europos prokuratūrai. Atliekant tokį pritaikymą, turėtų būti atsižvelgiama į nuostatas dėl nepriklausomos priežiūros, teisių gynimo priemonių, atsakomybės ir sankcijų;

(14)	šis reglamentas turėtų būti taikomas Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam administracinių asmens duomenų, pavyzdžiui, personalo duomenų, tvarkymui;

(15)

šis reglamentas turėtų būti taikomas Sąjungos institucijų, organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas Europos Sąjungos sutarties (toliau – ES sutartis) V antraštinės dalies 2 skyrius, atliekamam asmens duomenų tvarkymui. Šis reglamentas neturėtų būti taikomas ES sutarties 42 straipsnio 1 dalyje, 43 ir 44 straipsniuose nurodytų misijų, kurias vykdant įgyvendinama bendra saugumo ir gynybos politika, atliekamam asmens duomenų tvarkymui. Prireikus turėtų būti pateikti atitinkami pasiūlymai siekiant toliau reglamentuoti asmens duomenų tvarkymą bendros saugumo ir gynybos politikos srityje;

(16)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui, pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos, siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant tvarkymą statistiniais ar tyrimų tikslais;

(17)

pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

(18)

fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais ar slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie, visų pirma, kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

(19)

sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui, raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo. Duomenų subjektas taip pat turėtų turėti teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo prieš sutikimo atšaukimą teisėtumui. Siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais. Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų. Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

(20)

bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas, visų pirma, susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma, konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi. Tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui ir užkertant kelią neteisėtam jų atskleidimui, kai jie perduodami;

(21)

jei Sąjungos institucijos ir organai perduoda asmens duomenis tos pačios Sąjungos institucijos ar organo viduje ir gavėjas nėra duomenų valdytojo dalis, arba kitoms Sąjungos institucijoms ar organams, pagal atskaitomybės principą jos turėtų patikrinti, ar tokie asmens duomenys yra reikalingi siekiant teisėtai atlikti gavėjo kompetencijai priklausančias užduotis. Visų pirma, gavęs gavėjo asmens duomenų perdavimo prašymą, duomenų valdytojas turėtų patikrinti, ar yra atitinkamas pagrindas teisėtai tvarkyti asmens duomenis, ir gavėjo kompetenciją. Duomenų valdytojas taip pat turėtų preliminariai įvertinti duomenų perdavimo būtinybę. Kilus abejonėms dėl tokios būtinybės, duomenų valdytojas prašo duomenų gavėją perduoti papildomą informaciją. Duomenų gavėjas turėtų užtikrinti, kad duomenų perdavimo būtinybė vėliau galėtų būti patikrinta;

(22)

tam, kad asmens duomenų tvarkymas būtų teisėtas, jie turėtų būti tvarkomi remiantis Sąjungos institucijų ar organų būtinybe atlikti užduotį, kurią jie atlieka siekdami viešojo intereso arba įgyvendindami viešosios valdžios įgaliojimus, būtinybe laikytis duomenų valdytojui taikomos teisinės prievolės ar kurio nors kito teisėto pagrindo pagal šį reglamentą, įskaitant atitinkamo duomenų subjekto sutikimą, būtinybę įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Dėl viešojo intereso atliekamas Sąjungos institucijų ir organų asmens duomenų tvarkymas apima asmens duomenų, būtinų toms institucijoms ir organams valdyti bei jiems dirbti, tvarkymą. Asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės, kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

(23)	Sąjungos teisė, nurodyta šiame reglamente turėtų būti aiški ir tiksli, o jos taikymą laikantis Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytų reikalavimų turėtų galėti numatyti asmenys, kuriems ji turi būti taikoma;

(24)

šiame reglamente nurodytos vidaus taisyklės turėtų būti aiškūs ir tikslūs visuotinai taikomi aktai, galintys turėti teisinių padarinių duomenų subjektams. Jie turėtų būti priimti aukščiausiu Sąjungos institucijų ir organų valdymo lygmeniu pagal jų kompetenciją ir su jų veikimu susijusiais klausimais. Jie turėtų būti paskelbti Europos Sąjungos oficialiajame leidinyje. Tų taisyklių taikymą pagal Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytus reikalavimus turėtų galėti numatyti asmenys, kuriems jos turi būti taikomos. Vidaus taisyklės gali būti priimamos sprendimų forma, visų pirma, tais atvejais, kai jas priima Sąjungos institucijos;

(25)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į: sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų; aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams; tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose;

(26)

kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Visų pirma, kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, jog duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Laikantis Tarybos direktyvos 93/13/EEB (6), duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotu laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

(27)

vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti taikoma virtualios asmenybės profilio kūrimui ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis, siūlomomis Sąjungos institucijų ir organų interneto svetainėse, pavyzdžiui, asmenų tarpusavio susirašinėjimo ar elektroninės bilietų prekybos paslaugomis ir tais atvejais, kai asmens duomenų tvarkymas grindžiamas sutikimu;

(28)

kai Sąjungoje įsteigti gavėjai, kurie nėra Sąjungos institucijos ir organai, norėtų, kad Sąjungos institucijos ir organai perduotų jiems asmens duomenis, tie gavėjai turėtų įrodyti, kad duomenys yra būtini siekiant atlikti viešojo intereso labui jų vykdomą užduotį arba vykdant jiems pavestus viešosios valdžios įgaliojimus. Kitu atveju tie gavėjai turėtų įrodyti, jog duomenų perdavimas yra būtinas, kad būtų įgyvendintas specialus viešojo intereso tikslas, o duomenų valdytojas turėtų nustatyti, ar nesama pagrindo daryti prielaidą, jog gali būti pažeisti duomenų subjekto teisėti interesai. Tokiais atvejais duomenų valdytojas turėtų akivaizdžiai palyginti skirtingų konkuruojančių interesų svarbą, kad galėtų įvertinti prašomo asmens duomenų perdavimo proporcingumą. Specialūs viešojo intereso tikslai galėtų būti susiję su Sąjungos institucijų ir organų skaidrumu. Be to, laikydamosi skaidrumo ir gero administravimo principo, Sąjungos institucijos ir organai turėtų įrodyti šią būtinybę, jei pačios inicijuoja duomenų perdavimą. Šiame reglamente nustatyti reikalavimai dėl perdavimo Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai, turėtų būti suprantami kaip papildantys teisėto duomenų tvarkymo sąlygas;

(29)

asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tokie asmens duomenys neturėtų būti tvarkomi, nebent būtų tenkinamos šiame reglamente nustatytos konkrečios sąlygos. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą. Nuotraukų tvarkymas neturėtų būti sistemingai laikomas specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą. Kartu su specialiais neskelbtinų duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis. Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

(30)

specialių kategorijų asmens duomenys, kuriems taikytina aukštesnio lygio apsauga, su sveikata susijusiais tikslais turėtų būti tvarkomi tik tais atvejais, kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas. Todėl šiame reglamente turėtų būti numatytos suderintos specialių kategorijų asmens sveikatos duomenų tvarkymo sąlygos, atsižvelgiant į specialius poreikius, visų pirma, kai tokius duomenis tam tikrais su sveikata susijusiais tikslais tvarko asmenys, kuriems taikoma teisinė prievolė saugoti profesinę paslaptį. Sąjungos teisėje turėtų būti numatytos konkrečios ir tinkamos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti;

(31)

visuomenės sveikatos srityje gali reikėti specialių kategorijų asmens duomenis dėl viešojo intereso priežasčių tvarkyti be duomenų subjekto sutikimo. Tokie duomenys turėtų būti tvarkomi taikant tinkamas ir specialias priemones, kad būtų apsaugotos fizinių asmenų teisės ir laisvės. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 (7), ir reikšti visus elementus, susijusius su sveikata, t. y. sveikatos būklę, įskaitant sergamumą ir neįgalumą, veiksnius, darančius poveikį tai sveikatos būklei, sveikatos priežiūros poreikius, sveikatos priežiūrai skirtus išteklius, sveikatos priežiūros paslaugų teikimą ir jų visuotinį prieinamumą, sveikatos priežiūros išlaidas ir finansavimą, taip pat mirtingumo priežastis. Dėl to, kad sveikatos duomenys tvarkomi dėl viešojo intereso priežasčių, asmens duomenys neturėtų būti tvarkomi kitais tikslais;

(32)

jeigu asmens duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, duomenų valdytojas neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kad būtų laikomasi kurios nors šio reglamento nuostatos. Tačiau duomenų valdytojas neturėtų atsisakyti priimti papildomą informaciją, kurią duomenų subjektas pateikia, kad pagrįstų naudojimąsi savo teisėmis. Tapatybės nustatymas turėtų apimti duomenų subjekto tapatybės nustatymą skaitmeninėmis priemonėmis, pavyzdžiui, pasitelkiant tokį tapatumo nustatymo mechanizmą kaip tie patys kredencialai, kuriuos duomenų subjektas naudoja, kad prisijungtų prie internetinės paslaugos, kurią siūlo duomenų valdytojas;

(33)

tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, turėtų būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal šį reglamentą. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų įgyvendintos techninės ir organizacinės priemonės siekiant užtikrinti, visų pirma, duomenų kiekio mažinimo principą. Asmens duomenys archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti toliau tvarkomi po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip, pavyzdžiui, pseudonimų suteikimas asmens duomenims). Sąjungos institucijos ir organai turėtų Sąjungos teisėje, kuri gali apimti vidaus taisykles, kurias Sąjungos institucijos ir organai yra priėmę su jų veikimu susijusiais klausimais, numatyti tinkamas apsaugos priemones, taikomas tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais;

(34)

turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais, visų pirma, nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti. Duomenų valdytojas taip pat turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų;

(35)

pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. Be to, duomenų subjektas turėtų būti informuotas apie tai, kad vykdomas profiliavimas, ir apie tokio profiliavimo pasekmes. Kai asmens duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti asmens duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ta informacija gali būti pateikiama kartu su standartizuotomis piktogramomis, siekiant lengvai matomai, suprantamai ir aiškiai įskaitomai pateikti prasmingą numatomo tvarkymo apžvalgą. Jei piktogramos pateikiamos elektronine forma, jos turėtų būti kompiuterio skaitomos;

(36)

informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti jam suteikta duomenis renkant arba, kai asmens duomenys gaunami ne iš duomenų subjekto, o iš kito šaltinio, per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai asmens duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo asmens duomenų atskleidimo jų gavėjui metu. Jeigu asmens duomenų valdytojas ketina tvarkyti duomenis kitu tikslu nei tikslas, kuriuo jie buvo renkami, prieš taip toliau tvarkydamas duomenis, duomenų valdytojas turėtų pateikti duomenų subjektui informaciją apie tą kitą tikslą ir kitą būtiną informaciją. Tais atvejais, kai asmens duomenų kilmė duomenų subjektui negali būti nurodyta dėl to, kad buvo naudoti įvairūs šaltiniai, turėtų būti pateikta bendro pobūdžio informacija;

(37)

duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, visų pirma, apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra asmens duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

(38)

duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos teisę, kuri taikoma duomenų valdytojui. Duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento. Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimuisi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

(39)

siekiant sustiprinti teisę būti pamirštam internetinėje aplinkoje, teisė prašyti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius asmens duomenis tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus. Tai darydamas, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir jam prieinamas priemones, įskaitant technines priemones, turėtų imtis pagrįstų veiksmų, kad apie duomenų subjekto prašymą informuotų duomenis tvarkančius asmens duomenų valdytojus;

(40)

būdai, kuriais ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: laikinai perkelti atrinktus duomenis į kitą tvarkymo sistemą, padaryti atrinktus asmens duomenis neprieinamus naudotojams arba laikinai išimti paskelbtus duomenis iš interneto svetainės. Automatiniuose susistemintuose rinkiniuose duomenų tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebebūtų galima pakeisti. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje turėtų būti aiškiai nurodyta;

(41)

kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį. Ta teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus. Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos. Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą. Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini. Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

(42)

kai asmens duomenys galėtų būti tvarkomi teisėtai, nes tai būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

(43)

duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas (arba priemonė), kuriuo vertinami su juo susiję asmeniniai aspektai ir kuris grindžiamas tik automatizuotu duomenų tvarkymu ir jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, pavyzdžiui, elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima profiliavimą, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma, siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį.

Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos teisėje. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku. Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas, visų pirma, užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir užkirsti kelią, inter alia, diskriminaciniam poveikiui fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba duomenų tvarkymui tokiu būdu, dėl kurio atsiranda tokį poveikį turinčios priemonės. Automatizuotas sprendimų priėmimas ir tam tikromis asmens duomenų kategorijomis grindžiamas profiliavimas turėtų būti leidžiamas tik konkrečiomis sąlygomis;

(44)

teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ir organų priimtose vidaus taisyklėse su jų veikimu susijusiais klausimais gali būti nustatyti apribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištaisyti ar ištrinti asmens duomenis, teisė į duomenų perkeliamumą, elektroninių ryšių duomenų konfidencialumas ir duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės, jeigu toks ribojimas būtinas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba bausmių vykdymą. Tai apima ir apsaugą nuo grėsmių visuomenės saugumui ir šių grėsmių prevenciją, žmonių gyvybių apsaugą, ypač reaguojant į gaivalines ar žmogaus sukeltas nelaimes, Sąjungos institucijų ir organų vidaus saugumą, kitus Sąjungos arba valstybės narės svarbius bendruoju viešuoju interesu grindžiamus tikslus, visų pirma Sąjungos bendros užsienio ir saugumo politikos tikslus arba svarbų Sąjungos arba valstybės narės ekonominį arba finansinį interesą ir viešųjų registrų turėjimą bendrojo viešojo intereso tikslais arba duomenų apsaugą paisant kitų asmenų teisių ir laisvių, įskaitant socialinę apsaugą, visuomenės sveikatą ir humanitarinius tikslus;

(45)

turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms;

(46)

įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, dėl kurio galėtų būti padaryta fizinė, turtinė arba neturtinė žala, visų pirma, tokiais atvejais: kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma, nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

(47)

pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;

(48)

siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių, kad būtų laikomasi šio reglamento reikalavimų. Kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų. Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui. Vykdant viešuosius konkursus taip pat turėtų būti atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

(49)

Reglamente (ES) 2016/679 nustatyta, jog duomenų valdytojai turi įrodyti atitiktį šiam reglamentui, laikydamiesi patvirtintų sertifikavimo mechanizmų. Atitinkamai Sąjungos institucijos ir organai turėtų galėti įrodyti, kad laikosi šio reglamento, gaudami sertifikatą pagal Reglamento (ES) 2016/679 42 straipsnį;

(50)

atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

(51)

siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamas garantijas, susijusias, visų pirma, su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo. Tuo, kad duomenų tvarkytojai, kurie nėra Sąjungos institucijos ir organai, laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad duomenų valdytojas vykdo savo prievoles. Duomenų tvarkytojo, kuris nėra Sąjungos institucija ar organas, atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi arba, kai duomenų tvarkytojai yra Sąjungos institucijos ir organai, sutartimi ar kitu teisės aktu pagal Sąjungos teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms. Duomenų valdytojas ir duomenų tvarkytojas turėtų turėti galimybę pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba Europos duomenų apsaugos priežiūros pareigūnas, o vėliau patvirtina Komisija. Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

(52)

kad įrodytų, jog laikosi šio reglamento, duomenų valdytojai turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingi, įrašus, o duomenų tvarkytojai turėtų tvarkyti duomenų tvarkymo veiklos kategorijų, už kurias jie yra atsakingi, įrašus. Sąjungos institucijos ir organai turėtų būti įpareigoti bendradarbiauti su Europos duomenų apsaugos priežiūros pareigūnu ir jo prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas. Sąjungos institucijos ir organai turėtų turėti galimybę sukurti centrinį jų duomenų tvarkymo veiklos įrašų registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Skaidrumo sumetimais jos turėtų turėti galimybę padaryti šį registrą viešą;

(53)

siekiant užtikrinti saugumą ir užkirsti kelią šį reglamentą pažeidžiančiam duomenų tvarkymui, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir įgyvendinti jų mažinimo priemones, pavyzdžiui, šifravimą. Šiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, atsižvelgiant į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, priklausomai nuo pavojų ir saugotinų asmens duomenų pobūdžio. Vertinant pavojų duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant asmens duomenis, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to visų pirma gali būti padaryta fizinė, turtinė ar neturtinė žala;

(54)

Sąjungos institucijos ir organai turėtų užtikrinti elektroninių ryšių konfidencialumą, kaip numatyta Chartijos 7 straipsnyje. Visų pirma, Sąjungos institucijos ir organai turėtų užtikrinti savo elektroninių ryšių tinklų saugumą. Jos turėtų apsaugoti informaciją, susijusią su naudotojų galiniais įrenginiais, kurie turi prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių pagal Europos Parlamento ir Tarybos direktyvą 2002/58/EB (8). Jos taip pat turėtų apsaugoti naudotojų sąrašuose esančius asmens duomenis;

(55)

jei į asmens duomenų pažeidimą tinkamai ir laiku nesureaguojama, fiziniai asmenys gali patirti fizinę, turtinę arba neturtinę žalą. Todėl, vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas turėtų nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, pranešti Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą, nebent duomenų valdytojas gali pagal atskaitomybės principą įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Kai to neįmanoma pranešti per 72 valandas, pranešant turėtų būti pateiktos vėlavimo priežastys ir informacija gali būti pateikiama etapais, daugiau nepagrįstai nedelsiant. Jei vėluojama pranešti pagrįstai, mažiau konfidenciali ar mažiau specifinė informacija apie pažeidimą turėtų būti pateikta kuo anksčiau, užuot prieš pranešant išsamiai išnagrinėjus pagrindinį incidentą;

(56)

duomenų valdytojas nepagrįstai nedelsdamas turėtų pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai dėl to asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, kad jis galėtų imtis reikiamų priemonių užkirsti tam kelią. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Tokie pranešimai duomenų subjektams turėtų būti pateikti kuo greičiau ir glaudžiai bendradarbiaujant su Europos duomenų apsaugos priežiūros pareigūnu, laikantis jo ar kitų atitinkamų valdžios institucijų, tokių kaip teisėsaugos institucijos, pateiktų nurodymų;

(57)

Reglamente (EB) Nr. 45/2001 numatyta bendra duomenų valdytojo pareiga pranešti apie asmens duomenų tvarkymą duomenų apsaugos pareigūnui. Duomenų apsaugos pareigūnas atitinkamai turi tvarkyti praneštų duomenų tvarkymo operacijų registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Greta šios bendros pareigos reikėtų nustatyti veiksmingas procedūras ir mechanizmus siekiant stebėti duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Tokios procedūros, visų pirma, turėtų būti nustatytos tais atvejais, kai duomenų tvarkymo operacijų rūšys apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką. Tokiais atvejais duomenų valdytojas, kad įvertintų didelio pavojaus konkrečią tikimybę ir rimtumą, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus bei pavojaus šaltinius, prieš pradėdamas tvarkyti duomenis, turėtų atlikti poveikio duomenų apsaugai vertinimą. Tame poveikio įvertinime visų pirma turėtų būti nurodytos numatomos priemonės, apsaugos priemonės ir mechanizmai, kuriais tas pavojus būtų sumažinamas, užtikrinama asmens duomenų apsauga ir parodoma, kad laikomasi šio reglamento;

(58)

kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu. Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms. Europos duomenų apsaugos priežiūros pareigūnas į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį. Tačiau tai, kad Europos duomenų apsaugos priežiūros pareigūnas nesureagavo per tą laikotarpį, neturėtų turėti poveikio Europos duomenų apsaugos priežiūros pareigūno intervenciniams veiksmams jam vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitant įgaliojimą uždrausti duomenų tvarkymo operacijas. Vykdant tą konsultacijų procesą, Europos duomenų apsaugos priežiūros pareigūnui gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma, priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

(59)

Europos duomenų apsaugos pareigūnui turėtų būti pranešta apie administracines priemones ir su juo turėtų būti konsultuojamasi dėl Sąjungos institucijų ir organų priimtų vidaus taisyklių su jų veikimu susijusiais klausimais, kai jomis numatytas asmens duomenų tvarkymas, nustatomos duomenų subjektų teisių apribojimų sąlygos arba numatomos atitinkamos duomenų subjektų teisių garantijos siekiant užtikrinti, kad numatomas duomenų tvarkymas atitiktų šį reglamentą, visų pirma, sumažinant duomenų subjektui kylančią riziką;

(60)

Reglamentu (ES) 2016/679 Europos duomenų apsaugos valdyba įsteigta kaip nepriklausoma Sąjungos įstaiga, turinti juridinio asmens statusą. Valdyba turėtų padėti nuosekliai taikyti Reglamentą (ES) 2016/679 ir Direktyvą (ES) 2016/680 visoje Sąjungoje, taip pat teikti Komisijai rekomendacijas. Tuo pat metu Europos duomenų apsaugos priežiūros pareigūnas turėtų ir toliau vykdyti priežiūros ir patariamąsias funkcijas visų Sąjungos institucijų ir organų atžvilgiu, savo iniciatyva ar pagal prašymą. Siekiant užtikrinti duomenų apsaugos taisyklių nuoseklumą visoje Sąjungoje, Komisija, rengdama pasiūlymus ar rekomendacijas, turėtų stengtis konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu. Priėmus teisėkūros procedūra priimtus teisės aktus arba rengiant deleguotuosius aktus ir įgyvendinimo aktus, kaip jie apibrėžti SESV 289, 290 ir 291 straipsniuose, taip pat priėmus rekomendacijas ir pasiūlymus dėl susitarimų su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis, kaip numatyta SESV 218 straipsnyje, turinčius poveikį teisei į asmens duomenų apsaugą, Komisijai turėtų būti privaloma konsultuotis. Tokiais atvejais Komisija turėtų privalėti konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, išskyrus atvejus, kai Reglamente (ES) 2016/679 numatyta, kad privaloma konsultuotis su Europos duomenų apsaugos valdyba, pavyzdžiui, dėl sprendimų dėl tinkamumo ar deleguotųjų aktų dėl standartizuotų piktogramų ir sertifikavimo mechanizmams taikomų reikalavimų. Jei atitinkamas aktas yra ypač svarbus fizinių asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat turėtų turėti galimybę konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos priežiūros pareigūnas, kaip Europos duomenų apsaugos valdybos narys, turėtų koordinuoti savo darbą su šia valdyba, kad priimtų bendrą nuomonę. Europos duomenų apsaugos priežiūros pareigūnas ir, jei taikytina, Europos duomenų apsaugos valdyba rašytinę rekomendaciją turėtų pateikti per aštuonias savaites. Skubiais atvejais arba, pavyzdžiui, kai Komisija rengia deleguotuosius ir įgyvendinimo aktus, tas laikotarpis turėtų būti trumpesnis;

(61)	remiantis Reglamento (ES) 2016/679 75 straipsniu, Europos duomenų apsaugos priežiūros pareigūno įstaiga turėtų teikti Europos duomenų apsaugos valdybos sekretoriato paslaugas;

(62)

visose Sąjungos institucijose ir organuose duomenų apsaugos pareigūnas turėtų užtikrinti, kad būtų taikomos šio reglamento nuostatos, ir dėl įsipareigojimų vykdymo konsultuoti duomenų valdytojus. Tas pareigūnas turėtų turėti ekspertinių žinių duomenų apsaugos teisės ir praktikos srityje, o jo žinių lygis turėtų būti nustatomas, visų pirma, atsižvelgiant į duomenų valdytojo ar duomenų tvarkytojo atliekamas duomenų tvarkymo operacijas ir apsaugą, kurią būtina užtikrinti atitinkamiems asmens duomenims. Tokie duomenų apsaugos pareigūnai savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;

(63)

jei asmens duomenys iš Sąjungos institucijų ir organų perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, turėtų būti užtikrintas Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis. Tos pačios garantijos turėtų būti taikomos ir tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai. Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento ir Chartijoje įtvirtintų pagrindinių teisių ir laisvių. Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

(64)

pagal Reglamento (ES) 2016/679 45 straipsnį arba Direktyvos (ES) 2016/680 36 straipsnį Komisija gali nuspręsti, kad trečioji valstybė, teritorija ar nurodytas sektorius trečiojoje valstybėje arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį. Tokiais atvejais Sąjungos institucijos ar organo perduodami asmens duomenys į tokią trečiąją valstybę gali būti perduodami be papildomo leidimo;

(65)

jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti. Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, Europos duomenų apsaugos priežiūros pareigūno priimtomis standartinėmis duomenų apsaugos sąlygomis arba Europos duomenų apsaugos priežiūros pareigūno pripažintomis sutarties sąlygomis. Jei duomenų tvarkytojas yra ne Sąjungos institucija ar organas, atitinkamos garantijos taip pat gali būti įmonėms privalomos taisyklės, elgesio kodeksai ir sertifikavimo mechanizmai, taikomi tarptautiniam asmens duomenų perdavimui pagal Reglamentą (ES) 2016/679. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje. Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi. Sąjungos institucijos ar organai taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės. Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas Europos duomenų apsaugos priežiūros pareigūno leidimas;

(66)

galimybė duomenų valdytojui arba duomenų tvarkytojui remtis Komisijos ar Europos duomenų apsaugos priežiūros pareigūno priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba duomenų tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis, tokias kaip duomenų tvarkytojo sutartis su kitais duomenų tvarkytojais, ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar Europos duomenų apsaugos priežiūros pareigūno priimtoms standartinėms sutarčių sąlygoms ar nedaro poveikio duomenų subjektų pagrindinėms teisėms ir laisvėms. Duomenų valdytojai ir duomenų tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

(67)

kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti Sąjungos institucijų ir organų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą fizinių asmenų apsaugą. Perduoti asmens duomenis turėtų būti leidžiama tik tuo atveju, jeigu yra tenkinamos šiame reglamente nustatytos duomenų perdavimo į trečiąją valstybę sąlygos. Taip gali būti, be kita ko, kai duomenis būtina atskleisti dėl Sąjungos teisėje pripažįstamos svarbios viešojo intereso priežasties;

(68)

turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenų perdavimas atliekamas nereguliariai ir yra būtinas dėl sutarties ar ieškinio, nepaisant to, ar jis pareikštas teisminėje ar administracinėje, ar bet kokioje kitoje neteisminėje procedūroje, įskaitant procedūras reguliavimo organuose. Taip pat turėtų būti numatyta galimybė perduoti duomenis, kai tai reikalinga dėl svarbių Sąjungos teisėje įtvirtintų viešojo intereso priežasčių, arba kai duomenys perduodami iš teisės aktu įsteigto registro, kuris skirtas naudoti visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų asmens duomenų visuma arba ištisos jų kategorijos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos teisę, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba, jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;

(69)

šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp Sąjungos institucijų ir organų ir konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamąsias ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;

(70)

bet kuriuo atveju, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje valstybėje, duomenų valdytojas arba duomenų tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinamos vykdytinos ir veiksmingos teisės jų duomenų tvarkymo Sąjungoje atžvilgiu, kai tie duomenys yra perduoti, kad jie ir toliau galėtų naudotis pagrindinėmis teisėmis ir apsaugos priemonėmis;

(71)

kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma, apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, nacionalinės priežiūros institucijos ir Europos duomenų apsaugos priežiūros pareigūnas gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų bendradarbiavimą siekiant padėti keistis informacija su užsienio kolegomis;

(72)

Europos duomenų apsaugos priežiūros pareigūno, įgalioto visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas Reglamentu (EB) Nr. 45/2001 yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių. Šiuo reglamentu turėtų būti papildomai sustiprinamas ir patikslinamas jo vaidmuo ir nepriklausomumas. Europos duomenų apsaugos priežiūros pareigūnas turėtų būti asmuo, kurio nepriklausomumas nekelia abejonių ir kuris pripažįstamas turintis patirtį ir gebėjimus, reikalingus Europos duomenų apsaugos priežiūros pareigūno pareigoms atlikti, pavyzdžiui, nes jis priklausė vienai iš pagal Reglamento (ES) 2016/679 51 straipsnį įsteigtų priežiūros institucijų;

(73)

siekiant užtikrinti nuoseklų duomenų apsaugos taisyklių stebėjimą ir įgyvendinimo užtikrinimą visoje Sąjungoje, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti tas pačias užduotis ir veiksmingus įgaliojimus kaip ir nacionalinės priežiūros institucijos, įskaitant įgaliojimus atlikti tyrimus, taisomuosius įgaliojimus ir įgaliojimus skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma, kai skundus pateikia fiziniai asmenys, ir įgaliojimus atkreipti Teisingumo Teismo dėmesį į šio reglamento pažeidimus bei įgaliojimus dalyvauti teismo procesuose pagal pirminę teisę. Tokie įgaliojimai turėtų apimti ir įgaliojimą nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant jo draudimą. Kad atitinkami asmenys, kuriems gali būti padarytas neigiamas poveikis, nepatirtų nereikalingų išlaidų ir pernelyg didelių nepatogumų, kiekviena Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti, kad būtų laikomasi šio reglamento, ja, prieš imantis bet kokios atitinkamos individualios priemonės, turėtų būti atsižvelgiama į kiekvieno konkretaus atvejo aplinkybes ir paisoma kiekvieno asmens teisės būti išklausytam. Kiekviena teisiškai privaloma Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonės paskelbimo data, ją turėtų būti pasirašęs Europos duomenų apsaugos priežiūros pareigūnas, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę;

(74)

siekiant apsaugoti Teisingumo Teismo nepriklausomumą vykdant jo teismines užduotis, įskaitant sprendimų priėmimo nepriklausomumą, Europos duomenų apsaugos priežiūros pareigūno priežiūros kompetencijai neturėtų priklausyti asmens duomenų tvarkymas Teismui vykdant savo teismines funkcijas. Tokių duomenų tvarkymo operacijų atžvilgiu Teismas turėtų nustatyti nepriklausomą priežiūrą pagal Chartijos 8 straipsnio 3 dalį, pavyzdžiui, taikant vidaus mechanizmą;

(75)

kaip apibrėžta šiame reglamente, Europos duomenų apsaugos priežiūros pareigūno veiklos ataskaitoje turėtų būti paskelbti su duomenų tvarkymo veiksmais susiję jo sprendimai dėl išimčių, garantijų, leidimų ir sąlygų. Be skelbiamos metinės veiklos ataskaitos, Europos duomenų apsaugos priežiūros pareigūnas gali paskelbti ataskaitas konkrečiais klausimais;

(76)	Europos duomenų apsaugos priežiūros pareigūnas turėtų laikytis Europos Parlamento ir Tarybos reglamento (EB) Nr. 1049/2001 (9);

(77)

nacionalinės priežiūros institucijos stebi, kaip taikomas Reglamentas (ES) 2016/679, ir padeda jį nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui vidaus rinkoje. Siekiant didinti valstybėse narėse duomenų apsaugos taisyklių ir Sąjungos institucijoms ir organams taikytinų duomenų apsaugos taisyklių taikymo nuoseklumą, Europos duomenų apsaugos priežiūros pareigūnas turėtų veiksmingai bendradarbiauti su nacionalinėmis priežiūros institucijomis;

(78)

tam tikrais atvejais Sąjungos teisėje numatytas koordinuotosios priežiūros modelis, bendrai taikomas Europos duomenų apsaugos priežiūros pareigūnui ir nacionalinėms priežiūros institucijoms. Europos duomenų apsaugos priežiūros pareigūnas yra taip pat ir Europolo priežiūros institucija, ir šiais tikslais buvo nustatytas specialusis bendradarbiavimo su nacionalinėmis priežiūros institucijomis modelis įsteigiant bendradarbiavimo valdybą, kuri atlieka patariamąją funkciją. Siekiant gerinti veiksmingą esminių duomenų apsaugos taisyklių priežiūrą ir įgyvendinimo užtikrinimą, Sąjungoje reikėtų nustatyti vieną bendrą, suderintą koordinuotosios priežiūros modelį. Todėl Komisija, kai tikslinga, turėtų teikti pasiūlymus dėl teisėkūros procedūra priimamų aktų, siekdama iš dalies pakeisti Sąjungos teisės aktus, kuriais numatomas koordinuotosios priežiūros modelis, kad suderintų juos su šiame reglamente nustatytu koordinuotosios priežiūros modeliu. Europos duomenų apsaugos valdyba turėtų veikti kaip vienas bendras forumas, kuriuo valdyboje būtų užtikrinama veiksminga koordinuotoji priežiūra visose srityse;

(79)

kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę Teisingumo Teisme pagal Sutartis, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos, arba jeigu Europos duomenų apsaugos priežiūros pareigūnas nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Europos duomenų apsaugos priežiūros pareigūnas turėtų per pagrįstą laikotarpį informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatus. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su nacionaline priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, Europos duomenų apsaugos priežiūros pareigūnas turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima užpildyti ir elektroniniu būdu, neatmetant galimybių naudotis ir kitomis ryšio priemonėmis;

(80)	bet kuris asmuo, patyręs turtinę arba neturtinę žalą dėl šio reglamento pažeidimo, turėtų turėti teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą laikantis Sutartyse numatytų sąlygų;

(81)

siekiant stiprinti Europos duomenų apsaugos priežiūros pareigūno atliekamą priežiūros funkciją ir veiksmingiau įgyvendinti šį reglamentą, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti įgaliojimus kaip kraštutinę sankciją taikyti administracines baudas. Baudomis turėtų būti siekiama nubausti Sąjungos instituciją ar organą, o ne fizinius asmenis, už šio reglamento nesilaikymą, atgrasyti nuo būsimų šio reglamento pažeidimų ir paskatinti asmens duomenų apsaugos kultūrą Sąjungos institucijose ir organuose. Šiame reglamente reikėtų nurodyti pažeidimus, dėl kurių skiriamos administracinės baudos, bei su tuo susijusių baudų viršutines ribas ir nustatymo kriterijus. Baudą kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. Skirdamas administracinę baudą Sąjungos institucijai ar organui, Europos duomenų apsaugos priežiūros pareigūnas turėtų apsvarstyti baudos dydžio proporcingumą. Per administracinę baudų skyrimo Sąjungos institucijoms ir organams procedūrą reikėtų paisyti bendrųjų Sąjungos teisės principų, kaip juos yra išaiškinęs Teisingumo Teismas;

(82)

jei duomenų subjektas mano, kad pažeidžiamos šiuo reglamentu numatytos jo teisės, jis turėtų teisę įgalioti pagal Sąjungos teisę ar valstybės narės teisę įsteigtą ne pelno įstaigą, organizaciją ar asociaciją, kurios įstatuose numatytais tikslais siekiama viešojo intereso ir kuri veikia asmens duomenų apsaugos srityje, šio asmens vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui. Tokia įstaiga, organizacija ar asociacija taip pat turėtų galėti įgyvendinti teisę į teisminę teisių gynimo priemonę duomenų subjektų vardu arba įgyvendinti teisę duomenų subjektų vardu gauti kompensaciją;

(83)

jei Sąjungos pareigūnas ar kitas tarnautojas nesilaiko šio reglamento įpareigojimų, Europos Sąjungos pareigūnų tarnybos nuostatuose ir kitų tarnautojų įdarbinimo sąlygose, nustatytose Tarybos reglamentu (EEB, Euratomas, EAPB) Nr. 259/68 (10) (toliau – Tarnybos nuostatai) nustatyta tvarka jam turėtų būti taikomos drausminės ar kitos priemonės;

(84)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (11). Nagrinėjimo procedūra turėtų būti taikoma siekiant priimti standartines sutarčių sąlygas, taikomas tarp duomenų valdytojų ir duomenų tvarkytojų ir tarp duomenų tvarkytojų, siekiant patvirtinti duomenų tvarkymo operacijų, kurias atliekant duomenų valdytojams privaloma konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, sąrašą, kai jie tvarko asmens duomenis siekdami atlikti užduotį, kuria siekiama viešojo intereso, taip pat priimant standartines sutarčių sąlygas, kuriose numatytos atitinkamos apsaugos priemonės, taikomos tarptautiniam duomenų perdavimui;

(85)

konfidenciali informacija, kurią Sąjungos ir nacionalinės statistikos institucijos renka oficialiai Europos ir oficialiai nacionalinei statistikai rengti, turėtų būti apsaugota. Europos statistika turėtų būti plėtojama, rengiama ir skleidžiama laikantis statistikos principų, nustatytų SESV 338 straipsnio 2 dalyje. Europos Parlamento ir Tarybos reglamente (EB) Nr. 223/2009 (12) pateikiama papildoma patikslinta informacija apie Europos statistikos konfidencialumą;

(86)	Reglamentas (EB) Nr. 45/2001 ir Europos Parlamento, Tarybos ir Komisijos sprendimas Nr. 1247/2002/EB (13) turėtų būti panaikinti. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą;

(87)

siekiant apsaugoti visišką nepriklausomos priežiūros institucijos narių nepriklausomumą, šis reglamentas neturėtų turėti įtakos esamo Europos duomenų apsaugos priežiūros pareigūno ir esamo jo pavaduotojo kadencijai. Esamas Europos duomenų apsaugos priežiūros pareigūno pavaduotojas turėtų eiti savo pareigas iki savo kadencijos pabaigos, nebent yra įvykdoma viena iš šiame reglamente nustatytų išankstinio Europos duomenų apsaugos priežiūros pareigūno kadencijos pasibaigimo sąlygų. Atitinkamos šio reglamento nuostatos turėtų būti taikomos Europos duomenų apsaugos priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos;

(88)

laikantis proporcingumo principo, kad būtų pasiektas pagrindinis tikslas užtikrinti lygiavertį fizinių asmenų apsaugos tvarkant asmens duomenis lygį ir laisvą asmens duomenų judėjimą visoje Sąjungoje, būtina ir reikalinga nustatyti asmens duomenų tvarkymo Sąjungos institucijose ir organuose taisykles. Šiuo reglamentu remiantis ES sutarties 5 straipsnio 4 dalimi neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(89)	vadovaujantis Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris 2017 m. kovo 15 d. pateikė nuomonę (14),

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir tikslai

1. Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga Sąjungos institucijoms ir organams tvarkant asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu tarp šių institucijų arba kitiems Sąjungoje įsteigtiems gavėjams.

2. Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3. Europos duomenų apsaugos priežiūros pareigūnas stebi šio reglamento nuostatų taikymą visoms Sąjungos institucijos ar organo atliekamoms duomenų tvarkymo operacijoms.

2 straipsnis

Taikymo sritis

1. Šis reglamentas taikomas visų Sąjungos institucijų ir organų atliekamam asmens duomenų tvarkymui.

2. Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui taikomi tik šio reglamento 3 straipsnis ir IX skyrius.

3. Šis reglamentas netaikomas Europolo ir Europos prokuratūros atliekamam operatyvinių asmens duomenų tvarkymui, kol Europos Parlamento ir Tarybos reglamentas (ES) 2016/794 (15) ir Tarybos reglamentas (ES) 2017/1939 (16) nebus pritaikyti, kaip numatyta pagal šio reglamento 98 straipsnį.

4. Šis reglamentas netaikomas ES sutarties 42 straipsnio 1 dalyje, 43 ir 44 straipsniuose nurodytų misijų atliekamam asmens duomenų tvarkymui.

5. Šis reglamentas taikomas asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų tvarkymui neautomatizuotomis priemonėmis, kai šie duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje.

3 straipsnis

Terminų apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys:

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (toliau – duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

operatyviniai asmens duomenys – visi asmens duomenys, kuriuos tvarko Sąjungos organai, tarnybos ar agentūros, vykdančios veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, kad įgyvendintų tų organų, tarnybų ar agentūrų steigimo teisės aktuose nustatytus tikslus ir uždavinius;

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

4.	duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma, siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

7.	susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

duomenų valdytojas – Sąjungos institucija ar organas arba generalinis direktoratas, arba bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; jei tokio tvarkymo tikslai ir priemonės nustatomi konkrečiu Sąjungos aktu, duomenų valdytojas ar konkretūs jo skyrimo kriterijai gali būti numatyti Sąjungos teisėje;

9.	duomenų valdytojai, kurie nėra Sąjungos institucijos ir organai – duomenų valdytojai, kaip apibrėžta Reglamento (ES) 2016/679 4 straipsnio 7 punkte ir Direktyvos (ES) 2016/680 3 straipsnio 8 punkte;

10.	Sąjungos institucijos ir organai – Sąjungos institucijos, organai, tarnybos ir agentūros, įsteigti ES sutartimi, SESV ar Euratomo sutartimi ar remiantis šiomis Sutartimis;

11.	kompetentinga institucija – valstybės narės valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais;

12.	duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

13.

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdant konkretų tyrimą, duomenų gavėjais nelaikomos; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

14.	trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

15.	duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

16.	asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

17.	genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

18.

biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens unikalią tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

19.	sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

20.	informacinės visuomenės paslauga – paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 (17) 1 straipsnio 1 dalies b punkte;

21.	tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, arba bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu;

22.	nacionalinė priežiūros institucija – valstybės narės pagal Reglamento (ES) 2016/679 51 straipsnį arba pagal Direktyvos (ES) 2016/680 41 straipsnį įsteigta nepriklausoma valdžios institucija;

23.	naudotojas – bet kuris fizinis asmuo, naudojantis tinklą ar galinį įrenginį, eksploatuojamą kontroliuojant Sąjungos institucijai ar organui;

24.	sąrašas – viešai prieinamas naudotojų sąrašas arba vidinis naudotojų sąrašas, kuris yra prieinamas Sąjungos institucijoje ar organe arba kurio duomenimis dalijasi Sąjungos institucijos ir organai, nesvarbu, ar jis būtų spausdintos, ar elektroninės formos;

25.

elektroninių ryšių tinklas – perdavimo sistema, tiek grindžiama, tiek negrindžiama nuolatine infrastruktūra arba centralizuotos administracijos pajėgumais, ir atitinkamais atvejais komutavimo ar maršruto parinkimo įranga bei kiti ištekliai, įskaitant neaktyvius tinklo elementus, kurie leidžia perduoti signalus laidais, radijo, optinėmis ar kitomis elektromagnetinėmis priemonėmis, įskaitant palydovinius tinklus, fiksuoto (linijų ir paketų perjungiamojo, įskaitant internetą) ir judriojo ryšio antžeminius tinklus, elektros perdavimo kabelines sistemas, tokiu mastu, kokiu jos yra naudojamos signalams perduoti, radijo ir televizijos programų transliavimui naudojami tinklai ir kabelinės televizijos tinklai, neatsižvelgiant į perduodamos informacijos pobūdį;

26.	galinis įrenginys – galinis įrenginys, kaip apibrėžta Komisijos direktyvos 2008/63/EB (18) 1 straipsnio 1 punkte.

II SKYRIUS

BENDRIEJI PRINCIPAI

4 straipsnis

Su asmens duomenų tvarkymu susiję principai

1. Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 13 straipsnį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo paskirtį, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 13 straipsnį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

5 straipsnis

Tvarkymo teisėtumas

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant Sąjungos institucijai ar organui pavestus viešosios valdžios įgaliojimus;

b)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

c)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

d)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

e)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

2. 1 dalies a ir b punktuose nurodytas duomenų tvarkymo pagrindas turi būti nustatytas Sąjungos teisėje.

6 straipsnis

Tvarkymas siekiant kito suderinamo tikslo

Kai duomenų tvarkymas kitu tikslu nei tas, dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 25 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas, siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)	aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma, susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)	asmens duomenų pobūdį, visų pirma, ar tvarkomi specialių kategorijų asmens duomenys pagal 10 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 11 straipsnį;

d)	numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)	tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

7 straipsnis

Sutikimo sąlygos

1. Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

2. Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Jokia tokio pareiškimo dalis, kuria pažeidžiamas šis reglamentas, nėra privaloma.

3. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva, kaip jį duoti.

4. Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

8 straipsnis

Sąlygos, taikomos vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui

1. Kai taikomas 5 straipsnio 1 dalies d punktas, kiek tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 13 metų amžiaus. Kai vaikas yra jaunesnis nei 13 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas.

2. Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda pagrįstas pastangas, kad tokiais atvejais patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas.

3. 1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai taisyklėms dėl su vaiku sudaromos sutarties galiojimo, sudarymo arba poveikio.

9 straipsnis

Asmens duomenų perdavimas Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai

1. Nedarant poveikio 4–6 ir 10 straipsniams, asmens duomenys perduodami Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai, jei:

a)	duomenų gavėjas įrodo, kad tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant gavėjui pavestus viešosios valdžios įgaliojimus, arba

duomenų gavėjas įrodo, jog duomenis būtina perduoti, kad būtų įgyvendintas specialus viešojo intereso tikslas, ir duomenų valdytojas (jei esama bet kokio pagrindo daryti prielaidą, kad gali būti pažeisti duomenų subjekto teisėti interesai), akivaizdžiai palyginęs skirtingų konkuruojančių interesų svarbą, įrodo, kad proporcinga perduoti asmens duomenis atitinkamu konkrečiu tikslu.

2. Jei duomenų valdytojas inicijuoja duomenų perdavimą pagal šį straipsnį, jis turi įrodyti, kad asmens duomenų perdavimas yra būtinas jų perdavimo tikslais ir proporcingas šiems tikslams, taikydamas šio straipsnio 1 dalies a arba b punktuose nustatytus kriterijus.

3. Sąjungos institucijos ir organai suderina teisę į asmens duomenų apsaugą su teise susipažinti su dokumentais pagal Sąjungos teisę.

10 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)	duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo, socialinio draudimo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos teisėje, kurioje nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

c)	tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekianti ne pelno organizacija, kuri yra į Sąjungos instituciją ar organą integruotas subjektas, vykdydama teisėtą veiklą ir taikydama tinkamas apsaugos priemones, ir su sąlyga, kad tvarkomi tik tos įstaigos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su ja dėl jos siekiamų tikslų, duomenys ir kad asmens duomenys neatskleidžiami už įstaigos ribų be duomenų subjektų sutikimo;

e)	tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)	tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai Teisingumo Teismas vykdo savo teisminius įgaliojimus;

tvarkyti duomenis būtina dėl svarbių viešojo intereso priežasčių, remiantis Sąjungos teise, ir tvarkymas turi būti proporcingas tikslui, kurio siekiama, nepažeidžiant esminių teisės į duomenų apsaugą nuostatų ir užtikrinant tinkamas ir konkrečias duomenų subjekto pagrindinių teisių ir interesų apsaugos priemones;

tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis Sąjungos teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma, profesinė paslaptis, arba

tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais remiantis Sąjungos teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

3. 1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį.

11 straipsnis

Asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas

Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones remiantis 5 straipsnio 1 dalimi tvarkomi tik prižiūrint valdžios institucijai arba kai duomenų tvarkymas leidžiamas pagal Sąjungos teisę, kurioje numatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

12 straipsnis

Duomenų tvarkymas, kai asmens tapatybės nustatyti nereikia

1. Jeigu dėl tikslų, kuriais duomenų valdytojas tvarko asmens duomenis, duomenų valdytojui nebūtina ar nebėra būtina nustatyti duomenų subjekto tapatybės, duomenų valdytojas nėra įpareigojamas laikyti, gauti ar tvarkyti papildomą informaciją duomenų subjekto tapatybei nustatyti vien tam, kam būtų laikomasi šio reglamento.

2. Kai šio straipsnio 1 dalyje nurodytais atvejais duomenų valdytojas gali įrodyti, kad neturi galimybės nustatyti duomenų subjekto tapatybės, duomenų valdytojas, jei įmanoma, informuoja apie tai duomenų subjektą. Tokiais atvejais 17–22 straipsniai netaikomi, išskyrus atvejus, kai duomenų subjektas, siekdamas pasinaudoti pagal tuos straipsnius jam suteiktomis teisėmis, pateikia papildomos informacijos, leidžiančios nustatyti jo tapatybę.

13 straipsnis

Apsaugos priemonės, susijusios su duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais

Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal šį reglamentą taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Tomis apsaugos priemonėmis užtikrinama, kad būtų įdiegtos techninės ir organizacinės priemonės, visų pirma, siekiant užtikrinti, kad būtų laikomasi duomenų kiekio mažinimo principo. Tos priemonės gali apimti pseudonimų suteikimą, jeigu tie tikslai gali būti pasiekti tuo būdu. Visais atvejais, kai tuos tikslus galima pasiekti toliau tvarkant duomenis, iš kurių negalima arba nebegalima nustatyti duomenų subjektų tapatybės, tų tikslų siekiama tuo būdu.

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

1 SKIRSNIS

Skaidrumas ir sąlygos

14 straipsnis

Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos

1. Duomenų valdytojas imasi tinkamų priemonių, kad visą 15 ir 16 straipsniuose nurodytą informaciją ir visus pranešimus pagal 17–24 ir 35 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, jei reikia, taip pat ir elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.

2. Duomenų valdytojas sudaro palankesnes sąlygas naudotis 17–24 straipsniuose nustatytomis duomenų subjekto teisėmis. 12 straipsnio 2 dalyje nurodytais atvejais duomenų valdytojas neatsisako imtis veiksmų pagal duomenų subjekto prašymą pasinaudoti teisėmis pagal 17–24 straipsnius, nebent duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.

3. Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 17–24 straipsnius. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

4. Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui bei pasinaudoti teisių gynimo priemone.

5. Pagal 15 ir 16 straipsnius teikiama informacija ir visi pranešimai bei visi veiksmai pagal 17–24 ir 35 straipsnius yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, duomenų valdytojas gali atsisakyti imtis veiksmų dėl prašymo. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

6. Nedarant poveikio 12 straipsniui, kai duomenų valdytojas turi pagrįstų abejonių dėl 17–23 straipsniuose nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

7. Informacija, kuri duomenų subjektams turi būti teikiama pagal 15 ir 16 straipsnius, gali būti teikiama kartu su standartizuotomis piktogramomis siekiant, kad numatomas duomenų tvarkymas būtų prasmingai apibendrintas lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Kai piktogramos pateikiamos elektronine forma, jos turi būti kompiuterio skaitomos.

8. Jei Komisija priima deleguotuosius aktus pagal Reglamento (ES) 2016/679 12 straipsnio 8 dalį, kuriais nustatoma, kokia informacija turi būti pateikta piktogramomis, ir standartizuotų piktogramų pateikimo procedūros, Sąjungos institucijos ir organai, jei taikytina, pateikia informaciją pagal šio reglamento 15 ir 16 straipsnius kartu su tokiomis standartizuotomis piktogramomis.

2 SKIRSNIS

Informavimas ir teisė susipažinti su asmens duomenimis

15 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto

1. Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

a)	duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas, jei jos yra;

kai taikoma, informaciją apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 48 straipsnyje nurodytų duomenų perdavimų atveju – informaciją apie tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, o tam tikrais atvejais teisę nesutikti, kad duomenys būtų tvarkomi, arba teisę į duomenų perkeliamumą;

c)	kai duomenų tvarkymas grindžiamas 5 straipsnio 1 dalies d punktu arba 10 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)	teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

e)	tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

f)	tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

4. 1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

16 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1. Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)	duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	atitinkamų asmens duomenų kategorijas;

e)	asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas, jei jos yra;

kai taikoma, informaciją apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 48 straipsnyje nurodytų duomenų perdavimų atveju – informaciją apie tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, o tam tikrais atvejais teisę nesutikti, kad duomenys būtų tvarkomi, arba teisę į duomenų perkeliamumą;

c)	kai duomenų tvarkymas grindžiamas 5 straipsnio 1 dalies d punktu arba 10 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)	teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

e)	tai, koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

f)	tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)	per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)	jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu arba

c)	jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4. Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5. 1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)	duomenų subjektas šią informaciją jau turi;

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma, kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus;

c)	duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos teisėje, kurioje nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės, arba

d)	kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos teise reglamentuojamos profesinės paslapties prievolės, įskaitant teisės aktais nustatytą prievolę saugoti paslaptį.

6. 5 dalies b punkte nurodytais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą.

17 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)	duomenų tvarkymo tikslai;

b)	atitinkamų asmens duomenų kategorijos;

c)	duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma, duomenų gavėjai trečiosiose valstybėse arba tarptautinėse organizacijose;

d)	kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)	teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)	teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

g)	kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)	tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2. Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 48 straipsnį.

3. Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4. 3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų asmenų teisėms ir laisvėms.

3 SKIRSNIS

Duomenų ištaisymas ir ištrynimas

18 straipsnis

Teisė reikalauti ištaisyti duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

19 straipsnis

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)	asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

b)	asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 5 straipsnio 1 dalies d punktą arba 10 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)	duomenų subjektas nesutinka su duomenų tvarkymu pagal 23 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

d)	asmens duomenys buvo tvarkomi neteisėtai;

e)	asmens duomenys turi būti ištrinti laikantis duomenų valdytojui nustatytos teisinės prievolės;

f)	asmens duomenys buvo surinkti siūlant informacinės visuomenės paslaugas, kaip nurodyta 8 straipsnio 1 dalyje.

2. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius asmenų duomenų valdytojus arba duomenų valdytojus, kurie nėra Sąjungos institucijos ir organai, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

3. 1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

a)	siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

b)	siekiant laikytis duomenų valdytojui nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus;

c)	dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 10 straipsnio 2 dalies h bei i punktus ir 10 straipsnio 3 dalį;

d)	archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus, arba

e)	siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

20 straipsnis

Teisė apriboti duomenų tvarkymą

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą, kai taikomas vienas iš šių atvejų:

a)	asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą, įskaitant jų išsamumą;

b)	asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c)	duomenų valdytojui nebereikia asmens duomenų duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

d)	duomenų subjektas pagal 23 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

2. Kai duomenų tvarkymas yra apribotas pagal 1 dalį, tokius asmens duomenis galima tvarkyti (išskyrus saugojimą) tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

3. Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal 1 dalį, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

4. Automatizuotuose susistemintuose rinkiniuose tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje nurodoma tokiu būdu, kad būtų aišku, jog yra draudžiama naudoti asmens duomenis.

21 straipsnis

Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal 18 straipsnį, 19 straipsnio 1 dalį ir 20 straipsnį, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.

22 straipsnis

Teisė į duomenų perkeliamumą

1. Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

a)	duomenų tvarkymas yra grindžiamas sutikimu pagal 5 straipsnio 1 dalies d punktą ar 10 straipsnio 2 dalies a punktą arba sutartimi pagal 5 straipsnio 1 dalies c punktą ir

b)	duomenys yra tvarkomi automatizuotomis priemonėmis.

2. Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę reikalauti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam arba persiųstų duomenų valdytojams, kurie nėra Sąjungos institucijos ir organai, kai tai techniškai įmanoma.

3. Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 19 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus.

4. 1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų asmenų teisėms ir laisvėms.

4 SKIRSNIS

Teisė nesutikti ir automatizuotas atskirų sprendimų priėmimas

23 straipsnis

Teisė nesutikti

1. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 5 straipsnio 1 dalies a punktą, įskaitant profiliavimą remiantis ta nuostata. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2. Duomenų subjektas apie 1 dalyje nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

3. Naudojimosi informacinės visuomenės paslaugomis atveju, nedarant poveikio 36 ir 37 straipsniams, duomenų subjektas gali naudotis savo teise nesutikti pasitelkdamas automatizuotas priemones, kurioms naudojamos techninės specifikacijos.

4. Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

24 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1. Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį.

2. 1 dalis netaikoma, jeigu sprendimas:

a)	yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

b)	yra leidžiamas Sąjungos teisėje, kurioje taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti, arba

c)	yra pagrįstas aiškiu duomenų subjekto sutikimu.

3. 2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4. Šio straipsnio 2 dalyje nurodyti sprendimai negrindžiami 10 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 10 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

5 SKIRSNIS

Apribojimai

25 straipsnis

Apribojimai

1. Teisės aktais, priimtais remiantis Sutartimis, arba Sąjungos institucijų ir organų vidaus taisyklėmis, priimtomis šių institucijų ir organų veikimo klausimais, gali būti apribotas 14–22, 35 ir 36 straipsnių taikymas, taip pat 4 straipsnio taikymas tiek, kiek jo nuostatos atitinka 14–22 straipsniuose numatytas teises ir prievoles, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

a)	valstybių narių valstybės, visuomenės saugumą ar krašto apsaugą;

b)	nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba bausmių vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

kitus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma, Sąjungos bendros užsienio ir saugumo politikos tikslais arba svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

d)	Sąjungos institucijų ir organų vidaus saugumą, įskaitant jų elektroninių ryšių tinklų saugumą;

e)	teismų nepriklausomumo ir teismo proceso apsaugą;

f)	reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos;

g)	stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios įgaliojimų vykdymu a–c punktuose nurodytais atvejais;

h)	duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;

i)	civilinių ieškinių vykdymo užtikrinimą.

2. Visų pirma visuose 1 dalyje nurodytuose teisės aktuose ar vidaus taisyklėse pateikiamos konkrečios nuostatos, tam tikrais atvejais susijusios su:

a)	duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis;

b)	asmens duomenų kategorijomis;

c)	nustatytų apribojimų apimtimi;

d)	apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui;

e)	duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimais;

f)	saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus, ir

g)	pavojais duomenų subjektų teisėms ir laisvėms.

3. Kai asmens duomenys tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, Sąjungos teisės aktais, kurie gali apimti vidaus taisykles, Sąjungos institucijų ir organų priimtas su jų veikimu susijusiais klausimais, gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 17, 18, 20 ir 23 straipsniuose nurodytomis teisėmis, jei taikomos 13 straipsnyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

4. Kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, Sąjungos teisės aktais, kurie gali apimti vidaus taisykles, Sąjungos institucijų ir organų priimtas su jų veikimu susijusiais klausimais, gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 17, 18, 20, 21, 22 ir 23 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 13 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

5. 1, 3 ir 4 dalyse nurodytos vidaus taisyklės turi būti aiškūs ir tikslūs visuotinai taikomi aktai, galintys turėti teisinių padarinių duomenų subjektams, priimti aukščiausiu Sąjungos institucijų ir organų valdymo lygmeniu ir skelbiami Europos Sąjungos oficialiajame leidinyje.

6. Jeigu yra nustatytas šio straipsnio 1 dalyje numatytas apribojimas, duomenų subjektas pagal Sąjungos teisę yra informuojamas apie pagrindines tokio apribojimo taikymo priežastis ir savo teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui.

7. Jeigu šio straipsnio 1 dalyje numatytas apribojimas yra nustatytas tam, kad duomenų subjektui nebūtų leista susipažinti su savo asmens duomenimis, Europos duomenų apsaugos priežiūros pareigūnas, tirdamas skundą, tik informuoja duomenų subjektą, ar duomenys buvo tvarkomi tinkamai, o jeigu ne, ar tai buvo ištaisyta.

8. Šio straipsnio 6 ir 7 dalyse, taip pat 45 straipsnio 2 dalyje nurodytos informacijos pateikimas gal būti atidėtas, ji gali būti nepateikiama arba gali būti atsisakyta ją pateikti, jei dėl jos pateikimo nebeveiktų pagal šio straipsnio 1 dalį nustatytas apribojimas.

IV SKYRIUS

DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 SKIRSNIS

Bendrosios pareigos

26 straipsnis

Duomenų valdytojo atsakomybė

1. Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

3. Tuo, kad laikomasi patvirtintų sertifikavimo mechanizmų, kaip nurodyta Reglamento (ES) 2016/679 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad vykdomos duomenų valdytojo prievolės.

27 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma, tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3. Patvirtintu sertifikavimo mechanizmu pagal Reglamento (ES) 2016/679 42 straipsnį gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

28 straipsnis

Bendri duomenų valdytojai

1. Kai du ar daugiau duomenų valdytojų arba vienas ar daugiau duomenų valdytojų kartu su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai, bendrai nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma, susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 15 ir 16 straipsniuose nurodytą informaciją, vykdymą remiantis tarpusavio susitarimu, išskyrus atvejus, kai atitinkama bendrų duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma bendriems duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2. 1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3. Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.

29 straipsnis

Duomenų tvarkytojas

1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, taip suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriuose nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte, visų pirma, nustatoma, kad duomenų tvarkytojas:

tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

b)	užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;

c)	imasi visų priemonių, kurių reikalaujama pagal 33 straipsnį;

d)	laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;

e)	atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui, taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;

f)	padeda duomenų valdytojui užtikrinti 33–41 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)	pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai pagal Sąjungos ar valstybės narės teisę reikalaujama asmens duomenis saugoti;

h)	pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.

Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

4. Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma, prievolė pakankamai užtikrinti, jog tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.

5. Jei duomenų tvarkytojas nėra Sąjungos institucija ar įstaiga, tuo, kad jis laikosi patvirtinto elgesio kodekso, nurodyto Reglamento (ES) 2016/679 40 straipsnio 5 dalyje, arba patvirtinto sertifikavimo mechanizmo, nurodyto Reglamento (ES) 2016/679 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse.

6. Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant tuos atvejus, kai jos yra duomenų valdytojui, išskyrus Sąjungos instituciją ar įstaigą, pagal Reglamento (ES) 2016/679 42 straipsnį suteikiamo sertifikavimo dalis.

7. Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 96 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

8. Europos duomenų apsaugos priežiūros pareigūnas šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas.

9. Šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, taip pat ir elektronine forma.

10. Nedarant poveikio 65 ir 66 straipsniams, jei duomenų tvarkytojas, nustatydamas duomenų tvarkymo tikslus ir priemones, pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.

30 straipsnis

Duomenų valdytojui arba duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

31 straipsnis

Duomenų tvarkymo veiklos įrašai

1. Kiekvienas duomenų valdytojas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)	duomenų valdytojo, duomenų apsaugos pareigūno ir, jei taikoma, duomenų tvarkytojo ir bendro duomenų valdytojo vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	duomenų tvarkymo tikslai;

c)	duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)	duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus valstybėse narėse ar trečiosiose valstybėse arba tarptautines organizacijas, kategorijos;

e)	kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir tinkamų apsaugos priemonių dokumentai;

f)	kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)	kai įmanoma, bendras 33 straipsnyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2. Kiekvienas duomenų tvarkytojas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)	duomenų tvarkytojo arba duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)	kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir tinkamų apsaugos priemonių dokumentai;

d)	kai įmanoma, bendras 33 straipsnyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3. 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, taip pat ir elektronine forma.

4. Sąjungos institucijos ir organai paprašyti pateikia šiuos įrašus Europos duomenų apsaugos priežiūros pareigūnui.

5. Sąjungos institucijos ir organai savo duomenų tvarkymo veiklos apskaitai vesti naudoja centrinį registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Jie padaro registrą viešai prieinamą.

32 straipsnis

Bendradarbiavimas su Europos duomenų apsaugos priežiūros pareigūnu

Sąjungos institucijos ir organai paprašyti bendradarbiauja su Europos duomenų apsaugos priežiūros pareigūnu, jam atliekant savo užduotis.

2 SKIRSNIS

Asmens duomenų saugumas

33 straipsnis

Duomenų tvarkymo saugumas

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

a)	pseudonimų suteikimą asmens duomenims ir jų šifravimą;

b)	gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

c)	gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

d)	reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

2. Nustatant tinkamo lygio saugumą, visų pirma, atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma, dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

3. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos teisę.

4. Tuo, kad laikomasi patvirtinto sertifikavimo mechanizmo, nurodyto Reglamento (ES) 2016/679 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad vykdomi šio straipsnio 1 dalyje nustatyti reikalavimai.

34 straipsnis

Pranešimas Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą

1. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Europos duomenų apsaugos priežiūros pareigūnui, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

3. 1 dalyje nurodytame pranešime turi būti bent:

a)	aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)	nurodytas duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

c)	aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)	aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

4. Kai ir jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

5. Duomenų valdytojas praneša duomenų apsaugos pareigūnui apie asmens duomenų pažeidimą.

6. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasis tais dokumentais, Europos duomenų apsaugos priežiūros pareigūnas turi galėti patikrinti, ar laikomasi šio straipsnio.

35 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 34 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3. 1 dalyje nurodyto pranešimo duomenų subjektui pateikti nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma, tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)	duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)	tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Europos duomenų apsaugos priežiūros pareigūnas, apsvarstęs, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 SKIRSNIS

Elektroninių pranešimų konfidencialumas

36 straipsnis

Elektroninių pranešimų konfidencialumas

Sąjungos institucijos ir organai užtikrina elektroninių pranešimų konfidencialumą, visų pirma, apsaugodami savo elektroninių ryšių tinklus.

37 straipsnis

Į paslaugų gavėjų galinius įrenginius perduodamos, juose saugomos, su šiais įrenginiais susijusios, juose apdorojamos ir iš jų renkamos informacijos apsauga

Sąjungos institucijos ir organai apsaugo į paslaugų gavėjų galinius įrenginius, turinčius prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių, perduodamą, tokiuose įrenginiuose saugomą, su šiais įrenginiais susijusią, juose apdorojamą ir iš jų renkamą informaciją, laikantis Direktyvos 2002/58/EB 5 straipsnio 3 dalies.

38 straipsnis

Naudotojų sąrašai

1. Naudotojų sąrašuose nurodyti asmens duomenys ir teisė pasinaudoti tokiais naudotojų sąrašais griežtai apribojama tokia apimtimi, kuri būtina konkrečiais sąrašų tikslais.

2. Sąjungos institucijos ir organai imasi visų priemonių, būtinų, kad į tuos sąrašus įtraukti asmens duomenys nebūtų naudojami tiesioginės rinkodaros tikslais, nepaisant to, ar jie yra viešai prieinami, ar ne.

4 SKIRSNIS

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

39 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2. Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu.

3. 1 dalyje nurodytas poveikio duomenų apsaugai vertinimas, visų pirma, turi būti atliekamas, kai vykdomas:

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	10 straipsnyje nurodytų specialių kategorijų duomenų ar 11 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4. Europos duomenų apsaugos priežiūros pareigūnas sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą.

5. Europos duomenų apsaugos priežiūros pareigūnas taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

6. Prieš patvirtindamas šio straipsnio 4 ir 5 dalyse nurodytus sąrašus, Europos duomenų apsaugos priežiūros pareigūnas paprašo Reglamento (ES) 2016/679 68 straipsniu įsteigtos Europos duomenų apsaugos valdybos išnagrinėti tokius sąrašus pagal to reglamento 70 straipsnio 1 dalies e punktą, jei tokie sąrašai yra susiję su duomenų tvarkymo operacijomis, kurias duomenų valdytojas atlieka bendrai su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai.

7. Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8. Vertinant duomenų tvarkytojų, kurie nėra Sąjungos institucijos ir organai, vykdomų duomenų tvarkymo operacijų poveikį, visų pirma, atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų tvarkytojai laikosi Reglamento (ES) 2016/679 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9. Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10. Jeigu duomenų tvarkymas pagal 5 straipsnio 1 dalies a arba b punktą turi teisinį pagrindą pagal Sutartis priimtame teisės akte, kuris reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas vykdant bendrą poveikio vertinimą prieš priimant tą teisės aktą, šio straipsnio 1–6 dalys netaikomos, išskyrus atvejus, kai tame teisės akte numatyta kitaip.

11. Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

40 straipsnis

Išankstinės konsultacijos

1. Kai iš poveikio duomenų apsaugai vertinimo, atlikto pagal 39 straipsnį, paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą duomenų valdytojas konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu. Duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu dėl išankstinės konsultacijos poreikio.

2. Jeigu Europos duomenų apsaugos priežiūros pareigūnas laikosi nuomonės, kad 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą, visų pirma, tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, Europos duomenų apsaugos priežiūros pareigūnas ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Europos duomenų apsaugos priežiūros pareigūnas informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratęsimą per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu nurodydamas vėlavimo priežastis. Tie laikotarpiai gali būti sustabdyti iki Europos duomenų apsaugos priežiūros pareigūnui gavus informaciją, kurios jis buvo paprašęs konsultacijų tikslais.

3. Konsultuodamasis su Europos duomenų apsaugos priežiūros pareigūnu pagal 1 dalį, duomenų valdytojas Europos duomenų apsaugos priežiūros pareigūnui nurodo:

a)	kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis;

b)	numatyto duomenų tvarkymo tikslus ir priemones;

c)	nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal šį reglamentą;

d)	duomenų apsaugos pareigūno kontaktinius duomenis;

e)	39 straipsnyje numatytą poveikio duomenų apsaugai vertinimą ir

f)	bet kurią kitą Europos duomenų apsaugos priežiūros pareigūno prašomą informaciją.

4. Komisija gali įgyvendinimo aktu sudaryti sąrašą atvejų, kai duomenų valdytojai turi konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu ir gauti išankstinį jo leidimą dėl asmens duomenų tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas atlieka siekdamas viešojo intereso, įskaitant tokių duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos tikslais.

5 SKIRSNIS

Informavimas ir konsultavimasis teisėkūros klausimais

41 straipsnis

Informavimas ir konsultavimasis

1. Sąjungos institucijos ir organai Europos duomenų apsaugos priežiūros pareigūną informuoja apie rengiamas administracines priemones ir vidaus taisykles, susijusias su atskiros Sąjungos institucijos ar organo ar kartu su kitomis institucijomis tvarkomais asmens duomenimis.

2. Rengdami 25 straipsnyje nurodytas vidaus taisykles, Sąjungos institucijos ir organai konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

42 straipsnis

Konsultacijos teisėkūros klausimais

1. Priėmus pasiūlymus dėl teisėkūros procedūra priimamų aktų ir rekomendacijų ar pasiūlymų Tarybai pagal SESV 218 straipsnį ar rengiant deleguotuosius ar įgyvendinimo aktus, turinčius poveikį asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

2. Jei šio straipsnio 1 dalyje nurodytas aktas yra labai svarbus asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat gali konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos valdyba ir Europos duomenų apsaugos priežiūros pareigūnas koordinuoja savo darbą siekdami pateikti bendrą nuomonę.

3. Šio straipsnio 1 ir 2 dalyse nurodyta konsultacija pateikiama raštu ne vėliau kaip per aštuonias savaites nuo 1 ir 2 dalyse nurodyto prašymo suteikti konsultaciją gavimo dienos. Skubiais atvejais ar kitais atvejais, kai to reikia, Komisija gali sutrumpinti šį terminą.

4. Šis straipsnis netaikomas, jei Komisija pagal Reglamentą (ES) 2016/679 privalo konsultuotis su Europos duomenų apsaugos valdyba.

6 SKIRSNIS

Duomenų apsaugos pareigūnas

43 straipsnis

Duomenų apsaugos pareigūno skyrimas

1. Kiekviena Sąjungos institucija ar organas paskiria duomenų apsaugos pareigūną.

2. Sąjungos institucijos ir organai gali paskirti vieną duomenų apsaugos pareigūną kelioms iš jų, atsižvelgdami į savo organizacinę struktūrą ir dydį.

3. Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 45 straipsnyje nurodytas užduotis.

4. Duomenų apsaugos pareigūnas yra Sąjungos institucijos ar organo personalo narys. Atsižvelgiant į tų institucijų ar organų dydį ir jei nepasinaudojama 2 dalyje nurodyta galimybe, Sąjungos institucijos ir organai gali paskirti duomenų apsaugos pareigūną, kuris savo užduotis atliktų pagal paslaugų teikimo sutartį.

5. Sąjungos institucijos ir organai paskelbia duomenų apsaugos pareigūno kontaktinius duomenis ir praneša juos Europos duomenų apsaugos priežiūros pareigūnui.

44 straipsnis

Duomenų apsaugos pareigūno statusas

1. Sąjungos institucijos ir organai užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2. Sąjungos institucijos ir organai padeda duomenų apsaugos pareigūnui atlikti 45 straipsnyje nurodytas užduotis, suteikdami toms užduotims atlikti būtinus išteklius, taip pat suteikdami galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

3. Sąjungos institucijos ir organai užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl tų užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.

4. Duomenų subjektai gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais jų asmens duomenų tvarkymu ir naudojimusi savo teisėmis pagal šį reglamentą.

5. Duomenų apsaugos pareigūnas ir jo personalas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jų užduočių vykdymu, laikydamasis Sąjungos teisės.

6. Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

7. Bet kuriuo reglamento aiškinimo ar taikymo klausimu su duomenų apsaugos pareigūnu gali konsultuotis duomenų valdytojas ir duomenų tvarkytojas, atitinkamas darbuotojų komitetas ir bet kuris asmuo, nesikreipdamas į oficialius kanalus. Nė vienas asmuo negali nukentėti dėl to, kad atkreipė kompetentingo duomenų apsaugos pareigūno dėmesį į klausimą tvirtindamas, jog buvo pažeistos šio reglamento nuostatos.

8. Duomenų apsaugos pareigūnas skiriamas 3–5 metų kadencijai ir gali būti paskirtas dar kartą. Duomenų apsaugos pareigūną paskyrusi Sąjungos institucija ar organas gali atleisti jį iš šių pareigų, jeigu duomenų apsaugos pareigūnas nebeatitinka jo pareigoms nustatytų sąlygų, ir tik Europos duomenų apsaugos priežiūros pareigūno sutikimu.

9. Duomenų apsaugos pareigūną paskyrusi Sąjungos institucija ar organas po jo paskyrimo jį užregistruoja Europos duomenų apsaugos priežiūros pareigūno institucijoje.

45 straipsnis

Duomenų apsaugos pareigūno užduotys

1. Duomenų apsaugos pareigūnas atlieka šias užduotis:

a)	informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šį reglamentą ir kitas Sąjungos apsaugos nuostatas ir konsultuoja juos šiais klausimais;

nepriklausomai užtikrina vidinį šio reglamento taikymą ir stebi, kaip laikomasi šio reglamento, kitų taikytinų Sąjungos teisės aktų, kuriuose yra duomenų apsaugos nuostatų, ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

c)	užtikrina, kad duomenų valdytojai ir duomenų subjektai būtų informuoti apie reglamente nustatytas jų teises ir įsipareigojimus;

d)	paprašius teikia konsultacijas dėl būtinumo pateikti pranešimą apie asmens duomenų pažeidimą pagal 34 ir 35 straipsnius;

e)	paprašius teikia konsultacijas dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal 39 straipsnį ir konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu, jei abejoja dėl poreikio atlikti poveikio duomenų apsaugai vertinimą;

f)	paprašius teikia konsultacijas dėl poreikio iš anksto konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu pagal 40 straipsnį, konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu kilus abejonių dėl išankstinės konsultacijos poreikio;

g)	atsako į Europos duomenų apsaugos priežiūros pareigūno prašymus ir, kiek leidžia jo kompetencija, Europos duomenų apsaugos priežiūros pareigūno prašymu arba savo iniciatyva bendradarbiauja ir konsultuojasi su juo;

h)	užtikrina, kad duomenų tvarkymo operacijos nedarytų neigiamo poveikio duomenų subjektų teisėms ir laisvėms.

2. Duomenų apsaugos pareigūnas gali teikti rekomendacijas dėl duomenų valdytojo ar duomenų tvarkytojo praktinio duomenų apsaugos gerinimo ir konsultuoti juos klausimais, susijusiais su duomenų apsaugos nuostatų taikymu. Be to, jis savo iniciatyva arba duomenų valdytojo ar duomenų tvarkytojo, atitinkamo darbuotojų komiteto ar bet kurio asmens prašymu gali ištirti klausimus ir tiesiogiai su jo darbu susijusius atvejus, apie kuriuos jis sužinojo, bei atsakyti atitinkamai tyrimą užsakiusiam asmeniui, duomenų valdytojui arba duomenų tvarkytojui.

3. Kiekviena Sąjungos institucija ar organas priima papildomas įgyvendinimo taisykles, susijusias su duomenų apsaugos pareigūnu. Įgyvendinimo taisyklėse pirmiausia turi būti nustatyti duomenų apsaugos pareigūno uždaviniai, pareigos ir įgaliojimai.

V SKYRIUS

ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES ARBA TARPTAUTINĖMS ORGANIZACIJOMS

46 straipsnis

Bendras duomenų perdavimo principas

Asmens duomenys, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją valstybę arba tarptautinei organizacijai, perduodami tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, lakantis kitų šio reglamento nuostatų, laikosi šiame skyriuje nustatytų sąlygų, be kita ko, susijusių su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai. Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nebūtų pakenkta šiuo reglamentu garantuojamam fizinių asmenų apsaugos lygiui.

47 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba Direktyvos (ES) 2016/680 36 straipsnio 3 dalį nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą ir jei asmens duomenys perduodami vien tam, kad būtų galima atlikti duomenų valdytojo kompetencijai priskirtinas užduotis.

2. Sąjungos institucijos ir organai informuoja Komisiją ir Europos duomenų apsaugos priežiūros pareigūną apie atvejus, kai jie mano, kad trečioji šalis, teritorija arba vienas ar daugiau konkrečiai nurodytų trečiosios šalies sektorių arba tarptautinė organizacija neužtikrina tinkamo lygio apsaugos, kaip apibrėžta 1 dalyje.

3. Sąjungos institucijos ir organai imasi visų priemonių, būtinų siekiant laikytis Komisijos sprendimų, kai ji pagal Reglamento (ES) 2016/679 45 straipsnio 3 ar 5 dalį arba pagal Direktyvos (ES) 2016/680 36 straipsnio 3 arba 5 dalį nustato, kad trečioji šalis, teritorija arba vienas ar daugiau konkrečiai nurodytų trečiosios šalies sektorių arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą arba jos nebeužtikrina.

48 straipsnis

Duomenų perdavimas taikant tinkamas apsaugos priemones

1. Jeigu nėra priimtas sprendimas pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba Direktyvos (ES) 2016/680 36 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

2. 1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus Europos duomenų apsaugos priežiūros pareigūno leidimo, gali būti nustatomos:

a)	teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

b)	standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 96 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

c)	standartinėmis duomenų apsaugos sąlygomis, kurias priima Europos duomenų apsaugos priežiūros pareigūnas ir pagal 96 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

d)	jei duomenų tvarkytojas nėra Sąjungos institucija ar organas, įmonėms privalomomis taisyklėmis, elgesio kodeksais ar sertifikavimo mechanizmais pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalies b, e ir f punktus.

3. Gavus Europos duomenų apsaugos priežiūros pareigūno leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

a)	duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis arba

b)	nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

4. Leidimai, kuriuos Europos duomenų apsaugos priežiūros pareigūnas suteikė remdamasis Reglamento (EB) Nr. 45/2001 9 straipsnio 7 dalimi, lieka galioti tol, kol Europos duomenų apsaugos priežiūros pareigūnas prireikus juos iš dalies pakeičia, pakeičia naujais leidimais arba panaikina.

5. Sąjungos institucijos ir organai praneša Europos duomenų apsaugos priežiūros pareigūnui apie atvejų, kai buvo taikomas šis straipsnis, kategorijas.

49 straipsnis

Sąjungos teisėje neleidžiamas duomenų perdavimas ar atskleidimas

Bet kuris teismo sprendimas ir bet kuris trečiosios valstybės administracinės institucijos sprendimas, kuriuo reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, gali būti bet kuriuo būdu pripažįstamas arba vykdytinas, tik jei jis grindžiamas tarptautiniu susitarimu, pavyzdžiui, galiojančia prašymą pateikusios trečiosios valstybės ir Sąjungos savitarpio teisinės pagalbos sutartimi, nedarant poveikio kitiems duomenų perdavimo pagrindams pagal šį skyrių.

50 straipsnis

Nukrypti leidžiančios nuostatos konkrečiais atvejais

1. Jeigu nepriimtas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba Direktyvos (ES) 2016/680 36 straipsnio 3 dalį arba nenustatytos tinkamos apsaugos priemonės pagal šio reglamento 48 straipsnį, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atliekami tik su viena iš šių sąlygų:

a)	duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

b)	duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;

c)	duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

d)	duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;

e)	duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

f)	duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo, arba

duomenys perduodami iš registro, kuris pagal Sąjungos teisę yra skirtas teikti visuomenei informaciją ir kuriuo gali naudotis plačioji visuomenė arba bet kuris asmuo, galintis įrodyti savo teisėtą interesą, tačiau tik tiek, kiek kiekvienu konkrečiu atveju yra įvykdytos Sąjungos teisėje nustatytos sąlygos dėl susipažinimo su informacija.

2. 1 dalies a, b, ir c punktai netaikomi veiklai, kurią Sąjungos institucijos ir organai atlieka vykdydami savo viešuosius įgaliojimus.

3. 1 dalies d punkte nurodytas viešasis interesas turi būti pripažįstamas Sąjungos teisėje.

4. Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys, nebent tai leidžiama pagal Sąjungos teisę. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai.

5. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų asmens duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos.

6. Sąjungos institucijos ir organai praneša Europos duomenų apsaugos priežiūros pareigūnui apie atvejų, kai buvo taikomas šis straipsnis, kategorijas.

51 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Europos duomenų apsaugos priežiūros pareigūnas, bendradarbiaudamas su Komisija ir Europos duomenų apsaugos valdyba, imasi tinkamų veiksmų trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu, kuriais siekiama:

a)	sukurti tarptautinius bendradarbiavimo mechanizmus, kad būtų sudarytos palankesnės sąlygos veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų bei kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c)	atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – prisidėti prie tarptautinio bendradarbiavimo užtikrinant asmens duomenų apsaugos teisės aktų vykdymą;

d)	skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais ir juos dokumentuoti, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis klausimais.

VI SKYRIUS

EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS

52 straipsnis

Europos duomenų apsaugos priežiūros pareigūnas

1. Šiuo straipsniu įsteigiamas Europos duomenų apsaugos priežiūros pareigūnas.

2. Europos duomenų apsaugos priežiūros pareigūnas atsako už tai, kad būtų užtikrinta, jog Sąjungos institucijos ir organai, tvarkydami asmens duomenis, gerbtų fizinių asmenų pagrindines teises ir laisves, svarbiausia – jų teisę į duomenų apsaugą.

3. Europos duomenų apsaugos priežiūros pareigūnas atsako už šio reglamento ir visų kitų Sąjungos aktų, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą Sąjungos institucijai ar organui tvarkant asmens duomenis, nuostatų vykdymo priežiūrą ir užtikrina jų taikymą bei Sąjungos institucijų, organų ir duomenų subjektų konsultavimą visais su asmens duomenų tvarkymu susijusiais klausimais. Tuo tikslu Europos duomenų apsaugos priežiūros pareigūnas atlieka 57 straipsnyje nustatytas užduotis ir įgyvendina 58 straipsniu suteiktus įgaliojimus.

4. Europos duomenų apsaugos priežiūros pareigūno turimiems dokumentams taikomas Reglamentas (EB) Nr. 1049/2001. Europos duomenų apsaugos priežiūros pareigūnas priima išsamias taisykles dėl Reglamento (EB) Nr. 1049/2001 taikymo tokiems dokumentams.

53 straipsnis

Europos duomenų apsaugos priežiūros pareigūno paskyrimas

1. Europos Parlamentas ir Taryba, vadovaudamiesi Komisijos parengtu sąrašu, bendru sutarimu paskiria Europos duomenų apsaugos priežiūros pareigūną penkerių metų kadencijai po šioms pareigoms eiti paskelbto viešo konkurso. Visi suinteresuotieji subjektai iš visos Sąjungos gali pateikti paraiškas dalyvauti konkurse šioms pareigoms eiti. Komisijos parengtas kandidatų sąrašas skelbiamas viešai ir jį turi sudaryti bent trys kandidatai. Remdamasis Komisijos sudarytu sąrašu, kompetentingas Europos Parlamento komitetas gali nuspręsti surengti klausymą, kad galėtų nuspręsti, kuriam kandidatui teikti pirmenybę.

2. Į 1 dalyje nurodytą kandidatų sąrašą turi būti įtraukti asmenys, kurių nepriklausomumas nekelia abejonių ir kurie pripažįstami turintys dalykinių žinių duomenų apsaugos srityje, taip pat patirtį ir gebėjimus, reikalingus Europos duomenų apsaugos priežiūros pareigūno pareigoms atlikti.

3. Europos duomenų apsaugos priežiūros pareigūno kadencija gali būti pratęsta vieną kartą.

4. Europos duomenų apsaugos priežiūros pareigūnas nustoja eiti pareigas toliau nurodytais atvejais:

a)	jei Europos duomenų apsaugos priežiūros pareigūnas pakeičiamas;

b)	jei Europos duomenų apsaugos priežiūros pareigūnas atsistatydina;

c)	jei Europos duomenų apsaugos priežiūros pareigūnas atleidžiamas iš pareigų arba privalo išeiti į pensiją.

5. Teisingumo Teismas Europos Parlamento, Tarybos ar Komisijos prašymu gali Europos duomenų apsaugos priežiūros pareigūną atleisti iš pareigų arba atimti iš jo teisę į pensiją arba kitas išmokas, jeigu jis nebeatitinka jo pareigoms nustatytų sąlygų arba yra kaltas dėl rimto nusižengimo.

6. Jeigu Europos duomenų apsaugos priežiūros pareigūnas yra pakeičiamas įprasta tvarka arba savanoriškai atsistatydina iš pareigų, nepaisant to, jis ir toliau eina savo pareigas, kol yra pakeičiamas.

7. Europos duomenų apsaugos priežiūros pareigūnui taip pat yra taikomi Europos Sąjungos Privilegijų ir imunitetų protokolo 11–14 ir 17 straipsniai.

54 straipsnis

Nuostatai ir bendrosios sąlygos, reglamentuojančios Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą, darbuotojus ir finansinius išteklius

1. Europos duomenų apsaugos priežiūros pareigūnui nustatomas toks atlyginimas, priemokos, senatvės pensija ir kitos vietoje atlyginimo gaunamos išmokos, kokie nustatyti Teisingumo Teismo teisėjui.

2. Biudžeto valdymo institucija užtikrina, kad Europos duomenų apsaugos priežiūros pareigūnui jo darbams atlikti būtų paskirti būtini darbuotojai ir skirtos atitinkamos lėšos.

3. Europos duomenų apsaugos priežiūros pareigūno biudžetas turi būti nurodytas Sąjungos bendrojo biudžeto skirsnyje, susijusiame su administracinėmis išlaidomis, atskira biudžeto eilute.

4. Europos duomenų apsaugos priežiūros pareigūnui padeda sekretoriatas. Europos duomenų apsaugos priežiūros pareigūnas skiria sekretoriato pareigūnus ir kitus tarnautojus, kuriems vadovauja Europos duomenų apsaugos priežiūros pareigūnas. Šie pareigūnai ir tarnautojai vykdo tik Europos duomenų apsaugos priežiūros pareigūno nurodymus. Jų skaičius yra nustatomas kiekvienais metais planuojant biudžetą. Reglamento (ES) 2016/679 75 straipsnio 2 dalis taikoma Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojams, kurie vykdo pagal Sąjungos teisę Europos duomenų apsaugos valdybai nustatytas užduotis.

5. Europos duomenų apsaugos priežiūros sekretoriato pareigūnai ir kiti darbuotojai laikosi Sąjungos pareigūnams ir kitiems tarnautojams taikomų taisyklių ir nuostatų.

6. Europos duomenų apsaugos priežiūros pareigūno būstinė yra Briuselyje.

55 straipsnis

Nepriklausomumas

1. Europos duomenų apsaugos priežiūros pareigūnas, atlikdamas savo užduotis ir įgyvendindamas savo įgaliojimus pagal šį reglamentą, veikia visiškai nepriklausomai.

2. Europos duomenų apsaugos priežiūros pareigūnas, atlikdamas savo užduotis ir naudodamasis savo įgaliojimais pagal šį reglamentą, nepatiria nei tiesioginės, nei netiesioginės išorės įtakos ir neprašo bei nepriima jokių nurodymų.

3. Europos duomenų apsaugos priežiūros pareigūnas nesiima jokių su jo pareigomis nesuderinamų veiksmų ir savo kadencijos metu negali dirbti jokio mokamo ar nemokamo darbo.

4. Pasibaigus jo kadencijai, Europos duomenų apsaugos priežiūros pareigūnas elgiasi sąžiningai ir diskretiškai, sutikdamas dirbti kitose pareigose ir gauti atlyginimą.

56 straipsnis

Profesinė paslaptis

Europos duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

57 straipsnis

Užduotys

1. Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, Europos duomenų apsaugos priežiūros pareigūnas:

a)	prižiūri ir užtikrina, kad Sąjungos institucijos ir organai taikytų šį reglamentą, išskyrus Teisingumo Teismo atliekamą asmens duomenų tvarkymą, kai jis vykdo teismo funkcijas;

b)	skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

c)	skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

d)	bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su nacionalinėmis priežiūros institucijomis;

nagrinėja skundus, kuriuos pagal 67 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma, tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

f)	atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remdamasis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

g)	savo iniciatyva arba gavęs prašymą konsultuoja visas Sąjungos institucijas ir organus dėl teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

h)	stebi susijusius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų raidą;

i)	priima standartines sutarčių sąlygas, nurodytas 29 straipsnio 8 dalyje ir 48 straipsnio 2 dalies c punkte;

j)	sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 39 straipsnio 4 dalį;

k)	dalyvauja Europos duomenų apsaugos valdybos veikloje;

l)	teikia sekretoriato paslaugas Europos duomenų apsaugos valdybai pagal Reglamento (ES) 2016/679 75 straipsnį;

m)	teikia konsultacijas dėl 40 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

n)	duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 48 straipsnio 3 dalyje;

o)	tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 58 straipsnio 2 dalį;

p)	vykdo visas kitas su asmens duomenų apsauga susijusias užduotis ir

q)	nustato savo darbo tvarkos taisykles.

2. Europos duomenų apsaugos priežiūros pareigūnas palengvina šio straipsnio 1 dalies e punkte nurodytų skundų pateikimą, pateikdamas skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdamas galimybę naudotis ir kitomis ryšio priemonėmis.

3. Europos duomenų apsaugos priežiūros pareigūno paslaugos duomenų subjektui teikiamos nemokamai.

4. Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, Europos duomenų apsaugos priežiūros pareigūnas gali atsisakyti imtis veiksmų pagal prašymą. Europos duomenų apsaugos priežiūros pareigūnui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

58 straipsnis

Įgaliojimai

1. Europos duomenų apsaugos priežiūros pareigūnui suteikiami tokie tyrimo įgaliojimai:

a)	nurodyti duomenų valdytojui ir duomenų tvarkytojui pateikti visą jo užduotims atlikti reikalingą informaciją;

b)	atlikti tyrimus, kurie atliekami duomenų apsaugos audito forma;

c)	pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

d)	iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais asmens duomenimis ir visa informacija, kurie būtini jo užduotims atlikti;

e)	laikantis Sąjungos teisės, gauti leidimą patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių.

2. Europos duomenų apsaugos priežiūros pareigūnui suteikiami įgaliojimai imtis tokių taisomųjų veiksmų:

a)	įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

b)	pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

c)	perduoti klausimą atitinkamam duomenų valdytojui ar duomenų tvarkytojui, o prireikus – Europos Parlamentui, Tarybai ir Komisijai;

d)	nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

e)	nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

f)	nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

g)	nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

h)	nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 18, 19 ir 20 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 19 straipsnio 2 dalį ir 21 straipsnį;

i)	skirti administracinę baudą pagal 66 straipsnį tuo atveju, kai Sąjungos institucija ar organas nesilaiko vienos iš šios dalies d–h ir j punktuose nurodytų priemonių, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

j)	nurodyti sustabdyti duomenų srautus duomenų gavėjui valstybėje narėje, trečiojoje valstybėje arba tarptautinei organizacijai.

3. Europos duomenų apsaugos priežiūros pareigūnas turi tokius leidimų suteikimo ir konsultavimo įgaliojimus;

a)	konsultuoti duomenų subjektus jų teisių įgyvendinimo klausimais;

b)	konsultuoti duomenų valdytoją pagal 40 straipsnyje nurodytą išankstinės konsultacijos procedūrą, laikantis 41 straipsnio 2 dalies;

c)	savo iniciatyva arba paprašytas pateikti nuomones Sąjungos institucijoms ir organams ir visuomenei bet kuriuo klausimu, susijusiu su asmens duomenų apsauga;

d)	patvirtinti 29 straipsnio 8 dalyje ir 48 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas;

e)	duoti leidimą taikyti 48 straipsnio 3 dalies a punkte nurodytas sutarčių sąlygas;

f)	duoti leidimą taikyti 48 straipsnio 3 dalies b punkte nurodytus administracinius susitarimus;

g)	duoti leidimą atlikti duomenų tvarkymo operacijas arba neduoti tokio leidimo pagal įgyvendinimo aktus, priimtus laikantis 40 straipsnio 4 dalies.

4. Europos duomenų apsaugos priežiūros pareigūnui suteikiami įgaliojimai perduoti klausimą Teisingumo Teismui Sutartyse numatytomis sąlygomis ir įstoti į Teisingumo Teisme nagrinėjamas bylas.

5. Naudojimuisi pagal šį straipsnį Europos duomenų apsaugos priežiūros pareigūnui suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos teisėje.

59 straipsnis

Duomenų valdytojų ir tvarkytojų pareiga reaguoti į kaltinimus

Kai Europos duomenų apsaugos priežiūros pareigūnas įgyvendina 58 straipsnio 2 dalies a, b ir c punktuose numatytus įgaliojimus, atitinkamas duomenų valdytojas arba duomenų tvarkytojas per pagrįstą terminą, kurį nustato Europos duomenų apsaugos priežiūros pareigūnas, praneša Europos duomenų apsaugos priežiūros pareigūnui savo nuomonę, atsižvelgdamas į kiekvieno atvejo aplinkybes. Atsakyme taip pat nurodomos priemonės, kurių, atsižvelgiant į Europos duomenų apsaugos priežiūros pareigūno pastabas, buvo imtasi, jeigu iš viso buvo imtasi.

60 straipsnis

Veiklos ataskaita

1. Europos duomenų apsaugos priežiūros pareigūnas Europos Parlamentui, Tarybai ir Komisijai pateikia metinę savo veiklos ataskaitą, tuo pačiu metu ją paskelbdamas viešai.

2. Europos duomenų apsaugos priežiūros pareigūnas siunčia 1 dalyje nurodytą ataskaitą kitoms Sąjungos institucijoms ir organams, kurie gali pateikti pastabas, kad ataskaitą galimai išnagrinėtų Europos Parlamentas.

VII SKYRIUS

BENDRADARBIAVIMAS IR NUOSEKLUMAS

61 straipsnis

Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų bendradarbiavimas

Europos duomenų apsaugos priežiūros pareigūnas bendradarbiauja su nacionalinėmis priežiūros institucijomis ir su jungtine priežiūros institucija, įsteigta pagal Tarybos sprendimo 2009/917/TVR (19) 25 straipsnį, kiek to reikia, kad jie galėtų įgyvendinti atitinkamas savo pareigas, visų pirma teikiant vieni kitiems reikalingą informaciją, prašant vienas kito įgyvendinti įgaliojimus ir atsakant į vienas kito prašymus.

62 straipsnis

Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų atliekama koordinuotoji priežiūra

1. Jei Sąjungos akte daroma nuoroda į šį straipsnį, Europos duomenų apsaugos priežiūros pareigūnas ir nacionalinės priežiūros institucijos, veikdami pagal savo atitinkamą kompetenciją ir vykdydami savo pareigas, aktyviai bendradarbiauja, kad būtų užtikrinta veiksminga didelio masto IT sistemų ir Sąjungos organų, tarnybų ir agentūrų priežiūra.

2. Veikdami pagal savo atitinkamus įgaliojimus ir vykdydami savo pareigas jie prireikus keičiasi reikalinga informacija, padeda vieni kitiems atlikti auditą ir patikras, nagrinėja šio reglamento ir kitų taikytinų Sąjungos aktų aiškinimo ir taikymo sunkumus, tiria problemas, susijusias su nepriklausomos priežiūros įgyvendinimu arba duomenų subjektų naudojimusi savo teisėmis, rengia suderintus pasiūlymus dėl bet kokių problemų sprendimo ir skatina informuotumą apie duomenų apsaugos teises.

3. Šio straipsnio 2 dalyje išdėstytais tikslais Europos duomenų apsaugos priežiūros pareigūnas ir nacionalinės priežiūros institucijos bent du kartus per metus susitinka Europos duomenų apsaugos valdyboje. Šiais tikslais Europos duomenų apsaugos valdyba prireikus gali parengti kitus darbo metodus.

4. Europos duomenų apsaugos valdyba kas dvejus metus Europos Parlamentui, Tarybai ir Komisijai siunčia bendrą koordinuotosios priežiūros veiklos ataskaitą.

VIII SKYRIUS

TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

63 straipsnis

Teisė pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui

1. Neapribojant galimybių imtis kitų teisminių, administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui, jei duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2. Europos duomenų apsaugos priežiūros pareigūnas informuoja skundą pateikusį asmenį apie skundo nagrinėjimo eigą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 64 straipsnį.

3. Jei Europos duomenų apsaugos priežiūros pareigūnas neišnagrinėja skundo arba per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo eigą ar rezultatą, laikoma, kad Europos duomenų apsaugos priežiūros pareigūnas priėmė neigiamą sprendimą.

64 straipsnis

Teisė į veiksmingą teisminę teisių gynimo priemonę

1. Teisingumo Teismas turi jurisdikciją nagrinėti visus ginčus, susijusius su šio reglamento nuostatomis, įskaitant ieškinius atlyginti žalą.

2. Ieškiniai dėl Europos duomenų apsaugos priežiūros pareigūno sprendimų, įskaitant 63 straipsnio 3 dalyje nurodytus sprendimus, pateikiami Teisingumo Teisme.

3. Teisingumo Teismas turi neribotą jurisdikciją peržiūrėti 66 straipsnyje nurodytas administracines baudas. Jis gali panaikinti, sumažinti arba padidinti tas baudas laikydamasis 66 straipsnyje nustatytų ribų.

65 straipsnis

Teisė į kompensaciją

Bet kuris asmuo, patyręs turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš Sąjungos institucijos ar organo gauti kompensaciją už patirtą žalą laikantis Sutartyse nustatytų sąlygų.

66 straipsnis

Administracinės baudos

1. Europos duomenų apsaugos priežiūros pareigūnas gali skirti administracines baudas Sąjungos institucijoms ir organams, atsižvelgdamas į kiekvieno konkretaus atvejo aplinkybes, jei Sąjungos institucija ar organas nesilaiko Europos duomenų apsaugos priežiūros pareigūno nurodymo pagal 58 straipsnio 2 dalies d–h ir j punktus. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)	pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)	bet kuriuos veiksmus, kurių Sąjungos institucija ar organas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

c)	Sąjungos institucijos ar organo atsakomybės dydį, atsižvelgiant į jų pagal 27 ir 33 straipsnius įgyvendintas technines ir organizacines priemones;

d)	bet kuriuos anksčiau Sąjungos institucijos ar organo padarytus panašius pažeidimus;

e)	bendradarbiavimo su Europos duomenų apsaugos priežiūros pareigūnu siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį;

f)	asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

g)	tai, kokiu būdu Europos duomenų apsaugos priežiūros pareigūnas sužinojo apie pažeidimą, visų pirma, tai, ar Sąjungos institucija ar organas pranešė apie pažeidimą (jei taip – kokiu mastu);

h)	atitinkamai Sąjungos institucijai ar organui dėl to paties dalyko anksčiau taikytų 58 straipsnyje nurodytų priemonių laikymąsi. Baudų skyrimo procedūros vykdomos per pagrįstą laikotarpį atsižvelgiant į bylos aplinkybes ir 69 straipsnyje nurodytas atitinkamas bylas ir procedūras.

2. Už Sąjungos institucijai ar organui tenkančių įpareigojimų pažeidimus pagal 8, 12, 27–35, 39, 40, 43, 44 ir 45 straipsnius, laikantis šio straipsnio 1 dalies, skiriamos administracinės baudos iki 25 000 EUR už vieną pažeidimą ir iš viso ne daugiau kaip 250 000 EUR per metus.

3. Už toliau nurodytų nuostatų pažeidimus Sąjungos institucijai ar organui laikantis šio straipsnio 1 dalies skiriamos administracinės baudos iki 50 000 EUR už vieną pažeidimą ir iš viso ne daugiau kaip 500 000 EUR per metus:

a)	pagrindinių duomenų tvarkymo principų, įskaitant sutikimo sąlygas, kaip numatyta pagal 4, 5, 7 ir 10 straipsnius;

b)	duomenų subjekto teisių pagal 14–24 straipsnius;

c)	asmens duomenų perdavimo duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 46–50 straipsnius.

4. Jei Sąjungos institucija ar organas, atlikdamas tą pačią tvarkymo operaciją arba susijusias ar tęstines tvarkymo operacijas, pažeidžia kelias šio reglamento nuostatas arba tą pačią reglamento nuostatą kelis kartus, bendra administracinės baudos suma negali viršyti sumos, nustatytos už sunkiausią pažeidimą.

5. Prieš priimdamas sprendimus pagal šį straipsnį, Europos duomenų apsaugos priežiūros pareigūnas suteikia Sąjungos institucijai ar organui, dėl kurio Europos duomenų apsaugos priežiūros pareigūnas pradėjo procedūrą, galimybę būti išklausytam klausimais, dėl kurių Europos duomenų apsaugos priežiūros pareigūnas pateikė prieštaravimus. Europos duomenų apsaugos priežiūros pareigūnas savo sprendimus grindžia tik tais prieštaravimais, dėl kurių atitinkamos šalys galėjo pateikti pastabas. Pareiškėjai turi būti įtraukti į bylos nagrinėjimą.

6. Proceso metu turi būti gerbiama šalių teisė į gynybą. Jiems turi būti suteikta teisė susipažinti su Europos duomenų apsaugos priežiūros pareigūno byla, atsižvelgiant į fizinių asmenų ar įmonių teisėtą interesą, kad būtų apsaugoti jų asmens duomenys ar verslo paslaptys.

7. Lėšos, surinktos paskyrus šiame straipsnyje numatytas baudas, laikomos Sąjungos bendrojo biudžeto pajamomis.

67 straipsnis

Atstovavimas duomenų subjektams

Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal Sąjungos ar valstybės narės teisę, kurios įstatais nustatyti tikslai atitinka viešąjį interesą ir kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui, jo vardu naudotis 63 ir 64 straipsniuose nurodytomis teisėmis ir jo vardu naudotis 65 straipsnyje nurodyta teise gauti kompensaciją.

68 straipsnis

Sąjungos tarnautojų skundai

Sąjungos institucijoje ar organe dirbantis asmuo gali pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui dėl įtariamo šio reglamento nuostatų pažeidimo, taip pat ir neoficialiais kanalais. Niekas neturi nukentėti dėl to, kad Europos duomenų apsaugos priežiūros pareigūnui pateikė skundą, kuriame nurodomas įtariamas pažeidimas.

69 straipsnis

Sankcijos

Jeigu pareigūnas ar kitas Sąjungos tarnautojas tyčia ar dėl aplaidumo nevykdo šiame reglamente nustatytų įsipareigojimų, atitinkamam pareigūnui arba kitam tarnautojui pagal Tarnybos nuostatuose nustatytas taisykles ir procedūras gali būti iškelta drausminė ar kita byla.

IX SKYRIUS

SĄJUNGOS ORGANŲ, TARNYBŲ IR AGENTŪRŲ, VYKDANČIŲ VEIKLĄ, KURIAI TAIKOMAS SESV TREČIOSIOS DALIES V ANTRAŠTINĖS DALIES 4 SKYRIUS AR 5 SKYRIUS, ATLIEKAMAS OPERATYVINIŲ ASMENS DUOMENŲ TVARKYMAS

70 straipsnis

Skyriaus taikymo sritis

Šis skyrius taikomas tik Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui, nedarant poveikio tiems Sąjungos organams, tarnyboms ar agentūroms taikomoms specialiosioms duomenų apsaugos taisyklėms.

71 straipsnis

Su operatyvinių asmens duomenų tvarkymu susiję principai

1. Operatyviniai asmens duomenys turi būti:

a)	tvarkomi teisėtai ir sąžiningai (teisėtumo ir sąžiningumo principas);

b)	renkami nustatytais, aiškias ir teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir neviršijantys to, ko reikia siekiant tikslų, kuriais jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad operatyviniai asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

e)	saugomi tokiu būdu, kad būtų galima nustatyti duomenų subjektų tapatybę, ne ilgiau nei reikia pasiekti tikslus, kuriais operatyviniai asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);

tvarkomi taip, kad taikant tinkamas technines arba organizacines priemones būtų užtikrintas tinkamas operatyvinių asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo ar neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais Sąjungos organo, tarnybos ar agentūros steigimo teisės akte nurodytais tikslais, kurie nesutampa su tikslu, kuriuo renkami operatyviniai asmens duomenys, leidžiama, jeigu:

a)	duomenų valdytojui pagal Sąjungos teisę leidžiama tvarkyti tokius operatyvinius asmens duomenis tokiu tikslu ir

b)	duomenų tvarkymas pagal Sąjungos teisę yra būtinas ir proporcingai atitinka tą kitą tikslą.

3. To paties ar kito duomenų valdytojo vykdomas duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso ar naudojimą mokslinių, statistinių ar istorinių tyrimų tikslais, siekiant Sąjungos organo, tarnybos ar agentūros steigimo teisės akte nurodytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

4. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1, 2 ir 3 dalių, ir turi sugebėti tai įrodyti.

72 straipsnis

Operatyvinių asmens duomenų tvarkymo teisėtumas

1. Operatyvinių asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, užduočiai atlikti ir jeigu jis vykdomas tik tokiu mastu, kokiu reikia, ir pagrįstas Sąjungos teise.

2. Konkrečiuose Sąjungos teisės aktuose, kuriais reglamentuojamas duomenų tvarkymas pagal šį skyrių, nurodomi bent tvarkymo tikslai, tvarkytini operatyviniai asmens duomenys, tvarkymo paskirtis ir operatyvinių asmens duomenų saugojimo terminai arba periodinės peržiūros siekiant nustatyti, ar būtina toliau saugoti operatyvinius asmens duomenis, atlikimo terminai.

73 straipsnis

Skirtingų kategorijų duomenų subjektų atskyrimas

Duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskiria skirtingų kategorijų duomenų subjektų operatyvinius asmens duomenis, pavyzdžiui, vadovaudamasis Sąjungos organų, tarnybų ir agentūrų steigimo teisės aktuose nurodytomis kategorijomis.

74 straipsnis

Operatyvinių asmens duomenų skirstymas ir operatyvinių asmens duomenų kokybės patikrinimas

1. Duomenų valdytojas, kiek įmanoma, atskiria faktais pagrįstus operatyvinius asmens duomenis nuo asmeniniais vertinimais pagrįstų operatyvinių asmens duomenų.

2. Duomenų valdytojas imasi visų pagrįstų priemonių, siekdamas užtikrinti, kad operatyviniai asmens duomenys, kurie yra netikslūs, neišsamūs arba nebeaktualūs, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu duomenų valdytojas, jei reikia ir kiek įmanoma, tikrina operatyvinių asmens duomenų kokybę (pavyzdžiui, konsultuodamasis su duomenis pateikusia kompetentinga valdžios institucija) prieš juos persiunčiant arba prieš suteikiant galimybę jais naudotis. Kiekvienu operatyvinių asmens duomenų perdavimo atveju, kiek tai įmanoma, duomenų valdytojas prideda būtiną informaciją, kuri suteikia galimybę gavėjui įvertinti operatyvinių asmens duomenų tikslumo, išsamumo ir patikimumo laipsnį, taip pat jų naujumą.

3. Paaiškėjus, kad buvo persiųsti neteisingi operatyviniai asmens duomenys arba kad operatyviniai asmens duomenys buvo persiųsti neteisėtai, duomenų gavėjas nedelsiant apie tai informuojamas. Tokiu atveju atitinkami operatyviniai asmens duomenys pagal 82 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

75 straipsnis

Konkrečios duomenų tvarkymo sąlygos

1. Kai pagal Sąjungos teisę, taikytiną duomenis perduodančiam duomenų valdytojui, numatytos konkrečios duomenų tvarkymo sąlygos, duomenų valdytojas informuoja tokių operatyvinių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

2. Duomenų valdytojas laikosi konkrečių tvarkymo sąlygų, kurias duomenis perduodančios kompetentingos institucijos duomenų tvarkymui nustato pagal Direktyvos (ES) 2016/680 9 straipsnio 3 ir 4 dalis.

76 straipsnis

Specialių kategorijų operatyvinių asmens duomenų tvarkymas

1. Operatyvinių asmens duomenų tvarkymas, kuriuo atskleidžiama rasinė arba etninė kilmė, politinės pažiūros, religiniai arba filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant vienareikšmiškai nustatyti fizinio asmens tapatybę, arba operatyvinių asmens duomenų apie asmens sveikatą ar lytinį gyvenimą ir seksualinę orientaciją tvarkymas leidžiamas tik tada, kai tai tikrai būtina operatyviniais tikslais ir atitinkamam Sąjungos organui, tarnybai ar agentūrai vykdant savo įgaliojimus, jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Draudžiama diskriminuoti fizinius asmenis remiantis tokiais asmens duomenimis.

2. Duomenų apsaugos pareigūnas nepagrįstai nedelsiant informuojamas apie šio straipsnio taikymą.

77 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1. Draudžiama priimti bet kokį sprendimą, grindžiamą tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris turi jam didelės įtakos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos teisę, kuri taikoma duomenų valdytojui ir kuria nustatytos tinkamos duomenų subjekto teisių ir laisvių, bent teisė reikalauti iš duomenų valdytojo žmogaus įsikišimo, apsaugos priemonės.

2. Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami 76 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

3. Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis 76 straipsnyje nurodytais specialių kategorijų asmens duomenimis, pagal Sąjungos teisę draudžiamas.

78 straipsnis

Pranešimas ir duomenų subjektų naudojimosi savo teisėmis sąlygos

1. Duomenų valdytojas imasi pagrįstų priemonių, kad visa 79 straipsnyje nurodyta informacija ir visi 80–84 ir 92 straipsniuose nurodyti pranešimai, susiję su duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama bet kokiomis tinkamomis priemonėmis, taip pat ir elektroniniu būdu. Paprastai duomenų valdytojas pateikia informaciją tokia pačia forma kaip ir prašymą.

2. Duomenų valdytojas sudaro palankesnes sąlygas naudotis 79–84 straipsniuose nustatytomis duomenų subjekto teisėmis.

3. Duomenų valdytojas nepagrįstai nedelsdamas raštu informuoja duomenų subjektą apie su jo prašymu susijusius tolesnius veiksmus, bet kuriuo atveju vėliausiai po trijų mėnesių nuo duomenų subjekto prašymo gavimo.

4. Pagal 79 straipsnį teikiamą informaciją ir visus pagal 80–84 ir 92 straipsnius teikiamus pranešimus ar atliekamus veiksmus duomenų valdytojas teikia ir vykdo nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, duomenų valdytojas gali atsisakyti imtis veiksmų dėl prašymo. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

5. Jei duomenų valdytojas turi pagrįstų abejonių dėl 80 arba 82 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

79 straipsnis

Informacija, kuri turi būti padaroma prieinama arba pateikta duomenų subjektui

1. Duomenų valdytojas duomenų subjektui padaro prieinama bent šią informaciją:

a)	Sąjungos organo, tarnybos ar agentūros tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriems operatyviniai asmens duomenys yra skirti;

d)	informaciją apie teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui ir jo kontaktinius duomenis;

e)	informaciją apie duomenų subjekto teisę iš duomenų valdytojo reikalauti, kad pastarasis leistų susipažinti su duomenų subjekto operatyviniais asmens duomenimis, juos ištaisytų ar ištrintų ir apribotų jo operatyvinių asmens duomenų tvarkymą.

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas konkrečiais pagal Sąjungos teisę numatytais atvejais duomenų subjektui pateikia toliau nurodytą informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

a)	duomenų tvarkymo teisinį pagrindą;

b)	operatyvinių asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

c)	kai taikoma, operatyvinių asmens duomenų gavėjų kategorijas, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;

d)	prireikus papildomą informaciją, visų pirma tais atvejais, kai operatyviniai asmens duomenys renkami apie tai nežinant duomenų subjektui.

3. Duomenų valdytojas gali atidėti informacijos teikimą duomenų subjektui pagal 2 dalį, jį apriboti arba jo nepaisyti tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant:

a)	netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)	nepakenkti nusikalstamų veikų prevencijai, atskleidimui, tyrimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)	apsaugoti valstybių narių viešąjį saugumą;

d)	apsaugoti valstybių narių nacionalinį saugumą;

e)	apsaugoti kitų asmenų, kaip antai nukentėjusiųjų ir liudytojų, teises ir laisves.

80 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję operatyviniai asmens duomenys yra tvarkomi, o jei tokie operatyviniai asmens duomenys yra tvarkomi, turi teisę susipažinti su operatyviniais asmens duomenimis ir toliau nurodyta informacija:

a)	duomenų tvarkymo tikslai ir teisinis pagrindas;

b)	atitinkamų operatyvinių asmens duomenų kategorijos;

c)	duomenų gavėjai arba duomenų gavėjų, kuriems buvo atskleisti operatyviniai asmens duomenys, visų pirma, duomenų gavėjų trečiosiose valstybėse arba tarptautinėse organizacijose, kategorijos;

d)	kai įmanoma, numatomas operatyvinių asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)	tai, jog duomenų subjektas turi teisę iš duomenų valdytojo reikalauti, kad pastarasis ištaisytų ar ištrintų duomenų subjekto operatyvinius asmens duomenis arba apribotų tų operatyvinių asmens duomenų tvarkymą;

f)	teisė pateikti skundą Europos duomenų apsaugos pareigūnui ir jo kontaktiniai duomenys;

g)	pranešimas, kokie operatyviniai asmens duomenys yra tvarkomi, ir visa turima informacija apie jų kilmę.

81 straipsnis

Teisės susipažinti su duomenimis apribojimai

1. Duomenų valdytojas gali visiškai arba iš dalies apriboti duomenų subjekto teisę susipažinti su duomenimis tiek, kiek ir kol toks dalinis arba visiškas apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant:

a)	netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)	išvengti kenkimo nusikalstamų veikų prevencijai, atskleidimui, tyrimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)	apsaugoti valstybių narių viešąjį saugumą;

d)	apsaugoti valstybių narių nacionalinį saugumą;

e)	apsaugoti kitų asmenų, pavyzdžiui, aukų ir liudytojų, teises ir laisves.

2. 1 dalyje nurodytais atvejais duomenų valdytojas nepagrįstai nedelsdamas raštu informuoja duomenų subjektą apie bet kokį atsisakymą leisti susipažinti su duomenimis arba tokios teisės apribojimą ir tokio atsisakymo arba apribojimo priežastis. Tokia informacija gali būti nesuteikta, jei jos pateikimas pakenktų tikslui, kurio siekiama 1 dalimi. Duomenų valdytojas informuoja duomenų subjektą apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Teisingumo Teisme. Duomenų valdytojas dokumentuoja faktines arba teisines priežastis, kuriomis pagrįstas sprendimas. Gavus prašymą, tokia informacija pateikiama Europos duomenų apsaugos priežiūros pareigūnui.

82 straipsnis

Teisė reikalauti ištaisyti ar ištrinti operatyvinius asmens duomenis ir apriboti jų tvarkymą

1. Bet kuris duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius operatyvinius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs operatyviniai asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

2. Duomenų valdytojas nepagrįstai nedelsdamas ištrina operatyvinius asmens duomenis ir duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius operatyvinius asmens duomenis, jeigu duomenų tvarkymu pažeidžiamas 71 straipsnis, 72 straipsnio 1 dalis arba 76 straipsnis arba jeigu operatyviniai asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui.

3. Duomenų valdytojas apriboja duomenų tvarkymą jų neištrindamas, jeigu:

a)	duomenų subjektas ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba

b)	asmens duomenys turi būti išsaugoti įrodymų tikslais.

Jeigu duomenų tvarkymas ribojamas pagal pirmos pastraipos a punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

Apriboti duomenys tvarkomi tik tuo tikslu, dėl kurio jie buvo neištrinti.

4. Duomenų valdytojas raštu informuoja duomenų subjektą, jei jis atsisako ištaisyti ar ištrinti operatyvinius asmens duomenis arba apriboti jų tvarkymą bei apie tokio atsisakymo priežastis. Duomenų valdytojas gali visiškai arba iš dalies apriboti tokios informacijos teikimą tiek, kiek toks apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant:

a)	netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)	išvengti kenkimo nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)	apsaugoti valstybių narių viešąjį saugumą;

d)	apsaugoti valstybių narių nacionalinį saugumą;

e)	apsaugoti kitų asmenų, kaip antai nukentėjusiųjų ir liudytojų, teises ir laisves.

Duomenų valdytojas informuoja duomenų subjektą apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Teisingumo Teisme.

5. Duomenų valdytojas praneša apie netikslių operatyvinių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs operatyviniai asmens duomenys buvo gauti.

6. Tais atvejais, kai operatyviniai asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas pagal 1, 2 ar 3 dalis, duomenų valdytojas informuoja duomenų gavėjus ir jiems praneša, kad jie turi ištaisyti ar ištrinti operatyvinius asmens duomenis arba apriboti operatyvinių asmens duomenų tvarkymą, kai asmens duomenų tvarkymas priklauso jų atsakomybei.

83 straipsnis

Teisė susipažinti su duomenimis baudžiamuosiuose tyrimuose ir baudžiamosiose bylose

Tais atvejais, kai operatyviniai asmens duomenys buvo gauti iš kompetentingos institucijos, Sąjungos organų, tarnybų ir agentūrų, prieš priimdamos sprendimą dėl duomenų subjekto teisės susipažinti su duomenimis, kreipiasi į atitinkamą kompetentingą instituciją siekdamos patikrinti, ar tokie asmens duomenys nėra nurodomi teismo sprendime, nuosprendžių registre arba byloje vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą kompetentingos institucijos valstybėje narėje. Jei tie asmens duomenys nurodomi minėtu būdu, sprendimas dėl teisės susipažinti su duomenimis priimamas konsultuojantis ir glaudžiai bendradarbiaujant su atitinkama kompetentinga institucija.

84 straipsnis

Duomenų subjekto naudojimasis teisėmis ir Europos duomenų apsaugos priežiūros pareigūno atliekamas patikrinimas

1. 79 straipsnio 3 dalyje, 81 straipsnyje ir 82 straipsnio 4 dalyje nurodytais atvejais duomenų subjekto teisėmis taip pat gali būti naudojamasi per Europos duomenų apsaugos priežiūros pareigūną.

2. Duomenų valdytojas informuoja duomenų subjektą apie galimybę pasinaudoti jo teisėmis per Europos duomenų apsaugos priežiūros pareigūną pagal 1 dalį.

3. Kai naudojamasi 1 dalyje nurodyta teise, Europos duomenų apsaugos priežiūros pareigūnas bent jau praneša duomenų subjektui, kad jis atliko visus būtinus patikrinimus ar peržiūrą. Europos duomenų apsaugos priežiūros pareigūnas taip pat informuoja duomenų subjektą apie jo teisę teismine tvarka apskųsti sprendimą Teisingumo Teisme.

85 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, kurį kelia duomenų tvarkymas, duomenų valdytojas tiek duomenų tvarkymo priemonių nustatymo metu, tiek paties tvarkymo metu turi įgyvendinti tinkamas technines ir organizacines priemones, pavyzdžiui, pseudonimų suteikimą, skirtas tam, kad būtų veiksmingai įgyvendinami duomenų apsaugos principai, pavyzdžiui, duomenų kiekio mažinimas, ir kad į duomenų tvarkymo procesą būtų integruotos reikiamos apsaugos priemonės, siekiant įvykdyti šio reglamento ir duomenų valdytojo steigimo teisės akto reikalavimus ir apsaugoti duomenų subjektų teises.

2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrinama, kad standartizuotai būtų tvarkomi tik tie operatyviniai asmens duomenys, kurie yra tinkami, aktualūs ir ne pernelyg išsamūs tikslo, kuriuo jie tvarkomi, atžvilgiu. Ta prievolė taikoma surinktų operatyvinių asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma, tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su operatyviniais asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

86 straipsnis

Bendri duomenų valdytojai

1. Kai du ar daugiau duomenų valdytojų arba vienas ar daugiau duomenų valdytojų kartu su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai, bendrai nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 79 straipsnyje nurodytą informaciją, vykdymą remiantis tarpusavio susitarimu, išskyrus atvejus, kai atitinkama bendrų duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma bendriems duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2. 1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjekto atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3. Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.

87 straipsnis

Duomenų tvarkytojas

1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento ir duomenų valdytojo steigimo teisės akto reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

3. Duomenų tvarkytojo atliekamą duomenų tvarkymą reglamentuoja sutartis arba kitas teisės aktas pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriais nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, operatyvinių asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte, visų pirma, nustatoma, kad duomenų tvarkytojas:

a)	veikia tik pagal duomenų valdytojo nurodymus;

b)	užtikrina, kad operatyvinius asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė;

c)	visomis tinkamomis priemonėmis padeda duomenų valdytojui užtikrinti, kad būtų laikomasi nuostatų dėl duomenų subjekto teisių;

pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus operatyvinius asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos teisėje ar valstybės narės teisėje reikalaujama operatyvinius asmens duomenis saugoti;

e)	pateikia duomenų valdytojui visą informaciją, būtiną norint parodyti, kad laikomasi šiame straipsnyje nustatytų prievolių;

f)	laikosi 2 dalyje ir šioje dalyje nurodytų sąlygų, kurios taikomos siekiant pasitelkti kitą duomenų tvarkytoją.

4. 3 dalyje nurodyta sutartis arba kitas teisės aktas sudaromi raštu, be kita ko, ir elektronine forma.

5. Jeigu duomenų tvarkytojas, nustatydamas duomenų tvarkymo tikslus ir priemones, pažeidžia šį reglamentą ar duomenų valdytojo steigimo teisės aktą, to duomenų tvarkymo atžvilgiu tas duomenų tvarkytojas laikomas duomenų valdytoju.

88 straipsnis

Registracijos įrašai

1. Duomenų valdytojas saugo registracijos įrašus apie visas šias automatizuotose duomenų tvarkymo sistemose atliekamas duomenų tvarkymo operacijas: operatyvinių asmens duomenų rinkimą, keitimą, prieigą prie jų, susipažinimą su jais, jų atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Susipažinimo ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokias operacijas pagrindžiančias priežastis ir jų atlikimo datą ir laiką, taip pat nustatyti asmens, kuris susipažino su operatyviniais asmens duomenimis arba juos atskleidė, tapatybę ir, kiek tai įmanoma, tokių operatyvinių asmens duomenų gavėjų tapatybę.

2. Registracijos įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti operatyvinių asmens duomenų vientisumą bei saugumą ir baudžiamojo proceso tikslais. Tokie įrašai ištrinami po trejų metų, išskyrus atvejus, kai jų reikia tęstinei kontrolei vykdyti.

3. Duomenų valdytojas, gavęs prašymą, tuos registracijos įrašus pateikia savo duomenų apsaugos pareigūnui ir Europos duomenų apsaugos priežiūros pareigūnui.

89 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, prieš pradėdamas vykdyti duomenų tvarkymą, atlieka numatytų duomenų tvarkymo operacijų poveikio operatyvinių asmens duomenų apsaugai vertinimą.

2. 1 dalyje nurodytame vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tam pavojui pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama operatyvinių asmens duomenų apsauga ir įrodoma, kad laikomasi duomenų apsaugos taisyklių, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

90 straipsnis

Išankstinės konsultacijos su Europos duomenų apsaugos priežiūros pareigūnu

1. Duomenų valdytojas iš anksto konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu prieš pradėdamas tvarkyti duomenis, kurie bus įtraukti į naują susistemintą rinkinį, kuris turi būti sukurtas, jeigu:

a)	poveikio duomenų apsaugai vertinime pagal 89 straipsnį nurodyta, kad atliekant duomenų tvarkymą kiltų didelis pavojus tuo atveju, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti, arba

b)	dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, mechanizmus ar taikant naujas procedūras, kyla didelis pavojus duomenų subjektų teisėms ir laisvėms.

2. Europos duomenų apsaugos priežiūros pareigūnas gali parengti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 1 dalį, sąrašą.

3. Duomenų valdytojas pateikia Europos duomenų apsaugos priežiūros pareigūnui 89 straipsnyje nurodytą poveikio duomenų apsaugai vertinimą ir, gavęs prašymą, bet kokią kitą informaciją, kad Europos duomenų apsaugos priežiūros pareigūnas galėtų įvertinti, ar duomenų tvarkymas atitinka reikalavimus, visų pirma pavojų duomenų subjekto operatyvinių asmens duomenų apsaugai ir susijusias apsaugos priemones.

4. Jeigu Europos duomenų apsaugos priežiūros pareigūnas laikosi nuomonės, kad šio straipsnio 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą arba teisės aktą, steigiantį Sąjungos organą, tarnybą ar agentūrą, visų pirma, tais atvejais, kai duomenų valdytojas yra nepakankamai nustatęs arba nepakankamai sumažinęs pavojų, Europos duomenų apsaugos priežiūros pareigūnas ne vėliau kaip per šešias savaites nuo prašymo dėl konsultacijos gavimo raštu pateikia duomenų valdytojui rekomendacijas. Tas laikotarpis gali būti pratęstas vienu mėnesiu, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Europos duomenų apsaugos priežiūros pareigūnas informuoja duomenų valdytoją apie bet kokį tokio laikotarpio pratęsimą per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo, taip pat ir apie vėlavimo priežastis.

91 straipsnis

Operatyvinių asmens duomenų tvarkymo saugumas

1. Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdami į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma, kiek tai susiję su specialių kategorijų operatyvinių asmens duomenų tvarkymu.

2. Automatizuoto duomenų tvarkymo srityje duomenų valdytojas ir duomenų tvarkytojas, atlikę rizikos vertinimą, įgyvendina priemones, kuriomis siekiama:

a)	nesuteikti leidimo neturintiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos duomenims tvarkyti (prieigos prie įrangos kontrolė);

b)	užkirsti kelią neteisėtam duomenų laikmenų skaitymui, kopijavimui, keitimui arba pašalinimui (duomenų laikmenų kontrolė);

c)	užkirsti kelią neteisėtam operatyvinių asmens duomenų įvedimui ir neteisėtam saugomų operatyvinių asmens duomenų tikrinimui, keitimui ar ištrynimui (saugojimo kontrolė);

d)	neleisti leidimo neturintiems asmenims, kurie naudojasi duomenų perdavimo įranga, naudotis automatizuotomis duomenų tvarkymo sistemomis (naudotojo kontrolė);

e)	užtikrinti, kad asmenys, kuriems suteiktas leidimas naudotis automatizuota duomenų tvarkymo sistema, turėtų prieigą tik prie tų operatyvinių asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos prie duomenų kontrolė);

f)	užtikrinti, kad būtų galima patikrinti ir nustatyti, kurioms įstaigoms operatyviniai asmens duomenys buvo arba gali būti persiųsti, arba kurioms buvo arba gali būti suteikta galimybė su jais susipažinti naudojant duomenų perdavimo įrangą (perdavimo kontrolė);

g)	užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kokie operatyviniai asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas, ir nustatyti, kada ir kas tuos operatyvinius asmens duomenis įvedė (įvedimo kontrolė);

h)	užkirsti kelią neteisėtam operatyvinių asmens duomenų skaitymui, kopijavimui, keitimui arba ištrynimui operatyvinių asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (siuntimo kontrolė);

i)	užtikrinti, kad įdiegtos sistemos pertraukties atveju galėtų būti atkurtos (atgaminimas);

j)	užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešama (patikimumas) ir kad saugomi operatyviniai asmens duomenys negalėtų būti iškraipyti dėl blogo sistemos veikimo (vientisumas).

92 straipsnis

Pranešimas Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą

2. 1 dalyje nurodytame pranešime turi būti bent:

a)	aprašomas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų operatyvinių asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)	nurodomas duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

c)	aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)	aprašomos priemonės, kurių ėmėsi duomenų valdytojas, arba kurių siūloma, kad jis imtųsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones siekiant sumažinti jo galimą neigiamą poveikį.

3. Jeigu 2 dalyje nurodytos informacijos nėra įmanoma pateikti tuo pačiu metu, informaciją galima teikti etapais, toliau nepagrįstai nedelsiant.

4. Duomenų valdytojas turi dokumentuoti visus 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius su asmens duomenų saugumo pažeidimu, jo poveikį ir taisomuosius veiksmus, kurių imtasi. Remdamasis tais dokumentais, Europos duomenų apsaugos priežiūros pareigūnas turi galėti patikrinti, ar laikomasi šio straipsnio.

5. Tais atvejais, kai asmens duomenų saugumo pažeidimas yra susijęs su operatyviniais asmens duomenimis, kurie buvo persiųsti kompetentingų institucijų arba kompetentingoms institucijoms, duomenų valdytojas nepagrįstai nedelsdamas pateikia 2 dalyje nurodytą informaciją atitinkamoms kompetentingoms institucijoms.

93 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 92 straipsnio 2 dalies b, c ir d punktuose nurodyta informacija ir rekomendacijos.

3. 1 dalyje nurodyto pranešimo duomenų subjektui pateikti nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

duomenų valdytojas įgyvendino tinkamas technologines ir organizacines apsaugos priemones ir tos priemonės taikytos operatyviniams asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma, tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su operatyviniais asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)	duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)	tam prireiktų neproporcingai daug pastangų. Tokiu atveju pranešimas skelbiamas viešai arba taikoma panaši priemonė, kuria duomenų subjektai informuojami taip pat veiksmingai.

5. Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti laikantis 79 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

94 straipsnis

Operatyvinių asmens duomenų perdavimas trečiosioms valstybėms ir tarptautinėms organizacijoms

1. Duomenų valdytojas, laikydamasis Sąjungos organo, tarnybos ar agentūros steigimo teisės aktuose nustatytų apribojimų ir sąlygų, gali perduoti operatyvinius asmens duomenis trečiosios šalies institucijai arba tarptautinei organizacijai, jeigu toks perdavimas yra būtinas duomenų valdytojo užduotims atlikti ir tik jeigu yra tenkinamos šiame skyriuje nustatytos sąlygos, būtent:

a)	Komisija pagal Direktyvos (ES) 2016/680 36 straipsnio 3 dalį yra priėmusi tinkamumo sprendimą, kuriuo nustatoma, kad trečioji valstybė arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamą apsaugos lygį;

b)	nesant Komisijos sprendimo dėl tinkamumo pagal a punktą, remiamasi Sąjungos ir tos trečiosios valstybės ar tarptautinės organizacijos tarptautiniu susitarimu, sudarytu pagal SESV 218 straipsnį, kuriuo užtikrinamas pakankamas privatumo ir pagrindinių asmens teisių ir laisvių apsaugos lygis;

nesant Komisijos sprendimo dėl tinkamumo pagal a punktą ar b punkte nurodyto tarptautinio susitarimo, iki atitinkamo Sąjungos organo, tarnybos ar agentūros steigimo teisės akto taikymo dienos buvo sudarytas to Sąjungos organo, tarnybos ar agentūros ir atitinkamos trečiosios valstybės bendradarbiavimo susitarimas, kuriuo leidžiama keistis operatyviniais asmens duomenimis.

2. Sąjungos organų, tarnybų ir agentūrų steigimo teisės aktuose gali būti išlaikytos arba numatytos konkretesnės nuostatos dėl tarptautinio operatyvinių asmens duomenų perdavimo, visų pirma, dėl asmens duomenų perdavimo taikant tinkamas apsaugos priemones, ir su konkrečiomis situacijomis susijusios nukrypti leidžiančios nuostatos.

3. Duomenų valdytojas savo interneto svetainėje skelbia ir nuolat atnaujina sprendimų dėl tinkamumo, nurodytų 1 dalies a punkte, susitarimų, administracinių susitarimų ir kitų dokumentų, susijusių su operatyvinių asmens duomenų perdavimu pagal 1 dalį, sąrašą.

4. Duomenų valdytojas detaliai registruoja visus pagal šį straipsnį atliekamo duomenų perdavimo atvejus.

95 straipsnis

Teisminių tyrimų ir baudžiamojo proceso slaptumas

Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, steigimo teisės aktų taisyklėmis gali būti nustatytas įpareigojimas Europos duomenų apsaugos priežiūros pareigūnui, kad jis, naudodamasis savo priežiūros įgaliojimais, kiek įmanoma labiau paisytų teisminio tyrimo ir baudžiamojo proceso slaptumo, kaip numatyta pagal Sąjungos arba valstybės narės teisę.

X SKYRIUS

ĮGYVENDINIMO AKTAI

96 straipsnis

Komiteto procedūra

1. Komisijai padeda komitetas, įsteigtas pagal Reglamento (ES) 2016/679 93 straipsnį. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

2. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

XI SKYRIUS

PERŽIŪRA

97 straipsnis

Peržiūros nuostata

Ne vėliau kaip 2022 m. balandžio 30 d. ir po to kas penkerius metus Komisija Europos Parlamentui ir Tarybai pateikia ataskaitą dėl šio reglamento taikymo ir prireikus prideda atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų.

98 straipsnis

Sąjungos teisės aktų peržiūra

1. Ne vėliau kaip 2022 m. balandžio 30 d. Komisija atlieka teisės aktų, priimtų remiantis Sutartimis ir reglamentuojančių Sąjungos organų, tarnybų ar agentūrų atliekamą operatyvinių asmens duomenų tvarkymą vykdant veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, peržiūrą, siekdama:

a)	įvertinti jų atitiktį Direktyvai (ES) 2016/680 ir šio reglamento IX skyriui;

b)	nustatyti bet kokius skirtumus, dėl kurių Sąjungos organams, tarnyboms ar agentūroms, vykdantiems veiklą nurodytose srityse, ir kompetentingoms valdžios institucijoms gali būti trukdoma keistis operatyviniais asmens duomenimis, ir

c)	nustatyti bet kokius skirtumus, dėl kurių gali atsirasti Sąjungos duomenų apsaugos teisės aktų teisinė fragmentacija.

2. Atsižvelgdama į šią peržiūrą ir norėdama užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant duomenis, Komisija gali pateikti atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų visų pirma siekdama, kad šio reglamento IX skyrius būtų taikomas Europolui ir Europos prokuratūrai, ir įskaitant pasiūlymus pritaikyti šio reglamento IX skyrių, kai tinkama.

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

99 straipsnis

Reglamento (EB) Nr. 45/2001 ir Sprendimo Nr. 1247/2002/EB panaikinimas

Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB panaikinami nuo 2018 m. gruodžio 11 d. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą.

100 straipsnis

Pereinamojo laikotarpio priemonės

1. Šis reglamentas neturi įtakos Europos Parlamento ir Tarybos sprendimui 2014/886/ES (20) ir dabartinei Europos duomenų apsaugos priežiūros pareigūno bei jo pavaduotojo kadencijai.

2. Europos duomenų apsaugo priežiūros pareigūno pavaduotojui nustatomas toks atlyginimas, priemokos, senatvės pensija ir kitos vietoje atlyginimo gaunamos išmokos, kokie nustatyti Teisingumo Teismo kancleriui.

3. Šio reglamento 53 straipsnio 4, 5 ir 7 dalys ir 55 bei 56 straipsniai taikomi dabartiniam Europos duomenų apsaugo priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos.

4. Europos duomenų apsaugos priežiūros pareigūno pavaduotojas padeda Europos duomenų apsaugos priežiūros pareigūnui atlikti pareigas ir pavaduoja jį, kai Europos duomenų apsaugos priežiūros pareigūno nėra ar kai jis negali eiti savo pareigų, iki dabartinio Europos duomenų apsaugos priežiūros pareigūno pavaduotojo kadencijos pabaigos.

101 straipsnis

Įsigaliojimas ir taikymas

1. Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2. Tačiau Eurojusto atliekamam asmens duomenų tvarkymui šis reglamentas taikomas nuo 2019 m. gruodžio 12 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Strasbūre 2018 m. spalio 23 d.

Europos Parlamento vardu

Pirmininkas

A. TAJANI

Tarybos vardu

Pirmininkė

K. EDTSTADLER

(1) OL C 288, 2017 8 31, p. 107.

(2) 2018 m. rugsėjo 13 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2018 m. spalio 11 d. Tarybos sprendimas.

(3) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(4) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(5) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).

(6) 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

(7) 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70).

(8) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(9) 2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).

(10) OL L 56, 1968 3 4, p. 1.

(11) 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(12) 2009 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 223/2009 dėl Europos statistikos, panaikinantis Europos Parlamento ir Tarybos reglamentą (EB, Euratomas) Nr. 1101/2008 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai, Tarybos reglamentą (EB) Nr. 322/97 dėl Bendrijos statistikos ir Tarybos sprendimą 89/382/EEB, Euratomas, įsteigiantį Europos Bendrijų statistikos programų komitetą (OL L 87, 2009 3 31, p. 164).

(13) 2002 m. liepos 1 d. Europos Parlamento, Tarybos ir Komisijos sprendimas Nr. 1247/2002/EB dėl Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą reglamentuojančių nuostatų ir bendrųjų sąlygų (OL L 183, 2002 7 12, p. 1).

(14) OL C 164, 2017 5 24, p. 2.

(15) 2016 m. gegužės 11 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/794 dėl Europos Sąjungos teisėsaugos bendradarbiavimo agentūros (Europolo), kuriuo pakeičiami ir panaikinami Tarybos sprendimai 2009/371/TVR, 2009/934/TVR, 2009/935/TVR, 2009/936/TVR ir 2009/968/TVR (OL L 135, 2016 5 24, p. 53).

(16) 2017 m. spalio 12 d. Tarybos reglamentas (ES) 2017/1939, kuriuo įgyvendinamas tvirtesnis bendradarbiavimas Europos prokuratūros įsteigimo srityje (OL L 283, 2017 10 31, p. 1).

(17) 2015 m. rugsėjo 9 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/1535, kuria nustatoma informacijos apie techninius reglamentus ir informacinės visuomenės paslaugų taisykles teikimo tvarka (OL L 241, 2015 9 17, p. 1).

(18) 2008 m. birželio 20 d. Komisijos direktyva 2008/63/EB dėl konkurencijos telekomunikacijų galinių įrenginių rinkose (OL L 162, 2008 6 21, p. 20).

(19) 2009 m. lapkričio 30 d. Tarybos sprendimas 2009/917/TVR dėl informacinių technologijų naudojimo muitinės tikslais (OL L 323, 2009 12 10, p. 20).

(20) 2014 m. gruodžio 4 d. Europos Parlamento ir Tarybos sprendimas 2014/886/ES, kuriuo skiriamas Europos duomenų apsaugos priežiūros pareigūnas ir priežiūros pareigūno pavaduotojas (OL L 351, 2014 12 9, p. 9).

Top