Help Print this page 

Document 32016L0680

Title and reference
Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI
  • In force
OJ L 119, 4.5.2016, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/dir/2016/680/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

4.5.2016   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 119/89


EIROPAS PARLAMENTA UN PADOMES DIREKTĪVA (ES) 2016/680

(2016. gada 27. aprīlis)

par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Reģionu komitejas atzinumu (1),

saskaņā ar parasto likumdošanas procedūru (2),

tā kā:

(1)

Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir viena no pamattiesībām. Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz personas datu aizsardzību.

(2)

Noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no to valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un pamatbrīvības, jo īpaši tiesības uz personas datu aizsardzību. Šīs direktīvas mērķis ir palīdzēt izveidot brīvības, drošības un tiesiskuma telpu.

(3)

Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Personas datu vākšanas un apmaiņas apjoms ir būtiski pieaudzis. Tehnoloģija ļauj vēl nepieredzētā apjomā apstrādāt personas datus tādām darbībām, ko veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus.

(4)

Tam ir nepieciešams atvieglot personas datu brīvu apriti starp kompetentajām iestādēm, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai Savienībā un tos novērstu, un šādu personas datu nosūtīšanu uz trešām valstīm un starptautiskajām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību. Minēto pārmaiņu dēļ ir jāizveido stingrs un saskaņotāks personas datu aizsardzības regulējums Savienībā, ko atbalsta ar stingru izpildi.

(5)

Eiropas Parlamenta un Padomes Direktīva 95/46/EK (3) ir piemērojama personas datu apstrādei dalībvalstīs gan publiskajā, gan privātajā sektorā. Tomēr to nepiemēro personas datu apstrādei tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti, piemēram, darbībām tādās jomās kā tiesu iestāžu sadarbība krimināllietās un policijas sadarbība.

(6)

Padomes Pamatlēmums 2008/977/TI (4) ir piemērojams tiesu iestāžu sadarbībai krimināllietās un policijas sadarbībai. Minētā pamatlēmuma piemērošanas joma attiecas tikai uz tādu personas datu apstrādi, kurus nosūta starp dalībvalstīm vai kurus dara savstarpēji pieejamus.

(7)

Konsekventas un augsta līmeņa personas datu aizsardzības nodrošināšana fiziskām personām un personas datu apmaiņas veicināšana starp dalībvalstu kompetentajām iestādēm ir būtiska, lai nodrošinātu efektīvu tiesu iestāžu sadarbību krimināllietās un policijas sadarbību. Šajā nolūkā fizisku personu tiesību un brīvību aizsardzības līmenim attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vajadzētu būt līdzvērtīgam visās dalībvalstīs. Lai personas datu aizsardzība visā Savienībā būtu efektīva, ir jāstiprina datu subjektu tiesības un to personu pienākumi, kas apstrādā personas datus, kā arī līdzvērtīgas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu dalībvalstīs.

(8)

LESD 16. panta 2. punktā Eiropas Parlaments un Padome tiek pilnvaroti paredzēt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un noteikumus par šādu datu brīvu apriti.

(9)

Balstoties uz to, Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (5) nosaka vispārīgus noteikumus, lai aizsargātu fiziskas personas attiecībā uz to personas datu apstrādi un nodrošinātu personas datu brīvu apriti Savienībā.

(10)

21. deklarācijā par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši noteikumi par personas datu aizsardzību un par personas datu brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu, minēto jomu specifisko iezīmju dēļ.

(11)

Tādēļ ir piemēroti minētās jomas aptvert direktīvā, kurā paredzēti īpaši noteikumi par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, respektējot šo darbību īpašo raksturu. Starp šādām kompetentajām iestādēm var būt ne vien publiskās iestādes, tādas kā tiesu iestādes, policija vai citas tiesībaizsardzības iestādes, bet arī jebkādas citas struktūras vai vienības, kam dalībvalsts tiesībās uzticēts īstenot publisko varu un publiskās pilnvaras šīs direktīvas nolūkos. Ja šāda struktūra vai vienība personas datus apstrādā citos nolūkos, nevis šajā direktīvā noteiktajos, piemēro Regulu (ES) 2016/679. Tāpēc Regulu (ES) 2016/679 piemēro gadījumos, kad struktūra vai vienība vāc personas datus citos nolūkos un minētos personas datus apstrādā tālāk, lai pildītu kādu juridisku pienākumu, kam tā pakļauta. Piemēram, finanšu iestādes noziedzīga nodarījuma izmeklēšanas, atklāšanas vai saukšanas pie atbildības nolūkos patur dažus no personas datiem, ko tās apstrādā, un konkrētos gadījumos un saskaņā ar dalībvalsts tiesībām sniedz minētos personas datus tikai kompetentajām valsts iestādēm. Struktūrai vai vienībai, kas šādu iestāžu vārdā apstrādā personas datus šīs direktīvas darbības jomā, vajadzētu būt saistītai ar līgumu vai kādu citu juridisku aktu un noteikumiem, kas piemērojami apstrādātājiem, ievērojot šo direktīvu, bet Regulas (ES) 2016/679 piemērošana paliek neskarta attiecībā uz apstrādātāja personas datu apstrādi, kas ir ārpus šīs direktīvas darbības jomas.

(12)

Darbības, ko veic policija vai citas tiesībaizsardzības iestādes, ir galvenokārt vērstas uz to, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem. Šādas darbības var ietvert arī varas pielietošanu, veicot piespiedu pasākumus, piemēram, policijas darbības demonstrāciju, liela mēroga sporta pasākumu un nemieru laikā. Tās ietver arī likumības un kārtības uzturēšanu kā uzdevumu, kas uzticēts policijai vai citām tiesībaizsardzības iestādēm, kad nepieciešams pasargāt no tādiem draudiem sabiedriskajai drošībai un ar likumu aizsargātām fundamentālām sabiedrības interesēm, kas varētu novest pie noziedzīga nodarījuma, un šos draudus novērst. Dalībvalstis var uzticēt kompetentajām iestādēm citus uzdevumus, kas nav obligāti saistīti ar darbībām, ko veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, tādējādi, ciktāl minētajos citos nolūkos veiktā personas datu apstrāde ir Savienības tiesību aktu darbības jomā, tā ietilpst Regulas (ES) 2016/679 darbības jomā.

(13)

Noziedzīgam nodarījumam šīs direktīvas nozīmē vajadzētu būt autonomam Savienības tiesību jēdzienam, kā to interpretējusi Eiropas Savienības Tiesa (“Tiesa”).

(14)

Tā kā šī direktīva nebūtu jāpiemēro personas datu apstrādei tādas darbības gaitā, kas ir ārpus Savienības tiesību darbības jomas, darbības attiecībā uz valsts drošību, darbības, ko veic aģentūras vai vienības, kuras nodarbojas ar valsts drošības jautājumiem, un dalībvalstu veiktu personas datu apstrādi, kad tās veic darbības, kuras ietilpst Līguma par Eiropas Savienību (LES) V sadaļas 2. nodaļas darbības jomā, nebūtu jāuzskata par darbībām, kas ir šīs direktīvas darbības jomā.

(15)

Lai ar juridiski īstenojamu tiesību palīdzību fiziskām personām nodrošinātu vienāda līmeņa aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu apmaiņu starp kompetentajām iestādēm, šajā direktīvā būtu jāparedz saskaņoti noteikumi to personas datu aizsardzībai un brīvai apritei, ko apstrādā, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Dalībvalstu tiesību aktu tuvināšanai nekādi nebūtu jāmazina attiecīgo dalībvalstu nodrošināto personas datu aizsardzība, bet gan tieši pretēji – ar to būtu jātiecas Savienībā nodrošināt augsta līmeņa aizsardzību. Dalībvalstīm nevajadzētu būt liegtam paredzēt stingrākas garantijas nekā tās, kas noteiktas šajā direktīvā, lai aizsargātu datu subjekta tiesības un brīvības attiecībā uz kompetento iestāžu veiktu personas datu apstrādi.

(16)

Šī direktīva neskar principu par publisku piekļuvi oficiāliem dokumentiem. Saskaņā ar Regulu (ES) 2016/679 personas datus, kas iekļauti oficiālos dokumentos, kuri ir publiskas iestādes vai publiskas vai privātas struktūras rīcībā, lai veiktu kādu uzdevumu sabiedrības interesēs, minētā iestāde vai struktūra var izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, ko piemēro publiskai iestādei vai struktūrai, lai publisku piekļuvi oficiāliem dokumentiem saskaņotu ar tiesībām uz personas datu aizsardzību.

(17)

Šajā direktīvā noteiktajai aizsardzībai būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas saistībā ar to personas datu apstrādi.

(18)

Lai izvairītos no likuma apiešanas nopietna riska radīšanas, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz personas datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs direktīvas darbības jomā nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem.

(19)

Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (6) piemēro personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās. Regula (EK) Nr. 45/2001 un citi Savienības tiesību akti, ko piemēro šādai personas datu apstrādei, būtu jāpielāgo principiem un noteikumiem, kas noteikti Regulā (ES) 2016/679.

(20)

Šī direktīva neliedz dalībvalstīm valsts noteikumos par kriminālprocesu precizēt apstrādes darbības un apstrādes procedūras saistībā ar personas datu apstrādi, ko veic tiesas un citas tiesu iestādes, jo īpaši attiecībā uz personas datiem, kas saistībā ar kriminālprocesu ir iekļauti kādā tiesas nolēmumā vai reģistros.

(21)

Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. Lai pārliecinātos, vai līdzekļus varētu pamatoti izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību. Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts vairs nav identificējams.

(22)

Publiskās iestādes, kam personas datus izpauž saskaņā ar juridisku pienākumu, lai tās varētu pildīt savus oficiālos uzdevumus, piemēram, nodokļu iestādes un muitas dienesti, finanšu izmeklēšanas vienības, neatkarīgas administratīvās iestādes vai finanšu tirgus iestādes, kas ir atbildīgas par vērtspapīru tirgu regulējumu un pārraudzību, nebūtu jāuzskata par saņēmējām, ja tās saņem personas datus, kas vajadzīgi, lai veiktu konkrētu izmeklēšanu vispārējās interesēs saskaņā ar Savienības vai dalībvalsts tiesību aktiem. Publisko iestāžu nosūtītiem informācijas pieprasījumiem vienmēr vajadzētu būt rakstiskiem, motivētiem un neregulāriem, un tiem nebūtu jāattiecas uz visu kartotēku kopumā vai jārada savstarpēji kartotēku savienojumi. Personas datu apstrādei, ko veic minētās publiskās iestādes, būtu jāatbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem.

(23)

Ģenētiskie dati būtu jādefinē kā tādi personas dati, kas attiecas uz fiziskas personas mantotām vai iegūtām ģenētiskajām pazīmēm, kas sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību, un kas izriet no attiecīgās fiziskās personas bioloģiskā parauga analīzes, jo īpaši no hromosomu, dezoksiribonukleīnskābes (DNS) vai ribonukleīnskābes (RNS) analīzes vai no cita elementa analīzes, kas ļauj iegūt līdzvērtīgu informāciju. Ņemot vērā ģenētiskās informācijas sarežģītību un sensitivitāti, pastāv liels risks, ka pārzinis to varētu izmantot ļaunprātīgi un atkārtoti dažādos nolūkos. Jebkāda diskriminācija, kuras pamatā ir ģenētiskas iezīmes, būtu principā jāaizliedz.

(24)

Personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kas atspoguļo informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fizisko vai garīgo veselību. Tas ietver tādu informāciju par fizisko personu, kas savākta, minēto fizisko personu reģistrējot veselības aprūpes pakalpojumu sniegšanai vai to sniegšanas laikā, kā minēts Eiropas Parlamenta un Padomes Direktīvā 2011/24/ES (7); skaitlis, simbols vai zīme, kas piešķirti kādai fiziskai personai, lai to viennozīmīgi identificētu ar veselību saistītos nolūkos; informācija, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tostarp no ģenētiskiem datiem un bioloģiskiem paraugiem; un jebkāda informācija, piemēram, par slimību, invaliditāti, slimības risku, slimības vēsturi, klīnisko aprūpi vai par datu subjekta fizioloģisko vai biomedicīnisko stāvokli neatkarīgi no informācijas avota, piemēram, ārsta vai cita veselības aprūpes speciālista, slimnīcas, medicīniskās ierīces vai in vitro diagnostikas testa.

(25)

Visas dalībvalstis ir pievienojušās Starptautiskajai Kriminālpolicijas organizācijai (Interpolam). Lai pildītu savu uzdevumu, Interpols saņem, uzglabā un izplata personas datus, kas palīdz kompetentajām iestādēm novērst un apkarot starptautisko noziedzību. Tādēļ ir lietderīgi pastiprināt Savienības un Interpola sadarbību, veicinot personas datu efektīvu apmaiņu, kurā vienlaikus ir nodrošināta pamattiesību un pamatbrīvību ievērošana attiecībā uz personas datu automātisku apstrādi. Gadījumos, kad personas datus no Savienības nosūtīta Interpolam un valstīm, kas norīkojušas locekļus uz Interpolu, būtu jāpiemēro šī direktīva, jo īpaši tās noteikumi par starptautisku nosūtīšanu. Šai direktīvai nebūtu jāskar īpašie noteikumi, kas paredzēti Padomes Kopējā nostājā 2005/69/TI (8) un Padomes Lēmumā 2007/533/TI (9).

(26)

Jebkurai personas datu apstrādei ir jābūt likumīgai, godprātīgai un pārredzamai attiecībā uz attiecīgajām fiziskajām personām un jātiek īstenotai tikai konkrētos likumā paredzētos nolūkos. Tas pats par sevi neliedz tiesībaizsardzības iestādēm veikt tādas darbības kā slepena izmeklēšana vai video novērošana. Šādas darbības var veikt, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, ja vien tās ir paredzētas likumā un ir nepieciešamas un samērīgas demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas leģitīmās intereses. Tāds datu aizsardzības princips kā godprātīga apstrāde ir atsevišķs jēdziens, kas atšķiras no tiesībām uz taisnīgu tiesu, kā noteikts hartas 47. pantā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas (ECTK) 6. pantā. Fiziskas personas būtu jāinformē par riskiem, noteikumiem, garantijām un tiesībām saistībā ar viņu personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar apstrādi. Konkrētajiem personas datu apstrādes nolūkiem jo īpaši vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt atbilstīgiem un būtiskiem tiem nolūkiem, kādos tos apstrādā. Jo īpaši būtu jānodrošina, lai savākto personas datu apjoms nebūtu pārmērīgs un lai personas datus neglabātu ilgāk, nekā tas ir vajadzīgs nolūkos, kādos tos apstrādā. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. Lai nodrošinātu, ka datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi dzēšanai vai periodiskai pārskatīšanai. Dalībvalstīm būtu jānosaka atbilstīgas garantijas attiecībā uz personas datiem, kurus glabā ilgāku laiku saistībā ar arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem.

(27)

Lai novērstu un izmeklētu noziedzīgus nodarījumus un sauktu pie atbildības par tiem, kompetentajām iestādēm personas dati, kas savākti saistībā ar konkrētu noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, ir jāapstrādā ārpus minētā konteksta, lai iegūtu izpratni par noziedzīgām darbībām un konstatētu saiknes starp dažādiem atklātajiem noziedzīgajiem nodarījumiem.

(28)

Lai saglabātu apstrādes drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī direktīva, personas dati būtu jāapstrādā tā, lai tiktu ievērota pienācīga drošības un konfidencialitātes pakāpe, tostarp tiktu novērsta neatļauta piekļuve personas datiem un to apstrādes aprīkojumam vai to izmantošana, un tā, lai ņemtu vērā pieejamo tehnikas līmeni un tehnoloģijas, kā arī īstenošanas izmaksas saistībā ar risku un aizsargājamo personas datu raksturu.

(29)

Personas dati būtu jāvāc konkrētos, skaidros un leģitīmos nolūkos, uz kuriem attiecas šīs direktīvas darbības joma, un tie nebūtu jāapstrādā nolūkos, kas nav saderīgi ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst. Ja personas datus apstrādā tas pats vai cits pārzinis nolūkā, ko aptver šīs direktīvas darbības joma un kas nav tas, kādā dati tika vākti, šādai apstrādei vajadzētu būt atļautai ar noteikumu, ka šāda apstrāde ir atļauta saskaņā ar piemērojamajiem tiesību aktu noteikumiem un ka tā ir nepieciešama un samērīga ar minēto citu nolūku.

(30)

Datu precizitātes princips būtu jāpiemēro, ņemot vērā attiecīgās apstrādes raksturu un nolūkus. Jo īpaši tiesvedībā izteikumi, kas satur personas datus, balstās uz fizisko personu subjektīvu uztveri un ne vienmēr ir pārbaudāmi. Attiecīgi prasībai par precizitāti nebūtu jāattiecas uz izteikuma precizitāti, bet vienīgi uz to, ka ir izdarīts konkrēts izteikums.

(31)

Personas datu apstrādei tādās jomās kā tiesu iestāžu sadarbība krimināllietās un policijas sadarbība ir raksturīgi tas, ka tiek apstrādi personas dati, kas attiecas uz dažādām datu subjektu kategorijām. Tāpēc – attiecīgā gadījumā un cik vien iespējams – ir nepieciešams skaidri nodalīt dažādu datu subjektu kategoriju personas datus, piemēram, aizdomās turēto, notiesāto, cietušo un citu personu, piemēram, liecinieku, personu, kam ir attiecīga informācija vai kontakti, un aizdomās turēto un notiesāto līdzdalībnieku personas datus. Tam nebūtu jāliedz piemērot tiesības uz nevainīguma prezumpciju, kas garantētas hartā un ECTK, kā tās interpretētas attiecīgi Tiesas un Eiropas Cilvēktiesību tiesas judikatūrā.

(32)

Kompetentajām iestādēm būtu jānodrošina, lai personas dati, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, netiktu nosūtīti vai darīti pieejami. Lai nodrošinātu fizisko personu aizsardzību un personas datu, kurus nosūta vai dara pieejamus, precizitāti, pilnīgumu vai to, kādā mērā tie ir aktuāli, un uzticamību, kompetentajām iestādēm visos personas datu nosūtīšanas gadījumos, cik iespējams, būtu jāpievieno nepieciešamā informācija.

(33)

Kad šajā direktīvā ir atsaucas uz dalībvalsts tiesībām, juridisko pamatu vai leģislatīvu pasākumu, tas uzreiz nenozīmē, ka vajadzīgs parlamenta pieņemts likumdošanas akts, neskarot prasības, kas izriet no attiecīgās dalībvalsts konstitucionālās iekārtas. Tomēr šādām dalībvalsts tiesībām, juridiskajam pamatam vai leģislatīvam pasākumam vajadzētu būt skaidram un precīzam un attiecīgajām personām būtu jāspēj paredzēt tā piemērošanu, kā tas prasīts Tiesas un Eiropas Cilvēktiesību tiesas judikatūrā. Dalībvalsts tiesībās, ar ko regulē personas datu apstrādi šīs direktīvas darbības jomā, būtu jānosaka vismaz mērķi, apstrādājamie personas dati, apstrādes nolūki, personas datu integritātes un konfidencialitātes saglabāšanas procedūras un to iznīcināšanas procedūras, tādējādi nodrošinot pietiekamas garantijas pret ļaunprātīgas izmantošanas risku un patvaļu.

(34)

Personas datu apstrādei, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, būtu jāattiecas uz jebkuru darbību vai darbību kopumu, ko veic ar personas datiem minētajos nolūkos ar automatizētiem līdzekļiem vai citādi, piemēram, vākšanu, reģistrāciju, organizēšanu, strukturēšanu, glabāšanu, pielāgošanu vai pārveidošanu, atgūšanu, aplūkošanu, izmantošanu, saskaņošanu vai kombinēšanu, apstrādes ierobežošanu, dzēšanu vai iznīcināšanu. Šīs direktīvas noteikumi jo īpaši būtu jāpiemēro šīs direktīvas nolūkos veiktai personas datu nosūtīšanai saņēmējam, uz ko neattiecas šī direktīva. Šādiem saņēmējiem vajadzētu ietvert fiziskas vai juridiskas personas, publiskas iestādes, aģentūras vai jebkuras citas struktūras, kurām kompetentā iestāde likumīgi izpauž datus. Gadījumos, kad kompetentā iestāde personas datus sākotnēji ir vākusi kādā no šīs direktīvas nolūkiem, šo datu apstrādei nolūkos, kas nav šīs direktīvas nolūki, būtu jāpiemēro Regula (ES) 2016/679, ja šāda apstrāde ir atļauta ar Savienības vai dalībvalsts tiesībām. Regulas (ES) 2016/679 noteikumi jo īpaši būtu jāpiemēro personas datu nosūtīšanai tādos nolūkos, uz kuriem neattiecas šīs direktīvas darbības joma. Personas datu apstrādei, ko veic saņēmējs, kurš nav kompetentā iestāde vai kurš nedarbojas kā tāda šīs direktīvas nozīmē un kuram kompetentā iestāde likumīgi izpauž personas datus, būtu jāpiemēro Regula (ES) 2016/679. Dalībvalstīm, īstenojot šo direktīvu, būtu arī jāvar sīkāk precizēt Regulas (ES) 2016/679 noteikumu piemērošanu, ņemot vērā tajā izklāstītos nosacījumus.

(35)

Lai saskaņā ar šo direktīvu veikta personas datu apstrāde būtu likumīga, tai vajadzētu būt nepieciešamai tādu uzdevumu izpildei, kurus kompetentā iestāde veic sabiedrības interesēs, pamatojoties uz Savienības vai dalībvalstu tiesībām, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Minētām darbībām būtu jāietver datu subjekta vitālu interešu aizsardzība. Kompetentajām iestādēm institucionāli likumā dotie uzdevumi – novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem – dod tām iespēju prasīt vai likt fiziskām personām pildīt prasīto. Tādā gadījumā datu subjekta piekrišanai, kā definēts Regulā (ES) 2016/679, nebūtu jākalpo par juridisko pamatu personas datu apstrādei, ko veic kompetentās iestādes. Ja datu subjektam liek pildīt kādu juridisku pienākumu, datu subjektam nav reālas un brīvas izvēles, tādēļ datu subjekta reakciju nevar uzskatīt par brīvprātīgi sniegtu norādi uz viņa vēlmēm. Tam nebūtu jāliedz dalībvalstīm likumā paredzēt, ka datu subjekts var piekrist savu personas datu apstrādei šīs direktīvas nolūkos, piemēram, DNS testiem kriminālizmeklēšanā vai tā atrašanās vietas uzraudzībai ar elektroniskām ierīcēm kriminālsodu izpildei.

(36)

Dalībvalstīm būtu jāparedz, ka tad, kad Savienības vai dalībvalsts tiesībās, ko piemēro nosūtītājai kompetentajai iestādei, ir paredzēti konkrēti nosacījumi, kurus konkrētos apstākļos piemēro personas datu apstrādei, piemēram, apstrādes kodu izmantošana, nosūtītājai kompetentajai iestādei par minētajiem nosacījumiem un par prasību tos ievērot būtu jāinformē šādu personas datu saņēmējs. Šādos nosacījumos, piemēram, varētu būt iekļauts aizliegums personas datus nosūtīt tālāk citiem vai izmantot tos citiem mērķiem nekā tiem, kuriem tie sākotnēji tika nosūtīti saņēmējam, vai informēt datu subjektu gadījumā, kad tiek ierobežotas tiesības uz informāciju bez nosūtītājas kompetentās iestādes iepriekšēja apstiprinājuma. Minētajiem pienākumiem būtu arī jāattiecas uz nosūtītājas kompetentās iestādes veiktu datu nosūtīšanu saņēmējiem trešās valstīs vai starptautiskām organizācijām. Dalībvalstīm būtu jānodrošina, ka nosūtītāja kompetentā iestāde šādus nosacījumus nepiemēro saņēmējiem citās dalībvalstīs vai aģentūrām, birojiem un struktūrām, kas izveidoti saskaņā ar LESD V sadaļas 4. un 5. nodaļu, izņemot tos, kuri piemērojami līdzīgām datu nosūtīšanām dalībvalstī, kurā atrodas minētā kompetentā iestāde.

(37)

Personas datiem, kas pēc sava rakstura ir īpaši sensitīvi saistībā ar pamattiesībām un pamatbrīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un pamatbrīvībām. Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmantošana šajā direktīvā nenozīmē, ka Savienība atzīst teorijas, ar kuru palīdzību notiek mēģinājumi noteikt dažādu cilvēku rasu pastāvēšanu. Šādi personas dati nebūtu jāapstrādā, izņemot gadījumus, kad uz apstrādi attiecas atbilstošas likumā noteiktas garantijas attiecībā uz datu subjektu tiesībām un brīvībām un kad tā ir atļauta likumā atļautos gadījumos; vai – ja tā vēl nav šādā likumā atļauta – gadījumos, kad apstrāde ir vajadzīga datu subjekta vai citas personas vitālu interešu aizsardzībai, vai ja apstrāde attiecas uz datiem, kurus datu subjekts acīmredzami ir publiskojis. Atbilstošas garantijas attiecībā uz datu subjektu tiesībām un brīvībām varētu aptvert iespēju vākt minētos datus tikai saistībā ar citiem datiem par attiecīgo fizisko personu, iespēju turēt savāktos datus pienācīgā drošībā, noteikt stingrākus noteikumus attiecībā uz kompetentās iestādes darbinieku piekļuvi datiem un aizliegumu nosūtīt minētos datus. Šādu datu apstrāde būtu arī jāatļauj likumā, ja datu subjekts nepārprotami ir piekritis apstrādei, kura ir īpaši dziļa iejaukšanās tā dzīvē. Tomēr datu subjekta piekrišanai pašai par sevi nebūtu jākalpo par juridisko pamatu šādu sensitīvu personas datu apstrādei kompetentajās iestādēs.

(38)

Datu subjektam vajadzētu būt tiesībām nebūt tāda lēmuma subjektam, ar kuru izvērtē ar viņu saistītus personiskus aspektus un kura pamatā ir tikai automatizēta apstrāde, un kurai ir nelabvēlīgas juridiskas sekas attiecībā uz datu subjektu vai kura to ievērojami ietekmē. Katrā ziņā uz šādu apstrādi būtu jāattiecina atbilstošas garantijas, tostarp īpašas informācijas sniegšana datu subjektam un tiesības panākt cilvēka iejaukšanos, jo īpaši paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šādas izvērtēšanas, un apstrīdēt lēmumu. Saskaņā ar hartas 21. un 52. pantā iekļautajiem nosacījumiem būtu jāaizliedz tāda profilēšana, ar kuru fiziskas personas tiek diskriminētas, pamatojoties uz personas datiem, kas pēc to rakstura ir īpaši sensitīvi saistībā ar pamattiesībām un pamatbrīvībām.

(39)

Lai ļautu datu subjektam īstenot savas tiesības, informācijai datu subjektam vajadzētu būt viegli pieejamai, tostarp pārziņa tīmekļa vietnē, un viegli saprotamai, izmantojot skaidru un vienkāršu valodu. Šādai informācijai vajadzētu būt pielāgotai neaizsargātu personu, piemēram, bērnu, vajadzībām.

(40)

Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar noteikumiem, kas pieņemti, ievērojot šo direktīvu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi saviem personas datiem, kā arī personas datu labošanu vai dzēšanu un apstrādes ierobežošanu. Pārzinim vajadzētu būt pienākumam atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās, ja vien pārzinis nepiemēro ierobežojumus datu subjekta tiesībām saskaņā ar šo direktīvu. Turklāt pārzinim būtu jāvar pieprasīt saprātīgu samaksu vai atteikt pieprasītās darbības veikšanu, ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, piemēram, ja datu subjekts nepamatoti un atkārtoti pieprasa informāciju vai ja datu subjekts savas tiesības saņemt informāciju izmanto ļaunprātīgi – piemēram, iesniedzot pieprasījumu, datu subjekts sniedz nepatiesu vai maldinošu informāciju.

(41)

Ja pārzinis lūdz sniegt papildu informāciju, kas vajadzīga datu subjekta identitātes apstiprināšanai, minētā informācija būtu jāapstrādā tikai šajā konkrētajā nolūkā un nebūtu jāglabā ilgāk nekā vajadzīgs šajā nolūkā.

(42)

Datu subjektam vajadzētu būt pieejamai vismaz šādai informācijai: pārziņa identitāte, fakts, ka notiek apstrādes darbība, apstrādes nolūki, tiesības iesniegt sūdzību un fakts, ka viņam ir tiesības pārzinim pieprasīt piekļuvi personas datiem un tos labot dzēst vai ierobežot to apstrādi. Tas varētu notikt kompetentās iestādes tīmekļa vietnē. Turklāt konkrētos gadījumos un lai datu subjekts varētu īstenot savas tiesības, viņš būtu jāinformē par datu apstrādes juridisko pamatu un par to, cik ilgi dati tiks glabāti, ciktāl šāda papildu informācija ir vajadzīga, lai nodrošinātu godprātīgu apstrādi attiecībā uz datu subjektu, ņemot vērā konkrētos apstākļus, kādos datus apstrādā.

(43)

Fiziskai personai vajadzētu būt tiesībām piekļūt datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot šīs tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tādēļ katram datu subjektam vajadzētu būt tiesībām zināt par apstrādi un saņemt paziņojumu par nolūkiem, kuros dati tiek apstrādāti, par apstrādes laikposmu un par datu saņēmējiem, tostarp trešās valstīs. Ja šajos paziņojumos ietver informāciju par personas datu ieguves avotu, ar šādu informāciju nebūtu jāatklāj fizisko personu identitāte, jo īpaši konfidenciāli avoti. Lai šīs tiesības ievērotu, pietiek ar to, ka datu subjekta rīcībā ir minēto datu pilns kopsavilkums saprotamā formā, tas ir, formā, kas datu subjektam ļauj uzzināt par minētajiem datiem un pārbaudīt, vai tie ir precīzi un apstrādāti saskaņā ar šo direktīvu, tā lai viņš varētu īstenot savas tiesības, kas tam piešķirtas ar šo direktīvu. Šādu kopsavilkumu varētu sniegt apstrādājamo personas datu kopijas formā.

(44)

Dalībvalstīm būtu jāvar pieņemt leģislatīvus pasākumus, ar kuriem atliek, ierobežo vai nesniedz datu subjektiem informāciju vai pilnībā vai daļēji ierobežo viņu piekļuvi saviem personas datiem, ciktāl un kamēr šāds pasākums, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, ir nepieciešams un samērīgs demokrātiskā sabiedrībā, lai novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšana vai procedūras, lai novērstu, ka tiek ietekmēta noziedzīgu nodarījumu novēršana, izmeklēšana atklāšana vai saukšana pie atbildības par tiem vai kriminālsodu izpilde, lai pasargātu sabiedrisko drošību vai valsts drošību vai lai pasargātu citu personu tiesības un brīvības. Pārzinim, veicot konkrētu un katra atsevišķa gadījuma pārbaudi, būtu jānovērtē, vai piekļuves tiesības būtu daļēji vai pilnībā jāierobežo.

(45)

Visi piekļuves atteikumi vai ierobežojumi būtu principā rakstiski jāsniedz datu subjektam un jāiekļauj faktiskie vai juridiskie iemesli, uz kuriem lēmums balstās.

(46)

Jānodrošina datu subjekta jebkādu tiesību ierobežojumu atbilstība hartai un ECTK, kā tas interpretēts attiecīgi Tiesas un Eiropas Cilvēktiesību tiesas judikatūrā, un jo īpaši jānodrošina minēto tiesību un brīvību būtības ievērošana.

(47)

Fiziskai personai vajadzētu būt tiesībām panākt, lai neprecīzi personas dati, kas uz to attiecas, tiktu laboti, jo īpaši, ja tie attiecas uz faktiem, un tiesībām uz datu dzēšanu, ja šādu datu apstrāde pārkāpj šo direktīvu. Tomēr tiesībām uz datu labošanu nebūtu jāietekmē, piemēram, liecinieka liecības saturs. Fiziskai personai vajadzētu būt arī tiesībām uz apstrādes ierobežošanu, ja tā apstrīd personas datu precizitāti un ja par to precizitāti vai neprecizitāti nav iespējams pārliecināties, vai ja personas dati jāsaglabā kā pierādījumi. Jo īpaši – tā vietā, lai dzēstu personas datus, būtu jāierobežo to apstrāde, ja konkrētā gadījumā ir pamatots iemesls uzskatīt, ka dzēšana varētu ietekmēt datu subjekta leģitīmās intereses. Šādā gadījumā dati, kuri ir ierobežoti, būtu jāapstrādā tikai nolūkā, kura dēļ tie netika dzēsti. Personas datu apstrādes ierobežošanas metodes cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu, piemēram, arhivēšanas nolūkos, vai izvēlēto datu padarīšanu par nepieejamiem. Automatizētās kartotēkās apstrādes ierobežojums principā būtu jānodrošina ar tehniskiem līdzekļiem. Tas, ka apstrāde ir ierobežota, būtu jānorāda sistēmā tā, lai būtu skaidrs, ka personas datu apstrāde ir ierobežota. Par šādu personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu būtu jāpaziņo saņēmējiem, kuriem šie dati ir atklāti, un kompetentajām iestādēm, no kurām tika iegūti neprecīzie dati. Pārziņiem būtu arī jāatturas no šādu datu turpmākas izplatīšanas.

(48)

Ja pārzinis liedz datu subjektam tiesības uz informāciju, piekļuvi personas datiem vai to labošanu, vai dzēšanu, vai apstrādes ierobežošanu, datu subjektam vajadzētu būt tiesībām pieprasīt, lai valsts uzraudzības iestāde pārbauda apstrādes likumīgumu. Datu subjekts būtu jāinformē par šīm tiesībām. Ja uzraudzības iestāde rīkojas datu subjekta vārdā, uzraudzības iestādei būtu vismaz jāinformē datu subjekts par to, ka visas nepieciešamās uzraudzības iestādes pārbaudes vai pārskatīšana ir notikušas. Uzraudzības iestādei būtu arī jāinformē datu subjekts par tiesībām vērsties tiesā.

(49)

Ja personas dati tiek apstrādāti kriminālizmeklēšanas un tiesvedības krimināllietās gaitā, dalībvalstīm būtu jāvar noteikt, ka tiesības uz informāciju, piekļuvi personas datiem vai to labošanu, vai dzēšanu un apstrādes ierobežošanu īsteno saskaņā ar valsts noteikumiem par tiesvedību.

(50)

Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo direktīvu. Šādos pasākumos būtu jāņem vērā apstrādes raksturs, apmērs, konteksts, nolūki un risks fizisko personu tiesībām un brīvībām. Pārziņa veiktajiem pasākumiem būtu jāietver konkrētu aizsardzības pasākumu izstrāde un īstenošana attiecībā uz neaizsargātu fizisko personu, piemēram, bērnu, personas datu apstrādi.

(51)

Datu apstrāde, kas varētu izraisīt fizisku, materiālu vai nemateriālu kaitējumu, ar atšķirīgu iespējamību un nopietnību var radīt risku fizisku personu tiesībām un brīvībām, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālus zaudējumus, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību arodbiedrībai, ja tiek apstrādāti ģenētiskie dati vai biometriskie dati, lai veiktu personas viennozīmīgu identifikāciju, vai ja tiek apstrādāti dati par veselību vai dati par dzimumdzīvi un seksuālo orientāciju vai sodāmību un noziedzīgiem nodarījumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot un prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, jo īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu.

(52)

Riska iespējamība un nopietnība būtu jānosaka atkarībā no apstrādes rakstura, apmēra, konteksta un nolūkiem. Risks būtu jānovērtē, pamatojoties uz objektīvu izvērtējumu, kurā nosaka, vai datu apstrādes darbības ietver augstu risku. Augsts risks ir īpašs risks, ka var notikt kaitējums datu subjektu tiesībām un brīvībām.

(53)

Fizisko personu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi ir nepieciešams, lai tiktu veikti pienācīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu šīs direktīvas prasību izpildi. Šādu pasākumu īstenošanai nevajadzētu būt atkarīgai vienīgi no ekonomiskiem apsvērumiem. Lai varētu uzskatāmi parādīt, ka šīs direktīvas noteikumi ir ievēroti, pārzinim būtu jāpieņem iekšējas pamatnostādnes un jāīsteno pasākumi, kuros jo īpaši ievēroti integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principi. Ja pārzinis ir veicis novērtējumu par ietekmi uz datu aizsardzību saskaņā ar šo direktīvu, novērtējuma rezultāti būtu jāņem vērā, izstrādājot minētos pasākumus un procedūras. Pasākumi cita starpā varētu ietvert pēc iespējas agrāku pseidonimizācijas izmantošanu. Pseidonimizācijas izmantošana šīs direktīvas piemērošanas nolūkos var kalpot jo īpaši kā līdzeklis, kas varētu atvieglot personas datu brīvu apriti brīvības, drošības un tiesiskuma telpā.

(54)

Datu subjektu tiesību un brīvību aizsardzība, kā arī pārziņu un apstrādātāju pienākumi un atbildība, arī saistībā ar uzraudzības iestāžu veikto uzraudzību un īstenotajiem pasākumiem, prasa skaidri sadalīt pienākumus, kas paredzēti šajā direktīvā, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

(55)

Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar juridisku aktu, tostarp ar līgumu, kurš apstrādātāju saista ar pārzini un paredz jo īpaši to, ka apstrādātājam būtu jārīkojas tikai saskaņā ar pārziņa norādījumiem. Apstrādātājam būtu jāņem vērā princips, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

(56)

Lai uzskatāmi parādītu, ka šīs direktīvas noteikumi ir ievēroti, pārzinim vai apstrādātājam būtu jāveic uzskaite par visu kategoriju apstrādes darbībām, par kurām tas ir atbildīgs. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un darīt minēto uzskaiti tai pieejamu pēc pieprasījuma, lai tā varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām. Pārziņa vai apstrādātāja, kurš personas datus apstrādā ar neautomatizētām apstrādes sistēmām, rīcībā vajadzētu būt efektīvām metodēm, piemēram, ierakstiem vai cita veida uzskaitei, ar ko uzskatāmi parāda apstrādes likumīgumu, ļauj veikt pašuzraudzību un nodrošina datu integritāti un datu drošību.

(57)

Būtu jāveic ieraksti vismaz par tādām darbībām automatizētās apstrādes sistēmās kā vākšana, pārveidošana, aplūkošana, izpaušana, tostarp nosūtīšana, kombinēšana vai dzēšana. Būtu jāreģistrē tās personas identificēšana, kura aplūkojusi vai izpaudusi personas datus, un minētajai identificēšanai būtu jānodrošina iespēja noteikt apstrādes darbību pamatojumu. Ieraksti būtu jāizmanto tikai, lai pārbaudītu apstrādes likumīgumu, veiktu pašuzraudzību, nodrošinātu datu integritāti un datu drošību un kriminālprocesa norisi. Pašuzraudzība ietver arī kompetento iestāžu iekšējās disciplinārās procedūras.

(58)

Ja apstrādes darbības var radīt augstu apdraudējuma risku datu subjektu tiesībām un brīvībām sava rakstura, darbības jomas vai nolūku dēļ, pārzinim būtu jāveic novērtējums par ietekmi uz datu aizsardzību, kurā jo īpaši būtu jāiekļauj pasākumi, garantijas un mehānismi, kas paredzēti, lai nodrošinātu personas datu aizsardzību un parādītu atbilstību šai direktīvai. Ietekmes novērtējumiem būtu jāaptver nevis atsevišķi gadījumi, bet attiecīgās apstrādes darbību sistēmas un procesi.

(59)

Lai nodrošinātu datu subjektu tiesību un brīvību efektīvu aizsardzību, pārzinim vai apstrādātajam noteiktos gadījumos pirms apstrādes būtu jāapspriežas ar uzraudzības iestādi.

(60)

Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī direktīva, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Šādiem pasākumiem, ņemot vērā jaunākās tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, un jāņem vērā apstrādei raksturīgais risks un aizsargājamās personas datu īpatnības. Novērtējot datu drošības riskus, būtu jāņem vērā riski, ko rada datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana vai neatļauta izpaušana vai piekļuve tiem, kas var jo īpaši izraisīt fizisku, materiālu vai nemateriālu kaitējumu. Pārzinim un apstrādātājam būtu jānodrošina, ka personas datu apstrādi neveic nepilnvarotas personas.

(61)

Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāli zaudējumi, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai būtiska nelabvēlīga ekonomiskā vai sociālā situācija. Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka ir noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par pārkāpumu uzraudzības iestādei, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Ja šādu paziņošanu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno paskaidrojums par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās.

(62)

Lai fiziskas personas varētu veikt nepieciešamos piesardzības pasākumus, tās būtu bez nepamatotas kavēšanās jāinformē gadījumā, ja personas datu aizsardzības pārkāpums var radīt augstu apdraudējuma risku fizisku personu tiesībām un brīvībām. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs un jāietver ieteikumi, kā attiecīgā fiziskā persona varētu mazināt iespējamās nelabvēlīgās sekas. Paziņojums datu subjektiem būtu jāsniedz pēc iespējas drīz, ciešā sadarbībā ar uzraudzības iestādi un saskaņā ar tās vai citu attiecīgo iestāžu sniegtajiem norādījumiem. Piemēram, ja nepieciešams mazināt tūlītēju kaitējuma risku, būtu ātri jāsniedz paziņojums datu subjektam, savukārt nepieciešamība īstenot piemērotus pasākumus, lai novērstu datu aizsardzības pārkāpuma turpināšanos vai līdzīgus pārkāpumus, var attaisnot ilgāku laiku paziņojuma sniegšanai. Ja ar paziņojuma par personas datu aizsardzības pārkāpuma attiecīgajai fiziskajai personai atliktu sniegšanu vai ierobežošanu nevar novērst to, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšana vai procedūras, kuru mērķis ir novērst, ka tiek ietekmēta noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana vai saukšana pie atbildības par tiem vai kriminālsodu izpilde, sabiedriskās drošības aizsardzība, valsts drošības aizsardzība vai citu personu tiesību un brīvību aizsardzība,, šādu paziņojumu ārkārtas apstākļos varētu nesniegt.

(63)

Pārzinim būtu jānorīko persona, kura palīdzētu tam uzraudzīt iekšējo atbilstību noteikumiem, kas pieņemti saskaņā ar šo direktīvu, izņemot gadījumus, kad dalībvalsts nolemj noteikt atbrīvojumu tiesām un citām neatkarīgām tiesu iestādēm, tām pildot tiesas funkciju. Minētā persona varētu būt kāds no pārziņa esošajiem darbiniekiem, kurš saņēmis speciālu apmācību par datu aizsardzības tiesībām un praksi, lai iegūtu speciālās zināšanas minētajā jomā. Vajadzīgais speciālo zināšanu līmenis būtu jānosaka, jo īpaši ņemot vērā datu apstrādi, kas tiek veikta, un aizsardzību, kas nepieciešama pārziņa apstrādātajiem personas datiem. Šī persona savus uzdevumus varētu veikt, strādājot nepilnu vai pilnu darba slodzi. Datu aizsardzības speciālistu var kopīgi iecelt vairāki pārziņi, ņemot vērā to organizatorisko uzbūvi un lielumu, piemēram, gadījumos, kad centrālajām vienībām ir kopīgi resursi. Minēto personu var izvirzīt arī citiem amatiem attiecīgo pārziņu struktūras ietvaros. Minētajai personai būtu jāpalīdz pārzinim un darbiniekiem, kuri apstrādā personas datus, proti tie jāinformē un jākonsultē par atbilstību attiecīgiem datu aizsardzības pienākumiem. Šādiem datu aizsardzības speciālistiem būtu jāspēj veikt savus pienākumus un uzdevumus neatkarīgi saskaņā ar dalībvalsts tiesībām.

(64)

Dalībvalstīm būtu jānodrošina, ka nosūtīšana uz trešo valsti vai starptautisku organizāciju tiek veikta tikai tad, ja tā ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un ka minētais pārzinis trešā valstī vai starptautiskajā organizācijā ir kompetenta iestāde šīs direktīvas izpratnē. Nosūtīšana būtu jāveic tikai kompetentajām iestādēm, kas darbojas kā pārziņi, izņemot gadījumus, kad apstrādātājiem ir doti skaidri norādījumi veikt nosūtīšanu pārziņu vārdā. Šāda nosūtīšana var notikt gadījumos, kad Komisija ir nolēmusi, ka attiecīga trešā valsts vai starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni, kad tiek sniegtas atbilstošas garantijas, vai kad ir piemērojamas atkāpes īpašās situācijās. Gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskajām organizācijām, aizsardzības līmenim, ko šī direktīva garantē fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem vai apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskajā organizācijā.

(65)

Kad personas datus no kādas dalībvalsts nosūta uz trešām valstīm vai starptautiskām organizācijām, šādai pārsūtīšanai principā būtu jānotiek tikai pēc tam, kad dalībvalsts, no kuras dati tika saņemti, ir devusi atļauju nosūtīšanai. Efektīvas sadarbības interesēs tiesībaizsardzības jomā ir nepieciešams, lai tad, kad draudi kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai vai kādas dalībvalsts būtiskajām interesēm ir tik tieši, ka kļūst neiespējams laikus iegūt iepriekšēju atļauju, kompetentajai iestādei vajadzētu būt iespējai attiecīgos personas datus nosūtīt uz attiecīgo trešo valsti vai starptautisko organizāciju bez šādas iepriekšējas atļaujas. Dalībvalstīm būtu jāparedz, ka jebkurš konkrēts nosacījums attiecībā uz nosūtīšanu būtu jādara zināms trešām valstīm vai starptautiskajām organizācijām. Personas datu tālākai nosūtīšanai būtu nepieciešama tās kompetentās iestādes iepriekšēja atļauja, kura veikusi sākotnējo nosūtīšanu. Lemjot par datu tālākas nosūtīšanu atļaujas pieprasījumu, kompetentajai iestādei, kura veikusi sākotnējo nosūtīšanu, būtu pienācīgi jāņem vērā visi attiecīgie faktori, tostarp noziedzīgā nodarījuma smagums, konkrēti izvirzītie nosacījumi un nolūks, kādā dati sākotnēji ir nosūtīti, kriminālsoda izpildes raksturs un nosacījumi un personas datu aizsardzības līmenis trešā valstī vai starptautiskajā organizācijā, uz kuru personas dati tiek tālāk nosūtīti. Kompetentajai iestādei, kura veikusi sākotnējo nosūtīšanu, būtu arī jāizvirza konkrēti nosacījumi tālākai nosūtīšanai. Šos konkrētos nosacījumus var aprakstīt, piemēram, apstrādes kodos.

(66)

Komisijai attiecībā uz visu Savienību būtu jāvar nolemt, ka konkrētas trešās valstis vai kāda teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni, tādējādi nodrošinot juridisko noteiktību un vienotību visā Savienībā attiecībā pret trešām valstīm vai starptautiskajām organizācijām, par kurām uzskata, ka tās nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz minētajām valstīm būtu jāvar nosūtīt bez nepieciešamības saņemt īpašu atļauju, izņemot gadījumus, kad citai dalībvalstij, no kuras dati tika iegūti, ir jādod atļauja nosūtīšanai.

(67)

Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai, novērtējot trešo valsti vai kādu teritoriju vai konkrētu sektoru trešā valstī, būtu jāņem vērā tas, kā konkrēta trešā valsts ievēro tiesiskumu, tiesu pieejamību, kā arī starptautiskās cilvēktiesību normas un standartus, un tās vispārējie un nozaru tiesību akti, tostarp tiesību akti attiecībā uz sabiedrisko drošību, aizsardzību un valsts drošību, kā arī sabiedrisko kārtību un krimināltiesībām. Pieņemot lēmumu par aizsardzības līmeņa pietiekamību attiecībā uz kādu teritoriju vai konkrētu sektoru trešā valstī, būtu jāņem vērā skaidri un objektīvi kritēriji, piemēram, konkrētas apstrādes darbības un piemērojamo juridisko standartu un attiecīgajā trešā valstī spēkā esošo tiesību aktu darbības joma. Trešai valstij būtu jāpiedāvā garantijas, kas nodrošinātu pietiekamu aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Savienībā nodrošinātajam, jo īpaši, ja datus apstrādā vienā vai vairākos konkrētos sektoros. Trešai valstij jo īpaši būtu jānodrošina efektīva neatkarīga datu aizsardzības uzraudzība un jāparedz sadarbības mehānismi ar dalībvalstu datu aizsardzības iestādēm un datu subjektiem būtu jāparedz efektīvas un īstenojamas tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā.

(68)

Papildus starptautiskām saistībām, ko uzņēmusies trešā valsts vai starptautiskā organizācija, Komisijai būtu jāņem vērā arī pienākumi, kas izriet no trešās valsts vai starptautiskās organizācijas dalības daudzpusējās vai reģionālās sistēmās, jo īpaši attiecībā uz personas datu aizsardzību, kā arī šādu pienākumu izpilde. Jo īpaši būtu jāņem vērā trešās valsts pievienošanās Eiropas Padomes 1981. gada 28. janvāra Konvencijai par personu aizsardzību attiecībā uz personas datu automātisko apstrādi un tās Papildu protokolam. Izvērtējot aizsardzības līmeni trešās valstīs vai starptautiskās organizācijās, Komisijai būtu jākonsultējas ar Eiropas Datu aizsardzības kolēģiju, kas izveidota ar Regulu (ES) 2016/679 (“kolēģija”). Komisijai būtu jāņem vērā arī visi attiecīgie Komisijas lēmumi par aizsardzības līmeņa pietiekamību, kas pieņemti saskaņā ar Regulas (ES) 2016/679 45. pantu.

(69)

Komisijai būtu jāuzrauga, kā darbojas lēmumi par aizsardzības līmeni trešā valstī vai teritorijā, konkrētā sektorā trešā valstī, vai starptautiskā organizācijā. Savos lēmumos par aizsardzības līmeņa pietiekamību Komisijai būtu jāparedz periodiskas pārskatīšanas mehānisms attiecībā uz to darbību. Minētā periodiskā pārskatīšana būtu jāveic, apspriežoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajā būtu jāņem vērā visi būtiskie notikumi trešā valstī vai starptautiskajā organizācijā.

(70)

Komisijai arī būtu jāvar konstatēt, ka kāda trešā valsts vai kāda teritorija, konkrēts sektors trešā valstī, vai starptautiska organizācija vairs nenodrošina pietiekamu datu aizsardzības līmeni. Līdz ar to personas datu nosūtīšana uz minēto trešo valsti vai starptautisko organizāciju būtu jāaizliedz, ja vien nav izpildītas šīs direktīvas prasības attiecībā uz nosūtīšanu, uz ko attiecas attiecīgas garantijas un atkāpes specifiskās situācijās. Būtu jāparedz noteikumi par apspriešanās procedūrām starp Komisiju un šādām trešām valstīm vai starptautiskajām organizācijām. Komisijai būtu laikus jāinformē attiecīgā trešā valsts vai starptautiskā organizācija par iemesliem un jāsāk ar to apspriešanās, lai šo situāciju atrisinātu.

(71)

Nosūtīšana, kas nebalstās uz šādu lēmumu par aizsardzības līmeņa pietiekamību, būtu jāatļauj tikai tad, ja juridiski saistošā instrumentā tiek sniegtas atbilstošas garantijas, kas nodrošina personas datu aizsardzību, vai ja pārzinis ir izvērtējis visus datu nosūtīšanas apstākļus un, pamatojoties uz šo izvērtējumu, uzskata, ka pastāv atbilstošas garantijas personas datu aizsardzībai. Šādi juridiski saistoši instrumenti varētu būt, piemēram, juridiski saistoši divpusēji nolīgumi, kurus noslēgušas dalībvalstis un kuri ieviesti to tiesību sistēmā, un kuru izpildi varētu panākt to datu subjekti, nodrošinot datu aizsardzības prasību un datu subjektu tiesību ievērošanu, tostarp tiesības panākt tiesību efektīvu aizsardzību administratīvā kārtā vai tiesā. Pārzinim, vērtējot visus datu nosūtīšanas apstākļus, būtu jāvar ņemt vērā starp Eiropolu vai Eurojust un trešām valstīm noslēgtus sadarbības nolīgumus, kas atļauj personas datu apmaiņu. Pārzinim būtu jāvar ņemt vērā arī to, ka personas datu nosūtīšanai tiks piemērotas konfidencialitātes prasības un specifiskuma princips, nodrošinot, ka dati netiks apstrādāti citos nolūkos kā vien nosūtīšanas nolūkā. Turklāt pārzinim būtu jāņem vērā, ka personas dati netiks izmantoti, lai pieprasītu, pasludinātu vai izpildītu nāvessodu vai jebkādu citu cietsirdīgu un necilvēcīgu soda veidu. Lai arī minētos nosacījumus varētu uzskatīt par atbilstošām garantijām, kas ļauj veikt datu nosūtīšanu, pārzinim būtu jāvar pieprasīt papildu garantijas.

(72)

Kad nav nedz lēmuma par aizsardzības līmeņa pietiekamību, nedz atbilstošu garantiju, nosūtīšana vai sūtījumu kategorija varētu būt pieļaujama tikai konkrētās situācijās, ja tas nepieciešams, lai pasargātu datu subjekta vai citas personas vitālas intereses vai lai pasargātu datu subjekta leģitīmas intereses, ja to nosaka tās dalībvalsts tiesību akti, kura nosūta personas datus, lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai, kādā atsevišķā gadījumā, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vai kādā atsevišķā gadījumā, lai celtu, īstenotu vai aizstāvētu likumīgas prasības. Minētās atkāpes būtu interpretējamas sašaurināti, un ar tām nebūtu jāpieļauj personas datu bieža, masveida un strukturāla nosūtīšana vai apjomīga nosūtīšana, bet būtu jānosūta vienīgi dati, kas noteikti nepieciešami. Lai uzraudzītu nosūtīšanas likumīgumu, šāda nosūtīšana būtu jādokumentē, un pēc pieprasījuma tā būtu jādara pieejama uzraudzības iestādei.

(73)

Dalībvalstu kompetentās iestādes piemēro spēkā esošos divpusējos vai daudzpusējos starptautiskos nolīgumus, kas noslēgti ar trešām valstīm par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību, lai apmainītos ar attiecīgu informāciju, kas tām ļauj veikt juridiski uzticētos uzdevumus. Tas principā notiek ar attiecīgo kompetento iestāžu trešajās valstīs palīdzību šīs direktīvas nolūkos vai vismaz sadarbībā ar tām – reizēm pat tad, ja nav divpusēja vai daudzpusēja starptautiska nolīguma. Tomēr konkrētos atsevišķos gadījumos oficiālās procedūras, kad ir jāsazinās ar šādu iestādi trešā valstī, var nebūt efektīvas vai piemērotas, jo īpaši tāpēc, ka nosūtīšanu nevarētu veikt savlaicīgi vai minētā iestāde trešā valstī nerespektē tiesiskumu vai starptautisko cilvēktiesību normas un standartus, līdz ar ko dalībvalstu kompetentās iestādes varētu nolemt personas datus nosūtīt tieši saņēmējiem, kas veic uzņēmējdarbību minētajās trešās valstīs. Tā var būt gadījumā, ja pastāv steidzama vajadzība nosūtīt personas datus, lai glābtu personas dzīvību, kurai ir draudi kļūt par noziedzīga nodarījuma upuri, vai lai novērstu kāda nozieguma, tostarp ar terorisma, tūlītēju izdarīšanu. Pat ja šādai nosūtīšanai starp kompetentajām iestādēm un saņēmējiem, kas veic uzņēmējdarbību trešās valstīs, būtu jānotiek tikai konkrētos atsevišķos gadījumos, šajā direktīvā būtu jāparedz nosacījumi šādu gadījumu reglamentēšanai. Minētie noteikumi nebūtu uzskatāmi par atkāpēm no jebkādiem spēkā esošiem divpusējiem vai daudzpusējiem starptautiskiem nolīgumiem par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību. Minētie noteikumi būtu jāpiemēro papildus citiem šīs direktīvas noteikumiem, jo īpaši noteikumiem par apstrādes likumīgumu un V nodaļas noteikumiem.

(74)

Personas datu pārvietošana pāri robežām var ievērojami ietekmēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, lai aizsargātu sevi pret minēto datu nelikumīgu izmantošanu vai izpaušanu. Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nespēj reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās aiz robežām. Viņu pūliņus pārrobežu kontekstā strādāt kopā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras un tiesisko regulējumu atšķirības. Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām veikt informācijas apmaiņu ar attiecīgajām iestādēm citās valstīs.

(75)

Tādu uzraudzības iestāžu izveide dalībvalstīs, kuras pilda savas funkcijas pilnīgi neatkarīgi, ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz to personas datu apstrādi. Uzraudzības iestādēm būtu jāuzrauga šīs direktīvas piemērošana, un jāpalīdz nodrošināt to konsekventu piemērošanu visā Savienībā, lai aizsargātu fiziskās personas saistībā ar to personas datu apstrādi. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas vienai ar otru un ar Komisiju.

(76)

Pienākumus, kas jāveic valstu uzraudzības iestādēm, kuras jāizveido saskaņā ar šo direktīvu, dalībvalstis var uzticēt uzraudzības iestādei, kas jau izveidota saskaņā ar Regulu (ES) 2016/679.

(77)

Būtu jāļauj dalībvalstīm izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai un administratīvajai uzbūvei. Katrai uzraudzības iestādei būtu jāpiešķir finanšu un cilvēkresursi, telpas un infrastruktūra, kas ir nepieciešami efektīvai uzdevumu izpildei, tostarp arī to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Savienībā. Katrai uzraudzības iestādei vajadzētu būt atsevišķam, publiskam gada budžetam, kas var būt daļa no kopējā valsts budžeta.

(78)

Uzraudzības iestādēm būtu jāpiemēro neatkarīgi kontroles vai uzraudzības mehānismi attiecībā uz šo iestāžu finanšu izdevumiem ar noteikumu, ka šāda finanšu kontrole neietekmē to neatkarību.

(79)

Vispārējie nosacījumi, lai kļūtu par uzraudzības iestādes locekli vai locekļiem, būtu jānosaka dalībvalsts tiesībās, un ar tiem jo īpaši būtu jāparedz, ka šos locekļus amatā ieceltu vai nu dalībvalsts parlaments vai valdība, vai valsts vadītājs, pamatojoties uz valdības vai valdības locekļa, vai parlamenta vai tā palātas priekšlikumu, vai arī neatkarīga struktūra, kurai ar dalībvalsts tiesībām uzticēta iecelšana, kas jāīsteno pārredzamā procedūrā. Lai nodrošinātu uzraudzības iestādes neatkarību, uzraudzības iestādes loceklim vai locekļiem būtu jārīkojas godprātīgi, jāatturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un savu pilnvaru laikā tiem nebūtu jāuzņemas nekāds cits nesavienojams algots vai nealgots darbs. Lai nodrošinātu uzraudzības iestādes neatkarību, tās darbinieki būtu jāizraugās uzraudzības iestādei, un šajā procesā varētu piedalīties neatkarīga struktūra, kurai tas uzticēts ar dalībvalsts tiesībām.

(80)

Kaut arī šī direktīva ir piemērojama arī valsts tiesu un citu tiesu iestāžu darbībai, ja tiesa personas datus apstrādā, pildot tiesas funkciju, uzraudzības iestādes kompetencē nebūtu jāietver šāda apstrāde, lai pasargātu tiesnešu neatkarību, pildot tiesas spriešanas funkciju. Minētais izņēmums būtu jāattiecina tikai uz tiesas spriešanas darbībām tiesas lietās, un tas nebūtu jāattiecina uz citām darbībām, kurās tiesneši varētu būt iesaistīti saskaņā ar dalībvalsts tiesībām. Dalībvalstīm būtu arī jāvar paredzēt, ka uzraudzības iestādes kompetencē nav iekļauta citu neatkarīgu tiesu iestāžu, piemēram, prokuratūras, veiktā personas datus apstrāde, kad tās pilda savu tiesas funkciju. Katrā ziņā tiesu un citu neatkarīgu tiesu iestāžu atbilstību šīs direktīvas noteikumiem vienmēr uzrauga neatkarīga iestāde saskaņā ar hartas 8. panta 3. punktu.

(81)

Katrai uzraudzības iestādei būtu jāizskata jebkura datu subjekta sūdzība un jāizmeklē lieta vai tā jānodod kompetentajai uzraudzības iestādei. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to pārskatīt tiesā. Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības izskatīšanas virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi, būtu jāsniedz starpposma informācija datu subjektam.

(82)

Lai nodrošinātu efektīvu, uzticamu un konsekventu uzraudzību attiecībā uz to, kā visā Savienībā tiek ievēroti un izpildīti šīs direktīvas noteikumi saskaņā ar LESD, kā to interpretējusi Tiesa, uzraudzības iestādēm katrā dalībvalstī vajadzētu būt vieniem un tiem pašiem uzdevumiem un faktiskajām pilnvarām, tostarp izmeklēšanas, korektīvām un padomdevēja pilnvarām, kas ir to uzdevumu izpildei vajadzīgi līdzekļi. Tomēr šo iestāžu pilnvarām nevajadzētu būt pretrunā īpašajiem noteikumiem attiecībā uz kriminālprocesu, tostarp noziedzīgu nodarījumu izmeklēšanu un saukšanu pie atbildības par tiem, vai tiesu iestāžu neatkarībai. Neskarot kriminālvajāšanas iestāžu pilnvaras saskaņā ar dalībvalsts tiesībām, uzraudzības iestādēm vajadzētu būt arī pilnvarām pievērst tiesu iestāžu uzmanību šīs direktīvas pārkāpumiem vai rīcību tiesvedībā. Uzraudzības iestāžu pilnvaras būtu jāīsteno objektīvi, taisnīgi un saprātīgā termiņā saskaņā ar atbilstošām procesuālām garantijām, kas paredzētas Savienības un dalībvalsts tiesībās. Jo īpaši, katram pasākumam, kas paredzēts, lai nodrošinātu atbilstību šai direktīvai, vajadzētu būt piemērotam, vajadzīgam un samērīgam, ņemot vērā apstākļus katrā atsevišķā gadījumā, tajā būtu jāievēro katras personas tiesības tikt uzklausītai pirms tāda individuāla pasākuma pieņemšanas, kurš attiecīgo personu nelabvēlīgi ietekmētu, un būtu jāizvairās no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajai personai. Izmeklēšanas pilnvaras attiecībā uz piekļuvi telpām būtu jāīsteno saskaņā ar dalībvalsts tiesību konkrētajām prasībām, piemēram, prasību saņemt iepriekšēju tiesas atļauju. Juridiski saistoša lēmuma pieņemšanai būtu jāpiemēro iespēja pārskatīt to tiesā tajā dalībvalstī, kuras uzraudzības iestāde pieņēmusi minēto lēmumu.

(83)

Uzraudzības iestādēm būtu vienai otra jāatbalsta savu uzdevumu veikšanā un jāsniedz savstarpēja palīdzība, lai nodrošinātu saskaņā ar šo direktīvu pieņemto noteikumu konsekventu piemērošanu un izpildi.

(84)

Kolēģijai, būtu jāpalīdz nodrošināt šīs direktīvas konsekventa piemērošana visā Savienībā, tostarp sniedzot padomus Komisijai un veicinot uzraudzības iestāžu sadarbību visā Savienībā.

(85)

Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību vienai uzraudzības iestādei un tiesībām uz efektīvu tiesību aizsardzību tiesā saskaņā ar hartas 47. pantu, ja datu subjekts uzskata, ka viņa tiesības, kas paredzētas noteikumos, kas pieņemti saskaņā ar šo direktīvu, ir pārkāptas, vai ja uzraudzības iestāde nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to pārskatīt tiesā. Kompetentajai uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības izskatīšanas virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi, būtu jāsniedz starpposma informācija datu subjektam. Lai atvieglotu sūdzību iesniegšanu, katrai uzraudzības iestādei būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus.

(86)

Katrai fiziskai vai juridiskai personai vajadzētu būt tiesībām uz efektīvu tiesību aizsardzību kompetentajā valsts tiesā pret uzraudzības iestādes lēmumu, kas rada juridiskas sekas attiecībā uz šādu personu. Šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu. Tomēr minētās tiesības neattiecas uz citiem uzraudzības iestāžu pasākumiem, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotiem atzinumiem vai sniegtiem padomiem. Prasība pret uzraudzības iestādi būtu jāceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde, un tā būtu jāizskata saskaņā ar minētās dalībvalsts tiesībām. Šādām tiesām vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu.

(87)

Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo direktīvu ir pārkāptas, viņam būtu jāparedz tiesības pilnvarot kādu struktūru, kuras mērķis ir datu subjekta tiesību un interešu aizsardzība attiecībā uz viņu personas datu aizsardzību un kura ir izveidota saskaņā ar dalībvalsts tiesībām, iesniegt sūdzību viņa vārdā uzraudzības iestādē un īstenot tiesības uz tiesību aizsardzību tiesā. Datu subjektu tiesībām uz pārstāvību nebūtu jāskar dalībvalsts procesuālajām tiesībām, kuros var būt prasīts, lai valsts tiesās datu subjektu obligāti pārstāvētu advokāts, kā noteikts Padomes Direktīvā 77/249/EEK (10).

(88)

Pārzinim vai jebkurai citai iestādei, kas ir kompetenta saskaņā ar dalībvalsts tiesībām, būtu jākompensē jebkurš kaitējums, kas personai var tikt nodarīts tādas apstrādes rezultātā, kura neatbilst noteikumiem, kas pieņemti saskaņā ar šo direktīvu. Kaitējuma jēdziens būtu jāinterpretē paplašināti, ņemot vērā Tiesas judikatūru tādā veidā, kas pilnībā atbilst šīs direktīvas mērķiem. Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalsts tiesību pārkāpumiem. Ja ir iekļauta atsauce uz apstrādi, kura ir nelikumīga vai pārkāpj noteikumus, kas pieņemti saskaņā ar šo direktīvu, tā attiecas arī uz apstrādi, kurā tiek pārkāpti īstenošanas akti, kuri pieņemti saskaņā ar šo direktīvu. Datu subjektiem būtu jāsaņem pilnīga un reāla kompensācija par tiem nodarīto kaitējumu.

(89)

Būtu jāpiemēro sankcijas jebkurai fiziskai vai juridiskai personai – privāto vai publisko tiesību subjektam –, kura pārkāpj šo direktīvu. Dalībvalstīm būtu jānodrošina, ka sankcijas ir iedarbīgas, samērīgas un atturošas, un tām būtu jāveic visi pasākumi, lai tās īstenotu.

(90)

Lai nodrošinātu vienotus nosacījumus šīs direktīvas īstenošanai, būtu jāpiešķir Komisijai īstenošanas pilnvaras attiecībā uz pietiekamu aizsardzības līmeni, ko nodrošina kāda trešā valsts, teritorija vai konkrēts sektors trešajā valstī, vai starptautiska organizācija un uz formātu un procedūrām savstarpējai palīdzībai un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (11).

(91)

Ņemot vērā, ka minētajiem aktiem ir vispārēja piemērošanas joma, būtu jāizmanto pārbaudes procedūra īstenošanas aktu pieņemšanai attiecībā uz pietiekamu aizsardzības līmeni, ko nodrošina kāda trešā valsts, teritorija vai konkrēts sektors trešajā valstī, vai starptautiska organizācija, un formātu un procedūrām savstarpējai palīdzībai un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus.

(92)

Komisijai būtu jāpieņem tūlītēji piemērojami īstenošanas akti, ja pilnīgi pamatotos gadījumos saistībā ar kādu trešo valsti, teritoriju, vai konkrētu sektoru trešajā valstī, vai starptautisku organizāciju, kas vairs nenodrošina pietiekamu aizsardzības līmeni, tas ir nepieciešams nenovēršamu steidzamu iemeslu dēļ.

(93)

Ņemot vērā to, ka šīs direktīvas mērķus, proti, aizsargāt fizisku personu pamattiesības un pamatbrīvības un jo īpaši viņu tiesības uz personas datu aizsardzību un nodrošināt, lai kompetentās iestādes Savienībā brīvi apmainītos ar personas datiem, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības mēroga vai iedarbības dēļ šos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar LES 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas vajadzīgi minēto mērķu sasniegšanai.

(94)

Konkrētiem noteikumiem Savienības tiesību aktos, kuri pieņemti pirms šīs direktīvas pieņemšanas dienas attiecībā uz tiesu iestāžu sadarbību krimināllietās un policijas sadarbību un ar kuriem reglamentē personas datu apstrādi starp dalībvalstīm vai dalībvalstu norīkoto iestāžu piekļuvi informācijas sistēmām, kas izveidotas, ievērojot Līgumus, būtu jāpaliek neskartiem, piemēram, konkrētiem noteikumiem par personas datu aizsardzību, kurus piemēro, ievērojot Padomes Lēmumu 2008/615/TI (12) vai 23. pantu Konvencijā par Eiropas Savienības dalībvalstu savstarpējo palīdzību krimināllietās (13). Tā kā hartas 8. pantā un LESD 16. pantā paredzēta prasība, ka pamattiesības uz personas datu aizsardzību konsekventi nodrošina visā Savienībā, Komisijai būtu jāizvērtē situācija attiecībā uz šīs direktīvas saistību ar aktiem, kuri pieņemti pirms šīs direktīvas pieņemšanas dienas un kuri regulē personas datu apstrādi starp dalībvalstīm vai dalībvalstu norīkoto iestāžu piekļuvi informācijas sistēmām, kuras izveidotas, ievērojot Līgumus, lai izvērtētu nepieciešamību pielāgot minētos konkrētos noteikumus šai direktīvai. Vajadzības gadījumā Komisijai būtu jānāk klajā ar priekšlikumiem, lai nodrošinātu konsekventas tiesību normas, kas attiecas uz personas datu apstrādi.

(95)

Lai nodrošinātu visaptverošu un konsekventu personas datu aizsardzību Savienībā, starptautiskiem nolīgumiem, kurus dalībvalstis noslēgušas pirms šīs direktīvas stāšanās spēkā datuma un kuri ir saderīgi ar attiecīgajiem Savienības tiesību aktiem, kas ir piemērojami pirms minētā datuma, būtu jāpaliek spēkā līdz brīdim, kad tos groza, aizstāj vai atceļ.

(96)

Dalībvalstīm šīs direktīvas transponēšanai būtu jāparedz laikposms, kas nepārsniedz divus gadus no šīs direktīvas stāšanās spēkā datuma. Apstrāde, kas jau tiek veikta minētajā datumā, būtu jāsaskaņo ar šo direktīvu divos gados pēc šīs direktīvas spēkā stāšanās dienas. Tomēr, ja šāda apstrāde atbilst Savienības tiesību aktiem, kas ir piemērojami pirms šīs direktīvas stāšanās spēkā datuma, šīs direktīvas prasības attiecībā uz iepriekšēju apspriešanos ar uzraudzības iestādi nebūtu jāpiemēro apstrādes darbībām, kuras jau sāktas pirms minētā datuma, ņemot vērā to, ka minētās prasības pēc savas būtības ir jāizpilda pirms apstrādes. Ja dalībvalstis izmanto ilgāku īstenošanas laikposmu, kurš beidzas septiņus gadus pēc šīs direktīvas spēkā stāšanās dienas, lai izpildītu ierakstu veikšanas pienākumus attiecībā uz automatizētām apstrādes sistēmām, kas izveidotas pirms minētā datuma, pārzinim vai apstrādātājam vajadzētu būt ieviestām efektīvām metodēm, piemēram, ierakstiem vai cita veida uzskaitei, ar ko uzskatāmi parāda datu apstrādes likumīgumu, ļauj veikt pašuzraudzību un nodrošina datu integritāti un datu drošību.

(97)

Šī direktīva neskar noteikumus par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, kuri noteikti Eiropas Parlamenta un Padomes Direktīvā 2011/93/ES (14).

(98)

Tāpēc būtu jāatceļ Pamatlēmums 2008/977/TI.

(99)

Saskaņā ar 6.a pantu Protokolā Nr. 21 par Apvienotās Karalistes un Īrijas nostāju saistībā ar brīvības, drošības un tiesiskuma telpu, kas pievienots LES un LESD, Apvienotai Karalistei un Īrijai nav saistoši šīs direktīvas noteikumi, kuri saistīti ar personas datu apstrādi, ko veic dalībvalstis, īstenojot darbības, uz kurām attiecas LESD Trešās daļas V sadaļas 4. vai 5. nodaļas darbības joma, tad, ja Apvienotajai Karalistei un Īrijai nav saistoši noteikumi, ar ko reglamentē tādus tiesu sadarbības veidus krimināllietās vai tādus policijas iestāžu sadarbības veidus, kuros ir jāievēro noteikumi, kas paredzēti, pamatojoties uz LESD 16. pantu.

(100)

Saskaņā ar 2. un 2.a pantu Protokolā Nr. 22 par Dānijas nostāju, kas pievienots LES un LESD, Dānijai nav saistoši un nav jāpiemēro šajā direktīvā paredzētie noteikumi, kuri ir saistīti ar personas datu apstrādi, ko veic dalībvalstis, īstenojot darbības, uz kurām attiecas LESD Trešās daļas V sadaļas 4. vai 5. nodaļas piemērošanas joma. Tā kā šī direktīva pilnveido Šengenas acquis, balstoties uz LESD Trešās daļas V sadaļu, Dānija saskaņā ar minētā protokola 4. pantu sešos mēnešos pēc šīs direktīvas pieņemšanas izlemj, vai tā šo direktīvu ieviesīs savos tiesību aktos.

(101)

Attiecībā uz Islandi un Norvēģiju – saskaņā ar Nolīgumu, kas noslēgts starp Eiropas Savienības Padomi un Islandes Republiku un Norvēģijas Karalisti par abu minēto valstu asociēšanu Šengenas acquis īstenošanā, pilnveidošanā un piemērošanā (15), šis instruments ir Šengenas acquis noteikumu pilnveidošana.

(102)

Attiecībā uz Šveici – saskaņā ar Nolīgumu starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā (16), šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(103)

Attiecībā uz Lihtenšteinu – saskaņā ar Protokolu starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā (17), šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(104)

Šajā direktīvā ir ņemtas vērā pamattiesības un ievēroti principi, kas atzīti hartā, kā noteikts LESD, jo īpaši tiesības uz privātās un ģimenes dzīves neaizskaramību, tiesības uz personas datu aizsardzību, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu. Šo tiesību ierobežojumi ir saskaņā ar hartas 52. panta 1. punktu, jo tie ir nepieciešami vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.

(105)

Saskaņā ar dalībvalstu un Komisijas 2011. gada 28. septembra kopīgo politisko deklarāciju par paskaidrojuma dokumentiem dalībvalstis ir apņēmušās paziņojumam par transponēšanas pasākumiem, ja tas pamatoti, pievienot vienu vai vairākus dokumentus ar skaidrojumu par direktīvas komponentu attiecībām ar dalībvalstu transponēšanas pasākumu attiecīgajām daļām. Attiecībā uz šo direktīvu likumdevējs uzskata, ka šādu dokumentu nosūtīšana ir pamatota.

(106)

Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu notika apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas sniedza savu atzinumu 2012. gada 7. martā (18).

(107)

Šai direktīvai nebūtu dalībvalstīm jāliedz īstenot datu subjektu tiesības uz informāciju, piekļuvi personas datiem un to labošanu vai dzēšanu un apstrādes ierobežošanu kriminālprocesa gaitā, un to iespējamus šo tiesību ierobežojumus valsts noteikumos par kriminālprocesu,

IR PIEŅĒMUŠI ŠO DIREKTĪVU.

I NODAĻA

Vispārīgi noteikumi

1. pants

Priekšmets un mērķi

1.   Šajā direktīvā ir paredzēti noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.

2.   Saskaņā ar šo direktīvu dalībvalstis:

a)

aizsargā fizisko personu pamattiesības un pamatbrīvības, un jo īpaši viņu tiesības uz personas datu aizsardzību; un

b)

nodrošina, ka personas datu apmaiņa starp kompetentajām iestādēm Savienībā, kad šādu apmaiņu prasa Savienības vai dalībvalstu tiesības, nav ierobežota vai aizliegta tādu iemeslu dēļ, kas saistīti ar fizisko personu aizsardzību attiecībā uz personas datu apstrādi.

3.   Šī direktīva dalībvalstīm neliedz paredzēt lielākas garantijas nekā tās, kas noteiktas šajā direktīvā, lai aizsargātu datu subjekta tiesības un brīvības attiecībā uz kompetento iestāžu veiktu personas datu apstrādi.

2. pants

Darbības joma

1.   Šo direktīvu piemēro personas datu apstrādei, ko veic kompetentās iestādes 1. panta 1. punktā izklāstītajos nolūkos.

2.   Šo direktīvu piemēro personas datu apstrādei, ko pilnībā vai daļēji veic ar automatizētiem līdzekļiem, un personas datu apstrādei bez automatizētiem līdzekļiem, ja tie veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas.

3.   Šī direktīva neattiecas uz personas datu apstrādi:

a)

tādas darbības gaitā, kas neietilpst Savienības tiesību darbības jomā;

b)

ko veic Savienības iestādes, struktūras, biroji un aģentūras.

3. pants

Definīcijas

Šajā direktīvā:

1)

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziskā persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās fiziskās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

2)

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)

“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

4)

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

5)

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisko personu;

6)

“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

7)

“kompetentā iestāde” ir:

a)

jebkura publiska iestāde, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst; vai

b)

jebkura cita struktūra vai vienība, kam dalībvalsts tiesībās uzticēts īstenot publisku varu un publiskas pilnvaras ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst;

8)

“pārzinis” ir kompetentā iestāde, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesībām, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesībās;

9)

“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

10)

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai jebkura cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar dalībvalsts tiesībām, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

11)

“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

12)

“ģenētiskie dati” ir visi personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

13)

“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas viennozīmīgu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

14)

“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

15)

“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot 41. pantu;

16)

“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāk valstu nolīgumu vai uz tā pamata.

II NODAĻA

Principi

4. pants

Principi, kas saistīti ar personas datu apstrādi

1.   Dalībvalstis paredz, ka personas dati:

a)

tiek apstrādāti likumīgi un godprātīgi;

b)

tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un tie netiek apstrādāti ar minētajiem nolūkiem nesaderīgā veidā;

c)

ir atbilstīgi, būtiski un nav pārmērīgi, ņemot vērā nolūkus, kādos tos apstrādā;

d)

ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiek dzēsti vai laboti;

e)

tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā tas ir nepieciešams tiem nolūkiem, kādos tos apstrādā;

f)

tiek apstrādāti tā, lai tiktu nodrošināta atbilstīga personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstīgus tehniskos vai organizatoriskos pasākumus.

2.   Apstrāde, ko veic tas pats vai cits pārzinis nolūkos, kuri ir izklāstīti 1. panta 1. punktā, bet nav tie paši, kādos personas dati tika vākti, ir atļauta, ciktāl:

a)

pārzinim šādos nolūkos ir atļauts apstrādāt šādus personas datus saskaņā ar Savienības vai dalībvalsts tiesībām; un

b)

apstrāde ir vajadzīga un samērīga ar minētajiem citiem nolūkiem saskaņā ar Savienības vai dalībvalsts tiesībām.

3.   Apstrāde, ko veic tas pats vai cits pārzinis, var ietvert arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem 1. panta 1. punktā izklāstītajos nolūkos, ņemot vērā atbilstošas garantijas attiecībā uz datu subjektu tiesībām un brīvībām.

4.   Pārzinis ir atbildīgs par atbilstību 1., 2. un 3. punktam un var to uzskatāmi parādīt.

5. pants

Glabāšanas un pārskatīšanas termiņi

Dalībvalstis paredz, ka tiek noteikti atbilstīgi termiņi personas datu dzēšanai vai personas datu glabāšanas vajadzības regulārai pārskatīšanai. Minēto termiņu ievērošanu nodrošina ar procesuāliem pasākumiem.

6. pants

Dažādu datu subjektu kategoriju nošķiršana

Dalībvalstis paredz, ka pārzinis attiecīgā gadījumā, cik iespējams, skaidri nošķir dažādu datu subjektu kategoriju personas datus, piemēram:

a)

personas, attiecībā uz kurām pastāv nopietns iemesls uzskatīt, ka tās ir izdarījušas vai drīzumā izdarīs noziedzīgu nodarījumu;

b)

personas, kas ir notiesātas par noziedzīgu nodarījumu;

c)

noziedzīgā nodarījumā cietušie vai personas, attiecībā uz kurām konkrēti fakti liek uzskatīt, ka tās varētu būt noziedzīgā nodarījumā cietušie; un

d)

citas personas saistībā ar noziedzīgu nodarījumu, piemēram, personas, kuras varētu aicināt sniegt liecības izmeklēšanas gaitā saistībā ar noziedzīgiem nodarījumiem vai pēcāk notiekošā kriminālprocesā, persona, kuras var sniegt informāciju par noziedzīgiem nodarījumiem, vai kontaktpersonas vai līdzdalībnieki kādai no a) un b) apakšpunktā minētajām personām.

7. pants

Dažādu personas datu nošķiršana un personas datu kvalitātes pārbaude

1.   Dalībvalstis paredz, ka personas dati, kas balstās uz faktiem, cik iespējams, tiek nošķirti no personas datiem, kas balstās uz personiskiem vērtējumiem.

2.   Dalībvalstis paredz, ka kompetentās iestādes veic visus pamatotus pasākumus ar mērķi nodrošināt, lai personas dati, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, netiktu nosūtīti vai darīti pieejami. Tālab katra kompetentā iestāde, cik tas praktiski iespējams, pārbauda personas datu kvalitāti pirms personas dati tiek nosūtīti vai darīti pieejami. Cik vien iespējams, visos personas datu nosūtīšanas gadījumos pievieno nepieciešamo informāciju, kas ļauj datu saņēmējai kompetentajai iestādei izvērtēt personas datu precizitātes, pilnības un ticamības pakāpi, kā arī to, cik lielā mērā tie ir aktuāli.

3.   Ja izrādās, ka ir nosūtīti nepareizi personas dati, vai personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē datu saņēmēju. Šādā gadījumā personas datus labo vai dzēš vai ierobežo to izmantošanu saskaņā ar 16. pantu.

8. pants

Apstrādes likumīgums

1.   Dalībvalstis paredz, ka apstrāde ir likumīga tikai tad un tiktāl, ciktāl šī apstrāde ir nepieciešama tā uzdevuma izpildei, ko kompetentā iestāde veic 1. panta 1. punktā minētajos nolūkos, un ka tā balstās uz Savienības vai dalībvalsts tiesībām.

2.   Dalībvalsts tiesībās, ar ko regulē apstrādi šīs direktīvas darbības jomā, precizē vismaz apstrādes mērķus, apstrādājamos personas datus un apstrādes nolūkus.

9. pants

Specifiski apstrādes nosacījumi

1.   Personas datus, ko kompetentās iestādes vāc 1. panta 1. punktā minētajos nolūkos, neapstrādā citos nolūkos, kas nav 1. panta 1. punktā minētie nolūki, izņemot, ja šāda apstrāde ir atļauta Savienības vai dalībvalsts tiesībās. Gadījumos, kad personas datus apstrādā šādos citos nolūkos, piemēro Regulu (ES) 2016/679, ja vien šādu apstrādi neveic darbībā, kura neietilpst Savienības tiesību darbības jomā.

2.   Ja kompetentajām iestādēm ar dalībvalsts tiesībām ir uzticēta kādu citu, ne 1. panta 1. punktā izklāstītajos nolūkos veiktu uzdevumu izpilde, tad šādos nolūkos veiktai apstrādei piemēro Regulu (ES) 2016/679, tostarp arhivēšanai sabiedrības interesēs, zinātniskiem vai vēsturiskiem pētījumiem vai statistikas mērķiem, ja vien apstrādi neveic darbībā, kura neietilpst Savienības tiesību darbības jomā.

3.   Dalībvalstis paredz, ka tad, kad Savienības vai dalībvalsts tiesībās, ko piemēro nosūtītājai kompetentajai iestādei, ir paredzēti specifiski nosacījumi apstrādei, nosūtītāja kompetentā iestāde par šādiem nosacījumiem un par prasību tos ievērot informē nosūtīto personas datu saņēmēju.

4.   Dalībvalstis paredz, ka nosūtītāja kompetentā iestāde 3. punktā minētos nosacījumus nepiemēro saņēmējiem citās dalībvalstīs vai aģentūrās, birojos un struktūrās, kas izveidoti, ievērojot LESD V sadaļas 4. un 5. nodaļu, izņemot tos, kas piemērojami līdzīgām datu nosūtīšanām dalībvalstī, kurā atrodas nosūtītāja kompetentā iestāde.

10. pants

Īpašu kategoriju personas datu apstrāde

Personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu apstrāde nolūkā veikt fiziskas personas viennozīmīgu identifikāciju, vai tādu datu apstrāde, kas attiecas uz veselību vai uz fiziskas personas dzimumdzīvi vai seksuālo orientāciju, ir atļauta tikai tad, kad tas ir absolūti nepieciešams, uz to attiecas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, un:

a)

tas ir atļauts Savienības vai dalībvalsts tiesībās;

b)

lai aizsargātu vitālas datu subjekta vai citas fiziskas personas intereses; vai

c)

šāda apstrāde attiecas uz datiem, kurus datu subjekts acīmredzami ir publiskojis.

11. pants

Automatizēta individuālu lēmumu pieņemšana

1.   Dalībvalstis paredz, ka lēmums, kas balstās tikai uz automātisku apstrādi, tostarp uz profilēšanu, un kas rada nelabvēlīgas juridiskas sekas attiecībā uz datu subjektu vai būtiski viņu ietekmē, ir aizliegts, ja vien tas nav atļauts Savienības vai dalībvalsts tiesībās, kas attiecas uz pārzini un kurās ir paredzētas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, vismaz attiecībā uz tiesībām panākt cilvēka iejaukšanos no pārziņa puses.

2.   Šā panta 1. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 10. pantā, izņemot, ja tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.

3.   Profilēšana, kas izraisa diskrimināciju pret fiziskām personām, pamatojoties uz īpašu kategoriju personas datiem, kas minēti 10. pantā, ir aizliegta saskaņā ar Savienības tiesībām.

III NODAĻA

Datu subjekta tiesības

12. pants

Saziņa un kārtība datu subjekta tiesību īstenošanai

1.   Dalībvalstis paredz, ka pārzinis veic pamatotus pasākumus, lai kodolīgā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. pantā minēto informāciju un nodrošinātu visu saziņu saistībā ar 11., 14.–18. un 31. pantu attiecībā uz apstrādi. Informāciju sniedz, izmantojot jebkādus atbilstīgus līdzekļus, tostarp elektroniski. Parasti pārzinis informāciju sniedz tādā pašā veidā, kādā ir iesniegts pieprasījums.

2.   Dalībvalstis paredz, ka pārzinis atvieglo datu subjekta tiesību īstenošanu saskaņā ar 11. un 14.–18. pantu.

3.   Dalībvalstis paredz, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par turpmākajiem pasākumiem, kas veikti saistībā ar tā pieprasījumu.

4.   Dalībvalstis paredz, ka informācija, ko sniedz saskaņā ar 13. pantu, un visa saziņa vai darbība, ko veic, ievērojot ar 11., 14.–18. un 31. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:

a)

pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai

b)

atteikties izpildīt pieprasījumu.

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

5.   Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 14. vai 16. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

13. pants

Informācija, ko dara pieejamu vai sniedz datu subjektam

1.   Dalībvalstis paredz, ka pārzinis datu subjektam dara pieejamu vismaz šādu informāciju:

a)

pārziņa identitāte un kontaktinformācija;

b)

attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)

apstrādes nolūki, kam paredzēti personas dati;

d)

tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

e)

tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, un personas datu attiecībā uz datu subjektu apstrādes ierobežošanu.

2.   Papildus 1. punktā minētajai informācijai dalībvalstis likumā paredz, ka pārzinis datu subjektam konkrētos gadījumos sniedz šādu informāciju, lai datu subjekts varētu īstenot savas tiesības:

a)

apstrādes juridiskais pamats;

b)

laikposms, cik ilgi personas dati tiks glabāti, vai – ja tas nav iespējams – kritēriji, kas izmantoti minētā laikposma noteikšanai;

c)

attiecīgā gadījumā personas datu saņēmēju kategorijas, tostarp trešajās valstīs vai starptautiskajās organizācijās;

d)

ja nepieciešams, papildu informācija, jo īpaši tad, ja personas datus vāc bez datu subjekta ziņas.

3.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai atliktu, ierobežotu vai nesniegtu informāciju datu subjektam, ievērojot 2. punktu, ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

a)

novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu sabiedrisko drošību;

d)

aizsargātu valsts drošību;

e)

aizsargātu citu personu tiesības un brīvības.

4.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties jebkurš no 3. punkta apakšpunktiem.

14. pants

Datu subjekta piekļuves tiesības

Ņemot vērā 15. pantu, dalībvalstis datu subjektam paredz tiesības saņemt no pārziņa apstiprinājumu par to, vai tiek apstrādāti personas dati, kuri attiecas uz viņu, un, ja tā ir, piekļūt personas datiem un šādai informācijai:

a)

apstrādes nolūki un juridiskais pamats;

b)

apstrādāto personas datu kategorijas;

c)

personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)

ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai – ja tas nav iespējams – kritēriji, kas izmantoti minētā laikposma noteikšanai;

e)

tas, ka pastāv tiesības pieprasīt pārzinim datu subjekta personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu;

f)

tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

g)

paziņojums par apstrādātajiem personas datiem un visu pieejamo informāciju par to izcelsmi.

15. pants

Piekļuves tiesību ierobežojumi

1.   Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo datu subjekta piekļuves tiesības, ciktāl un tik ilgi, kamēr šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

a)

novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu sabiedrisko drošību;

d)

aizsargātu valsts drošību;

e)

aizsargātu citu personu tiesības un brīvības.

2.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties 1. punktā minētie izņēmumi.

3.   Gadījumos, kas minēti 1. un 2. punktā, dalībvalstis paredz, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no 1. punktā noteiktajiem nolūkiem. Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

4.   Dalībvalstis paredz, ka pārzinis dokumentē faktiskos vai juridiskos iemeslus, kuri ir lēmuma pamatā. Minēto informāciju dara pieejamu uzraudzības iestādēm.

16. pants

Tiesības uz personas datu labošanu vai dzēšanu un apstrādes ierobežošanu

1.   Dalībvalstis paredz, ka datu subjektam ir tiesības no pārziņa panākt neprecīzu datu subjekta personas datu labošanu bez nepamatotas kavēšanās. Ņemot vērā apstrādes nolūkus, dalībvalstis paredz, ka datu subjektam ir tiesības, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

2.   Dalībvalstis liek, lai pārzinis bez nepamatotas kavēšanās dzēš personas datus un nodrošina datu subjektam tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu personas datus, kas uz to attiecas, ja apstrāde pārkāpj noteikumus, kas pieņemti saskaņā ar 4., 8. vai 10. pantu, vai ja personas dati ir jādzēš, lai izpildītu uz pārzini attiecināmu juridisku pienākumu.

3.   Dzēšanas vietā pārzinis ierobežo apstrādi, ja:

a)

datu subjekts apstrīd personas datu precizitāti un to precizitāti vai neprecizitāti nevar noteikt; vai

b)

personas dati ir jāsaglabā pierādījumu nolūkā.

Ja apstrāde ir ierobežota, ievērojot pirmās daļas a) apakšpunktu, pārzinis informē datu subjektu pirms apstrādes ierobežojuma atcelšanas.

4.   Dalībvalstis paredz, ka pārzinis rakstiski informē datu subjektu par atteikumu labot personas datus, tos dzēst vai ierobežot apstrādi un par atteikuma iemesliem. Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo pienākumu sniegt šādu informāciju tiktāl, ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

a)

novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu sabiedrisko drošību;

d)

aizsargātu valsts drošību;

e)

aizsargātu citu personu tiesības un brīvības.

Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

5.   Dalībvalstis paredz, ka pārzinis par neprecīzo personas datu labošanu informē kompetento iestādi, no kuras iegūti neprecīzie personas dati.

6.   Dalībvalstis paredz, ka gadījumos, kad personas dati ir tikuši laboti vai dzēsti vai ir ierobežota to apstrāde, ievērojot 1., 2. un 3. punktu, pārzinis paziņo saņēmējiem un saņēmēji personas datus labo vai dzēš vai ierobežo to atbildībā esošo personas datu apstrādi.

17. pants

Tiesību īstenošana, ko veic datu subjekts, un pārbaude, ko veic uzraudzības iestāde

1.   Dalībvalstis 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajos gadījumos pieņem pasākumus, ar ko paredz, ka datu subjekta tiesības var īstenot arī ar kompetentas uzraudzības iestādes starpniecību.

2.   Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju īstenot savas tiesības ar uzraudzības iestādes starpniecību, ievērojot 1. punktu.

3.   Ja tiek īstenotas 1. punktā minētās tiesības, uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu. Uzraudzības iestāde arī informē datu subjektu par viņa tiesībām vērsties tiesā.

18. pants

Datu subjekta tiesības kriminālizmeklēšanā un kriminālprocesā

Dalībvalstis var paredzēt, ka 13., 14. un 16. pantā minētās tiesības tiek īstenotas saskaņā ar dalībvalsts tiesībām, ja personas dati ir ietverti tiesas nolēmumā vai reģistrā, vai lietas materiālos, ko apstrādā kriminālizmeklēšanas un kriminālprocesa gaitā.

IV NODAĻA

Pārzinis un apstrādātājs

1. iedaļa

Vispārīgie pienākumi

19. pants

Pārziņa pienākumi

1.   Dalībvalstis paredz, ka pārzinis, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo direktīvu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

2.   Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.

20. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.   Dalībvalstis paredz, ka pārzinis, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, kurus rada apstrāde, gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs direktīvas prasības un aizsargāt datu subjektu tiesības.

2.   Dalībvalstis paredz, ka pārzinis īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez fiziskās personas līdzdalības nedara pieejamus nenoteiktam fizisko personu skaitam.

21. pants

Kopīgi pārziņi

1.   Dalībvalstis paredz, ka, ja divi vai vairāki pārziņi kopīgi nosaka apstrādes nolūkus un līdzekļus, tie ir kopīgi pārziņi. Tie pārredzamā veidā nosaka savus attiecīgos pienākumus, lai nodrošinātu atbilstību šai direktīvai, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt 13. pantā minēto informāciju, tiem savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti Savienības vai dalībvalsts tiesībās, kas piemērojamas pārziņiem. Ar vienošanos nosaka datu subjektu kontaktpunktu. Dalībvalstis var noteikt, kurš no kopīgajiem pārziņiem var darboties kā vienotais kontaktpunkts, lai datu subjekti īstenotu savas tiesības.

2.   Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem dalībvalstis var paredzēt, ka datu subjekts atbilstīgi noteikumiem, kas pieņemti saskaņā ar šo direktīvu, var īstenot savas tiesības attiecībā uz un pret katru pārzini.

22. pants

Apstrādātājs

1.   Dalībvalstis paredz, ka gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstīgi tehniskie un organizatoriskie pasākumi tā, ka apstrādē tiks ievērotas šīs direktīvas prasības un tiks nodrošināta datu subjektu tiesību aizsardzība.

2.   Dalībvalstis paredz, ka apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3.   Dalībvalstis paredz, ka apstrādi, ko veic apstrādātājs, saskaņā ar Savienības vai dalībvalsts tiesībām reglamentē ar līgumu vai citu juridisku aktu, kas ir saistošs apstrādātājam attiecībā uz pārzini un kurā norāda apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

a)

rīkojas tikai saskaņā ar pārziņa norādījumiem;

b)

nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts atbilstīgs likumisks pienākums ievērot konfidencialitāti;

c)

palīdz pārzinim, izmantojot jebkādus atbilstīgus līdzekļus, lai nodrošinātu atbilstību noteikumiem par datu subjekta tiesībām;

d)

pēc datu apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesībās nav paredzēta personas datu glabāšana;

e)

pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai uzskatāmi parādītu atbilstību šim pantam;

f)

izpilda 2. un 3. punktā minētos nosacījumus cita apstrādātāja piesaistīšanai.

4.   Šā panta 3. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstveidā, ieskaitot elektronisko formātu.

5.   Ja apstrādātājs, pārkāpjot šo direktīvu, nosaka apstrādes nolūkus un līdzekļus, minēto apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

23. pants

Apstrāde pārziņa vai apstrādātāja pakļautībā

Dalībvalstis paredz, ka apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus, izņemot gadījumus, kad pārzinis ir devis norādījumus, ja vien tas nav pieprasīts Savienības vai dalībvalsts tiesībās.

24. pants

Apstrādes darbību reģistrēšana

1.   Dalībvalstis paredz, ka pārziņi uztur reģistru ar visu kategoriju apstrādes darbībām, par kurām tie ir atbildīgi. Minētajā reģistrā ietver visu šādu informāciju:

a)

pārziņa, vajadzības gadījumā – visu kopīgo pārziņu un datu aizsardzības speciālista nosaukums un kontaktinformācija;

b)

apstrādes nolūki;

c)

to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

d)

datu subjektu kategorijas un kategoriju apraksts;

e)

attiecīgā gadījumā profilēšanas izmantošana;

f)

attiecīgā gadījumā kategorijas, kurās ietilpst personas datu sūtījumi uz trešo valsti vai starptautiskai organizācijai;

g)

norāde par apstrādes darbības, tostarp nosūtīšanas, kurai paredzēti personas dati, juridisko pamatu;

h)

ja iespējams, paredzētie termiņi dažādu kategoriju personas datu dzēšanai;

i)

ja iespējams, 29. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2.   Dalībvalstis paredz, ka katrs apstrādātājs uztur reģistru ar visu kategoriju apstrādes darbībām, kas veiktas pārziņa vārdā, un reģistrā ietver šādu informāciju:

a)

apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, un vajadzības gadījumā datu aizsardzības speciālista nosaukums un kontaktinformācija;

b)

katra pārziņa vārdā veiktās apstrādes kategorijas;

c)

attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, ja pārzinis ir devis skaidrus norādījumus tā rīkoties, tostarp minētās trešās valsts vai starptautiskās organizācijas identifikācija;

d)

ja iespējams, 29. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3.   Šā panta 1. un 2. punktā minētie reģistri tiek vesti rakstveidā, ieskaitot elektronisko formātu.

Pārzinis un apstrādātājs pēc pieprasījuma dara minētos reģistrus pieejamus uzraudzības iestādei.

25. pants

Ierakstu veikšana

1.   Dalībvalstis paredz, ka ieraksti tiek veikti vismaz par šādām apstrādes darbībām automatizētās apstrādes sistēmās: vākšanu, pārveidošanu, aplūkošanu, izpaušanu, tostarp nosūtīšanu, kombinēšanu un dzēšanu. Ierakstos par aplūkošanu un izpaušanu rada iespēju noteikt šādu darbību pamatojumu, datumu un laiku, un, ciktāl iespējams, tās personas identificēšanu, kura aplūkoja vai izpauda personas datus, kā arī šādu personas datu saņēmēju identitāti.

2.   Ierakstus izmanto tikai, lai pārbaudītu apstrādes likumīgumu, veiktu pašuzraudzību, nodrošinātu personas datu integritāti un drošību, un kriminālprocesa vajadzībām.

3.   Pārzinis un apstrādātājs šos ierakstus pēc pieprasījuma dara pieejamus uzraudzības iestādei.

26. pants

Sadarbība ar uzraudzības iestādi

Dalībvalstis paredz, ka pārzinis un apstrādātājs pēc pieprasījuma sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē.

27. pants

Novērtējums par ietekmi uz datu aizsardzību

1.   Ja apstrādes veids, jo īpaši izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, varētu radīt augstu risku fizisko personu tiesībām un brīvībām, dalībvalstis paredz, ka pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību.

2.   Šā panta 1. punktā minētajā novērtējumā ietver vismaz plānoto apstrādes darbību vispārīgu aprakstu, novērtējumu par riskiem datu subjektu tiesībām un brīvībām, pasākumus, kas paredzēti minēto risku novēršanai, garantijas, drošības pasākumus un mehānismus, ar kuriem nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī direktīva, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

28. pants

Iepriekšēja apspriešanās ar uzraudzības iestādi

1.   Dalībvalstis paredz, ka pārzinis vai apstrādātājs pirms tādu personas datu apstrādes, ko ietvers jaunizveidotā kartotēkā, apspriežas ar uzraudzības iestādi gadījumos, ja:

a)

šīs direktīvas 27. pantā paredzētajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku; vai

b)

apstrādes veids, jo īpaši, izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, ir saistīts ar augstu risku datu subjektu tiesībām un brīvībām.

2.   Dalībvalstis paredz, ka notiek apspriešanās ar uzraudzības iestādi, kamēr tiek gatavots priekšlikums leģislatīvam pasākumam, ko pieņems valsts parlaments, vai regulatīvs pasākums, kas balstās uz šādu leģislatīvu pasākumu, kurš attiecas uz apstrādi.

3.   Dalībvalstis paredz, ka uzraudzības iestāde var izveidot to apstrādes darbību sarakstu, par kurām veic iepriekšēju apspriešanos, ievērojot 1. punktu.

4.   Dalībvalstis paredz, ka pārzinis, ievērojot 27. pantu, iesniedz uzraudzības iestādei novērtējumā par ietekmi uz datu aizsardzību un pēc pieprasījuma jebkuru citu informāciju, kas ļauj uzraudzības iestādei izvērtēt apstrādes atbilstību, jo īpaši riskus datu subjekta personas datu aizsardzībai un attiecīgās garantijas.

5.   Dalībvalstis paredz, ka gadījumā, ja uzraudzības iestāde uzskata, ka šā panta 1. punktā minētā apstrāde pārkāptu noteikumus, kas pieņemti saskaņā ar šo direktīvu, jo īpaši gadījumos, kad pārzinis nav pietiekami apzinājis vai mazinājis risku, uzraudzības iestāde ilgākais sešu nedēļu laikā pēc apspriešanās pieprasījuma saņemšanas sniedz rakstisku padomu pārzinim un attiecīgā gadījumā apstrādātājam un var izmantot jebkuru no tās 47. pantā minētajām pilnvarām. Minēto laikposmu var pagarināt par vienu mēnesi, ņemot vērā paredzētās apstrādes sarežģītību. Uzraudzības iestāde informē pārzini un attiecīgā gadījumā apstrādātāju par šādiem pagarinājumiem, kā arī par kavēšanās iemesliem viena mēneša laikā pēc apspriešanās pieprasījuma saņemšanas.

2. iedaļa

Personas datu drošība

29. pants

Apstrādes drošība

1.   Dalībvalstis paredz, ka pārzinis un apstrādātājs, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes risku attiecībā uz fizisko personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas ir atbilstīgs riskam, jo īpaši attiecībā uz 10. pantā minēto īpašu kategoriju personas datu apstrādi.

2.   Attiecībā uz automatizētu apstrādi katra dalībvalsts paredz, ka pārzinis vai apstrādātājs pēc risku izvērtēšanas īsteno pasākumus, lai:

a)

liegtu nepilnvarotām personām pieeju apstrādes iekārtām, kuras izmanto apstrādei (“piekļuves kontrole iekārtām”);

b)

novērstu nesankcionētu datu nolasīšanu, kopēšanu, grozīšanu vai datu nesēju izņemšanu (“datu nesēju kontrole”);

c)

liegtu neatļautu personas datu ievadīšanu, kā arī liegtu neatļautu saglabāto personas datu apskati, grozīšanu vai dzēšanu (“glabāšanas kontrole”);

d)

liegtu izmantot apstrādes automatizētas sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (“lietotāju kontrole”);

e)

nodrošinātu, ka personām, kas ir pilnvarotas izmantot apstrādes automatizētu sistēmu, ir piekļuve tikai tiem personas datiem, uz kuriem attiecas viņu piekļuves tiesības (“datu piekļuves kontrole”);

f)

nodrošinātu, ka ir iespējams pārbaudīt un noteikt struktūras, kurām personas dati ir vai var tikt nosūtīti vai izpausti, izmantojot datu komunikācijas iekārtas (“komunikācijas kontrole”);

g)

nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kādi personas dati ir ievadīti automatizētas apstrādes sistēmās, kā arī personas datu ievadīšanas laiku un ievadītāju (“ievades kontrole”);

h)

novērstu nesankcionētu personas datu nolasīšanu, kopēšanu, grozīšanu vai dzēšanu personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (“transportēšanas kontrole”);

i)

nodrošinātu, ka traucējumu gadījumā uzstādītās sistēmas var atjaunot (“atgūšana”);

j)

nodrošinātu, ka sistēma funkcionē tā, ka par darbības kļūdu parādīšanos tiek ziņots (“drošums”) un saglabātie dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (“integritāte”).

30. pants

Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei

1.   Dalībvalstis paredz, ka personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisko personu tiesībām un brīvībām. Ja paziņojums uzraudzības iestādei nav sniegts 72 stundu laikā, tam pievieno kavēšanās iemeslu izklāstu.

2.   Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.

3.   Paziņojumā, kas minēts 1. punktā, ietver vismaz šādu informāciju:

a)

apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b)

paziņo datu aizsardzības speciālista nosaukumu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju;

c)

apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)

apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.

4.   Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

5.   Dalībvalstis paredz, ka pārzinis dokumentē visus 1. punktā minētos personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu.

6.   Dalībvalstis paredz, ka gadījumā, ja personas datu aizsardzības pārkāpums ietver personas datus, ko ir nosūtījis citas dalībvalsts pārzinis vai kas ir nosūtīti citas dalībvalsts pārzinim, 3. punktā minēto informāciju bez nepamatotas kavēšanās paziņo šīs dalībvalsts pārzinim.

31. pants

Paziņošana datu subjektam par personas datu aizsardzības pārkāpumu

1.   Dalībvalstis paredz, ka gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisko personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2.   Šā panta 1. punktā minētajā paziņojumā datu subjektam, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 30. panta 3. punkta b), c) un d) apakšpunktā minēto informāciju un pasākumus.

3.   Šā panta 1. punktā minētais paziņojums datu subjektam nav jāsniedz, ja ir izpildīts kāds no šiem nosacījumiem:

a)

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)

pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)

tas prasītu nesamērīgi lielas pūles. Tādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4.   Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

5.   Šā panta 1. punktā minēto paziņojumu datu subjektam var atlikt, ierobežot vai nesniegt, ievērojot nosacījumus un pamatojoties uz iemesliem, kas minēti 13. panta 3. punktā.

3. iedaļa

Datu aizsardzības speciālists

32. pants

Datu aizsardzības speciālista iecelšana

1.   Dalībvalstis paredz, ka pārzinis ieceļ datu aizsardzības speciālistu. Dalībvalstis no minētā pienākuma var atbrīvot tiesas un citas neatkarīgas tiesu iestādes, kad tās pilda tiesas funkcijas.

2.   Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 34. pantā minētos uzdevumus.

3.   Vienu datu aizsardzības speciālistu var iecelt vairākām kompetentām iestādēm, ņemot vērā to organizatorisko uzbūvi un lielumu.

4.   Dalībvalstis paredz, ka pārzinis publicē datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei.

33. pants

Datu aizsardzības speciālista statuss

1.   Dalībvalstis paredz, ka pārzinis nodrošina, ka datu aizsardzības speciālistu pienācīgi un laicīgi iesaista visos jautājumos saistībā ar personas datu aizsardzību.

2.   Pārzinis atbalsta datu aizsardzības speciālistu 34. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas.

34. pants

Datu aizsardzības speciālista uzdevumi

Dalībvalstis paredz, ka pārzinis datu aizsardzības speciālistam uztic vismaz šādus uzdevumus:

a)

informēt un konsultēt pārzini un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo direktīvu un citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību;

b)

uzraudzīt atbilstību šai direktīvai, citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību un pārziņa politikai saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c)

pēc pieprasījuma sniegt padomu attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 27. pantu;

d)

sadarboties ar uzraudzības iestādi;

e)

būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, tostarp 28. pantā minēto iepriekšējo apspriešanos, un attiecīgā gadījumā konsultēt par jebkuru citu jautājumu.

V NODAĻA

Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

35. pants

Personas datu nosūtīšanas vispārīgie principi

1.   Dalībvalstis paredz, ka kompetentās iestādes, ievērojot saskaņā ar šo direktīvu pieņemtos valsts noteikumus, jebkādus personas datus, kas tiek apstrādāti vai pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju ir paredzēti apstrādei, tostarp tālākai pārsūtīšanai uz citu trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja ir ievēroti šajā nodaļā izvirzītie nosacījumi, proti:

a)

nosūtīšana ir nepieciešama 1. panta 1. punktā izklāstītajiem nolūkiem;

b)

personas dati tiek nosūtīti tādam pārzinim trešā valstī vai starptautiskā organizācijā, kas ir iestāde, kura ir kompetenta 1. panta 1. punktā minētajos nolūkos;

c)

ja personas datus ir nosūtījusi vai darījusi pieejamus kāda cita dalībvalsts, tad minētā dalībvalsts ir nosūtīšanai devusi iepriekšēju atļauju saskaņā ar savām valsts tiesībām;

d)

Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību saskaņā ar 36. pantu vai, ja tāda lēmuma nav, tiek sniegtas vai pastāv atbilstošas garantijas saskaņā ar 37. pantu, vai ja nav saskaņā ar 36. pantu pieņemta lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju saskaņā ar 37. pantu, ir piemērojamas atkāpes īpašās situācijās saskaņā ar 38. pantu; un

e)

ja dati tiek nosūtīti tālāk uz kādu citu trešo valsti vai starptautisku organizāciju, sākotnējo nosūtīšanu veikusī kompetentā iestāde vai kāda cita tās pašas dalībvalsts kompetentā iestāde dod atļauju tālākai nosūtīšanai pēc tam, kad tā ir pienācīgi ņēmusi vērā visus būtiskos faktorus, tostarp noziedzīgā nodarījuma smagumu, mērķi, kādam personas dati sākotnēji tika nosūtīti, un personas datu aizsardzības līmeni trešā valstī vai starptautiskā organizācijā, uz kuru personas dati tiek tālāk nosūtīti.

2.   Dalībvalstis paredz, ka nosūtīšana bez citas dalībvalsts iepriekšējas atļaujas saskaņā ar 1. punkta c) apakšpunktu ir atļauta tikai tad, ja personas datu nosūtīšana ir nepieciešama, lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai vai kādas dalībvalsts būtiskām interesēm, un nav iespējams laikus iegūt iepriekšēju atļauju. Nekavējoties informē iestādi, kas atbildīga par iepriekšējas atļaujas sniegšanu.

3.   Visus šīs nodaļas noteikumus piemēro tā, lai nodrošinātu, ka nemazinās ar šo direktīvu nodrošinātais fizisko personu aizsardzības līmenis.

36. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.   Dalībvalstis paredz, ka personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, teritorija vai viens vai vairāki sektori minētajā trešajā valstī, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2.   Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus faktorus:

a)

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām, un publisko iestāžu piekļuvi personas datiem, kā arī minēto tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva tiesību aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

b)

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un panākšanu, tostarp ar piemērotam izpildes pilnvarām, par palīdzību un konsultācijām datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)

starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3.   Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas, pieņemot īstenošanas aktu, var nolemt, ka trešā valsts, trešās valsts teritorija, viens vai vairāki konkrēti sektori trešā valstī, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā tiek paredzēts mehānisms periodiskai, vismaz reizi četros gados notiekošai pārskatīšanai, kurā ir ņemtas vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā tiek precizēta tā teritoriālā un sektoriālā piemērošana un attiecīgā gadījumā norādīta šā panta 2. punkta b) apakšpunktā minētā uzraudzības iestāde vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 58. panta 2. punktā.

4.   Komisija trešajās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar 3. punktu pieņemto lēmumu darbību.

5.   Ja saskaņā ar pieejamo informāciju, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, atklājas, ka kāda trešā valsts, teritorija vai viens vai vairāki sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija vajadzīgā apmērā atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu, pieņemot īstenošanas aktu, bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 58. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 58. panta 3. punktā, pieņem nekavējoties piemērojamus īstenošanas aktus.

6.   Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7.   Dalībvalstis paredz, ka saskaņā ar 5. punktu pieņemtais lēmums neskar personas datu nosūtīšanu uz attiecīgo trešo valsti, teritoriju vai vienu vairākus konkrētus sektorus minētajā trešā valstī, vai starptautisku organizāciju, ievērojot 37. un 38. pantu.

8.   Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka to aizsardzības līmeņa pietiekamība ir vai vairs nav nodrošināta.

37. pants

Nosūtīšana, kurai piemērojamas atbilstošas garantijas

1.   Ja nav pieņemts lēmums saskaņā ar 36. panta 3. punktu, dalībvalstis paredz, ka personas datu nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt, ja:

a)

juridiski saistošā instrumentā ir sniegtas atbilstošas garantijas attiecībā uz personas datu aizsardzību; vai

b)

pārzinis ir izvērtējis visus apstākļus saistībā ar personas datu nosūtīšanu un secina, ka pastāv atbilstošas garantijas attiecībā uz personas datu aizsardzību.

2.   Pārzinis informē uzraudzības iestādi par 1. punkta b) apakšpunktā minēto datu sūtījumu kategorijām.

3.   Ja nosūtīšana balstās uz 1. punkta b) apakšpunktu, šādu datu sūtījumu dokumentē, un dokumentāciju pēc pieprasījuma dara pieejamu uzraudzības iestādei, ietverot nosūtīšanas datumu un laiku, informāciju par saņēmēju kompetento iestādi, nosūtīšanas pamatojumu un nosūtītos personas datus.

38. pants

Atkāpes īpašās situācijās

1.   Ja nav lēmuma par aizsardzības līmeņa pietiekamību saskaņā ar 36. pantu vai par atbilstošu garantiju saskaņā ar 37. pantu, dalībvalstis nodrošina, ka personas datu nosūtīšana vai sūtījumu kategorija uz trešo valsti vai starptautisku organizāciju notiek tikai ar nosacījumu, ka nosūtīšana ir vajadzīga:

a)

lai aizsargātu vitālas datu subjekta vai citas personas intereses;

b)

lai aizsargātu leģitīmas datu subjekta intereses gadījumos, kad tā ir noteikts nosūtošās dalībvalsts tiesībās;

c)

lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai;

d)

atsevišķā gadījumā 1. panta 1. punktā izklāstītajos nolūkos; vai

e)

atsevišķā gadījumā, lai celtu, īstenotu vai aizstāvētu likumīgas prasības saistībā ar 1. panta 1. punktā izklāstītajiem nolūkiem.

2.   Personas datus nenosūta, ja nosūtošā kompetentā iestāde konstatē, ka 1. punkta d) un e) apakšpunktā izklāstītās nosūtīšanas gadījumā attiecīgā datu subjekta pamattiesības un pamatbrīvības ir svarīgākas par sabiedrības interesēm.

3.   Ja nosūtīšana balstās uz 1. punktu, šādu datu sūtījumu dokumentē, un dokumentāciju pēc pieprasījuma dara pieejamu uzraudzības iestādei, tostarp nosūtīšanas datumu un laiku, informāciju par saņēmēju kompetento iestādi, nosūtīšanas pamatojumu un nosūtītos personas datus.

39. pants

Personas datu nosūtīšana saņēmējiem, kas veic uzņēmējdarbību trešās valstīs

1.   Atkāpjoties no 35. panta 1. punkta b) apakšpunkta un neskarot nevienu no šā panta 2. punktā minētajiem starptautiskajiem nolīgumiem, Savienības vai dalībvalsts tiesībās var paredzēt, ka 3. panta 7. punkta a) apakšpunktā minētās kompetentās iestādes atsevišķos un īpašos gadījumos saņēmējiem, kas veic uzņēmējdarbību trešās valstīs, personas datus tieši var nosūtīt tikai tad, ja ir ievēroti pārējie šīs direktīvas noteikumi un ir izpildīti visi turpmāk minētie nosacījumi:

a)

nosūtīšana ir absolūti nepieciešama kāda nosūtošās kompetentās iestādes uzdevuma veikšanai saskaņā ar Savienības vai dalībvalsts tiesībām nolūkos, kas izklāstīti 1. panta 1. punktā;

b)

nosūtošā kompetentā iestāde konstatē, ka attiecīgā datu subjekta pamattiesības un pamatbrīvības nav svarīgākas par sabiedrības interesēm, kuru dēļ konkrētajā gadījumā ir nepieciešama nosūtīšana;

c)

nosūtošā kompetentā iestāde uzskata, ka nosūtīšana iestādei, kas trešā valstī ir kompetenta 1. panta 1. punktā minētajos nolūkos, ir neefektīva vai nepiemērota, jo īpaši tādēļ, ka nosūtīšana nav paveicama laikus;

d)

iestāde, kas ir kompetenta 1. panta 1. punktā minētajos nolūkos trešā valstī, tiek informēta bez nepamatotas kavēšanās, ja vien tas nav neefektīvi vai nepiemēroti;

e)

nosūtošā kompetentā iestāde informē saņēmēju par to, kādam konkrētam mērķim vai mērķiem tā personas datus drīkst apstrādāt ar noteikumu, ka šāda datu apstrāde ir vajadzīga.

2.   Starptautisks nolīgums, kas minēts 1. punktā, ir jebkurš spēkā esošs divpusējs vai daudzpusējs starptautisks nolīgums starp dalībvalstīm un trešām valstīm par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību.

3.   Nosūtošā kompetentā iestāde uzraudzības iestādi informē par datu sūtījumiem saskaņā ar šo pantu.

4.   Ja nosūtīšana ir balstīta uz 1. punktu, šādu sūtījumu dokumentē.

40. pants

Starptautiskā sadarbība personas datu aizsardzības jomā

Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un dalībvalstis veic atbilstošus pasākumus, lai:

a)

izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

b)

sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņojumus, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas personas datu aizsardzībai un citas pamattiesības un pamatbrīvības;

c)

iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir uzlabot starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)

veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz konfliktiem par jurisdikciju ar trešām valstīm.

VI NODAĻA

Neatkarīgas uzraudzības iestādes

1. iedaļa

Neatkarība

41. pants

Uzraudzības iestāde

1.   Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šās direktīvas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā (“uzraudzības iestāde”).

2.   Katra uzraudzības iestāde palīdz nodrošināt konsekventu šīs direktīvas piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu.

3.   Dalībvalstis var paredzēt, ka uzraudzības iestāde, kas izveidota saskaņā ar Regulu (ES) 2016/679, ir šajā direktīvā minētā uzraudzības iestāde un uzņemas atbildību par tās uzraudzības iestādes uzdevumiem, kura ir jāizveido saskaņā ar šā panta 1. punktu.

4.   Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, minētā dalībvalsts izraugās uzraudzības iestādi, kas pārstāv šīs iestādes 51. pantā minētajā kolēģijā.

42. pants

Neatkarība

1.   Katra dalībvalsts nodrošina, ka katra tās uzraudzības iestāde rīkojas pilnīgi neatkarīgi, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo direktīvu.

2.   Dalībvalstis paredz, ka to uzraudzības iestāžu loceklis vai locekļi, pildot tiem uzticētos uzdevumus un īstenojot pilnvaras saskaņā ar šo direktīvu, nav pakļauti nekādai ne tiešai, ne netiešai ārējai ietekmei un ka tie ne no viena nelūdz un nepieņem norādījumus.

3.   Dalībvalstu uzraudzības iestāžu locekļi atturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un, esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4.   Katra dalībvalsts nodrošina, ka katrai no tās uzraudzības iestādēm ir piešķirti cilvēkresursi, tehniskie un finanšu resursi, telpas un infrastruktūra, kas nepieciešami efektīvai tās uzdevumu izpildei un tās pilnvaru īstenošanai, tostarp arī tādu uzdevumu izpildei un pilnvaru īstenošanai, kuri jāveic saistībā ar savstarpējo palīdzību, sadarbību un dalību kolēģijā.

5.   Katra dalībvalstis nodrošina, ka katra no tās uzraudzības iestādēm izvēlas personālu un tai ir pašai savs personāls, kas ir pakļauts attiecīgās uzraudzības iestādes locekļa vai locekļu vadībai.

6.   Katra dalībvalstis nodrošina, ka katra no tās uzraudzības iestādēm ir pakļauta tādai finanšu kontrolei, kas neietekmē tās neatkarību, un to, ka tai ir atsevišķs publisks gada budžets, kas var būt daļa no kopējā valsts budžeta.

43. pants

Vispārīgi noteikumi par uzraudzības iestādes locekļiem

1.   Dalībvalstis paredz, ka katru uzraudzības iestāžu locekli, izmantojot pārredzamu procedūru, amatā ieceļ:

parlaments,

valdība,

valsts vadītājs vai

neatkarīga struktūra, kurai dalībvalsts tiesībās ir uzticēta iecelšana amatā.

2.   Katram loceklim ir tāda kvalifikācija, pieredze un prasmes, jo īpaši personas datu aizsardzības jomā, kādas vajadzīgas, lai pildītu uzticētos pienākumus un īstenotu pilnvaras.

3.   Locekļa pienākumi beidzas līdz ar amata pilnvaru termiņa beigām, atkāpjoties no amata vai atlaišanas gadījumā, ievērojot attiecīgās dalībvalsts tiesības.

4.   Locekli atbrīvo no amata tikai smaga amata pienākumu pārkāpuma gadījumā vai tad, ja viņš vairs neatbilst nosacījumiem, kas izvirzīti pienākumu pildīšanai.

44. pants

Noteikumi par uzraudzības iestādes izveidi

1.   Katra dalībvalsts likumā paredz visu turpmāk minēto:

a)

katras uzraudzības iestādes izveidi;

b)

kvalifikāciju un atbilstības nosacījumus, kas izvirzīti iecelšanai par locekli katrā uzraudzības iestādē;

c)

noteikumus un procedūras locekļa vai locekļu iecelšanai katrā uzraudzības iestādē;

d)

tādu locekļa vai locekļu amata pilnvaru laiku katrā uzraudzības iestādē, kurš ir vismaz četri gadi, izņemot pirmo iecelšanu pēc 2016. gada 6. maija, kad daļēji var iecelt uz īsāku laiku, ja tas ir nepieciešams, lai aizsargātu uzraudzības iestādes neatkarību, šim nolūkam amatā iecelšanas procedūru rīkojot ar laika nobīdi;

e)

to, vai katras uzraudzības iestādes locekli vai locekļus var atkārtoti iecelt amatā, un, ja var, tad to, uz cik pilnvaru termiņiem;

f)

nosacījumus, ar ko reglamentē locekļa vai locekļu un personāla pienākumus katrā uzraudzības iestādē, aizliegumus attiecībā uz rīcību, ieņemamajiem amatiem un priekšrocībām, kas nav ar tiem savienojami, esot amatā un pēc pilnvaru termiņa beigām, un noteikumus attiecībā uz nodarbinātības pārtraukšanu.

2.   Katras uzraudzības iestādes loceklis vai locekļi un personāls saskaņā ar Savienības vai dalībvalsts tiesībām ievēro pienākumu glabāt dienesta noslēpumu, gan esot amatā, gan arī pēc pilnvaru termiņa beigām, attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus vai īstenojot pilnvaras. Viņu pilnvaru laikā minētais pienākums glabāt dienesta noslēpumu jo īpaši attiecas uz fizisku personu ziņojumiem par šīs direktīvas pārkāpumiem.

2. iedaļa

Kompetence, uzdevumi un pilnvaras

45. pants

Kompetence

1.   Katra dalībvalsts paredz, ka katra uzraudzības iestādes savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo direktīvu.

2.   Katra dalībvalsts paredz, ka katras uzraudzības iestādes kompetencē nav uzraudzīt apstrādes darbības, ko veic tiesa, pildot tiesas funkciju. Dalībvalstis var paredzēt, ka to uzraudzības iestādes nav kompetentas uzraudzīt apstrādes darbības, ko veic citas neatkarīgas tiesu iestādes, pildot tiesas funkciju.

46. pants

Uzdevumi

1.   Katra dalībvalstis paredz, ka to teritorijā katra uzraudzības iestāde:

a)

uzrauga un nodrošina saskaņā ar šo direktīvu pieņemtu noteikumu un tās īstenošanas pasākumu piemērošanu;

b)

veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi;

c)

saskaņā ar dalībvalsts tiesībām konsultē valsts parlamentu, valdību un citas iestādes un struktūras par leģislatīviem un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi;

d)

veicina pārziņu un apstrādātāju informētību par viņu pienākumiem saskaņā ar šo direktīvu;

e)

pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņa tiesību īstenošanu saskaņā ar šo direktīvu un, ja nepieciešams, šajā ziņā sadarbojas ar citu dalībvalstu uzraudzības iestādēm;

f)

izskata datu subjekta, struktūras vai organizācijas, vai asociācijas iesniegtās sūdzības saskaņā ar 55. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

g)

pārbauda apstrādes likumīgumu saskaņā ar 17. pantu un saprātīgā termiņā informē datu subjektu par saskaņā ar minētā panta 3. punktu veiktas pārbaudes rezultātiem vai iemesliem, kādēļ pārbaude netika veikta;

h)

sadarbojas ar citām uzraudzības iestādēm, tostarp apmainoties ar informāciju, un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs direktīvas piemērošanu un izpildi;

i)

veic izmeklēšanu par šīs direktīvas piemērošanu, tostarp pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

j)

uzrauga būtiskas norises, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

k)

sniedz ieteikumus par 28. pantā minētajām apstrādes darbībām; un

l)

veicina kolēģijas darbības.

2.   Katra uzraudzības iestāde atvieglo 1. punkta f) apakšpunktā minēto sūdzību iesniegšanu ar tādiem pasākumiem kā, piemēram, nodrošinot sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3.   Attiecībā uz datu subjektu un datu aizsardzības speciālistu katra uzraudzības iestāde savus uzdevumus veic bez maksas.

4.   Ja pieprasījums ir acīmredzami nepamatots vai pārmērīgs, jo īpaši tā atkārtošanās dēļ, uzraudzības iestāde var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, vai var atteikties veikt pieprasīto darbību. Uzraudzības iestādes pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

47. pants

Pilnvaras

1.   Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir efektīvas izmeklēšanas pilnvaras. Minētās pilnvaras ietver vismaz pilnvaras iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem, kas tiek apstrādāti, un visai informācijai, kas nepieciešama tās uzdevumu veikšanai.

2.   Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir tādas efektīvas korektīvās pilnvaras kā, piemēram:

a)

brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti saskaņā ar šo direktīvu pieņemti noteikumi;

b)

izdot rīkojumu pārzinim vai apstrādātājam panākt apstrādes darbību atbilstību saskaņā ar šo direktīvu pieņemtiem noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā; jo īpaši izdodot rīkojumu par datu labošanu, apstrādes ierobežošanu vai dzēšanu, ievērojot 16. pantu;

c)

uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu.

3.   Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir efektīvas padomdevēja pilnvaras konsultēt pārzini saskaņā ar 28. pantā minēto iepriekšējas apspriešanās procedūru un pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, tās valdībai vai atbilstoši savas valsts tiesībām – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību.

4.   Uzraudzības iestāde atbilstoši šim pantam piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalsts tiesībās saskaņā ar hartu.

5.   Katra dalībvalsts likumā paredz, ka tās uzraudzības iestādei ir pilnvaras vērst tiesu iestāžu uzmanību uz šīs direktīvas pārkāpumiem, un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu saskaņā ar šo direktīvu pieņemtos noteikumus.

48. pants

Ziņošana par pārkāpumiem

Dalībvalstis paredz, ka kompetentās iestādes izveido efektīvus mehānismus, lai iedrošinātu konfidenciālu ziņošanu par šīs direktīvas pārkāpumiem.

49. pants

Darbības pārskats

Katra uzraudzības iestāde par savu darbību sagatavo gada ziņojumu, kurā var būt iekļauts saraksts ar paziņoto pārkāpumu un piemēroto sankciju veidiem. Minētos ziņojumus nosūta valsts parlamentam, valdībai un citām iestādēm, kas izraudzītas dalībvalsts tiesībās. Tos dara pieejamus sabiedrībai, Komisijai un kolēģijai.

VII NODAĻA

Sadarbība

50. pants

Savstarpēja palīdzība

1.   Katra dalībvalstis nodrošina, ka to uzraudzības iestādes sniedz cita citai attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo direktīvu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt konsultācijas, veikt pārbaudes vai izmeklēšanas.

2.   Katra dalībvalstis paredz, ka katra uzraudzības iestāde veic visus atbilstīgos pasākumus, kas nepieciešami, lai bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas atbildētu uz citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgas informācijas par izmeklēšanas gaitu nosūtīšanu.

3.   Palīdzības pieprasījumos norāda visu nepieciešamo informāciju, tostarp nolūku un pamatojumu. Apmaiņā iegūto informāciju var izmantot tikai tam nolūkam, kādam tā ir pieprasīta.

4.   Uzraudzības iestāde, kurai pieprasījumus adresēts, neatsakās izpildīt pieprasījumu, ja vien:

a)

pieprasījuma priekšmets vai pasākumi, kurus lūdz izpildīt, nav tās kompetencē; vai

b)

pieprasījuma izpilde pārkāptu šo direktīvu vai Savienības vai dalībvalsts tiesības, ko piemēro uzraudzības iestādei, kas saņēmusi pieprasījumu.

5.   Uzraudzības iestāde, kurai pieprasījumus adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem, vai attiecīgā gadījumā par pieprasījuma izpildei veikto pasākumu progresu. Uzraudzības iestāde, kurai pieprasījumus adresēts, sniedz pamatojumu atteikumam izpildīt pieprasījumu, ievērojot 4. punktu.

6.   Uzraudzības iestādes, kurām pieprasījumus adresēts, parasti sniedz citas uzraudzības iestādes pieprasīto informāciju elektroniskā veidā, izmantojot standarta formātu.

7.   Uzraudzības iestādes, kurām pieprasījumus adresēts, par to darbībām, kas veiktas, ievērojot savstarpējās palīdzības pieprasījumu, neprasa samaksu. Uzraudzības iestādes var vienoties par noteikumiem, kā viena otrai kompensē īpašos izdevumus, kas radušies no savstarpējas palīdzības sniegšanas ārkārtas apstākļos.

8.   Komisija, pieņemot īstenošanas aktus, var noteikt šajā pantā minētās savstarpējās palīdzības formātu un procedūras un kārtību, kādā uzraudzības iestādes ar elektroniskiem līdzekļiem savā starpā un ar kolēģiju apmainās informācijā. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 58. panta 2. punktā.

51. pants

Kolēģijas uzdevumi

1.   Ar Regulu (ES) 2016/679 izveidotā kolēģija šīs direktīvas darbības jomā attiecībā uz apstrādes darbībām īsteno visus šādus uzdevumus:

a)

sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tostarp par visiem ierosinātajiem šīs direktīvas grozījumiem;

b)

pēc pašas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādu jautājumu, kas attiecas uz šīs direktīvas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs direktīvas konsekventu piemērošanu;

c)

izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 47. panta 1. un 3. punktā minēto pasākumu piemērošanu;

d)

saskaņā ar šīs daļas b) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 30. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

e)

saskaņā ar šīs daļas b) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt paaugstinātu risku fizisku personu tiesībām un brīvībām, kā minēts 31. panta 1. punktā;

f)

pārskata b) un c) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu;

g)

sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai šādā trešā valstī, teritorijā, konkrētā sektorā vai starptautiskā organizācija vairs netiek nodrošināts pietiekams aizsardzības līmenis;

h)

veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

i)

veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

j)

veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesībām un praksi ar uzraudzības iestādēm visā pasaulē.

Attiecībā uz pirmās daļas g) apakšpunktu Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, teritoriju vai konkrētu nozari minētajā trešajā valstī vai starptautisku organizāciju.

2.   Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību.

3.   Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 58. panta 1. punktā norādītajai komitejai un publisko tos.

4.   Komisija informē kolēģiju par darbību, kas veikta, ņemot vērā kolēģijas sagatavotos atzinumus, pamatnostādnes, ieteikumus un paraugpraksi.

VIII NODAĻA

Tiesību aizsardzības līdzekļi, atbildība un sankcijas

52. pants

Tiesības iesniegt sūdzību uzraudzības iestādē

1.   Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, dalībvalstis paredz, ka katram datu subjektam ir tiesības iesniegt sūdzību vienā uzraudzības iestādē, ja datu subjekts uzskata, ka personas datu apstrāde, kas uz viņu attiecas, pārkāpj saskaņā ar šo direktīvu pieņemtos noteikumus.

2.   Dalībvalstis paredz, ka gadījumā, ja sūdzība nav iesniegta tajā uzraudzības iestādē, kas ir kompetenta saskaņā ar 45. panta 1. punktu, tad uzraudzības iestāde, kurā ir iesniegta sūdzība, to bez nepamatotas kavēšanās nosūta kompetentajai uzraudzības iestādei. Datu subjektu informē par nosūtīšanu.

3.   Dalībvalstis paredz, ka tā uzraudzības iestāde, kurā ir iesniegta sūdzība, sniedz turpmāku palīdzību pēc datu subjekta pieprasījuma.

4.   Kompetentā uzraudzības iestāde informē datu subjektu par sūdzības izskatīšanas virzību un iznākumu, tostarp par tiesību aizsardzības iespēju tiesā saskaņā ar 53. pantu.

53. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi

1.   Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, dalībvalstis fiziskām vai juridiskām personām paredz tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas tās skar.

2.   Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 45. panta 1. punktu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 52. pantu, izskatīšanas virzību vai rezultātiem.

3.   Dalībvalstis paredz, ka prasību pret uzraudzības iestādi ceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde.

54. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju

Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tostarp tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 52. pantu, dalībvalstis datu subjektiem paredz tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības, kas izklāstītas saskaņā ar šo direktīvu pieņemtos noteikumos, ir aizskartas personas datu apstrādes rezultātā, kura neatbilst minētajiem noteikumiem.

55. pants

Datu subjektu pārstāvība

Dalībvalstis saskaņā ar dalībvalsts procesuālajām tiesībām nodrošina, ka datu subjektam ir tiesības pilnvarot kādu bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesībām, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjektu tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņu vārdā iesniegtu sūdzību un viņu vārdā īstenotu 52., 53. un 54. pantā minētās tiesības.

56. pants

Tiesības uz kompensāciju

Dalībvalstis nodrošina, ka jebkurai personai, kurai nodarīts materiāls vai nemateriāls kaitējums nelikumīgas datu apstrādes vai jebkādas rīcības dēļ, kas pārkāpj valsts noteikumus, kas pieņemti, ievērojot šo direktīvu, ir tiesības no personas datu pārziņa vai kādas citas saskaņā ar dalībvalsts tiesībām kompetentas iestādes saņemt kompensāciju par nodarīto kaitējumu.

57. pants

Sankcijas

Dalībvalstis paredz noteikumus par sankcijām, kas piemērojamas par tādu noteikumu pārkāpumiem, kas pieņemti, ievērojot šo direktīvu, un veic visus vajadzīgos pasākumus, lai nodrošinātu to īstenošanu. Paredzētās sankcijas ir iedarbīgas, samērīgas un atturošas.

IX NODAĻA

Īstenošanas akti

58. pants

Komiteju procedūra

1.   Komisijai palīdz komiteja, kas izveidota ar Regulas (ES) 2016/679 93. pantu. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.

2.   Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

3.   Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 8. pantu saistībā ar tās 5. pantu.

X NODAĻA

Nobeiguma noteikumi

59. pants

Pamatlēmumu 2008/977/TI atcelšana

1.   Pamatlēmumu 2008/977/TI atceļ no 2018. gada 6. maija.

2.   Atsauces uz atcelto lēmumu, kas minēts 1. punktā, uzskata par atsaucēm uz šo direktīvu.

60. pants

Spēkā esošie Savienības tiesību akti

Īpašie noteikumi par personas datu aizsardzību, kas iekļauti Savienības tiesību aktos, kuri tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā stājās spēkā 2016. gada 6. maijā, kuri reglamentē apstrādi starp dalībvalstīm un dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām šīs direktīvas darbības jomā, kas izveidotas, pamatojoties uz Līgumiem, paliek neskarti.

61. pants

Saistība ar iepriekš noslēgtiem starptautiskiem nolīgumiem par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību

Starptautiskie nolīgumi, kuri ietver personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām un kurus dalībvalstis ir noslēgušas pirms 2016. gada 6. maija, un kuri atbilst Savienības tiesībām, kuras bija piemērojamas pirms minētā datuma, paliek spēkā līdz brīdim, kad tie tiek grozīti, aizstāti vai atsaukti.

62. pants

Komisijas ziņojumi

1.   Komisija līdz 2022. gada 6. maijam un pēc tam reizi četros gados iesniedz šīs direktīvas novērtējuma un pārskata ziņojumus Eiropas Parlamentam un Padomei. Ziņojumus publisko.

2.   Saistībā ar 1. punktā minētajiem novērtējumiem un pārskatiem, Komisija jo īpaši pārbauda, kā tiek piemērota un darbojas V nodaļa par personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, īpaši attiecībā uz lēmumiem, kas pieņemti saskaņā ar 36. panta 3. punktu un 39. pantu.

3.   Šā panta 1. un 2. punktā minētajos nolūkos Komisija var pieprasīt informāciju no dalībvalstīm un uzraudzības iestādēm.

4.   Veicot 1. un 2. punktā minētos novērtējumus un pārskatīšanu, Komisija ņem vērā Eiropas Parlamenta un Padomes viedokļus un atzinumus un tos, kas iegūti no citām attiecīgajām struktūrām un avotiem.

5.   Komisija, ja nepieciešams, iesniedz atbilstīgus priekšlikumus, lai izdarītu grozījumus šajā direktīvā, jo īpaši ņemot vērā informācijas tehnoloģiju attīstību un progresu informācijas sabiedrībā.

6.   Komisija līdz 2019. gada 6. maijam pārskata citus Savienības pieņemtos tiesību aktus, ar kuriem reglamentē apstrādi, ko kompetentas iestādes veic 1. panta 1. punktā izklāstītajos nolūkos, tostarp tos, kas minēti 60. pantā, lai izvērtētu nepieciešamību tos pielāgot šai direktīvai, un, ja nepieciešams, iesniedz vajadzīgos priekšlikumus minēto aktu grozīšanai, lai nodrošinātu konsekventu pieeju to personas datu aizsardzībai, uz kuriem attiecas šīs direktīvas darbības joma.

63. pants

Transponēšana

1.   Dalībvalstis līdz 2018. gada 6. maijam pieņem un publicē normatīvos un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Dalībvalstis tūlīt dara Komisijai zināmus minēto noteikumu tekstus. Tās piemēro minētos noteikumus no 2018. gada 6. maija.

Kad dalībvalstis pieņem minētos noteikumus, tajos ietver atsauci uz šo direktīvu vai arī šādu atsauci pievieno to oficiālajai publikācijai. Dalībvalstis nosaka, kā izdarāma šāda atsauce.

2.   Atkāpjoties no 1. punkta, dalībvalsts var paredzēt, ka izņēmuma gadījumos, kas saistīti ar nesamērīgi lielām pūlēm, pirms 2016. gada 6. maija izveidotās automatizētas apstrādes sistēmas tiek saskaņotas ar 25. panta 1. punktu līdz 2023. gada 6. maijam.

3.   Atkāpjoties no šā panta 1. un 2. punkta, dalībvalsts var izņēmuma apstākļos šā panta 2. punktā minēto automatizēto apstrādes sistēmu saskaņot ar 25. panta 1. punktu konkrētā termiņā, kas ir vēlāks nekā šā panta 2. punktā minētais termiņš, ja citādi tas radītu nopietnus sarežģījumus kādas konkrētas automatizētas sistēmas darbībā. Attiecīgā dalībvalsts informē Komisiju par minēto nopietno sarežģījumu cēloņiem un sniedz pamatojumu termiņam, kuru tā noteikusi, lai attiecīgo automatizētas apstrādes sistēmu saskaņotu ar 25. panta 1. punktu. Noteiktais termiņš nekādā gadījumā nepārsniedz 2026. gada 6. maiju.

4.   Dalībvalstis dara Komisijai zināmus galvenos noteikumus tiesību aktos, kurus tās ir pieņēmušas jomā, uz ko attiecas šī direktīva.

64. pants

Stāšanās spēkā

Šī direktīva stājas spēkā nākamajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

65. pants

Adresāti

Šī direktīva ir adresēta dalībvalstīm.

Briselē, 2016. gada 27. aprīlī

Eiropas Parlamenta vārdā –

priekšsēdētājs

M. SCHULZ

Padomes vārdā –

priekšsēdētāja

J.A. HENNIS-PLASSCHAERT


(1)  OV C 391, 18.12.2012., 127. lpp.

(2)  Eiropas Parlamenta 2014. gada 12. marta nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2016. gada 8. aprīļa nostāja pirmajā lasījumā (Oficiālajā Vēstnesī vēl nav publicēta). Eiropas Parlamenta 2016. gada 14. aprīļa nostāja.

(3)  Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.).

(4)  Padomes Pamatlēmums 2008/977/TI (2008. gada 27. novembris) par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (OV L 350, 30.12.2008., 60. lpp.).

(5)  Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (skatīt šā Oficiālā Vēstneša 1. lpp.).

(6)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).

(7)  Eiropas Parlamenta un Padomes Direktīva 2011/24/ES (2011. gada 9. marts) par pacientu tiesību piemērošanu pārrobežu veselības aprūpē (OV L 88, 4.4.2011., 45. lpp.).

(8)  Padomes Kopējā nostāja 2005/69/TI (2005. gada 24. janvāris) par konkrētu datu apmaiņu ar Interpolu (OV L 27, 29.1.2005., 61. lpp.).

(9)  Padomes Lēmums 2007/533/TI (2007. gada 12. jūnijs) par otrās paaudzes Šengenas Informācijas sistēmas (SIS II) izveidi, darbību un izmantošanu (OV L 205, 7.8.2007., 63. lpp.).

(10)  Padomes Direktīva 77/249/EEK (1977. gada 22. marts) par pasākumiem, kas palīdz advokātiem sekmīgi īstenot brīvību sniegt pakalpojumus (OV L 78, 26.3.1977., 17. lpp.).

(11)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 182/2011 (2011. gada 16. februāris), ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).

(12)  Padomes Lēmums 2008/615/TI (2008. gada 23. jūnijs) par pārrobežu sadarbības pastiprināšanu, jo īpaši apkarojot terorismu un pārrobežu noziedzību (OV L 210, 6.8.2008., 1. lpp.).

(13)  Padomes Akts (2000. gada 29. maijs), ar ko izstrādā Konvenciju par Eiropas Savienības dalībvalstu savstarpēju palīdzību krimināllietās saskaņā ar 34. pantu Līgumā par Eiropas Savienību (OV C 197, 12.7.2000., 1. lpp.).

(14)  Eiropas Parlamenta un Padomes Direktīva 2011/93/ES (2011. gada 13. decembris) par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, un ar kuru aizstāj Padomes Pamatlēmumu 2004/68/TI (OV L 335, 17.12.2011., 1. lpp.).

(15)  OV L 176, 10.7.1999., 36. lpp.

(16)  OV L 53, 27.2.2008., 52. lpp.

(17)  OV L 160, 18.6.2011., 21. lpp.

(18)  OV C 192, 30.6.2012., 7. lpp.


Top