Šis tekstas yra skirtas tik informacijai ir teisinės galios neturi. Europos Sąjungos institucijos nėra teisiškai atsakingos už jo turinį. Autentiškos atitinkamų teisės aktų, įskaitant jų preambules, versijos skelbiamos Europos Sąjungos oficialiajame leidinyje ir pateikiamos svetainėje „EUR-Lex“. Oficialūs tekstai tiesiogiai prieinami naudojantis šiame dokumente pateikiamomis nuorodomis

dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR

1. Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.

b) užtikrina, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje, kai tokio keitimosi reikalaujama pagal Sąjungos arba valstybės narės teisę, nebūtų ribojamas ar draudžiamas dėl su fizinių asmenų apsauga tvarkant asmens duomenis susijusių priežasčių.

3. Šia direktyva valstybėms narėms netrukdoma taikyti griežtesnes apsaugos priemones nei tos, kurios numatytos šioje direktyvoje, siekiant užtikrinti duomenų subjektų teisių ir laisvių apsaugą kompetentingoms institucijoms tvarkant asmens duomenis.

1. Ši direktyva taikoma kompetentingų institucijų vykdomam asmens duomenų tvarkymui 1 straipsnio 1 dalyje išdėstytais tikslais.

2. Ši direktyva taikoma asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, tvarkymui neautomatizuotomis priemonėmis.

b) renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti tvarkomi tokiu būdu, kuris būtų nesuderinamas su tais tikslais;

d) tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinti arba ištaisyti;

e) saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie tvarkomi;

f) tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo, taikant tinkamas technines ar organizacines priemones.

2. Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu:

a) duomenų valdytojui leidžiama tvarkyti tokius asmens duomenis tokiu tikslu vadovaujantis Sąjungos arba valstybės narės teise ir

3. To paties ar kito duomenų valdytojo vykdomas duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimo mokslinio, statistinio ar istorinio tyrimo tikslu, siekiant 1 straipsnio 1 dalyje išdėstytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

4. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1, 2 ir 3 dalių, ir turi sugebėti tai įrodyti.

Valstybės narės numato, kad turi būti nustatyti tinkami asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai. Tų terminų laikymasis užtikrinamas procedūrinėmis priemonėmis.

Valstybės narės numato, kad duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskirtų skirtingų kategorijų duomenų subjektų asmens duomenis, pavyzdžiui:

c) asmenų, kurie buvo nusikalstamos veikos aukomis arba kurių atžvilgiu, remiantis tam tikrais faktais, yra pagrindo manyti, kad jie galėtų būti nusikalstamos veikos aukomis, ir

d) kitų su nusikalstama veika susijusių šalių, pavyzdžiui, asmenų, kurie galėtų būti kviečiami liudyti atliekant nusikalstamų veikų tyrimus arba paskesniu baudžiamojo proceso etapu, asmenų, kurie gali suteikti informacijos apie nusikalstamas veikas, arba asmenų, kurie yra pažįstami arba susiję su vienu iš a ir b punktuose nurodytų asmenų.

1. Valstybės narės numato, kad faktais pagrįsti asmens duomenys būtų atskiriami, kiek įmanoma, nuo asmeniniais vertinimais pagrįstų asmens duomenų.

2. Valstybės narės numato, kad kompetentingos institucijos turi imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, tikrina asmens duomenų kokybę prieš juos persiunčiant arba prieš suteikiant galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę gaunančiajai kompetentingai institucijai įvertinti asmens duomenų tikslumo, išsamumo ir patikimumo laipsnį, taip pat jų naujumą.

3. Paaiškėjus, kad buvo persiųsti neteisingi asmens duomenys arba asmens duomenys buvo persiųsti neteisėtai, duomenų gavėjas nedelsiant apie tai informuojamas. Tokiu atveju tie asmens duomenys pagal 16 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

1. Valstybės narės numato, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai atlikti užduotį 1 straipsnio 1 dalyje išdėstytais tikslais, ir kad jis turi būti grindžiamas Sąjungos arba valstybės narės teise.

2. Valstybės narės teisėje, kuria reglamentuojamas duomenų tvarkymas šios direktyvos taikymo srityje, konkrečiai nurodomi bent tvarkymo tikslai, tvarkytini asmens duomenys ir duomenų tvarkymo tikslai.

1. Kompetentingų institucijų 1 straipsnio 1 dalyje išdėstytais tikslais renkami asmens duomenys negali būti tvarkomi kitais nei 1 straipsnio 1 dalyje išdėstytais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Jei asmens duomenys tvarkomi tais kitais tikslais, taikomas Reglamentas (ES) 2016/679, išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

2. Kai kompetentingoms institucijoms pagal valstybės narės teisę yra pavesta atlikti kitas užduotis, nei tas, kurios vykdomos 1 straipsnio 1 dalyje išdėstytais tikslais, duomenų tvarkymui tokiais tikslais, be kita ko, archyvavimo dėl viešojo intereso, naudojimo mokslinių ar istorinių tyrimų tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679, išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

3. Valstybės narės numato, kad tais atvejais, kai Sąjungos arba valstybės narės teisėje, taikytinoje duomenis persiunčiančiai kompetentingai institucijai, numatytos duomenų tvarkymui taikytinos specialios sąlygos, duomenis persiunčianti kompetentinga institucija turi informuoti tokių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

4. Valstybės narės numato, kad duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose valstybėse narėse arba agentūroms, organams ir įstaigoms, įsteigtiems pagal SESV V antraštinės dalies 4 ir 5 skyrius, netaiko sąlygų pagal 3 dalį, išskyrus sąlygas, taikytinas panašiems duomenų persiuntimams duomenis persiunčiančios kompetentingos institucijos valstybėje narėje.

Asmens duomenų tvarkymas, kuriuo atskleidžiama rasinė arba etninė kilmė, politinės pažiūros, religiniai arba filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant vienareikšmiškai nustatyti fizinio asmens tapatybę, arba duomenų apie asmens sveikatą ar lytinį gyvenimą ir seksualinę orientaciją tvarkymas leidžiamas tik tada, jei tai tikrai būtina ir jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, ir jeigu:

1. Valstybės narės numato draudimą priimti sprendimą remiantis tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris turi jam didelės įtakos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui ir kuria nustatytos tinkamos duomenų subjekto teisių ir laisvių, bent teisės reikalauti iš duomenų valdytojo žmogaus įsikišimo, apsaugos priemonės.

2. Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami 10 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

3. Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis 10 straipsnyje nurodytais specialių kategorijų asmens duomenimis, draudžiamas pagal Sąjungos teisę.

1. Valstybės narės numato, kad duomenų valdytojas turi imtis visų pagrįstų priemonių, kad visa 13 straipsnyje nurodyta informacija ir visi 11, 14–18 ir 31 straipsniuose nurodyti pranešimai, susiję su duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama bet kokiomis tinkamomis priemonėmis, taip pat ir elektroniniu būdu. Paprastai duomenų valdytojas pateikia informaciją tokia pačia forma kaip ir prašymą.

2. Valstybės narės numato, kad duomenų valdytojas turi palengvinti naudojimąsi duomenų subjekto teisėmis pagal 11 ir 14–18 straipsnius.

3. Valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi raštu informuoti duomenų subjektą apie su jo prašymu susijusius tolesnius veiksmus.

4. Valstybės narės numato, kad pagal 13 straipsnį teikiama informacija ir visi pagal 11, 14–18 ir 31 straipsnius teikiami pranešimai ar atliekami veiksmai turi būti teikiami ir vykdomi nemokamai. Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali:

a) imti pagrįstą mokestį, atsižvelgdamas į administracines išlaidas, už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą, arba

Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

5. Jei duomenų valdytojas turi pagrįstų abejonių dėl 14 arba 16 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

Informacija, kuri padaroma prieinama duomenų subjektui arba kuri turi būti pateikta duomenų subjektui

1. Valstybės narės numato, kad duomenų valdytojas duomenų subjektui padarytų prieinama bent šią informaciją:

e) tai, kad duomenų subjektas turi teisę duomenų valdytojo reikalauti, kad pastarasis leistų susipažinti su duomenų subjekto asmens duomenimis, juos ištaisytų ar ištrintų ir apribotų asmens duomenų tvarkymą.

2. Be 1 dalyje nurodytos informacijos, valstybės narės teisės aktuose numato, kad duomenų valdytojas konkrečiais atvejais duomenų subjektui pateikia toliau nurodytą informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

c) kai taikoma, asmens duomenų gavėjų kategorijas, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;

3. Valstybės narės gali priimti teisėkūros priemones, kuriomis informacijos teikimas duomenų subjektui pagal 2 dalį būtų atidėtas, apribotas arba kuriomis jo būtų nepaisoma tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

4. Valstybės narės gali priimti teisėkūros priemones, kuriomis būtų nustatyta, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomas bet kuris iš 3 dalies punktų.

Atsižvelgiant į 15 straipsnį, valstybės narės numato, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie yra tvarkomi, kad jis turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

c) informacija apie duomenų gavėjus arba duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, visų pirma duomenų gavėjų trečiosiose valstybėse arba tarptautinėse organizacijose, kategorijas;

d) jeigu įmanoma, numatomu asmens duomenų saugojimo laikotarpiu arba, jei tai neįmanoma, kriterijais, taikomais tam laikotarpiui nustatyti;

e) tai, kad duomenų subjektas turi teisę duomenų valdytojo reikalauti, kad pastarasis ištaisytų ar ištrintų duomenų subjekto asmens duomenis arba apribotų jų tvarkymą;

1. Valstybės narės gali priimti teisėkūros priemones, kuriomis visiškai arba iš dalies būtų apribota duomenų subjekto teisė susipažinti su duomenimis tiek, kiek ir kol toks dalinis arba visiškas apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

2. Valstybės narės gali priimti teisėkūros priemones, kuriomis būtų nustatyta, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomi 1 dalies a–e punktai.

3. 1 ir 2 dalyse nurodytais atvejais valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą ir tokio atsisakymo ar apribojimo priežastis. Tokia informacija gali būti nesuteikta, jeigu jos pateikimas pakenktų tikslui, kurio siekiama 1 dalimi. Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai arba siekti teisminės teisių gynimo priemonės.

4. Valstybės narės numato, kad duomenų valdytojas turi dokumentuoti faktines arba teisines priežastis, kuriomis pagrįstas sprendimas. Ta informacija pateikiama priežiūros institucijoms.

Teisė reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą

1. Valstybės narės numato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius jo asmens duomenis. Atsižvelgiant į duomenų tvarkymo tikslus, valstybės narės numato, kad duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikiant papildomą pareiškimą.

2. Valstybės narės įpareigoja duomenų valdytoją nepagrįstai nedelsiant ištrinti asmens duomenis ir nustato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų jo asmens duomenis, jeigu duomenų tvarkymu pažeidžiamos pagal 4, 8 ar 10 straipsnį priimtos nuostatos arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui.

Jeigu duomenų tvarkymas ribojamas pagal pirmos pastraipos a punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

4. Valstybės narės numato, kad duomenų valdytojas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą bei apie tokio atsisakymo priežastis. Valstybės narės gali priimti teisėkūros priemones, kuriomis visiškai arba iš dalies būtų apribota prievolė pateikti tokią informaciją tiek, kiek toks apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai arba siekti teisminės teisių gynimo priemonės.

5. Valstybės narės numato, kad duomenų valdytojas turi pranešti apie netikslių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs asmens duomenys buvo gauti.

6. Valstybės narės tais atvejais, kai asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas pagal 1, 2 ir 3 dalis, numato, kad duomenų valdytojas turi informuoti duomenų gavėjus, o duomenų gavėjai turi ištaisyti ar ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą, kai asmens duomenų tvarkymas priklauso jų atsakomybei.

Duomenų subjekto naudojimasis teisėmis ir priežiūros institucijos atliekamas patikrinimas

1. 13 straipsnio 3 dalyje, 15 straipsnio 3 dalyje ir 16 straipsnio 4 dalyje nurodytais atvejais valstybės narės priima priemones, kuriomis būtų nustatyta, kad duomenų subjekto teisėmis taip pat gali būti naudojamasi per kompetentingą priežiūros instituciją.

2. Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę naudotis jo teisėmis per priežiūros instituciją pagal 1 dalį.

3. Jei naudojamasi 1 dalyje nurodyta teise, priežiūros institucija informuoja duomenų subjektą bent apie tai, kad priežiūros institucija atliko visus būtinus patikrinimus arba peržiūrą. Priežiūros institucija taip pat informuoja duomenų subjektą apie jo teisę siekti teisminės teisių gynimo priemonės.

Duomenų subjekto teisės vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą

Valstybės narės gali numatyti, kad atvejais, kai vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą asmens duomenys yra nurodomi teismo sprendime, nuosprendžių registre arba byloje, 13, 14 ir 16 straipsniuose nurodytomis teisėmis turi būti naudojamasi pagal valstybės narės teisę.

1. Valstybės narės numato, kad duomenų valdytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, siekdamas užtikrinti, kad duomenų tvarkymas būtų atliekamas laikantis šios direktyvos, ir galėtų tai įrodyti. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

1. Valstybės narės numato, kad duomenų valdytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, kurį kelia duomenų tvarkymas, tiek duomenų tvarkymo priemonių nustatymo metu, tiek paties tvarkymo metu turi įgyvendinti tinkamas technines ir organizacines priemones, pavyzdžiui, pseudonimų suteikimą, skirtas tam, kad būtų veiksmingai įgyvendinami duomenų apsaugos principai, pavyzdžiui, duomenų kiekio mažinimas, ir kad į duomenų tvarkymo procesą būtų integruotos reikiamos apsaugos priemonės, siekiant įvykdyti šios direktyvos reikalavimus ir apsaugoti duomenų subjektų teises.

2. Valstybės narės numato, kad duomenų valdytojas turi įgyvendinti tinkamas technines ir organizacines priemones, kuriomis būtų užtikrinta, kad pagal standartizuotą praktiką būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad pagal standartizuotą praktiką su asmens duomenimis be asmens įsikišimo negalėtų susipažinti neribotas fizinių asmenų skaičius.

1. Valstybės narės tais atvejais, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, numato, kad jie turi būti laikomi bendrais duomenų valdytojais. Jie tarpusavio susitarimu skaidriai nustato savo atitinkamą atsakomybę už šios direktyvos nuostatų, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir su jų atitinkamomis pareigomis pateikti 13 straipsnyje nurodytą informaciją, vykdymą, išskyrus atvejus, kai, ir tiek, kiek atitinkama duomenų valdytojų atsakomybė nustatoma Sąjungos arba valstybės narės teise, kuri yra taikoma duomenų valdytojams. Tokiu susitarimu nustatomas informacinis punktas, skirtas duomenų subjektams. Valstybės narės gali nustatyti, kuris iš bendrų duomenų valdytojų gali atlikti vieno bendro informacinio punkto funkciją, kad duomenų subjektai galėtų pasinaudoti savo teisėmis.

2. Nepaisant 1 dalyje nurodyto susitarimo sąlygų, valstybės narės gali numatyti, kad duomenų subjektas naudojasi savo teisėmis remiantis pagal šią direktyvą priimtomis nuostatomis kiekvieno iš duomenų valdytojų atžvilgiu ir prieš kiekvieną iš jų.

1. Valstybės narės, jeigu duomenys turi būti tvarkomi duomenų valdytojo vardu, numato, kad duomenų valdytojas turi pasitelkti tik tuos duomenų tvarkytojus, kurie suteikia pakankamų garantijų, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų šios direktyvos reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2. Valstybės narės numato, kad duomenų tvarkytojas be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo negali pasitelkti kito duomenų tvarkytojo. Bendro rašytinio leidimo atveju duomenų tvarkytojas turi informuoti duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikti duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3. Valstybės narės numato, kad duomenų tvarkytojo atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui ir duomenų valdytojui, ir kuriuo nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos, bei duomenų valdytojo prievolės ir teisės. Ta sutartimi ar kitu teisės aktu visų pirma nustatoma, kad duomenų tvarkytojas:

b) užtikrina, kad asmenys, kuriems leidžiama tvarkyti asmens duomenis, būtų įsipareigoję laikytis konfidencialumo arba kad jiems būtų taikoma tinkama įstatais nustatyta konfidencialumo užtikrinimo prievolė;

c) visomis tinkamomis priemonėmis padeda duomenų valdytojui užtikrinti, kad būtų laikomasi nuostatų dėl duomenų subjekto teisių;

d) užbaigus teikti duomenų tvarkymo paslaugas, pagal duomenų valdytojo pasirinkimą pašalina arba grąžina visus asmens duomenis duomenų valdytojui ir pašalina esamas kopijas, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę reikalaujama asmens duomenis saugoti;

4. 3 dalyje nurodyta sutartis arba kitas teisės aktas sudaromi raštu ir gali būti prieinami elektronine forma.

5. Jeigu duomenų tvarkytojas, pažeisdamas šią direktyvą, nustato duomenų tvarkymo tikslus ir priemones, to duomenų tvarkymo atžvilgiu tas duomenų tvarkytojas laikomas duomenų valdytoju.

Duomenų valdytojui ar duomenų tvarkytojui pavaldžių subjektų atliekamas duomenų tvarkymas

Valstybės narės numato, kad duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymą juos tvarkyti, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

1. Valstybės narės numato, kad duomenų valdytojai turi tvarkyti visų kategorijų duomenų tvarkymo veiklos, už kurią jie atsako, registrą. Tame registre pateikiama visa ši informacija:

a) duomenų valdytojo, visų bendrų duomenų valdytojų ir duomenų apsaugos pareigūno, jeigu toks yra, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

c) duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautinėse organizacijose, kategorijos;

g) informacija apie duomenų tvarkymo operacijos, įskaitant duomenų perdavimus, kuriai yra skirti asmens duomenys, teisinį pagrindą;

2. Valstybės narės numato, kad kiekvienas duomenų tvarkytojas turi tvarkyti visų kategorijų duomenų tvarkymo veiklos, vykdomos duomenų valdytojo vardu, registrą, kuriame nurodoma:

a) duomenų tvarkytojo arba duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir, jei taikytina, duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

c) kai taikytina, asmens duomenų perdavimai trečiajai valstybei arba tarptautinei organizacijai, jeigu duomenų valdytojas aiškiai paveda tai padaryti, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją;

3. 1 ir 2 dalyse nurodytas registras parengiamas raštu ir gali būti prieinamas elektronine forma.

Gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas pateikia tuos registrus priežiūros institucijai.

1. Valstybės narės numato, kad turi būti saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas automatizuotose duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris susipažino su asmens duomenimis arba juos atskleidė, tapatybę ir tokių asmens duomenų gavėjų tapatybę.

2. Registracijos įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti asmens duomenų vientisumą bei saugumą ir baudžiamojo proceso tikslais.

3. Gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas pateikia registracijos įrašus priežiūros institucijai.

Valstybės narės numato, kad, gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas turi bendradarbiauti su priežiūros institucija jai vykdant savo užduotis.

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, valstybės narės numato, kad duomenų valdytojas, prieš pradedant vykdyti duomenų tvarkymą, turi atlikti numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.

2. 1 dalyje nurodytame vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tam pavojui pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

1. Valstybės narės numato, kad duomenų valdytojas arba duomenų tvarkytojas turi iš anksto konsultuotis su priežiūros institucija prieš tvarkydamas asmens duomenis, kurie bus įtraukti į naują susistemintą rinkinį, kuris turi būti sukurtas, jeigu:

a) 27 straipsnyje numatytame poveikio duomenų apsaugai vertinime nurodyta, kad atliekant duomenų tvarkymą kiltų didelis pavojus tuo atveju, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti, arba

b) dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, mechanizmus ar taikant naujas procedūras, kyla didelis pavojus duomenų subjektų teisėms ir laisvėms.

2. Valstybės narės numato, kad rengiant pasiūlymą dėl su duomenų tvarkymu susijusios teisėkūros priemonės, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą reguliavimo priemonę, turi būti konsultuojamasi su priežiūros institucija.

3. Valstybės narės numato, kad priežiūros institucija gali parengti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 1 dalį, sąrašą.

4. Valstybės narės numato, kad duomenų valdytojas turi pateikti priežiūros institucijai poveikio duomenų apsaugai vertinimą pagal 27 straipsnį ir, gavęs prašymą, bet kokią kitą informaciją, kad priežiūros institucija galėtų įvertinti, ar duomenų tvarkymas atitinka reikalavimus, ir visų pirma pavojų duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

5. Valstybės narės tuo atveju, jeigu priežiūros institucija laikosi nuomonės, kad numatytas duomenų tvarkymas, nurodytas šio straipsnio 1 dalyje, pažeistų pagal šią direktyvą priimtas nuostatas, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, numato, kad priežiūros institucija ne vėliau kaip per šešias savaites nuo tada, kai gavo prašymą suteikti konsultaciją, turi raštu pateikti duomenų valdytojui ir, kai taikytina, duomenų tvarkytojui patarimus ir gali pasinaudoti bet kuriais 47 straipsnyje nurodytais savo įgaliojimais. Tas laikotarpis gali būti pratęstas vienu mėnesiu, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikytina, duomenų tvarkytoją apie bet kokį tokio laikotarpio pratęsimą per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo, taip pat ir apie vėlavimo priežastis.

1. Valstybės narės numato, kad duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su 10 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.

2. Automatizuoto duomenų tvarkymo srityje kiekviena valstybė narė numato, kad duomenų valdytojas arba duomenų tvarkytojas, atlikus rizikos vertinimą, turi įgyvendinti priemones, kuriomis siekiama:

a) nesuteikti leidimo neturintiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos duomenims tvarkyti (prieigos prie įrangos kontrolė);

c) užkirsti kelią neteisėtam asmens duomenų įvedimui ir neteisėtam saugomų asmens duomenų tikrinimui, keitimui ar šalinimui (saugojimo kontrolė);

d) neleisti leidimo neturintiems asmenims, kurie naudojasi duomenų perdavimo įranga, naudotis automatizuotomis duomenų tvarkymo sistemomis (naudotojo kontrolė);

e) užtikrinti, kad asmenys, kuriems suteiktas leidimas naudotis automatizuota duomenų tvarkymo sistema, turėtų prieigą tik prie tų asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos prie duomenų kontrolė);

f) užtikrinti, kad būtų įmanoma patikrinti ir nustatyti įstaigas, kurioms asmens duomenys buvo persiųsti arba gali būti persiųsti, arba kurioms buvo suteikta galimybė su jais susipažinti naudojant duomenų perdavimo įrangą (perdavimo kontrolė);

g) užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kokie asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas ir kada bei kas asmens duomenis įvedė (įvedimo kontrolė);

h) užkirsti kelią neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba šalinimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (siuntimo kontrolė);

j) užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešama (patikimumas) ir kad saugomi asmens duomenys negalėtų būti iškraipyti dėl blogo sistemos veikimo (vientisumas).

1. Valstybės narės asmens duomenų saugumo pažeidimo atveju numato, kad duomenų valdytojas, nepagrįstai nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai apie jį sužino, turi pranešti apie asmens duomenų saugumo pažeidimą priežiūros institucijai, išskyrus atvejus, kai nėra tikėtina, kad dėl tokio asmens duomenų saugumo pažeidimo kils pavojus fizinių asmenų teisėms ir laisvėms. Jeigu pranešimas priežiūros institucijai pateikiamas vėliau nei per 72 valandas, prie jo pridedama informacija apie vėlavimo priežastis.

2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

a) aprašomas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b) nurodoma duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė ir kontaktiniai duomenys;

d) aprašomos priemonės, kurių ėmėsi duomenų valdytojas, arba kurių siūloma, kad jis imtųsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas, be kita ko, kai tinkama, priemonės, kad būtų sumažintas jo galimas neigiamas poveikis.

4. Jeigu ir tiek, kiek informacijos nėra įmanoma pateikti tuo pačiu metu, informaciją galima teikti etapais, toliau nepagrįstai nedelsiant.

5. Valstybės narės numato, kad duomenų valdytojas turi dokumentuoti visus 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius asmens duomenų saugumo pažeidimu, jo poveikį ir taisomuosius veiksmus, kurių imtasi. Ta dokumentacija turi sudaryti galimybę priežiūros institucijai patikrinti, ar laikomasi šio straipsnio.

6. Valstybės narės, tais atvejais, kai asmens duomenų saugumo pažeidimas yra susijęs su asmens duomenimis, kurie buvo persiųsti kitos valstybės narės duomenų valdytojo arba kitos valstybės narės duomenų valdytojui, numato, kad 3 dalyje nurodyta informacija tos valstybės narės duomenų valdytojui turi būti pateikta nepagrįstai nedelsiant.

1. Jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 30 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3. 1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu tenkinama bet kuri iš šių sąlygų:

a) duomenų valdytojas įgyvendino tinkamas technologines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b) duomenų valdytojas ėmėsi paskesnių priemonių, kuriomis užtikrinama, kad duomenų subjektų teisėms ir laisvėms greičiausiai nebegalėtų kilti 1 dalyje nurodytas didelis pavojus;

c) tam prireiktų neproporcingai daug pastangų. Tokiu atveju pranešimas skelbiamas viešai arba taikoma panaši priemonė, kuria duomenų subjektai informuojami taip pat veiksmingai.

4. Jeigu duomenų valdytojas dar nepranešė apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi tikimybę, kad asmens duomenų saugumo pažeidimas sukels didelį pavojų, gali reikalauti, kad duomenų valdytojas tai padarytų, arba gali nuspręsti, kad tenkinama bet kuri iš 3 dalyje nurodytų sąlygų.

5. Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti, laikantis 13 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

1. Valstybės narės numato, kad duomenų valdytojas turi paskirti duomenų apsaugos pareigūną. Valstybės narės gali tos prievolės netaikyti teismams ir kitoms nepriklausomoms teisminėms institucijoms, vykdantiems savo teismines funkcijas.

2. Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis ir visų pirma dalykinėmis duomenų apsaugos teisės ir praktikos žiniomis, taip pat gebėjimu atlikti 34 straipsnyje nurodytas užduotis.

3. Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms kompetentingoms institucijoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4. Valstybės narės numato, kad duomenų valdytojas turi paskelbti duomenų apsaugos pareigūno kontaktinius duomenis ir perduoti juos priežiūros institucijai.

1. Valstybės narės numato, kad duomenų valdytojas turi užtikrinti, jog su duomenų apsaugos pareigūnu būtų tinkamai ir laiku konsultuojamasi visais su asmens duomenų apsauga susijusiais klausimais.

2. Duomenų valdytojas padeda duomenų apsaugos pareigūnui atlikti 34 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinų išteklių ir galimybę susipažinti su asmens duomenimis ir duomenų tvarkymo operacijomis, taip pat išteklių, būtinų jo dalykinėms žinioms išsaugoti.

Valstybės narės numato, kad duomenų valdytojas turi pavesti duomenų apsaugos pareigūnui atlikti bent šias užduotis:

a) informuoti duomenų valdytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šią direktyvą ir pagal kitus Sąjungos ar valstybės narės teisės aktus dėl duomenų apsaugos ir teikti jiems patarimus šiais klausimais;

b) stebėti, kaip laikomasi šios direktyvos, kitų Sąjungos ar valstybės narės teisės aktų dėl duomenų apsaugos ir duomenų valdytojo taikomos politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

e) atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant 28 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoti visais kitais klausimais.

Asmens duomenų perdavimai trečiosioms valstybėms arba tarptautinėms organizacijoms

1. Valstybės narės numato, kad kompetentingos institucijos gali perduoti asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus trečiajai valstybei arba tarptautinei organizacijai, be kita ko, tolesnio perdavimo kitai trečiajai valstybei arba tarptautinei organizacijai tikslais, tik tuo atveju, kai laikomasi pagal šią direktyvą priimtų nacionalinių nuostatų ir jeigu yra tenkinamos šiame skyriuje nustatytos sąlygos, būtent:

b) asmens duomenys perduodami duomenų valdytojui trečiojoje valstybėje arba tarptautinėje organizacijoje, kuris yra institucija, kompetentinga 1 straipsnio 1 dalyje nurodytais tikslais;

c) tuo atveju, kai asmens duomenys persiunčiami iš kitos valstybės narės arba ta valstybė narė suteikia galimybę jais naudotis, ta valstybė narė pagal savo nacionalinę teisę perdavimui yra suteikusi išankstinį leidimą;

d) Komisija pagal 36 straipsnį yra priėmusi sprendimą dėl tinkamumo arba, jeigu toks sprendimas nepriimtas, buvo nustatytos arba egzistuoja tinkamos apsaugos priemonės pagal 37 straipsnį, arba, nesant sprendimo dėl tinkamumo pagal 36 ar tinkamų apsaugos priemonių pagal 37 straipsnį, taikomos su konkrečiomis situacijomis susijusios nukrypti leidžiančios nuostatos pagal 38 straipsnį, ir

e) tolesnio duomenų perdavimo kitai trečiajai valstybei arba tarptautinei organizacijai atveju kompetentinga institucija, kuri atliko pirminį perdavimą, arba kita tos pačios valstybės narės kompetentinga institucija leidžia toliau perduoti duomenis, tinkamai atsižvelgusi į visus susijusius veiksnius, įskaitant nusikalstamos veikos sunkumą, tikslą, kuriuo buvo atliktas pirminis asmens duomenų perdavimas, ir asmens duomenų apsaugos trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai toliau perduodami asmens duomenys, lygį.

2. Valstybės narės numato, kad perduoti duomenis be kitos valstybės narės išankstinio leidimo pagal 1 dalies c punktą turi būti leidžiama tik tuo atveju, jeigu asmens duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui arba valstybės narės esminiams interesams, o išankstinio leidimo laiku gauti negalima. Nedelsiant informuojama institucija, atsakinga už išankstinio leidimo suteikimą.

3. Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nesumažėtų šia direktyva fiziniams asmenims užtikrinamos apsaugos lygis.

1. Valstybės narės numato, kad perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai galima tuo atveju, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2. Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

a) teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant teisės aktus dėl visuomenės saugumo, gynybos, nacionalinio saugumo bei baudžiamosios teisės ir valdžios institucijų galimybės susipažinti su asmens duomenimis, taip pat tų teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo kitai trečiajai valstybei ar tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktiką, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

b) tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje valstybėje, arba kurioms yra pavaldi tarptautinė organizacija, kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių, ir užtikrinti jų vykdymą, įskaitant tinkamus vykdymo užtikrinimo įgaliojimus, padėti duomenų subjektams naudotis savo teisėmis ir patarti jiems, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis, ir

c) atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, ir dėl jos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma, kiek tai susiję su asmens duomenų apsauga.

3. Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, tuo tikslu priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte nustatomas periodinės peržiūros, kuri turi būti atliekama ne rečiau kaip kas ketverius metus, mechanizmas; ją atliekant turi būti atsižvelgta į visus susijusius įvykius trečiojoje valstybėje arba tarptautinėje organizacijoje. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta (-os) priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4. Komisija nuolat stebi įvykius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų padaryti poveikio pagal 3 dalį priimtų sprendimų veikimui.

5. Jei remiantis turima informacija atskleidžiami atitinkami faktai, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, Komisija nusprendžia, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, ji tiek, kiek tai būtina, įgyvendinimo aktais panaikina, iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą arba sustabdo jo galiojimą, nedarant poveikio atgaline data. Tie įgyvendinimo aktai priimami laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Kai tinkamai pagrįstais atvejais yra privalomų skubos priežasčių, Komisija priima nedelsiant taikytinus įgyvendinimo aktus pagal 58 straipsnio 3 dalyje nurodytą procedūrą.

6. Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

7. Valstybės narės numato, kad sprendimas pagal 5 dalį negali daryti poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą vieną ar daugiau sektorių trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 37 ir 38 straipsnius.

8. Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje skelbia trečiųjų valstybių, teritorijų ir nurodytų sektorių trečiosiose valstybėse, taip pat tarptautinių organizacijų, kurie, kaip ji nusprendė, užtikrina tinkamo lygio apsaugą arba jos nebeužtikrina, sąrašą.

1. Jeigu nepriimtas sprendimas pagal 36 straipsnio 3 dalį, valstybės narės numato, kad asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai gali būti atliekamas, jeigu:

b) duomenų valdytojas įvertino visas su asmens duomenų perdavimu susijusias aplinkybes ir daro išvadą, kad nustatytos tinkamos su asmens duomenų apsauga susijusios apsaugos priemonės.

2. Duomenų valdytojas informuoja priežiūros instituciją apie duomenų perdavimo pagal 1 dalies b punktą kategorijas.

3. Jeigu duomenų perdavimas grindžiamas 1 dalies b punktu, toks perdavimas dokumentuojamas, ir dokumentai, gavus prašymą, pateikiami priežiūros institucijai, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie gaunančiąją kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

1. Jeigu nepriimtas sprendimas dėl tinkamumo pagal 36 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 37 straipsnį, valstybės narės numato, kad asmens duomenų arba tam tikros kategorijos asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai gali būti atliekamas tik su sąlyga, kad perduoti duomenis būtina:

b) kad būtų apsaugoti teisėti duomenų subjekto interesai, kai tai numatyta asmens duomenis perduodančios valstybės narės teisėje;

e) atskiru atveju, kad būtų nustatyti, vykdomi ar ginami teisiniai reikalavimai, susiję su 1 straipsnio 1 dalyje išdėstytais tikslais.

2. Asmens duomenys negali būti perduodami, jeigu duomenis perduodanti kompetentinga institucija nustato, kad atitinkamo duomenų subjekto pagrindinės teisės ir laisvės yra viršesnės už 1 dalies d ir e punktuose nurodytą viešąjį interesą, dėl kurio duomenis reikia perduoti.

3. Jeigu duomenų perdavimas grindžiamas 1 dalimi, toks perdavimas dokumentuojamas ir dokumentai, gavus prašymą, turi būti pateikti priežiūros institucijai, nurodant duomenų perdavimo datą ir laiką, informaciją apie gaunančiąją kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

Asmens duomenų perdavimai trečiosiose valstybėse įsteigtiems duomenų gavėjams

1. Nukrypstant nuo 35 straipsnio 1 dalies b punkto ir nedarant poveikio šio straipsnio 2 dalyje nurodytiems tarptautiniams susitarimams, Sąjungos arba valstybės narės teisėje gali būti numatyta, kad 3 straipsnio 7 punkto a papunktyje nurodytos kompetentingos institucijos individualiais ir konkrečiais atvejais asmens duomenis trečiosiose valstybėse įsteigtiems duomenų gavėjams tiesiogiai perduoda tik tuo atveju, jeigu laikomasi kitų šios direktyvos nuostatų ir yra tenkinamos visos šios sąlygos:

a) perduoti duomenis tikrai būtina siekiant įvykdyti duomenis perduodančios kompetentingos institucijos užduotį, kaip numatyta Sąjungos arba valstybės narės teisėje, 1 straipsnio 1 dalyje išdėstytais tikslais;

b) duomenis perduodanti kompetentinga institucija nustato, kad jokios atitinkamo duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės už viešąjį interesą, dėl kurio konkrečiu atveju būtina perduoti duomenis;

c) duomenis perduodanti kompetentinga institucija laikosi nuomonės, kad duomenų perdavimas institucijai, kuri trečiojoje valstybėje yra kompetentinga 1 straipsnio 1 dalyje nurodytais tikslais, yra neveiksmingas arba netinkamas, visų pirma dėl to, kad perdavimo neįmanoma atlikti laiku;

d) 1 straipsnio 1 dalyje nurodytais tikslais kompetentinga institucija trečiojoje valstybėje nepagrįstai nedelsiant apie tai informuojama, išskyrus atvejus, kai tai yra neveiksminga arba netinkama;

e) duomenis perduodanti kompetentinga institucija informuoja gavėją apie konkrečiai nustatytą tikslą ar tikslus, kuriais jis asmens duomenis gali tvarkyti, su sąlyga, kad toks duomenų tvarkymas yra būtinas.

2. 1 dalyje nurodyti tarptautiniai susitarimai yra bet kokie dvišaliai ar daugiašaliai tarptautiniai susitarimai, galiojantys tarp valstybių narių ir trečiųjų valstybių teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje.

3. Duomenis perduodanti kompetentinga institucija informuoja priežiūros instituciją apie duomenų perdavimus pagal šį straipsnį.

4. Jeigu duomenų perdavimas grindžiamas 1 dalimi, toks perdavimas dokumentuojamas.

Trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu Komisija ir valstybės narės imasi tinkamų veiksmų siekiant:

a) kurti tarptautinius bendradarbiavimo mechanizmus, kad būtų lengviau veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

b) teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga ir kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c) atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – skatinti tarptautinį bendradarbiavimą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą,

d) skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis srityje, ir juos dokumentuoti.

1. Kiekviena valstybė narė numato, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šios direktyvos taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir palengvintas laisvas asmens duomenų judėjimas Sąjungoje (toliau – priežiūros institucija).

2. Kiekviena priežiūros institucija padeda nuosekliai taikyti šią direktyvą visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija, vadovaudamosi VII skyriumi.

3. Valstybės narės gali nustatyti, kad pagal Reglamentą (ES) 2016/679 įsteigta priežiūros institucija turi būti šioje direktyvoje nurodyta priežiūros institucija ir kad ji turi prisiimti atsakomybę už priežiūros institucijos, kuri turi būti įsteigta pagal šio straipsnio 1 dalį, užduočių vykdymą.

4. Jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri atstovauja toms institucijoms 51 straipsnyje nurodytoje Valdyboje.

1. Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija, vykdydama jai pavestas užduotis ir naudodamasi jai suteiktais įgaliojimais pagal šią direktyvą, veikia visiškai nepriklausomai.

2. Valstybės narės numato, kad jų priežiūros institucijos narys arba nariai, vykdydami savo užduotis ir naudodamiesi savo įgaliojimais pagal šią direktyvą, negali priklausyti nei nuo tiesioginės, nei nuo netiesioginės išorės įtakos ir negali prašyti bei priimti jokių nurodymų.

3. Valstybių narių priežiūros institucijų nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir savo kadencijos metu nedirba jokio nesuderinamo – mokamo ar nemokamo – darbo.

4. Kiekviena valstybė narė užtikrina, kad kiekvienai priežiūros institucijai būtų suteikti žmogiškieji, techniniai ir finansiniai ištekliai, patalpos ir infrastruktūra, kurie yra būtini, kad ji veiksmingai vykdytų savo užduotis ir naudotųsi savo įgaliojimais, įskaitant užduotis ir įgaliojimus, vykdytinus savitarpio pagalbos srityje, bendradarbiaujant ir dalyvaujant Valdybos veikloje.

5. Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija pasirinktų ir turėtų savo darbuotojus, kuriems vadovautų vien tik tos atitinkamos priežiūros institucijos narys ar nariai.

6. Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui ir kad ji turėtų atskirą viešą metinį biudžetą, kuris gali būti viso valstybės ar nacionalinio biudžeto dalis.

1. Valstybės narės numato, kad kiekvieną jų priežiūros institucijų narį, taikant skaidrią procedūrą, skiria:

2. Kiekvienas narys turi turėti jo pareigoms atlikti ir įgaliojimais naudotis būtiną kvalifikaciją, patirtį ir gebėjimus, visų pirma asmens duomenų apsaugos srityje.

3. Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis atitinkamos valstybės narės teisės.

4. Narys atleidžiamas iš pareigų tik sunkaus nusižengimo atveju arba tuo atveju, jeigu nebeatitinka jo pareigoms atlikti keliamų reikalavimų.

b) kvalifikaciją ir tinkamumo sąlygas, kurias turi atitikti asmuo, kad galėtų būti paskirtas kiekvienos priežiūros institucijos nariu;

d) kiekvienos priežiūros institucijos nario arba narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus dalį pirmųjų narių, skiriamų po 2016 m. gegužės 6 d., kurių kadencija gali būti trumpesnė, jeigu tai yra būtina siekiant išsaugoti priežiūros institucijos nepriklausomumą, taikant laipsnišką skyrimo procedūrą;

e) tai, ar kiekvienos priežiūros institucijos nario arba narių kadencija gali būti atnaujinama, ir jei taip – kelioms kadencijoms,

f) sąlygas, reglamentuojančias kiekvienos priežiūros institucijos nario arba narių ir darbuotojų prievoles, draudimą kadencijos metu ir jai pasibaigus imtis veiksmų, dirbti darbą ir gauti naudos, kurie yra nesuderinami su tomis prievolėmis, ir darbo nutraukimą reglamentuojančias taisykles.

2. Kiekvienos priežiūros institucijos narys arba nariai ir darbuotojai kadencijos metu ir jai pasibaigus įpareigojami pagal Sąjungos arba valstybės narės teisę saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais. Jų kadencijos metu ta pareiga saugoti profesinę paslaptį visų pirma taikoma fizinių asmenų pranešimams apie šios direktyvos pažeidimus.

1. Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija savo valstybės narės teritorijoje turi turėti kompetenciją vykdyti pagal šią direktyvą jai pavestas užduotis ir naudotis pagal šią direktyvą jai suteiktais įgaliojimais.

2. Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija neturi kompetencijos vykdyti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdantys savo teismines funkcijas, priežiūrą. Valstybės narės gali numatyti, kad jų priežiūros institucija neturi kompetencijos prižiūrėti duomenų tvarkymo operacijas, kurias atlieka kitos nepriklausomos teisminės institucijos, vykdančios savo teismines funkcijas.

1. Kiekviena valstybė narė numato, kad jos teritorijoje kiekviena priežiūros institucija:

b) didina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir jų supratimą;

c) pagal valstybės narės teisę teikia nacionaliniam parlamentui, Vyriausybei ir kitoms institucijoms bei įstaigoms patarimus dėl teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis;

e) gavusi prašymą bet kuriam duomenų subjektui teikia informaciją apie naudojimąsi jo teisėmis pagal šią direktyvą ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

f) nagrinėja skundus, kuriuos pagal 55 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

g) tikrina duomenų tvarkymo teisėtumą pagal 17 straipsnį ir per pagrįstą laikotarpį informuoja duomenų subjektą pagal to straipsnio 3 dalį apie patikrinimo rezultatus arba apie priežastis, dėl kurių patikrinimas nebuvo atliekamas;

h) bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijantis informacija, ir teikia joms savitarpio pagalbą, siekiant užtikrinti, kad ši direktyva būtų taikoma ir vykdoma nuosekliai;

i) atlieka tyrimus dėl šios direktyvos taikymo, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

j) stebi susijusius įvykius, jei jie daro poveikį asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų raidą;

2. Kiekviena priežiūros institucija imasi priemonių, kad sudarytų palankesnes sąlygas teikti 1 dalies f punkte nurodytus skundus, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

3. Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir duomenų apsaugos pareigūno atžvilgiu atlieka nemokamai.

4. Jeigu prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl jo pasikartojančio pobūdžio, priežiūros institucija gali imti pagrįstą mokestį, remiantis jos administracinėmis išlaidomis, arba gali atsisakyti imtis veiksmų pagal prašymą. Pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka priežiūros institucijai.

1. Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus tyrimo įgaliojimus. Tie įgaliojimai apima bent įgaliojimą iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais tvarkomais asmens duomenimis ir visa jos užduotims atlikti būtina informacija.

2. Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus įgaliojimus imtis taisomųjų veiksmų, pavyzdžiui:

a) įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos pagal šią direktyvą priimtos nuostatos;

b) nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su pagal šią direktyvą priimtomis nuostatomis, atitinkamais atvejais – nustatytu būdu ir per nustatytą laikotarpį, visų pirma nurodant pagal 16 straipsnį ištaisyti ar ištrinti asmens duomenis arba apriboti duomenų tvarkymą;

3. Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus patariamuosius įgaliojimus teikti patarimus duomenų valdytojui pagal 28 straipsnyje nurodytą išankstinių konsultacijų procedūrą ir savo iniciatyva arba gavus prašymą teikti nuomones jos nacionaliniam parlamentui, Vyriausybei arba, vadovaujantis savo nacionaline teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais.

4. Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje laikantis Chartijos.

5. Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti įgaliojimą atkreipti teisminių institucijų dėmesį į pagal šią direktyvą priimtų nuostatų pažeidimus ir prireikus pradėti teisminį procesą arba kitaip dalyvauti teisminiame procese, siekiant užtikrinti pagal šią direktyvą priimtų nuostatų vykdymą.

Valstybės narės numato, kad kompetentingos institucijos turi įdiegti veiksmingus mechanizmus, kuriais būtų skatinama konfidencialiai pranešti apie šios direktyvos pažeidimus.

Kiekviena priežiūros institucija parengia metinę savo veiklos ataskaitą; ji gali apimti pažeidimų, apie kuriuos buvo pranešta, rūšių ir taikytų sankcijų rūšių sąrašą. Tos ataskaitos perduodamos nacionaliniam parlamentui, Vyriausybei ir kitoms institucijoms, kaip nurodyta valstybės narės teisėje. Jos pateikiamos visuomenei, Komisijai ir Valdybai.

1. Kiekviena valstybė narė numato, kad jų priežiūros institucija teikia viena kitai atitinkamą informaciją ir savitarpio pagalbą, siekiant, kad ši direktyva būtų įgyvendinta ir taikoma nuosekliai, ir įdiegtų veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, pavyzdžiui, prašymais vykdyti konsultacijas, patikrinimus ir tyrimus.

2. Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, į jį atsakytų. Tokios priemonės gali būti, be kita ko, visų pirma svarbios informacijos apie tyrimo eigą perdavimas.

3. Pagalbos prašymuose nurodoma visa būtina informacija, įskaitant prašymo tikslą ir prašymo priežastis. Pasikeista informacija naudojamasi tik tuo tikslu, kuriuo jos buvo prašoma.

4. Prašymą gavusi priežiūros institucija negali atsisakyti prašymo patenkinti, išskyrus atvejus, kai:

b) prašymo patenkinimas pažeistų šią direktyvą arba Sąjungos ar valstybės narės teisę, kuri taikoma prašymą gaunančiai priežiūros institucijai.

5. Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie prašymo rezultatus arba atitinkamai jo eigą arba priemones, kurių imtasi siekiant į jį atsakyti. Prašymą gavusi priežiūros institucija pateikia atsisakymo patenkinti prašymą priežastis pagal 4 dalį.

6. Prašymą gavusios priežiūros institucijos paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamosi standartizuota forma.

7. Prašymą gavusios priežiūros institucijos už veiksmus, kurių jos imasi pagal savitarpio pagalbos prašymą, mokesčio neima. Priežiūros institucijos gali tarpusavyje susitarti dėl taisyklių, susijusių su kompensacija viena kitai už specialias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

8. Komisija gali įgyvendinimo aktais nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos, tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarką. Tie įgyvendinimo aktai priimami laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

1. Reglamentu (ES) 2016/679 įsteigta Valdyba atlieka visas šias su duomenų tvarkymu pagal šią direktyvą susijusias užduotis:

a) teikia patarimus Komisijai visais klausimais, susijusiais su asmens duomenų apsauga Sąjungoje, be kita ko, dėl visų siūlomų šios direktyvos pakeitimų;

b) savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šios direktyvos taikymu, ir skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šią direktyvą taikyti nuosekliai;

d) skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius pagal šios pastraipos b punktą dėl asmens duomenų saugumo pažeidimų ir 30 straipsnio 1 ir 2 dalyse nurodyto nepagrįsto delsimo nustatymo, taip pat dėl konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas privalo pranešti apie asmens duomenų saugumo pažeidimą;

e) skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius pagal šios pastraipos b punktą dėl aplinkybių, kuriomis dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 31 straipsnio 1 dalyje;

g) pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje, teritorijoje ar viename ar keliuose nurodytuose sektoriuose trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar tokia trečioji valstybė, teritorija, nurodytas sektorius arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos;

h) skatina priežiūros institucijų bendradarbiavimą ir jų veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

i) skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, atitinkamais atvejais, darbuotojų mainus su trečiųjų valstybių arba tarptautinių organizacijų priežiūros institucijomis;

j) skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisę ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje.

Pirmos pastraipos g punkto tikslu Komisija pateikia Valdybai visą reikiamą dokumentaciją, įskaitant korespondenciją su trečiosios valstybės Vyriausybe, teritorija ar nustatytu sektoriumi sektoriaus toje trečiojoje valstybėje, arba su tarptautine organizacija.

2. Jeigu Komisija prašo Valdybos patarimo, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3. Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai ir 58 straipsnio 1 dalyje nurodytam komitetui, ir skelbia juos viešai.

4. Komisija informuoja Valdybą apie veiksmus, kurių ji ėmėsi atsižvelgdama į Valdybos paskelbtas nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius.

1. Nedarant poveikio kitoms administracinėms arba teisminėms teisių gynimo priemonėms, valstybės narės numato kiekvieno duomenų subjekto teisę pateikti skundą vienai priežiūros institucijai, jeigu duomenų subjektas mano, kad su juo susiję asmens duomenys tvarkomi pažeidžiant pagal šią direktyvą priimtas nuostatas.

2. Valstybės narės numato, kad priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama jį perduoda kompetentingai priežiūros institucijai, jeigu skundas nepateikiamas pagal 45 straipsnio 1 dalį kompetentingai priežiūros institucijai. Duomenų subjektas informuojamas apie šį perdavimą.

3. Valstybės narės numato, kad priežiūros institucija, kuriai pateiktas skundas, duomenų subjekto prašymu teikia tolesnę pagalbą.

4. Kompetentinga priežiūros institucija informuoja duomenų subjektą apie skundo nagrinėjimo eigą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 53 straipsnį.

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją

1. Nedarant poveikio kitoms administracinėms arba neteisminėms teisių gynimo priemonėms, valstybės narės numato fizinio ar juridinio asmens teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

2. Nedarant poveikio kitoms administracinėms arba neteisminėms teisių gynimo priemonėms, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu pagal 45 straipsnio 1 dalį kompetentinga priežiūros institucija skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 52 straipsnį pateikto skundo nagrinėjimo eigą arba rezultatus.

3. Valstybės narės numato, kad byla priežiūros institucijai turi būti keliama valstybės narės, kurioje priežiūros institucija yra įsteigta, teismuose.

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

Nedarant poveikio jokioms galimoms administracinėms arba neteisminėms teisių gynimo priemonėms, įskaitant teisę pateikti skundą priežiūros institucijai pagal 52 straipsnį, valstybės narės numato duomenų subjekto teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu jis mano, kad jo teisės, nustatytos pagal šią direktyvą priimtose nuostatose, buvo pažeistos dėl jo asmens duomenų tvarkymo nesilaikant tų nuostatų.

Valstybės narės, vadovaudamosi savo proceso teise, numato duomenų subjekto teisę įgalioti pelno nesiekiančią įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę, kurios statutiniai tikslai atitinka viešąjį interesą ir kuri vykdo veiklą duomenų subjektų teisių ir laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 52, 53 ir 54 straipsniuose.

Valstybės narės numato, kad asmuo, patyręs materialinę ar nematerialinę žalą dėl neteisėtos duomenų tvarkymo operacijos arba dėl kito veiksmo, kuriuo pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, turi teisę iš duomenų valdytojo arba kitos pagal valstybės narės teisę kompetentingos institucijos gauti kompensaciją už patirtą žalą.

Valstybės narės nustato taisykles dėl sankcijų, taikytinų už pagal šią direktyvą priimtų nuostatų pažeidimus, ir imasi visų būtinų priemonių, kad būtų užtikrintas jų vykdymas. Numatytos sankcijos yra veiksmingos, proporcingos ir atgrasomos.

1. Komisijai padeda komitetas, įsteigtas pagal Reglamento (ES) 2016/679 93 straipsnį. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

2. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

2. Nuorodos į 1 dalyje nurodytą panaikintą sprendimą laikomos nuorodomis į šią direktyvą.

Į šios direktyvos taikymo sritį patenkančios specialios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje priimtų Sąjungos teisės aktų, kurie įsigaliojo 2016 m. gegužės 6 d. arba anksčiau ir kuriais reglamentuojamas tarp valstybių narių vykdomas duomenų tvarkymas ir valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, nuostatos dėl asmens duomenų apsaugos lieka nepakitusios.

Ryšys su pirmiau sudarytais tarptautiniais susitarimais dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo

Su asmens duomenų perdavimu trečiosioms valstybėms arba tarptautinėms organizacijoms susiję tarptautiniai susitarimai, kuriuos valstybės narės sudarė prieš 2016 m. gegužės 6 d. ir kurie atitinka Sąjungos teisę, taikytiną prieš tą datą, lieka galioti tol, kol bus iš dalies pakeisti, pakeisti naujais susitarimais arba panaikinti.

1. Komisija ne vėliau kaip 2022 m. gegužės 6 d. ir po to kas ketverius metus teikia Europos Parlamentui ir Tarybai šios direktyvos vertinimo ir peržiūros ataskaitas. Ataskaitos padaromos viešai prieinamomis.

2. Komisija, atlikdama 1 dalyje nurodytus vertinimus ir peržiūras, visų pirma išnagrinėja, kaip taikomos ir kaip veikia V skyrius dėl asmens duomenų perdavimo trečiosioms valstybėms arba tarptautinėms organizacijoms, ypač daug dėmesio skirdama sprendimams, priimtiems pagal 36 straipsnio 3 dalį ir 39 straipsnį.

3. Taikydama 1 ir 2 dalis Komisija gali prašyti, kad valstybės narės ir priežiūros institucijos suteiktų informacijos.

4. Atlikdama 1 ir 2 dalyse nurodytus vertinimus ir peržiūras Komisija atsižvelgia į Europos Parlamento, Tarybos ir kitų atitinkamų įstaigų ar šaltinių pozicijas ir išvadas.

5. Komisija prireikus pateikia atitinkamus pasiūlymus iš dalies pakeisti šią direktyvą, visų pirma atsižvelgiant į informacinių technologijų plėtrą ir informacinės visuomenės pažangos būklę.

6. Komisija ne vėliau kaip 2019 m. gegužės 6 d. peržiūri kitus Sąjungos priimtus teisės aktus, kuriais reglamentuojamas kompetentingų institucijų vykdomas duomenų tvarkymas 1 straipsnio 1 dalyje išdėstytais tikslais, įskaitant nurodytuosius 60 straipsnyje, siekdama įvertinti, ar reikia juos suderinti su šia direktyva ir, kai tinkama, pateikti būtinus pasiūlymus iš dalies pakeisti tuos aktus, kad būtų užtikrintas nuoseklus požiūris į asmens duomenų apsaugą šios direktyvos taikymo srityje.

1. Valstybės narės ne vėliau kaip 2018 m. gegužės 6 d. priima ir paskelbia įstatymus ir kitus teisės aktus, būtinus, kad būtų laikomasi šios direktyvos. Jos nedelsdamos pateikia Komisijai tų teisės aktų nuostatų tekstą. Tas nuostatas jos taiko nuo 2018 m. gegužės 6 d.

Valstybės narės, priimdamos tas nuostatas, daro jose nuorodą į šią direktyvą arba tokia nuoroda daroma jas oficialiai skelbiant. Nuorodos darymo tvarką nustato valstybės narės.

2. Nukrypstant nuo 1 dalies, valstybė narė gali nustatyti, kad išimtiniais atvejais, jeigu reikia neproporcingai didelių pastangų, iki 2016 m. gegužės 6 d. sukurtos automatizuotos duomenų tvarkymo sistemos turi būti suderintos su 25 straipsnio 1 dalies reikalavimais ne vėliau kaip 2023 m. gegužės 6 d.

3. Nukrypstant nuo šio straipsnio 1 ir 2 dalių, valstybė narė išimtinėmis aplinkybėmis gali automatizuotą duomenų tvarkymo sistemą, kaip nurodyta šio straipsnio 2 dalyje, suderinti su 25 straipsnio 1 dalimi per nustatytą laikotarpį pasibaigus šio straipsnio 2 dalyje nurodytam laikotarpiui, jeigu priešingu atveju būtų sukelta didelių sunkumų norint eksploatuoti tą konkrečią automatizuotą duomenų tvarkymo sistemą. Atitinkama valstybė narė praneša Komisijai tų didelių sunkumų priežastis ir nustatyto laikotarpio, per kurį ji tą konkrečią automatizuotą duomenų tvarkymo sistemą turi suderinti su 25 straipsnio 1 dalimi, pagrindimą. Nustatytas laikotarpis jokiu būdu negali ilgesnis nei 2026 m. gegužės 6 d.

4. Valstybės narės pateikia Komisijai šios direktyvos taikymo srityje priimtų nacionalinės teisės aktų pagrindinių nuostatų tekstus.

Ši direktyva įsigalioja kitą dieną po jos paskelbimo Europos Sąjungos oficialiajame leidinyje.