4.5.2016   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 119/89

(1)

Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir viena no pamattiesībām. Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz personas datu aizsardzību.

(2)

Noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no to valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un pamatbrīvības, jo īpaši tiesības uz personas datu aizsardzību. Šīs direktīvas mērķis ir palīdzēt izveidot brīvības, drošības un tiesiskuma telpu.

(3)

Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Personas datu vākšanas un apmaiņas apjoms ir būtiski pieaudzis. Tehnoloģija ļauj vēl nepieredzētā apjomā apstrādāt personas datus tādām darbībām, ko veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus.

(4)

Tam ir nepieciešams atvieglot personas datu brīvu apriti starp kompetentajām iestādēm, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai Savienībā un tos novērstu, un šādu personas datu nosūtīšanu uz trešām valstīm un starptautiskajām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību. Minēto pārmaiņu dēļ ir jāizveido stingrs un saskaņotāks personas datu aizsardzības regulējums Savienībā, ko atbalsta ar stingru izpildi.

(5)

Eiropas Parlamenta un Padomes Direktīva 95/46/EK (3) ir piemērojama personas datu apstrādei dalībvalstīs gan publiskajā, gan privātajā sektorā. Tomēr to nepiemēro personas datu apstrādei tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti, piemēram, darbībām tādās jomās kā tiesu iestāžu sadarbība krimināllietās un policijas sadarbība.

(6)

Padomes Pamatlēmums 2008/977/TI (4) ir piemērojams tiesu iestāžu sadarbībai krimināllietās un policijas sadarbībai. Minētā pamatlēmuma piemērošanas joma attiecas tikai uz tādu personas datu apstrādi, kurus nosūta starp dalībvalstīm vai kurus dara savstarpēji pieejamus.

(7)

Konsekventas un augsta līmeņa personas datu aizsardzības nodrošināšana fiziskām personām un personas datu apmaiņas veicināšana starp dalībvalstu kompetentajām iestādēm ir būtiska, lai nodrošinātu efektīvu tiesu iestāžu sadarbību krimināllietās un policijas sadarbību. Šajā nolūkā fizisku personu tiesību un brīvību aizsardzības līmenim attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vajadzētu būt līdzvērtīgam visās dalībvalstīs. Lai personas datu aizsardzība visā Savienībā būtu efektīva, ir jāstiprina datu subjektu tiesības un to personu pienākumi, kas apstrādā personas datus, kā arī līdzvērtīgas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu dalībvalstīs.

(8)

LESD 16. panta 2. punktā Eiropas Parlaments un Padome tiek pilnvaroti paredzēt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un noteikumus par šādu datu brīvu apriti.

(9)

Balstoties uz to, Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (5) nosaka vispārīgus noteikumus, lai aizsargātu fiziskas personas attiecībā uz to personas datu apstrādi un nodrošinātu personas datu brīvu apriti Savienībā.

(10)

21. deklarācijā par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši noteikumi par personas datu aizsardzību un par personas datu brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu, minēto jomu specifisko iezīmju dēļ.

(11)

Tādēļ ir piemēroti minētās jomas aptvert direktīvā, kurā paredzēti īpaši noteikumi par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, respektējot šo darbību īpašo raksturu. Starp šādām kompetentajām iestādēm var būt ne vien publiskās iestādes, tādas kā tiesu iestādes, policija vai citas tiesībaizsardzības iestādes, bet arī jebkādas citas struktūras vai vienības, kam dalībvalsts tiesībās uzticēts īstenot publisko varu un publiskās pilnvaras šīs direktīvas nolūkos. Ja šāda struktūra vai vienība personas datus apstrādā citos nolūkos, nevis šajā direktīvā noteiktajos, piemēro Regulu (ES) 2016/679. Tāpēc Regulu (ES) 2016/679 piemēro gadījumos, kad struktūra vai vienība vāc personas datus citos nolūkos un minētos personas datus apstrādā tālāk, lai pildītu kādu juridisku pienākumu, kam tā pakļauta. Piemēram, finanšu iestādes noziedzīga nodarījuma izmeklēšanas, atklāšanas vai saukšanas pie atbildības nolūkos patur dažus no personas datiem, ko tās apstrādā, un konkrētos gadījumos un saskaņā ar dalībvalsts tiesībām sniedz minētos personas datus tikai kompetentajām valsts iestādēm. Struktūrai vai vienībai, kas šādu iestāžu vārdā apstrādā personas datus šīs direktīvas darbības jomā, vajadzētu būt saistītai ar līgumu vai kādu citu juridisku aktu un noteikumiem, kas piemērojami apstrādātājiem, ievērojot šo direktīvu, bet Regulas (ES) 2016/679 piemērošana paliek neskarta attiecībā uz apstrādātāja personas datu apstrādi, kas ir ārpus šīs direktīvas darbības jomas.

(12)

Darbības, ko veic policija vai citas tiesībaizsardzības iestādes, ir galvenokārt vērstas uz to, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem. Šādas darbības var ietvert arī varas pielietošanu, veicot piespiedu pasākumus, piemēram, policijas darbības demonstrāciju, liela mēroga sporta pasākumu un nemieru laikā. Tās ietver arī likumības un kārtības uzturēšanu kā uzdevumu, kas uzticēts policijai vai citām tiesībaizsardzības iestādēm, kad nepieciešams pasargāt no tādiem draudiem sabiedriskajai drošībai un ar likumu aizsargātām fundamentālām sabiedrības interesēm, kas varētu novest pie noziedzīga nodarījuma, un šos draudus novērst. Dalībvalstis var uzticēt kompetentajām iestādēm citus uzdevumus, kas nav obligāti saistīti ar darbībām, ko veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, tādējādi, ciktāl minētajos citos nolūkos veiktā personas datu apstrāde ir Savienības tiesību aktu darbības jomā, tā ietilpst Regulas (ES) 2016/679 darbības jomā.

(13)

Noziedzīgam nodarījumam šīs direktīvas nozīmē vajadzētu būt autonomam Savienības tiesību jēdzienam, kā to interpretējusi Eiropas Savienības Tiesa (“Tiesa”).

(14)

Tā kā šī direktīva nebūtu jāpiemēro personas datu apstrādei tādas darbības gaitā, kas ir ārpus Savienības tiesību darbības jomas, darbības attiecībā uz valsts drošību, darbības, ko veic aģentūras vai vienības, kuras nodarbojas ar valsts drošības jautājumiem, un dalībvalstu veiktu personas datu apstrādi, kad tās veic darbības, kuras ietilpst Līguma par Eiropas Savienību (LES) V sadaļas 2. nodaļas darbības jomā, nebūtu jāuzskata par darbībām, kas ir šīs direktīvas darbības jomā.

(15)

Lai ar juridiski īstenojamu tiesību palīdzību fiziskām personām nodrošinātu vienāda līmeņa aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu apmaiņu starp kompetentajām iestādēm, šajā direktīvā būtu jāparedz saskaņoti noteikumi to personas datu aizsardzībai un brīvai apritei, ko apstrādā, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Dalībvalstu tiesību aktu tuvināšanai nekādi nebūtu jāmazina attiecīgo dalībvalstu nodrošināto personas datu aizsardzība, bet gan tieši pretēji – ar to būtu jātiecas Savienībā nodrošināt augsta līmeņa aizsardzību. Dalībvalstīm nevajadzētu būt liegtam paredzēt stingrākas garantijas nekā tās, kas noteiktas šajā direktīvā, lai aizsargātu datu subjekta tiesības un brīvības attiecībā uz kompetento iestāžu veiktu personas datu apstrādi.

(16)

Šī direktīva neskar principu par publisku piekļuvi oficiāliem dokumentiem. Saskaņā ar Regulu (ES) 2016/679 personas datus, kas iekļauti oficiālos dokumentos, kuri ir publiskas iestādes vai publiskas vai privātas struktūras rīcībā, lai veiktu kādu uzdevumu sabiedrības interesēs, minētā iestāde vai struktūra var izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, ko piemēro publiskai iestādei vai struktūrai, lai publisku piekļuvi oficiāliem dokumentiem saskaņotu ar tiesībām uz personas datu aizsardzību.

(17)

Šajā direktīvā noteiktajai aizsardzībai būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas saistībā ar to personas datu apstrādi.

(18)

Lai izvairītos no likuma apiešanas nopietna riska radīšanas, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz personas datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs direktīvas darbības jomā nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem.

(19)

Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (6) piemēro personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās. Regula (EK) Nr. 45/2001 un citi Savienības tiesību akti, ko piemēro šādai personas datu apstrādei, būtu jāpielāgo principiem un noteikumiem, kas noteikti Regulā (ES) 2016/679.

(20)

Šī direktīva neliedz dalībvalstīm valsts noteikumos par kriminālprocesu precizēt apstrādes darbības un apstrādes procedūras saistībā ar personas datu apstrādi, ko veic tiesas un citas tiesu iestādes, jo īpaši attiecībā uz personas datiem, kas saistībā ar kriminālprocesu ir iekļauti kādā tiesas nolēmumā vai reģistros.

(21)

Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. Lai pārliecinātos, vai līdzekļus varētu pamatoti izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību. Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts vairs nav identificējams.

(22)

Publiskās iestādes, kam personas datus izpauž saskaņā ar juridisku pienākumu, lai tās varētu pildīt savus oficiālos uzdevumus, piemēram, nodokļu iestādes un muitas dienesti, finanšu izmeklēšanas vienības, neatkarīgas administratīvās iestādes vai finanšu tirgus iestādes, kas ir atbildīgas par vērtspapīru tirgu regulējumu un pārraudzību, nebūtu jāuzskata par saņēmējām, ja tās saņem personas datus, kas vajadzīgi, lai veiktu konkrētu izmeklēšanu vispārējās interesēs saskaņā ar Savienības vai dalībvalsts tiesību aktiem. Publisko iestāžu nosūtītiem informācijas pieprasījumiem vienmēr vajadzētu būt rakstiskiem, motivētiem un neregulāriem, un tiem nebūtu jāattiecas uz visu kartotēku kopumā vai jārada savstarpēji kartotēku savienojumi. Personas datu apstrādei, ko veic minētās publiskās iestādes, būtu jāatbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem.

(23)

Ģenētiskie dati būtu jādefinē kā tādi personas dati, kas attiecas uz fiziskas personas mantotām vai iegūtām ģenētiskajām pazīmēm, kas sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību, un kas izriet no attiecīgās fiziskās personas bioloģiskā parauga analīzes, jo īpaši no hromosomu, dezoksiribonukleīnskābes (DNS) vai ribonukleīnskābes (RNS) analīzes vai no cita elementa analīzes, kas ļauj iegūt līdzvērtīgu informāciju. Ņemot vērā ģenētiskās informācijas sarežģītību un sensitivitāti, pastāv liels risks, ka pārzinis to varētu izmantot ļaunprātīgi un atkārtoti dažādos nolūkos. Jebkāda diskriminācija, kuras pamatā ir ģenētiskas iezīmes, būtu principā jāaizliedz.

(24)

Personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kas atspoguļo informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fizisko vai garīgo veselību. Tas ietver tādu informāciju par fizisko personu, kas savākta, minēto fizisko personu reģistrējot veselības aprūpes pakalpojumu sniegšanai vai to sniegšanas laikā, kā minēts Eiropas Parlamenta un Padomes Direktīvā 2011/24/ES (7); skaitlis, simbols vai zīme, kas piešķirti kādai fiziskai personai, lai to viennozīmīgi identificētu ar veselību saistītos nolūkos; informācija, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tostarp no ģenētiskiem datiem un bioloģiskiem paraugiem; un jebkāda informācija, piemēram, par slimību, invaliditāti, slimības risku, slimības vēsturi, klīnisko aprūpi vai par datu subjekta fizioloģisko vai biomedicīnisko stāvokli neatkarīgi no informācijas avota, piemēram, ārsta vai cita veselības aprūpes speciālista, slimnīcas, medicīniskās ierīces vai in vitro diagnostikas testa.

(25)

Visas dalībvalstis ir pievienojušās Starptautiskajai Kriminālpolicijas organizācijai (Interpolam). Lai pildītu savu uzdevumu, Interpols saņem, uzglabā un izplata personas datus, kas palīdz kompetentajām iestādēm novērst un apkarot starptautisko noziedzību. Tādēļ ir lietderīgi pastiprināt Savienības un Interpola sadarbību, veicinot personas datu efektīvu apmaiņu, kurā vienlaikus ir nodrošināta pamattiesību un pamatbrīvību ievērošana attiecībā uz personas datu automātisku apstrādi. Gadījumos, kad personas datus no Savienības nosūtīta Interpolam un valstīm, kas norīkojušas locekļus uz Interpolu, būtu jāpiemēro šī direktīva, jo īpaši tās noteikumi par starptautisku nosūtīšanu. Šai direktīvai nebūtu jāskar īpašie noteikumi, kas paredzēti Padomes Kopējā nostājā 2005/69/TI (8) un Padomes Lēmumā 2007/533/TI (9).

(26)

Jebkurai personas datu apstrādei ir jābūt likumīgai, godprātīgai un pārredzamai attiecībā uz attiecīgajām fiziskajām personām un jātiek īstenotai tikai konkrētos likumā paredzētos nolūkos. Tas pats par sevi neliedz tiesībaizsardzības iestādēm veikt tādas darbības kā slepena izmeklēšana vai video novērošana. Šādas darbības var veikt, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, ja vien tās ir paredzētas likumā un ir nepieciešamas un samērīgas demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas leģitīmās intereses. Tāds datu aizsardzības princips kā godprātīga apstrāde ir atsevišķs jēdziens, kas atšķiras no tiesībām uz taisnīgu tiesu, kā noteikts hartas 47. pantā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas (ECTK) 6. pantā. Fiziskas personas būtu jāinformē par riskiem, noteikumiem, garantijām un tiesībām saistībā ar viņu personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar apstrādi. Konkrētajiem personas datu apstrādes nolūkiem jo īpaši vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt atbilstīgiem un būtiskiem tiem nolūkiem, kādos tos apstrādā. Jo īpaši būtu jānodrošina, lai savākto personas datu apjoms nebūtu pārmērīgs un lai personas datus neglabātu ilgāk, nekā tas ir vajadzīgs nolūkos, kādos tos apstrādā. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. Lai nodrošinātu, ka datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi dzēšanai vai periodiskai pārskatīšanai. Dalībvalstīm būtu jānosaka atbilstīgas garantijas attiecībā uz personas datiem, kurus glabā ilgāku laiku saistībā ar arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem.

(27)

Lai novērstu un izmeklētu noziedzīgus nodarījumus un sauktu pie atbildības par tiem, kompetentajām iestādēm personas dati, kas savākti saistībā ar konkrētu noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, ir jāapstrādā ārpus minētā konteksta, lai iegūtu izpratni par noziedzīgām darbībām un konstatētu saiknes starp dažādiem atklātajiem noziedzīgajiem nodarījumiem.

(28)

Lai saglabātu apstrādes drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī direktīva, personas dati būtu jāapstrādā tā, lai tiktu ievērota pienācīga drošības un konfidencialitātes pakāpe, tostarp tiktu novērsta neatļauta piekļuve personas datiem un to apstrādes aprīkojumam vai to izmantošana, un tā, lai ņemtu vērā pieejamo tehnikas līmeni un tehnoloģijas, kā arī īstenošanas izmaksas saistībā ar risku un aizsargājamo personas datu raksturu.

(29)

Personas dati būtu jāvāc konkrētos, skaidros un leģitīmos nolūkos, uz kuriem attiecas šīs direktīvas darbības joma, un tie nebūtu jāapstrādā nolūkos, kas nav saderīgi ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst. Ja personas datus apstrādā tas pats vai cits pārzinis nolūkā, ko aptver šīs direktīvas darbības joma un kas nav tas, kādā dati tika vākti, šādai apstrādei vajadzētu būt atļautai ar noteikumu, ka šāda apstrāde ir atļauta saskaņā ar piemērojamajiem tiesību aktu noteikumiem un ka tā ir nepieciešama un samērīga ar minēto citu nolūku.

(30)

Datu precizitātes princips būtu jāpiemēro, ņemot vērā attiecīgās apstrādes raksturu un nolūkus. Jo īpaši tiesvedībā izteikumi, kas satur personas datus, balstās uz fizisko personu subjektīvu uztveri un ne vienmēr ir pārbaudāmi. Attiecīgi prasībai par precizitāti nebūtu jāattiecas uz izteikuma precizitāti, bet vienīgi uz to, ka ir izdarīts konkrēts izteikums.

(31)

Personas datu apstrādei tādās jomās kā tiesu iestāžu sadarbība krimināllietās un policijas sadarbība ir raksturīgi tas, ka tiek apstrādi personas dati, kas attiecas uz dažādām datu subjektu kategorijām. Tāpēc – attiecīgā gadījumā un cik vien iespējams – ir nepieciešams skaidri nodalīt dažādu datu subjektu kategoriju personas datus, piemēram, aizdomās turēto, notiesāto, cietušo un citu personu, piemēram, liecinieku, personu, kam ir attiecīga informācija vai kontakti, un aizdomās turēto un notiesāto līdzdalībnieku personas datus. Tam nebūtu jāliedz piemērot tiesības uz nevainīguma prezumpciju, kas garantētas hartā un ECTK, kā tās interpretētas attiecīgi Tiesas un Eiropas Cilvēktiesību tiesas judikatūrā.

(32)

Kompetentajām iestādēm būtu jānodrošina, lai personas dati, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, netiktu nosūtīti vai darīti pieejami. Lai nodrošinātu fizisko personu aizsardzību un personas datu, kurus nosūta vai dara pieejamus, precizitāti, pilnīgumu vai to, kādā mērā tie ir aktuāli, un uzticamību, kompetentajām iestādēm visos personas datu nosūtīšanas gadījumos, cik iespējams, būtu jāpievieno nepieciešamā informācija.

(33)

Kad šajā direktīvā ir atsaucas uz dalībvalsts tiesībām, juridisko pamatu vai leģislatīvu pasākumu, tas uzreiz nenozīmē, ka vajadzīgs parlamenta pieņemts likumdošanas akts, neskarot prasības, kas izriet no attiecīgās dalībvalsts konstitucionālās iekārtas. Tomēr šādām dalībvalsts tiesībām, juridiskajam pamatam vai leģislatīvam pasākumam vajadzētu būt skaidram un precīzam un attiecīgajām personām būtu jāspēj paredzēt tā piemērošanu, kā tas prasīts Tiesas un Eiropas Cilvēktiesību tiesas judikatūrā. Dalībvalsts tiesībās, ar ko regulē personas datu apstrādi šīs direktīvas darbības jomā, būtu jānosaka vismaz mērķi, apstrādājamie personas dati, apstrādes nolūki, personas datu integritātes un konfidencialitātes saglabāšanas procedūras un to iznīcināšanas procedūras, tādējādi nodrošinot pietiekamas garantijas pret ļaunprātīgas izmantošanas risku un patvaļu.

(34)

Personas datu apstrādei, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, būtu jāattiecas uz jebkuru darbību vai darbību kopumu, ko veic ar personas datiem minētajos nolūkos ar automatizētiem līdzekļiem vai citādi, piemēram, vākšanu, reģistrāciju, organizēšanu, strukturēšanu, glabāšanu, pielāgošanu vai pārveidošanu, atgūšanu, aplūkošanu, izmantošanu, saskaņošanu vai kombinēšanu, apstrādes ierobežošanu, dzēšanu vai iznīcināšanu. Šīs direktīvas noteikumi jo īpaši būtu jāpiemēro šīs direktīvas nolūkos veiktai personas datu nosūtīšanai saņēmējam, uz ko neattiecas šī direktīva. Šādiem saņēmējiem vajadzētu ietvert fiziskas vai juridiskas personas, publiskas iestādes, aģentūras vai jebkuras citas struktūras, kurām kompetentā iestāde likumīgi izpauž datus. Gadījumos, kad kompetentā iestāde personas datus sākotnēji ir vākusi kādā no šīs direktīvas nolūkiem, šo datu apstrādei nolūkos, kas nav šīs direktīvas nolūki, būtu jāpiemēro Regula (ES) 2016/679, ja šāda apstrāde ir atļauta ar Savienības vai dalībvalsts tiesībām. Regulas (ES) 2016/679 noteikumi jo īpaši būtu jāpiemēro personas datu nosūtīšanai tādos nolūkos, uz kuriem neattiecas šīs direktīvas darbības joma. Personas datu apstrādei, ko veic saņēmējs, kurš nav kompetentā iestāde vai kurš nedarbojas kā tāda šīs direktīvas nozīmē un kuram kompetentā iestāde likumīgi izpauž personas datus, būtu jāpiemēro Regula (ES) 2016/679. Dalībvalstīm, īstenojot šo direktīvu, būtu arī jāvar sīkāk precizēt Regulas (ES) 2016/679 noteikumu piemērošanu, ņemot vērā tajā izklāstītos nosacījumus.

(35)

Lai saskaņā ar šo direktīvu veikta personas datu apstrāde būtu likumīga, tai vajadzētu būt nepieciešamai tādu uzdevumu izpildei, kurus kompetentā iestāde veic sabiedrības interesēs, pamatojoties uz Savienības vai dalībvalstu tiesībām, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Minētām darbībām būtu jāietver datu subjekta vitālu interešu aizsardzība. Kompetentajām iestādēm institucionāli likumā dotie uzdevumi – novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem – dod tām iespēju prasīt vai likt fiziskām personām pildīt prasīto. Tādā gadījumā datu subjekta piekrišanai, kā definēts Regulā (ES) 2016/679, nebūtu jākalpo par juridisko pamatu personas datu apstrādei, ko veic kompetentās iestādes. Ja datu subjektam liek pildīt kādu juridisku pienākumu, datu subjektam nav reālas un brīvas izvēles, tādēļ datu subjekta reakciju nevar uzskatīt par brīvprātīgi sniegtu norādi uz viņa vēlmēm. Tam nebūtu jāliedz dalībvalstīm likumā paredzēt, ka datu subjekts var piekrist savu personas datu apstrādei šīs direktīvas nolūkos, piemēram, DNS testiem kriminālizmeklēšanā vai tā atrašanās vietas uzraudzībai ar elektroniskām ierīcēm kriminālsodu izpildei.

(36)

Dalībvalstīm būtu jāparedz, ka tad, kad Savienības vai dalībvalsts tiesībās, ko piemēro nosūtītājai kompetentajai iestādei, ir paredzēti konkrēti nosacījumi, kurus konkrētos apstākļos piemēro personas datu apstrādei, piemēram, apstrādes kodu izmantošana, nosūtītājai kompetentajai iestādei par minētajiem nosacījumiem un par prasību tos ievērot būtu jāinformē šādu personas datu saņēmējs. Šādos nosacījumos, piemēram, varētu būt iekļauts aizliegums personas datus nosūtīt tālāk citiem vai izmantot tos citiem mērķiem nekā tiem, kuriem tie sākotnēji tika nosūtīti saņēmējam, vai informēt datu subjektu gadījumā, kad tiek ierobežotas tiesības uz informāciju bez nosūtītājas kompetentās iestādes iepriekšēja apstiprinājuma. Minētajiem pienākumiem būtu arī jāattiecas uz nosūtītājas kompetentās iestādes veiktu datu nosūtīšanu saņēmējiem trešās valstīs vai starptautiskām organizācijām. Dalībvalstīm būtu jānodrošina, ka nosūtītāja kompetentā iestāde šādus nosacījumus nepiemēro saņēmējiem citās dalībvalstīs vai aģentūrām, birojiem un struktūrām, kas izveidoti saskaņā ar LESD V sadaļas 4. un 5. nodaļu, izņemot tos, kuri piemērojami līdzīgām datu nosūtīšanām dalībvalstī, kurā atrodas minētā kompetentā iestāde.

(37)

Personas datiem, kas pēc sava rakstura ir īpaši sensitīvi saistībā ar pamattiesībām un pamatbrīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un pamatbrīvībām. Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmantošana šajā direktīvā nenozīmē, ka Savienība atzīst teorijas, ar kuru palīdzību notiek mēģinājumi noteikt dažādu cilvēku rasu pastāvēšanu. Šādi personas dati nebūtu jāapstrādā, izņemot gadījumus, kad uz apstrādi attiecas atbilstošas likumā noteiktas garantijas attiecībā uz datu subjektu tiesībām un brīvībām un kad tā ir atļauta likumā atļautos gadījumos; vai – ja tā vēl nav šādā likumā atļauta – gadījumos, kad apstrāde ir vajadzīga datu subjekta vai citas personas vitālu interešu aizsardzībai, vai ja apstrāde attiecas uz datiem, kurus datu subjekts acīmredzami ir publiskojis. Atbilstošas garantijas attiecībā uz datu subjektu tiesībām un brīvībām varētu aptvert iespēju vākt minētos datus tikai saistībā ar citiem datiem par attiecīgo fizisko personu, iespēju turēt savāktos datus pienācīgā drošībā, noteikt stingrākus noteikumus attiecībā uz kompetentās iestādes darbinieku piekļuvi datiem un aizliegumu nosūtīt minētos datus. Šādu datu apstrāde būtu arī jāatļauj likumā, ja datu subjekts nepārprotami ir piekritis apstrādei, kura ir īpaši dziļa iejaukšanās tā dzīvē. Tomēr datu subjekta piekrišanai pašai par sevi nebūtu jākalpo par juridisko pamatu šādu sensitīvu personas datu apstrādei kompetentajās iestādēs.

(38)

Datu subjektam vajadzētu būt tiesībām nebūt tāda lēmuma subjektam, ar kuru izvērtē ar viņu saistītus personiskus aspektus un kura pamatā ir tikai automatizēta apstrāde, un kurai ir nelabvēlīgas juridiskas sekas attiecībā uz datu subjektu vai kura to ievērojami ietekmē. Katrā ziņā uz šādu apstrādi būtu jāattiecina atbilstošas garantijas, tostarp īpašas informācijas sniegšana datu subjektam un tiesības panākt cilvēka iejaukšanos, jo īpaši paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šādas izvērtēšanas, un apstrīdēt lēmumu. Saskaņā ar hartas 21. un 52. pantā iekļautajiem nosacījumiem būtu jāaizliedz tāda profilēšana, ar kuru fiziskas personas tiek diskriminētas, pamatojoties uz personas datiem, kas pēc to rakstura ir īpaši sensitīvi saistībā ar pamattiesībām un pamatbrīvībām.

(39)

Lai ļautu datu subjektam īstenot savas tiesības, informācijai datu subjektam vajadzētu būt viegli pieejamai, tostarp pārziņa tīmekļa vietnē, un viegli saprotamai, izmantojot skaidru un vienkāršu valodu. Šādai informācijai vajadzētu būt pielāgotai neaizsargātu personu, piemēram, bērnu, vajadzībām.

(40)

Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar noteikumiem, kas pieņemti, ievērojot šo direktīvu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi saviem personas datiem, kā arī personas datu labošanu vai dzēšanu un apstrādes ierobežošanu. Pārzinim vajadzētu būt pienākumam atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās, ja vien pārzinis nepiemēro ierobežojumus datu subjekta tiesībām saskaņā ar šo direktīvu. Turklāt pārzinim būtu jāvar pieprasīt saprātīgu samaksu vai atteikt pieprasītās darbības veikšanu, ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, piemēram, ja datu subjekts nepamatoti un atkārtoti pieprasa informāciju vai ja datu subjekts savas tiesības saņemt informāciju izmanto ļaunprātīgi – piemēram, iesniedzot pieprasījumu, datu subjekts sniedz nepatiesu vai maldinošu informāciju.

(41)

Ja pārzinis lūdz sniegt papildu informāciju, kas vajadzīga datu subjekta identitātes apstiprināšanai, minētā informācija būtu jāapstrādā tikai šajā konkrētajā nolūkā un nebūtu jāglabā ilgāk nekā vajadzīgs šajā nolūkā.

(42)

Datu subjektam vajadzētu būt pieejamai vismaz šādai informācijai: pārziņa identitāte, fakts, ka notiek apstrādes darbība, apstrādes nolūki, tiesības iesniegt sūdzību un fakts, ka viņam ir tiesības pārzinim pieprasīt piekļuvi personas datiem un tos labot dzēst vai ierobežot to apstrādi. Tas varētu notikt kompetentās iestādes tīmekļa vietnē. Turklāt konkrētos gadījumos un lai datu subjekts varētu īstenot savas tiesības, viņš būtu jāinformē par datu apstrādes juridisko pamatu un par to, cik ilgi dati tiks glabāti, ciktāl šāda papildu informācija ir vajadzīga, lai nodrošinātu godprātīgu apstrādi attiecībā uz datu subjektu, ņemot vērā konkrētos apstākļus, kādos datus apstrādā.

(43)

Fiziskai personai vajadzētu būt tiesībām piekļūt datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot šīs tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tādēļ katram datu subjektam vajadzētu būt tiesībām zināt par apstrādi un saņemt paziņojumu par nolūkiem, kuros dati tiek apstrādāti, par apstrādes laikposmu un par datu saņēmējiem, tostarp trešās valstīs. Ja šajos paziņojumos ietver informāciju par personas datu ieguves avotu, ar šādu informāciju nebūtu jāatklāj fizisko personu identitāte, jo īpaši konfidenciāli avoti. Lai šīs tiesības ievērotu, pietiek ar to, ka datu subjekta rīcībā ir minēto datu pilns kopsavilkums saprotamā formā, tas ir, formā, kas datu subjektam ļauj uzzināt par minētajiem datiem un pārbaudīt, vai tie ir precīzi un apstrādāti saskaņā ar šo direktīvu, tā lai viņš varētu īstenot savas tiesības, kas tam piešķirtas ar šo direktīvu. Šādu kopsavilkumu varētu sniegt apstrādājamo personas datu kopijas formā.

(44)

Dalībvalstīm būtu jāvar pieņemt leģislatīvus pasākumus, ar kuriem atliek, ierobežo vai nesniedz datu subjektiem informāciju vai pilnībā vai daļēji ierobežo viņu piekļuvi saviem personas datiem, ciktāl un kamēr šāds pasākums, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, ir nepieciešams un samērīgs demokrātiskā sabiedrībā, lai novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšana vai procedūras, lai novērstu, ka tiek ietekmēta noziedzīgu nodarījumu novēršana, izmeklēšana atklāšana vai saukšana pie atbildības par tiem vai kriminālsodu izpilde, lai pasargātu sabiedrisko drošību vai valsts drošību vai lai pasargātu citu personu tiesības un brīvības. Pārzinim, veicot konkrētu un katra atsevišķa gadījuma pārbaudi, būtu jānovērtē, vai piekļuves tiesības būtu daļēji vai pilnībā jāierobežo.

(45)

Visi piekļuves atteikumi vai ierobežojumi būtu principā rakstiski jāsniedz datu subjektam un jāiekļauj faktiskie vai juridiskie iemesli, uz kuriem lēmums balstās.

(46)

Jānodrošina datu subjekta jebkādu tiesību ierobežojumu atbilstība hartai un ECTK, kā tas interpretēts attiecīgi Tiesas un Eiropas Cilvēktiesību tiesas judikatūrā, un jo īpaši jānodrošina minēto tiesību un brīvību būtības ievērošana.

(47)

Fiziskai personai vajadzētu būt tiesībām panākt, lai neprecīzi personas dati, kas uz to attiecas, tiktu laboti, jo īpaši, ja tie attiecas uz faktiem, un tiesībām uz datu dzēšanu, ja šādu datu apstrāde pārkāpj šo direktīvu. Tomēr tiesībām uz datu labošanu nebūtu jāietekmē, piemēram, liecinieka liecības saturs. Fiziskai personai vajadzētu būt arī tiesībām uz apstrādes ierobežošanu, ja tā apstrīd personas datu precizitāti un ja par to precizitāti vai neprecizitāti nav iespējams pārliecināties, vai ja personas dati jāsaglabā kā pierādījumi. Jo īpaši – tā vietā, lai dzēstu personas datus, būtu jāierobežo to apstrāde, ja konkrētā gadījumā ir pamatots iemesls uzskatīt, ka dzēšana varētu ietekmēt datu subjekta leģitīmās intereses. Šādā gadījumā dati, kuri ir ierobežoti, būtu jāapstrādā tikai nolūkā, kura dēļ tie netika dzēsti. Personas datu apstrādes ierobežošanas metodes cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu, piemēram, arhivēšanas nolūkos, vai izvēlēto datu padarīšanu par nepieejamiem. Automatizētās kartotēkās apstrādes ierobežojums principā būtu jānodrošina ar tehniskiem līdzekļiem. Tas, ka apstrāde ir ierobežota, būtu jānorāda sistēmā tā, lai būtu skaidrs, ka personas datu apstrāde ir ierobežota. Par šādu personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu būtu jāpaziņo saņēmējiem, kuriem šie dati ir atklāti, un kompetentajām iestādēm, no kurām tika iegūti neprecīzie dati. Pārziņiem būtu arī jāatturas no šādu datu turpmākas izplatīšanas.

(48)

Ja pārzinis liedz datu subjektam tiesības uz informāciju, piekļuvi personas datiem vai to labošanu, vai dzēšanu, vai apstrādes ierobežošanu, datu subjektam vajadzētu būt tiesībām pieprasīt, lai valsts uzraudzības iestāde pārbauda apstrādes likumīgumu. Datu subjekts būtu jāinformē par šīm tiesībām. Ja uzraudzības iestāde rīkojas datu subjekta vārdā, uzraudzības iestādei būtu vismaz jāinformē datu subjekts par to, ka visas nepieciešamās uzraudzības iestādes pārbaudes vai pārskatīšana ir notikušas. Uzraudzības iestādei būtu arī jāinformē datu subjekts par tiesībām vērsties tiesā.

(49)

Ja personas dati tiek apstrādāti kriminālizmeklēšanas un tiesvedības krimināllietās gaitā, dalībvalstīm būtu jāvar noteikt, ka tiesības uz informāciju, piekļuvi personas datiem vai to labošanu, vai dzēšanu un apstrādes ierobežošanu īsteno saskaņā ar valsts noteikumiem par tiesvedību.

(50)

Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo direktīvu. Šādos pasākumos būtu jāņem vērā apstrādes raksturs, apmērs, konteksts, nolūki un risks fizisko personu tiesībām un brīvībām. Pārziņa veiktajiem pasākumiem būtu jāietver konkrētu aizsardzības pasākumu izstrāde un īstenošana attiecībā uz neaizsargātu fizisko personu, piemēram, bērnu, personas datu apstrādi.

(51)

Datu apstrāde, kas varētu izraisīt fizisku, materiālu vai nemateriālu kaitējumu, ar atšķirīgu iespējamību un nopietnību var radīt risku fizisku personu tiesībām un brīvībām, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālus zaudējumus, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību arodbiedrībai, ja tiek apstrādāti ģenētiskie dati vai biometriskie dati, lai veiktu personas viennozīmīgu identifikāciju, vai ja tiek apstrādāti dati par veselību vai dati par dzimumdzīvi un seksuālo orientāciju vai sodāmību un noziedzīgiem nodarījumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot un prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, jo īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu.

(52)

Riska iespējamība un nopietnība būtu jānosaka atkarībā no apstrādes rakstura, apmēra, konteksta un nolūkiem. Risks būtu jānovērtē, pamatojoties uz objektīvu izvērtējumu, kurā nosaka, vai datu apstrādes darbības ietver augstu risku. Augsts risks ir īpašs risks, ka var notikt kaitējums datu subjektu tiesībām un brīvībām.

(53)

Fizisko personu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi ir nepieciešams, lai tiktu veikti pienācīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu šīs direktīvas prasību izpildi. Šādu pasākumu īstenošanai nevajadzētu būt atkarīgai vienīgi no ekonomiskiem apsvērumiem. Lai varētu uzskatāmi parādīt, ka šīs direktīvas noteikumi ir ievēroti, pārzinim būtu jāpieņem iekšējas pamatnostādnes un jāīsteno pasākumi, kuros jo īpaši ievēroti integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principi. Ja pārzinis ir veicis novērtējumu par ietekmi uz datu aizsardzību saskaņā ar šo direktīvu, novērtējuma rezultāti būtu jāņem vērā, izstrādājot minētos pasākumus un procedūras. Pasākumi cita starpā varētu ietvert pēc iespējas agrāku pseidonimizācijas izmantošanu. Pseidonimizācijas izmantošana šīs direktīvas piemērošanas nolūkos var kalpot jo īpaši kā līdzeklis, kas varētu atvieglot personas datu brīvu apriti brīvības, drošības un tiesiskuma telpā.

(54)

Datu subjektu tiesību un brīvību aizsardzība, kā arī pārziņu un apstrādātāju pienākumi un atbildība, arī saistībā ar uzraudzības iestāžu veikto uzraudzību un īstenotajiem pasākumiem, prasa skaidri sadalīt pienākumus, kas paredzēti šajā direktīvā, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

(55)

Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar juridisku aktu, tostarp ar līgumu, kurš apstrādātāju saista ar pārzini un paredz jo īpaši to, ka apstrādātājam būtu jārīkojas tikai saskaņā ar pārziņa norādījumiem. Apstrādātājam būtu jāņem vērā princips, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

(56)

Lai uzskatāmi parādītu, ka šīs direktīvas noteikumi ir ievēroti, pārzinim vai apstrādātājam būtu jāveic uzskaite par visu kategoriju apstrādes darbībām, par kurām tas ir atbildīgs. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un darīt minēto uzskaiti tai pieejamu pēc pieprasījuma, lai tā varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām. Pārziņa vai apstrādātāja, kurš personas datus apstrādā ar neautomatizētām apstrādes sistēmām, rīcībā vajadzētu būt efektīvām metodēm, piemēram, ierakstiem vai cita veida uzskaitei, ar ko uzskatāmi parāda apstrādes likumīgumu, ļauj veikt pašuzraudzību un nodrošina datu integritāti un datu drošību.

(57)

Būtu jāveic ieraksti vismaz par tādām darbībām automatizētās apstrādes sistēmās kā vākšana, pārveidošana, aplūkošana, izpaušana, tostarp nosūtīšana, kombinēšana vai dzēšana. Būtu jāreģistrē tās personas identificēšana, kura aplūkojusi vai izpaudusi personas datus, un minētajai identificēšanai būtu jānodrošina iespēja noteikt apstrādes darbību pamatojumu. Ieraksti būtu jāizmanto tikai, lai pārbaudītu apstrādes likumīgumu, veiktu pašuzraudzību, nodrošinātu datu integritāti un datu drošību un kriminālprocesa norisi. Pašuzraudzība ietver arī kompetento iestāžu iekšējās disciplinārās procedūras.

(58)

Ja apstrādes darbības var radīt augstu apdraudējuma risku datu subjektu tiesībām un brīvībām sava rakstura, darbības jomas vai nolūku dēļ, pārzinim būtu jāveic novērtējums par ietekmi uz datu aizsardzību, kurā jo īpaši būtu jāiekļauj pasākumi, garantijas un mehānismi, kas paredzēti, lai nodrošinātu personas datu aizsardzību un parādītu atbilstību šai direktīvai. Ietekmes novērtējumiem būtu jāaptver nevis atsevišķi gadījumi, bet attiecīgās apstrādes darbību sistēmas un procesi.

(59)

Lai nodrošinātu datu subjektu tiesību un brīvību efektīvu aizsardzību, pārzinim vai apstrādātajam noteiktos gadījumos pirms apstrādes būtu jāapspriežas ar uzraudzības iestādi.

(60)

Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī direktīva, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Šādiem pasākumiem, ņemot vērā jaunākās tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, un jāņem vērā apstrādei raksturīgais risks un aizsargājamās personas datu īpatnības. Novērtējot datu drošības riskus, būtu jāņem vērā riski, ko rada datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana vai neatļauta izpaušana vai piekļuve tiem, kas var jo īpaši izraisīt fizisku, materiālu vai nemateriālu kaitējumu. Pārzinim un apstrādātājam būtu jānodrošina, ka personas datu apstrādi neveic nepilnvarotas personas.

(61)

Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāli zaudējumi, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai būtiska nelabvēlīga ekonomiskā vai sociālā situācija. Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka ir noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par pārkāpumu uzraudzības iestādei, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Ja šādu paziņošanu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno paskaidrojums par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās.

(62)

Lai fiziskas personas varētu veikt nepieciešamos piesardzības pasākumus, tās būtu bez nepamatotas kavēšanās jāinformē gadījumā, ja personas datu aizsardzības pārkāpums var radīt augstu apdraudējuma risku fizisku personu tiesībām un brīvībām. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs un jāietver ieteikumi, kā attiecīgā fiziskā persona varētu mazināt iespējamās nelabvēlīgās sekas. Paziņojums datu subjektiem būtu jāsniedz pēc iespējas drīz, ciešā sadarbībā ar uzraudzības iestādi un saskaņā ar tās vai citu attiecīgo iestāžu sniegtajiem norādījumiem. Piemēram, ja nepieciešams mazināt tūlītēju kaitējuma risku, būtu ātri jāsniedz paziņojums datu subjektam, savukārt nepieciešamība īstenot piemērotus pasākumus, lai novērstu datu aizsardzības pārkāpuma turpināšanos vai līdzīgus pārkāpumus, var attaisnot ilgāku laiku paziņojuma sniegšanai. Ja ar paziņojuma par personas datu aizsardzības pārkāpuma attiecīgajai fiziskajai personai atliktu sniegšanu vai ierobežošanu nevar novērst to, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšana vai procedūras, kuru mērķis ir novērst, ka tiek ietekmēta noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana vai saukšana pie atbildības par tiem vai kriminālsodu izpilde, sabiedriskās drošības aizsardzība, valsts drošības aizsardzība vai citu personu tiesību un brīvību aizsardzība,, šādu paziņojumu ārkārtas apstākļos varētu nesniegt.

(63)

Pārzinim būtu jānorīko persona, kura palīdzētu tam uzraudzīt iekšējo atbilstību noteikumiem, kas pieņemti saskaņā ar šo direktīvu, izņemot gadījumus, kad dalībvalsts nolemj noteikt atbrīvojumu tiesām un citām neatkarīgām tiesu iestādēm, tām pildot tiesas funkciju. Minētā persona varētu būt kāds no pārziņa esošajiem darbiniekiem, kurš saņēmis speciālu apmācību par datu aizsardzības tiesībām un praksi, lai iegūtu speciālās zināšanas minētajā jomā. Vajadzīgais speciālo zināšanu līmenis būtu jānosaka, jo īpaši ņemot vērā datu apstrādi, kas tiek veikta, un aizsardzību, kas nepieciešama pārziņa apstrādātajiem personas datiem. Šī persona savus uzdevumus varētu veikt, strādājot nepilnu vai pilnu darba slodzi. Datu aizsardzības speciālistu var kopīgi iecelt vairāki pārziņi, ņemot vērā to organizatorisko uzbūvi un lielumu, piemēram, gadījumos, kad centrālajām vienībām ir kopīgi resursi. Minēto personu var izvirzīt arī citiem amatiem attiecīgo pārziņu struktūras ietvaros. Minētajai personai būtu jāpalīdz pārzinim un darbiniekiem, kuri apstrādā personas datus, proti tie jāinformē un jākonsultē par atbilstību attiecīgiem datu aizsardzības pienākumiem. Šādiem datu aizsardzības speciālistiem būtu jāspēj veikt savus pienākumus un uzdevumus neatkarīgi saskaņā ar dalībvalsts tiesībām.

(64)

Dalībvalstīm būtu jānodrošina, ka nosūtīšana uz trešo valsti vai starptautisku organizāciju tiek veikta tikai tad, ja tā ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un ka minētais pārzinis trešā valstī vai starptautiskajā organizācijā ir kompetenta iestāde šīs direktīvas izpratnē. Nosūtīšana būtu jāveic tikai kompetentajām iestādēm, kas darbojas kā pārziņi, izņemot gadījumus, kad apstrādātājiem ir doti skaidri norādījumi veikt nosūtīšanu pārziņu vārdā. Šāda nosūtīšana var notikt gadījumos, kad Komisija ir nolēmusi, ka attiecīga trešā valsts vai starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni, kad tiek sniegtas atbilstošas garantijas, vai kad ir piemērojamas atkāpes īpašās situācijās. Gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskajām organizācijām, aizsardzības līmenim, ko šī direktīva garantē fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem vai apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskajā organizācijā.

(65)

Kad personas datus no kādas dalībvalsts nosūta uz trešām valstīm vai starptautiskām organizācijām, šādai pārsūtīšanai principā būtu jānotiek tikai pēc tam, kad dalībvalsts, no kuras dati tika saņemti, ir devusi atļauju nosūtīšanai. Efektīvas sadarbības interesēs tiesībaizsardzības jomā ir nepieciešams, lai tad, kad draudi kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai vai kādas dalībvalsts būtiskajām interesēm ir tik tieši, ka kļūst neiespējams laikus iegūt iepriekšēju atļauju, kompetentajai iestādei vajadzētu būt iespējai attiecīgos personas datus nosūtīt uz attiecīgo trešo valsti vai starptautisko organizāciju bez šādas iepriekšējas atļaujas. Dalībvalstīm būtu jāparedz, ka jebkurš konkrēts nosacījums attiecībā uz nosūtīšanu būtu jādara zināms trešām valstīm vai starptautiskajām organizācijām. Personas datu tālākai nosūtīšanai būtu nepieciešama tās kompetentās iestādes iepriekšēja atļauja, kura veikusi sākotnējo nosūtīšanu. Lemjot par datu tālākas nosūtīšanu atļaujas pieprasījumu, kompetentajai iestādei, kura veikusi sākotnējo nosūtīšanu, būtu pienācīgi jāņem vērā visi attiecīgie faktori, tostarp noziedzīgā nodarījuma smagums, konkrēti izvirzītie nosacījumi un nolūks, kādā dati sākotnēji ir nosūtīti, kriminālsoda izpildes raksturs un nosacījumi un personas datu aizsardzības līmenis trešā valstī vai starptautiskajā organizācijā, uz kuru personas dati tiek tālāk nosūtīti. Kompetentajai iestādei, kura veikusi sākotnējo nosūtīšanu, būtu arī jāizvirza konkrēti nosacījumi tālākai nosūtīšanai. Šos konkrētos nosacījumus var aprakstīt, piemēram, apstrādes kodos.

(66)

Komisijai attiecībā uz visu Savienību būtu jāvar nolemt, ka konkrētas trešās valstis vai kāda teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni, tādējādi nodrošinot juridisko noteiktību un vienotību visā Savienībā attiecībā pret trešām valstīm vai starptautiskajām organizācijām, par kurām uzskata, ka tās nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz minētajām valstīm būtu jāvar nosūtīt bez nepieciešamības saņemt īpašu atļauju, izņemot gadījumus, kad citai dalībvalstij, no kuras dati tika iegūti, ir jādod atļauja nosūtīšanai.

(67)

Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai, novērtējot trešo valsti vai kādu teritoriju vai konkrētu sektoru trešā valstī, būtu jāņem vērā tas, kā konkrēta trešā valsts ievēro tiesiskumu, tiesu pieejamību, kā arī starptautiskās cilvēktiesību normas un standartus, un tās vispārējie un nozaru tiesību akti, tostarp tiesību akti attiecībā uz sabiedrisko drošību, aizsardzību un valsts drošību, kā arī sabiedrisko kārtību un krimināltiesībām. Pieņemot lēmumu par aizsardzības līmeņa pietiekamību attiecībā uz kādu teritoriju vai konkrētu sektoru trešā valstī, būtu jāņem vērā skaidri un objektīvi kritēriji, piemēram, konkrētas apstrādes darbības un piemērojamo juridisko standartu un attiecīgajā trešā valstī spēkā esošo tiesību aktu darbības joma. Trešai valstij būtu jāpiedāvā garantijas, kas nodrošinātu pietiekamu aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Savienībā nodrošinātajam, jo īpaši, ja datus apstrādā vienā vai vairākos konkrētos sektoros. Trešai valstij jo īpaši būtu jānodrošina efektīva neatkarīga datu aizsardzības uzraudzība un jāparedz sadarbības mehānismi ar dalībvalstu datu aizsardzības iestādēm un datu subjektiem būtu jāparedz efektīvas un īstenojamas tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā.

(68)

Papildus starptautiskām saistībām, ko uzņēmusies trešā valsts vai starptautiskā organizācija, Komisijai būtu jāņem vērā arī pienākumi, kas izriet no trešās valsts vai starptautiskās organizācijas dalības daudzpusējās vai reģionālās sistēmās, jo īpaši attiecībā uz personas datu aizsardzību, kā arī šādu pienākumu izpilde. Jo īpaši būtu jāņem vērā trešās valsts pievienošanās Eiropas Padomes 1981. gada 28. janvāra Konvencijai par personu aizsardzību attiecībā uz personas datu automātisko apstrādi un tās Papildu protokolam. Izvērtējot aizsardzības līmeni trešās valstīs vai starptautiskās organizācijās, Komisijai būtu jākonsultējas ar Eiropas Datu aizsardzības kolēģiju, kas izveidota ar Regulu (ES) 2016/679 (“kolēģija”). Komisijai būtu jāņem vērā arī visi attiecīgie Komisijas lēmumi par aizsardzības līmeņa pietiekamību, kas pieņemti saskaņā ar Regulas (ES) 2016/679 45. pantu.

(69)

Komisijai būtu jāuzrauga, kā darbojas lēmumi par aizsardzības līmeni trešā valstī vai teritorijā, konkrētā sektorā trešā valstī, vai starptautiskā organizācijā. Savos lēmumos par aizsardzības līmeņa pietiekamību Komisijai būtu jāparedz periodiskas pārskatīšanas mehānisms attiecībā uz to darbību. Minētā periodiskā pārskatīšana būtu jāveic, apspriežoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajā būtu jāņem vērā visi būtiskie notikumi trešā valstī vai starptautiskajā organizācijā.

(70)

Komisijai arī būtu jāvar konstatēt, ka kāda trešā valsts vai kāda teritorija, konkrēts sektors trešā valstī, vai starptautiska organizācija vairs nenodrošina pietiekamu datu aizsardzības līmeni. Līdz ar to personas datu nosūtīšana uz minēto trešo valsti vai starptautisko organizāciju būtu jāaizliedz, ja vien nav izpildītas šīs direktīvas prasības attiecībā uz nosūtīšanu, uz ko attiecas attiecīgas garantijas un atkāpes specifiskās situācijās. Būtu jāparedz noteikumi par apspriešanās procedūrām starp Komisiju un šādām trešām valstīm vai starptautiskajām organizācijām. Komisijai būtu laikus jāinformē attiecīgā trešā valsts vai starptautiskā organizācija par iemesliem un jāsāk ar to apspriešanās, lai šo situāciju atrisinātu.

(71)

Nosūtīšana, kas nebalstās uz šādu lēmumu par aizsardzības līmeņa pietiekamību, būtu jāatļauj tikai tad, ja juridiski saistošā instrumentā tiek sniegtas atbilstošas garantijas, kas nodrošina personas datu aizsardzību, vai ja pārzinis ir izvērtējis visus datu nosūtīšanas apstākļus un, pamatojoties uz šo izvērtējumu, uzskata, ka pastāv atbilstošas garantijas personas datu aizsardzībai. Šādi juridiski saistoši instrumenti varētu būt, piemēram, juridiski saistoši divpusēji nolīgumi, kurus noslēgušas dalībvalstis un kuri ieviesti to tiesību sistēmā, un kuru izpildi varētu panākt to datu subjekti, nodrošinot datu aizsardzības prasību un datu subjektu tiesību ievērošanu, tostarp tiesības panākt tiesību efektīvu aizsardzību administratīvā kārtā vai tiesā. Pārzinim, vērtējot visus datu nosūtīšanas apstākļus, būtu jāvar ņemt vērā starp Eiropolu vai Eurojust un trešām valstīm noslēgtus sadarbības nolīgumus, kas atļauj personas datu apmaiņu. Pārzinim būtu jāvar ņemt vērā arī to, ka personas datu nosūtīšanai tiks piemērotas konfidencialitātes prasības un specifiskuma princips, nodrošinot, ka dati netiks apstrādāti citos nolūkos kā vien nosūtīšanas nolūkā. Turklāt pārzinim būtu jāņem vērā, ka personas dati netiks izmantoti, lai pieprasītu, pasludinātu vai izpildītu nāvessodu vai jebkādu citu cietsirdīgu un necilvēcīgu soda veidu. Lai arī minētos nosacījumus varētu uzskatīt par atbilstošām garantijām, kas ļauj veikt datu nosūtīšanu, pārzinim būtu jāvar pieprasīt papildu garantijas.

(72)

Kad nav nedz lēmuma par aizsardzības līmeņa pietiekamību, nedz atbilstošu garantiju, nosūtīšana vai sūtījumu kategorija varētu būt pieļaujama tikai konkrētās situācijās, ja tas nepieciešams, lai pasargātu datu subjekta vai citas personas vitālas intereses vai lai pasargātu datu subjekta leģitīmas intereses, ja to nosaka tās dalībvalsts tiesību akti, kura nosūta personas datus, lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai, kādā atsevišķā gadījumā, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vai kādā atsevišķā gadījumā, lai celtu, īstenotu vai aizstāvētu likumīgas prasības. Minētās atkāpes būtu interpretējamas sašaurināti, un ar tām nebūtu jāpieļauj personas datu bieža, masveida un strukturāla nosūtīšana vai apjomīga nosūtīšana, bet būtu jānosūta vienīgi dati, kas noteikti nepieciešami. Lai uzraudzītu nosūtīšanas likumīgumu, šāda nosūtīšana būtu jādokumentē, un pēc pieprasījuma tā būtu jādara pieejama uzraudzības iestādei.

(73)

Dalībvalstu kompetentās iestādes piemēro spēkā esošos divpusējos vai daudzpusējos starptautiskos nolīgumus, kas noslēgti ar trešām valstīm par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību, lai apmainītos ar attiecīgu informāciju, kas tām ļauj veikt juridiski uzticētos uzdevumus. Tas principā notiek ar attiecīgo kompetento iestāžu trešajās valstīs palīdzību šīs direktīvas nolūkos vai vismaz sadarbībā ar tām – reizēm pat tad, ja nav divpusēja vai daudzpusēja starptautiska nolīguma. Tomēr konkrētos atsevišķos gadījumos oficiālās procedūras, kad ir jāsazinās ar šādu iestādi trešā valstī, var nebūt efektīvas vai piemērotas, jo īpaši tāpēc, ka nosūtīšanu nevarētu veikt savlaicīgi vai minētā iestāde trešā valstī nerespektē tiesiskumu vai starptautisko cilvēktiesību normas un standartus, līdz ar ko dalībvalstu kompetentās iestādes varētu nolemt personas datus nosūtīt tieši saņēmējiem, kas veic uzņēmējdarbību minētajās trešās valstīs. Tā var būt gadījumā, ja pastāv steidzama vajadzība nosūtīt personas datus, lai glābtu personas dzīvību, kurai ir draudi kļūt par noziedzīga nodarījuma upuri, vai lai novērstu kāda nozieguma, tostarp ar terorisma, tūlītēju izdarīšanu. Pat ja šādai nosūtīšanai starp kompetentajām iestādēm un saņēmējiem, kas veic uzņēmējdarbību trešās valstīs, būtu jānotiek tikai konkrētos atsevišķos gadījumos, šajā direktīvā būtu jāparedz nosacījumi šādu gadījumu reglamentēšanai. Minētie noteikumi nebūtu uzskatāmi par atkāpēm no jebkādiem spēkā esošiem divpusējiem vai daudzpusējiem starptautiskiem nolīgumiem par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību. Minētie noteikumi būtu jāpiemēro papildus citiem šīs direktīvas noteikumiem, jo īpaši noteikumiem par apstrādes likumīgumu un V nodaļas noteikumiem.

(74)

Personas datu pārvietošana pāri robežām var ievērojami ietekmēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, lai aizsargātu sevi pret minēto datu nelikumīgu izmantošanu vai izpaušanu. Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nespēj reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās aiz robežām. Viņu pūliņus pārrobežu kontekstā strādāt kopā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras un tiesisko regulējumu atšķirības. Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām veikt informācijas apmaiņu ar attiecīgajām iestādēm citās valstīs.

(75)

Tādu uzraudzības iestāžu izveide dalībvalstīs, kuras pilda savas funkcijas pilnīgi neatkarīgi, ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz to personas datu apstrādi. Uzraudzības iestādēm būtu jāuzrauga šīs direktīvas piemērošana, un jāpalīdz nodrošināt to konsekventu piemērošanu visā Savienībā, lai aizsargātu fiziskās personas saistībā ar to personas datu apstrādi. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas vienai ar otru un ar Komisiju.

(76)

Pienākumus, kas jāveic valstu uzraudzības iestādēm, kuras jāizveido saskaņā ar šo direktīvu, dalībvalstis var uzticēt uzraudzības iestādei, kas jau izveidota saskaņā ar Regulu (ES) 2016/679.

(77)

Būtu jāļauj dalībvalstīm izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai un administratīvajai uzbūvei. Katrai uzraudzības iestādei būtu jāpiešķir finanšu un cilvēkresursi, telpas un infrastruktūra, kas ir nepieciešami efektīvai uzdevumu izpildei, tostarp arī to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Savienībā. Katrai uzraudzības iestādei vajadzētu būt atsevišķam, publiskam gada budžetam, kas var būt daļa no kopējā valsts budžeta.

(78)

Uzraudzības iestādēm būtu jāpiemēro neatkarīgi kontroles vai uzraudzības mehānismi attiecībā uz šo iestāžu finanšu izdevumiem ar noteikumu, ka šāda finanšu kontrole neietekmē to neatkarību.

(79)

Vispārējie nosacījumi, lai kļūtu par uzraudzības iestādes locekli vai locekļiem, būtu jānosaka dalībvalsts tiesībās, un ar tiem jo īpaši būtu jāparedz, ka šos locekļus amatā ieceltu vai nu dalībvalsts parlaments vai valdība, vai valsts vadītājs, pamatojoties uz valdības vai valdības locekļa, vai parlamenta vai tā palātas priekšlikumu, vai arī neatkarīga struktūra, kurai ar dalībvalsts tiesībām uzticēta iecelšana, kas jāīsteno pārredzamā procedūrā. Lai nodrošinātu uzraudzības iestādes neatkarību, uzraudzības iestādes loceklim vai locekļiem būtu jārīkojas godprātīgi, jāatturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un savu pilnvaru laikā tiem nebūtu jāuzņemas nekāds cits nesavienojams algots vai nealgots darbs. Lai nodrošinātu uzraudzības iestādes neatkarību, tās darbinieki būtu jāizraugās uzraudzības iestādei, un šajā procesā varētu piedalīties neatkarīga struktūra, kurai tas uzticēts ar dalībvalsts tiesībām.

(80)

Kaut arī šī direktīva ir piemērojama arī valsts tiesu un citu tiesu iestāžu darbībai, ja tiesa personas datus apstrādā, pildot tiesas funkciju, uzraudzības iestādes kompetencē nebūtu jāietver šāda apstrāde, lai pasargātu tiesnešu neatkarību, pildot tiesas spriešanas funkciju. Minētais izņēmums būtu jāattiecina tikai uz tiesas spriešanas darbībām tiesas lietās, un tas nebūtu jāattiecina uz citām darbībām, kurās tiesneši varētu būt iesaistīti saskaņā ar dalībvalsts tiesībām. Dalībvalstīm būtu arī jāvar paredzēt, ka uzraudzības iestādes kompetencē nav iekļauta citu neatkarīgu tiesu iestāžu, piemēram, prokuratūras, veiktā personas datus apstrāde, kad tās pilda savu tiesas funkciju. Katrā ziņā tiesu un citu neatkarīgu tiesu iestāžu atbilstību šīs direktīvas noteikumiem vienmēr uzrauga neatkarīga iestāde saskaņā ar hartas 8. panta 3. punktu.

(81)

Katrai uzraudzības iestādei būtu jāizskata jebkura datu subjekta sūdzība un jāizmeklē lieta vai tā jānodod kompetentajai uzraudzības iestādei. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to pārskatīt tiesā. Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības izskatīšanas virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi, būtu jāsniedz starpposma informācija datu subjektam.

(82)

Lai nodrošinātu efektīvu, uzticamu un konsekventu uzraudzību attiecībā uz to, kā visā Savienībā tiek ievēroti un izpildīti šīs direktīvas noteikumi saskaņā ar LESD, kā to interpretējusi Tiesa, uzraudzības iestādēm katrā dalībvalstī vajadzētu būt vieniem un tiem pašiem uzdevumiem un faktiskajām pilnvarām, tostarp izmeklēšanas, korektīvām un padomdevēja pilnvarām, kas ir to uzdevumu izpildei vajadzīgi līdzekļi. Tomēr šo iestāžu pilnvarām nevajadzētu būt pretrunā īpašajiem noteikumiem attiecībā uz kriminālprocesu, tostarp noziedzīgu nodarījumu izmeklēšanu un saukšanu pie atbildības par tiem, vai tiesu iestāžu neatkarībai. Neskarot kriminālvajāšanas iestāžu pilnvaras saskaņā ar dalībvalsts tiesībām, uzraudzības iestādēm vajadzētu būt arī pilnvarām pievērst tiesu iestāžu uzmanību šīs direktīvas pārkāpumiem vai rīcību tiesvedībā. Uzraudzības iestāžu pilnvaras būtu jāīsteno objektīvi, taisnīgi un saprātīgā termiņā saskaņā ar atbilstošām procesuālām garantijām, kas paredzētas Savienības un dalībvalsts tiesībās. Jo īpaši, katram pasākumam, kas paredzēts, lai nodrošinātu atbilstību šai direktīvai, vajadzētu būt piemērotam, vajadzīgam un samērīgam, ņemot vērā apstākļus katrā atsevišķā gadījumā, tajā būtu jāievēro katras personas tiesības tikt uzklausītai pirms tāda individuāla pasākuma pieņemšanas, kurš attiecīgo personu nelabvēlīgi ietekmētu, un būtu jāizvairās no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajai personai. Izmeklēšanas pilnvaras attiecībā uz piekļuvi telpām būtu jāīsteno saskaņā ar dalībvalsts tiesību konkrētajām prasībām, piemēram, prasību saņemt iepriekšēju tiesas atļauju. Juridiski saistoša lēmuma pieņemšanai būtu jāpiemēro iespēja pārskatīt to tiesā tajā dalībvalstī, kuras uzraudzības iestāde pieņēmusi minēto lēmumu.

(83)

Uzraudzības iestādēm būtu vienai otra jāatbalsta savu uzdevumu veikšanā un jāsniedz savstarpēja palīdzība, lai nodrošinātu saskaņā ar šo direktīvu pieņemto noteikumu konsekventu piemērošanu un izpildi.

(84)

Kolēģijai, būtu jāpalīdz nodrošināt šīs direktīvas konsekventa piemērošana visā Savienībā, tostarp sniedzot padomus Komisijai un veicinot uzraudzības iestāžu sadarbību visā Savienībā.

(85)

Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību vienai uzraudzības iestādei un tiesībām uz efektīvu tiesību aizsardzību tiesā saskaņā ar hartas 47. pantu, ja datu subjekts uzskata, ka viņa tiesības, kas paredzētas noteikumos, kas pieņemti saskaņā ar šo direktīvu, ir pārkāptas, vai ja uzraudzības iestāde nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to pārskatīt tiesā. Kompetentajai uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības izskatīšanas virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi, būtu jāsniedz starpposma informācija datu subjektam. Lai atvieglotu sūdzību iesniegšanu, katrai uzraudzības iestādei būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus.

(86)

Katrai fiziskai vai juridiskai personai vajadzētu būt tiesībām uz efektīvu tiesību aizsardzību kompetentajā valsts tiesā pret uzraudzības iestādes lēmumu, kas rada juridiskas sekas attiecībā uz šādu personu. Šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu. Tomēr minētās tiesības neattiecas uz citiem uzraudzības iestāžu pasākumiem, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotiem atzinumiem vai sniegtiem padomiem. Prasība pret uzraudzības iestādi būtu jāceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde, un tā būtu jāizskata saskaņā ar minētās dalībvalsts tiesībām. Šādām tiesām vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu.

(87)

Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo direktīvu ir pārkāptas, viņam būtu jāparedz tiesības pilnvarot kādu struktūru, kuras mērķis ir datu subjekta tiesību un interešu aizsardzība attiecībā uz viņu personas datu aizsardzību un kura ir izveidota saskaņā ar dalībvalsts tiesībām, iesniegt sūdzību viņa vārdā uzraudzības iestādē un īstenot tiesības uz tiesību aizsardzību tiesā. Datu subjektu tiesībām uz pārstāvību nebūtu jāskar dalībvalsts procesuālajām tiesībām, kuros var būt prasīts, lai valsts tiesās datu subjektu obligāti pārstāvētu advokāts, kā noteikts Padomes Direktīvā 77/249/EEK (10).

(88)

Pārzinim vai jebkurai citai iestādei, kas ir kompetenta saskaņā ar dalībvalsts tiesībām, būtu jākompensē jebkurš kaitējums, kas personai var tikt nodarīts tādas apstrādes rezultātā, kura neatbilst noteikumiem, kas pieņemti saskaņā ar šo direktīvu. Kaitējuma jēdziens būtu jāinterpretē paplašināti, ņemot vērā Tiesas judikatūru tādā veidā, kas pilnībā atbilst šīs direktīvas mērķiem. Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalsts tiesību pārkāpumiem. Ja ir iekļauta atsauce uz apstrādi, kura ir nelikumīga vai pārkāpj noteikumus, kas pieņemti saskaņā ar šo direktīvu, tā attiecas arī uz apstrādi, kurā tiek pārkāpti īstenošanas akti, kuri pieņemti saskaņā ar šo direktīvu. Datu subjektiem būtu jāsaņem pilnīga un reāla kompensācija par tiem nodarīto kaitējumu.

(89)

Būtu jāpiemēro sankcijas jebkurai fiziskai vai juridiskai personai – privāto vai publisko tiesību subjektam –, kura pārkāpj šo direktīvu. Dalībvalstīm būtu jānodrošina, ka sankcijas ir iedarbīgas, samērīgas un atturošas, un tām būtu jāveic visi pasākumi, lai tās īstenotu.

(90)

Lai nodrošinātu vienotus nosacījumus šīs direktīvas īstenošanai, būtu jāpiešķir Komisijai īstenošanas pilnvaras attiecībā uz pietiekamu aizsardzības līmeni, ko nodrošina kāda trešā valsts, teritorija vai konkrēts sektors trešajā valstī, vai starptautiska organizācija un uz formātu un procedūrām savstarpējai palīdzībai un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (11).

(91)

Ņemot vērā, ka minētajiem aktiem ir vispārēja piemērošanas joma, būtu jāizmanto pārbaudes procedūra īstenošanas aktu pieņemšanai attiecībā uz pietiekamu aizsardzības līmeni, ko nodrošina kāda trešā valsts, teritorija vai konkrēts sektors trešajā valstī, vai starptautiska organizācija, un formātu un procedūrām savstarpējai palīdzībai un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus.

(92)

Komisijai būtu jāpieņem tūlītēji piemērojami īstenošanas akti, ja pilnīgi pamatotos gadījumos saistībā ar kādu trešo valsti, teritoriju, vai konkrētu sektoru trešajā valstī, vai starptautisku organizāciju, kas vairs nenodrošina pietiekamu aizsardzības līmeni, tas ir nepieciešams nenovēršamu steidzamu iemeslu dēļ.

(93)

Ņemot vērā to, ka šīs direktīvas mērķus, proti, aizsargāt fizisku personu pamattiesības un pamatbrīvības un jo īpaši viņu tiesības uz personas datu aizsardzību un nodrošināt, lai kompetentās iestādes Savienībā brīvi apmainītos ar personas datiem, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības mēroga vai iedarbības dēļ šos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar LES 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas vajadzīgi minēto mērķu sasniegšanai.

(94)

Konkrētiem noteikumiem Savienības tiesību aktos, kuri pieņemti pirms šīs direktīvas pieņemšanas dienas attiecībā uz tiesu iestāžu sadarbību krimināllietās un policijas sadarbību un ar kuriem reglamentē personas datu apstrādi starp dalībvalstīm vai dalībvalstu norīkoto iestāžu piekļuvi informācijas sistēmām, kas izveidotas, ievērojot Līgumus, būtu jāpaliek neskartiem, piemēram, konkrētiem noteikumiem par personas datu aizsardzību, kurus piemēro, ievērojot Padomes Lēmumu 2008/615/TI (12) vai 23. pantu Konvencijā par Eiropas Savienības dalībvalstu savstarpējo palīdzību krimināllietās (13). Tā kā hartas 8. pantā un LESD 16. pantā paredzēta prasība, ka pamattiesības uz personas datu aizsardzību konsekventi nodrošina visā Savienībā, Komisijai būtu jāizvērtē situācija attiecībā uz šīs direktīvas saistību ar aktiem, kuri pieņemti pirms šīs direktīvas pieņemšanas dienas un kuri regulē personas datu apstrādi starp dalībvalstīm vai dalībvalstu norīkoto iestāžu piekļuvi informācijas sistēmām, kuras izveidotas, ievērojot Līgumus, lai izvērtētu nepieciešamību pielāgot minētos konkrētos noteikumus šai direktīvai. Vajadzības gadījumā Komisijai būtu jānāk klajā ar priekšlikumiem, lai nodrošinātu konsekventas tiesību normas, kas attiecas uz personas datu apstrādi.

(95)

Lai nodrošinātu visaptverošu un konsekventu personas datu aizsardzību Savienībā, starptautiskiem nolīgumiem, kurus dalībvalstis noslēgušas pirms šīs direktīvas stāšanās spēkā datuma un kuri ir saderīgi ar attiecīgajiem Savienības tiesību aktiem, kas ir piemērojami pirms minētā datuma, būtu jāpaliek spēkā līdz brīdim, kad tos groza, aizstāj vai atceļ.

(96)

Dalībvalstīm šīs direktīvas transponēšanai būtu jāparedz laikposms, kas nepārsniedz divus gadus no šīs direktīvas stāšanās spēkā datuma. Apstrāde, kas jau tiek veikta minētajā datumā, būtu jāsaskaņo ar šo direktīvu divos gados pēc šīs direktīvas spēkā stāšanās dienas. Tomēr, ja šāda apstrāde atbilst Savienības tiesību aktiem, kas ir piemērojami pirms šīs direktīvas stāšanās spēkā datuma, šīs direktīvas prasības attiecībā uz iepriekšēju apspriešanos ar uzraudzības iestādi nebūtu jāpiemēro apstrādes darbībām, kuras jau sāktas pirms minētā datuma, ņemot vērā to, ka minētās prasības pēc savas būtības ir jāizpilda pirms apstrādes. Ja dalībvalstis izmanto ilgāku īstenošanas laikposmu, kurš beidzas septiņus gadus pēc šīs direktīvas spēkā stāšanās dienas, lai izpildītu ierakstu veikšanas pienākumus attiecībā uz automatizētām apstrādes sistēmām, kas izveidotas pirms minētā datuma, pārzinim vai apstrādātājam vajadzētu būt ieviestām efektīvām metodēm, piemēram, ierakstiem vai cita veida uzskaitei, ar ko uzskatāmi parāda datu apstrādes likumīgumu, ļauj veikt pašuzraudzību un nodrošina datu integritāti un datu drošību.

(97)

Šī direktīva neskar noteikumus par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, kuri noteikti Eiropas Parlamenta un Padomes Direktīvā 2011/93/ES (14).

(98)

Tāpēc būtu jāatceļ Pamatlēmums 2008/977/TI.

(99)

Saskaņā ar 6.a pantu Protokolā Nr. 21 par Apvienotās Karalistes un Īrijas nostāju saistībā ar brīvības, drošības un tiesiskuma telpu, kas pievienots LES un LESD, Apvienotai Karalistei un Īrijai nav saistoši šīs direktīvas noteikumi, kuri saistīti ar personas datu apstrādi, ko veic dalībvalstis, īstenojot darbības, uz kurām attiecas LESD Trešās daļas V sadaļas 4. vai 5. nodaļas darbības joma, tad, ja Apvienotajai Karalistei un Īrijai nav saistoši noteikumi, ar ko reglamentē tādus tiesu sadarbības veidus krimināllietās vai tādus policijas iestāžu sadarbības veidus, kuros ir jāievēro noteikumi, kas paredzēti, pamatojoties uz LESD 16. pantu.

(100)

Saskaņā ar 2. un 2.a pantu Protokolā Nr. 22 par Dānijas nostāju, kas pievienots LES un LESD, Dānijai nav saistoši un nav jāpiemēro šajā direktīvā paredzētie noteikumi, kuri ir saistīti ar personas datu apstrādi, ko veic dalībvalstis, īstenojot darbības, uz kurām attiecas LESD Trešās daļas V sadaļas 4. vai 5. nodaļas piemērošanas joma. Tā kā šī direktīva pilnveido Šengenas acquis, balstoties uz LESD Trešās daļas V sadaļu, Dānija saskaņā ar minētā protokola 4. pantu sešos mēnešos pēc šīs direktīvas pieņemšanas izlemj, vai tā šo direktīvu ieviesīs savos tiesību aktos.

(101)

Attiecībā uz Islandi un Norvēģiju – saskaņā ar Nolīgumu, kas noslēgts starp Eiropas Savienības Padomi un Islandes Republiku un Norvēģijas Karalisti par abu minēto valstu asociēšanu Šengenas acquis īstenošanā, pilnveidošanā un piemērošanā (15), šis instruments ir Šengenas acquis noteikumu pilnveidošana.

(102)

Attiecībā uz Šveici – saskaņā ar Nolīgumu starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā (16), šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(103)

Attiecībā uz Lihtenšteinu – saskaņā ar Protokolu starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā (17), šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(104)

Šajā direktīvā ir ņemtas vērā pamattiesības un ievēroti principi, kas atzīti hartā, kā noteikts LESD, jo īpaši tiesības uz privātās un ģimenes dzīves neaizskaramību, tiesības uz personas datu aizsardzību, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu. Šo tiesību ierobežojumi ir saskaņā ar hartas 52. panta 1. punktu, jo tie ir nepieciešami vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.

(105)

Saskaņā ar dalībvalstu un Komisijas 2011. gada 28. septembra kopīgo politisko deklarāciju par paskaidrojuma dokumentiem dalībvalstis ir apņēmušās paziņojumam par transponēšanas pasākumiem, ja tas pamatoti, pievienot vienu vai vairākus dokumentus ar skaidrojumu par direktīvas komponentu attiecībām ar dalībvalstu transponēšanas pasākumu attiecīgajām daļām. Attiecībā uz šo direktīvu likumdevējs uzskata, ka šādu dokumentu nosūtīšana ir pamatota.

(106)

Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu notika apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas sniedza savu atzinumu 2012. gada 7. martā (18).

(107)

Šai direktīvai nebūtu dalībvalstīm jāliedz īstenot datu subjektu tiesības uz informāciju, piekļuvi personas datiem un to labošanu vai dzēšanu un apstrādes ierobežošanu kriminālprocesa gaitā, un to iespējamus šo tiesību ierobežojumus valsts noteikumos par kriminālprocesu,

a)

aizsargā fizisko personu pamattiesības un pamatbrīvības, un jo īpaši viņu tiesības uz personas datu aizsardzību; un

b)

nodrošina, ka personas datu apmaiņa starp kompetentajām iestādēm Savienībā, kad šādu apmaiņu prasa Savienības vai dalībvalstu tiesības, nav ierobežota vai aizliegta tādu iemeslu dēļ, kas saistīti ar fizisko personu aizsardzību attiecībā uz personas datu apstrādi.

a)

tādas darbības gaitā, kas neietilpst Savienības tiesību darbības jomā;

b)

ko veic Savienības iestādes, struktūras, biroji un aģentūras.

1)

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziskā persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās fiziskās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

2)

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)

“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

4)

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

5)

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisko personu;

6)

“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

7)

“kompetentā iestāde” ir:

8)

“pārzinis” ir kompetentā iestāde, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesībām, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesībās;

9)

“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

10)

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai jebkura cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar dalībvalsts tiesībām, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

11)

“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

12)

“ģenētiskie dati” ir visi personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

13)

“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas viennozīmīgu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

14)

“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

15)

“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot 41. pantu;

16)

“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāk valstu nolīgumu vai uz tā pamata.

a)

tiek apstrādāti likumīgi un godprātīgi;

b)

tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un tie netiek apstrādāti ar minētajiem nolūkiem nesaderīgā veidā;

c)

ir atbilstīgi, būtiski un nav pārmērīgi, ņemot vērā nolūkus, kādos tos apstrādā;

d)

ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiek dzēsti vai laboti;

e)

tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā tas ir nepieciešams tiem nolūkiem, kādos tos apstrādā;

f)

tiek apstrādāti tā, lai tiktu nodrošināta atbilstīga personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstīgus tehniskos vai organizatoriskos pasākumus.

a)

pārzinim šādos nolūkos ir atļauts apstrādāt šādus personas datus saskaņā ar Savienības vai dalībvalsts tiesībām; un

b)

apstrāde ir vajadzīga un samērīga ar minētajiem citiem nolūkiem saskaņā ar Savienības vai dalībvalsts tiesībām.

a)

personas, attiecībā uz kurām pastāv nopietns iemesls uzskatīt, ka tās ir izdarījušas vai drīzumā izdarīs noziedzīgu nodarījumu;

b)

personas, kas ir notiesātas par noziedzīgu nodarījumu;

c)

noziedzīgā nodarījumā cietušie vai personas, attiecībā uz kurām konkrēti fakti liek uzskatīt, ka tās varētu būt noziedzīgā nodarījumā cietušie; un

d)

citas personas saistībā ar noziedzīgu nodarījumu, piemēram, personas, kuras varētu aicināt sniegt liecības izmeklēšanas gaitā saistībā ar noziedzīgiem nodarījumiem vai pēcāk notiekošā kriminālprocesā, persona, kuras var sniegt informāciju par noziedzīgiem nodarījumiem, vai kontaktpersonas vai līdzdalībnieki kādai no a) un b) apakšpunktā minētajām personām.

a)

tas ir atļauts Savienības vai dalībvalsts tiesībās;

b)

lai aizsargātu vitālas datu subjekta vai citas fiziskas personas intereses; vai

c)

šāda apstrāde attiecas uz datiem, kurus datu subjekts acīmredzami ir publiskojis.

a)

pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai

b)

atteikties izpildīt pieprasījumu.

a)

pārziņa identitāte un kontaktinformācija;

b)

attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)

apstrādes nolūki, kam paredzēti personas dati;

d)

tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

e)

tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, un personas datu attiecībā uz datu subjektu apstrādes ierobežošanu.

a)

apstrādes juridiskais pamats;

b)

laikposms, cik ilgi personas dati tiks glabāti, vai – ja tas nav iespējams – kritēriji, kas izmantoti minētā laikposma noteikšanai;

c)

attiecīgā gadījumā personas datu saņēmēju kategorijas, tostarp trešajās valstīs vai starptautiskajās organizācijās;

d)

ja nepieciešams, papildu informācija, jo īpaši tad, ja personas datus vāc bez datu subjekta ziņas.

a)

novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu sabiedrisko drošību;

d)

aizsargātu valsts drošību;

e)

aizsargātu citu personu tiesības un brīvības.

a)

apstrādes nolūki un juridiskais pamats;

b)

apstrādāto personas datu kategorijas;

c)

personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)

ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai – ja tas nav iespējams – kritēriji, kas izmantoti minētā laikposma noteikšanai;

e)

tas, ka pastāv tiesības pieprasīt pārzinim datu subjekta personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu;

f)

tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

g)

paziņojums par apstrādātajiem personas datiem un visu pieejamo informāciju par to izcelsmi.

a)

novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu sabiedrisko drošību;

d)

aizsargātu valsts drošību;

e)

aizsargātu citu personu tiesības un brīvības.

a)

datu subjekts apstrīd personas datu precizitāti un to precizitāti vai neprecizitāti nevar noteikt; vai

b)

personas dati ir jāsaglabā pierādījumu nolūkā.

a)

novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu sabiedrisko drošību;

d)

aizsargātu valsts drošību;

e)

aizsargātu citu personu tiesības un brīvības.

a)

rīkojas tikai saskaņā ar pārziņa norādījumiem;

b)

nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts atbilstīgs likumisks pienākums ievērot konfidencialitāti;

c)

palīdz pārzinim, izmantojot jebkādus atbilstīgus līdzekļus, lai nodrošinātu atbilstību noteikumiem par datu subjekta tiesībām;

d)

pēc datu apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesībās nav paredzēta personas datu glabāšana;

e)

pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai uzskatāmi parādītu atbilstību šim pantam;

f)

izpilda 2. un 3. punktā minētos nosacījumus cita apstrādātāja piesaistīšanai.

a)

pārziņa, vajadzības gadījumā – visu kopīgo pārziņu un datu aizsardzības speciālista nosaukums un kontaktinformācija;

b)

apstrādes nolūki;

c)

to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

d)

datu subjektu kategorijas un kategoriju apraksts;

e)

attiecīgā gadījumā profilēšanas izmantošana;

f)

attiecīgā gadījumā kategorijas, kurās ietilpst personas datu sūtījumi uz trešo valsti vai starptautiskai organizācijai;

g)

norāde par apstrādes darbības, tostarp nosūtīšanas, kurai paredzēti personas dati, juridisko pamatu;

h)

ja iespējams, paredzētie termiņi dažādu kategoriju personas datu dzēšanai;

i)

ja iespējams, 29. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

a)

apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, un vajadzības gadījumā datu aizsardzības speciālista nosaukums un kontaktinformācija;

b)

katra pārziņa vārdā veiktās apstrādes kategorijas;

c)

attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, ja pārzinis ir devis skaidrus norādījumus tā rīkoties, tostarp minētās trešās valsts vai starptautiskās organizācijas identifikācija;

d)

ja iespējams, 29. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

a)

šīs direktīvas 27. pantā paredzētajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku; vai

b)

apstrādes veids, jo īpaši, izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, ir saistīts ar augstu risku datu subjektu tiesībām un brīvībām.

a)

liegtu nepilnvarotām personām pieeju apstrādes iekārtām, kuras izmanto apstrādei (“piekļuves kontrole iekārtām”);

b)

novērstu nesankcionētu datu nolasīšanu, kopēšanu, grozīšanu vai datu nesēju izņemšanu (“datu nesēju kontrole”);

c)

liegtu neatļautu personas datu ievadīšanu, kā arī liegtu neatļautu saglabāto personas datu apskati, grozīšanu vai dzēšanu (“glabāšanas kontrole”);

d)

liegtu izmantot apstrādes automatizētas sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (“lietotāju kontrole”);

e)

nodrošinātu, ka personām, kas ir pilnvarotas izmantot apstrādes automatizētu sistēmu, ir piekļuve tikai tiem personas datiem, uz kuriem attiecas viņu piekļuves tiesības (“datu piekļuves kontrole”);

f)

nodrošinātu, ka ir iespējams pārbaudīt un noteikt struktūras, kurām personas dati ir vai var tikt nosūtīti vai izpausti, izmantojot datu komunikācijas iekārtas (“komunikācijas kontrole”);

g)

nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kādi personas dati ir ievadīti automatizētas apstrādes sistēmās, kā arī personas datu ievadīšanas laiku un ievadītāju (“ievades kontrole”);

h)

novērstu nesankcionētu personas datu nolasīšanu, kopēšanu, grozīšanu vai dzēšanu personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (“transportēšanas kontrole”);

i)

nodrošinātu, ka traucējumu gadījumā uzstādītās sistēmas var atjaunot (“atgūšana”);

j)

nodrošinātu, ka sistēma funkcionē tā, ka par darbības kļūdu parādīšanos tiek ziņots (“drošums”) un saglabātie dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (“integritāte”).

a)

apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b)

paziņo datu aizsardzības speciālista nosaukumu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju;

c)

apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)

apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.

a)

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)

pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)

tas prasītu nesamērīgi lielas pūles. Tādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

a)

informēt un konsultēt pārzini un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo direktīvu un citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību;

b)

uzraudzīt atbilstību šai direktīvai, citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību un pārziņa politikai saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c)

pēc pieprasījuma sniegt padomu attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 27. pantu;

d)

sadarboties ar uzraudzības iestādi;

e)

būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, tostarp 28. pantā minēto iepriekšējo apspriešanos, un attiecīgā gadījumā konsultēt par jebkuru citu jautājumu.

a)

nosūtīšana ir nepieciešama 1. panta 1. punktā izklāstītajiem nolūkiem;

b)

personas dati tiek nosūtīti tādam pārzinim trešā valstī vai starptautiskā organizācijā, kas ir iestāde, kura ir kompetenta 1. panta 1. punktā minētajos nolūkos;

c)

ja personas datus ir nosūtījusi vai darījusi pieejamus kāda cita dalībvalsts, tad minētā dalībvalsts ir nosūtīšanai devusi iepriekšēju atļauju saskaņā ar savām valsts tiesībām;

d)

Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību saskaņā ar 36. pantu vai, ja tāda lēmuma nav, tiek sniegtas vai pastāv atbilstošas garantijas saskaņā ar 37. pantu, vai ja nav saskaņā ar 36. pantu pieņemta lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju saskaņā ar 37. pantu, ir piemērojamas atkāpes īpašās situācijās saskaņā ar 38. pantu; un

e)

ja dati tiek nosūtīti tālāk uz kādu citu trešo valsti vai starptautisku organizāciju, sākotnējo nosūtīšanu veikusī kompetentā iestāde vai kāda cita tās pašas dalībvalsts kompetentā iestāde dod atļauju tālākai nosūtīšanai pēc tam, kad tā ir pienācīgi ņēmusi vērā visus būtiskos faktorus, tostarp noziedzīgā nodarījuma smagumu, mērķi, kādam personas dati sākotnēji tika nosūtīti, un personas datu aizsardzības līmeni trešā valstī vai starptautiskā organizācijā, uz kuru personas dati tiek tālāk nosūtīti.

a)

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām, un publisko iestāžu piekļuvi personas datiem, kā arī minēto tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva tiesību aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

b)

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un panākšanu, tostarp ar piemērotam izpildes pilnvarām, par palīdzību un konsultācijām datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)

starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

a)

juridiski saistošā instrumentā ir sniegtas atbilstošas garantijas attiecībā uz personas datu aizsardzību; vai

b)

pārzinis ir izvērtējis visus apstākļus saistībā ar personas datu nosūtīšanu un secina, ka pastāv atbilstošas garantijas attiecībā uz personas datu aizsardzību.

a)

lai aizsargātu vitālas datu subjekta vai citas personas intereses;

b)

lai aizsargātu leģitīmas datu subjekta intereses gadījumos, kad tā ir noteikts nosūtošās dalībvalsts tiesībās;

c)

lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai;

d)

atsevišķā gadījumā 1. panta 1. punktā izklāstītajos nolūkos; vai

e)

atsevišķā gadījumā, lai celtu, īstenotu vai aizstāvētu likumīgas prasības saistībā ar 1. panta 1. punktā izklāstītajiem nolūkiem.

a)

nosūtīšana ir absolūti nepieciešama kāda nosūtošās kompetentās iestādes uzdevuma veikšanai saskaņā ar Savienības vai dalībvalsts tiesībām nolūkos, kas izklāstīti 1. panta 1. punktā;

b)

nosūtošā kompetentā iestāde konstatē, ka attiecīgā datu subjekta pamattiesības un pamatbrīvības nav svarīgākas par sabiedrības interesēm, kuru dēļ konkrētajā gadījumā ir nepieciešama nosūtīšana;

c)

nosūtošā kompetentā iestāde uzskata, ka nosūtīšana iestādei, kas trešā valstī ir kompetenta 1. panta 1. punktā minētajos nolūkos, ir neefektīva vai nepiemērota, jo īpaši tādēļ, ka nosūtīšana nav paveicama laikus;

d)

iestāde, kas ir kompetenta 1. panta 1. punktā minētajos nolūkos trešā valstī, tiek informēta bez nepamatotas kavēšanās, ja vien tas nav neefektīvi vai nepiemēroti;

e)

nosūtošā kompetentā iestāde informē saņēmēju par to, kādam konkrētam mērķim vai mērķiem tā personas datus drīkst apstrādāt ar noteikumu, ka šāda datu apstrāde ir vajadzīga.

a)

izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

b)

sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņojumus, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas personas datu aizsardzībai un citas pamattiesības un pamatbrīvības;

c)

iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir uzlabot starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)

veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz konfliktiem par jurisdikciju ar trešām valstīm.

—

parlaments,

—

valdība,

—

valsts vadītājs vai

—

neatkarīga struktūra, kurai dalībvalsts tiesībās ir uzticēta iecelšana amatā.

a)

katras uzraudzības iestādes izveidi;

b)

kvalifikāciju un atbilstības nosacījumus, kas izvirzīti iecelšanai par locekli katrā uzraudzības iestādē;

c)

noteikumus un procedūras locekļa vai locekļu iecelšanai katrā uzraudzības iestādē;

d)

tādu locekļa vai locekļu amata pilnvaru laiku katrā uzraudzības iestādē, kurš ir vismaz četri gadi, izņemot pirmo iecelšanu pēc 2016. gada 6. maija, kad daļēji var iecelt uz īsāku laiku, ja tas ir nepieciešams, lai aizsargātu uzraudzības iestādes neatkarību, šim nolūkam amatā iecelšanas procedūru rīkojot ar laika nobīdi;

e)

to, vai katras uzraudzības iestādes locekli vai locekļus var atkārtoti iecelt amatā, un, ja var, tad to, uz cik pilnvaru termiņiem;

f)

nosacījumus, ar ko reglamentē locekļa vai locekļu un personāla pienākumus katrā uzraudzības iestādē, aizliegumus attiecībā uz rīcību, ieņemamajiem amatiem un priekšrocībām, kas nav ar tiem savienojami, esot amatā un pēc pilnvaru termiņa beigām, un noteikumus attiecībā uz nodarbinātības pārtraukšanu.

a)

uzrauga un nodrošina saskaņā ar šo direktīvu pieņemtu noteikumu un tās īstenošanas pasākumu piemērošanu;

b)

veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi;

c)

saskaņā ar dalībvalsts tiesībām konsultē valsts parlamentu, valdību un citas iestādes un struktūras par leģislatīviem un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi;

d)

veicina pārziņu un apstrādātāju informētību par viņu pienākumiem saskaņā ar šo direktīvu;

e)

pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņa tiesību īstenošanu saskaņā ar šo direktīvu un, ja nepieciešams, šajā ziņā sadarbojas ar citu dalībvalstu uzraudzības iestādēm;

f)

izskata datu subjekta, struktūras vai organizācijas, vai asociācijas iesniegtās sūdzības saskaņā ar 55. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

g)

pārbauda apstrādes likumīgumu saskaņā ar 17. pantu un saprātīgā termiņā informē datu subjektu par saskaņā ar minētā panta 3. punktu veiktas pārbaudes rezultātiem vai iemesliem, kādēļ pārbaude netika veikta;

h)

sadarbojas ar citām uzraudzības iestādēm, tostarp apmainoties ar informāciju, un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs direktīvas piemērošanu un izpildi;

i)

veic izmeklēšanu par šīs direktīvas piemērošanu, tostarp pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

j)

uzrauga būtiskas norises, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

k)

sniedz ieteikumus par 28. pantā minētajām apstrādes darbībām; un

l)

veicina kolēģijas darbības.

a)

brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti saskaņā ar šo direktīvu pieņemti noteikumi;

b)

izdot rīkojumu pārzinim vai apstrādātājam panākt apstrādes darbību atbilstību saskaņā ar šo direktīvu pieņemtiem noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā; jo īpaši izdodot rīkojumu par datu labošanu, apstrādes ierobežošanu vai dzēšanu, ievērojot 16. pantu;

c)

uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu.

a)

pieprasījuma priekšmets vai pasākumi, kurus lūdz izpildīt, nav tās kompetencē; vai

b)

pieprasījuma izpilde pārkāptu šo direktīvu vai Savienības vai dalībvalsts tiesības, ko piemēro uzraudzības iestādei, kas saņēmusi pieprasījumu.

a)

sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tostarp par visiem ierosinātajiem šīs direktīvas grozījumiem;

b)

pēc pašas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādu jautājumu, kas attiecas uz šīs direktīvas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs direktīvas konsekventu piemērošanu;

c)

izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 47. panta 1. un 3. punktā minēto pasākumu piemērošanu;

d)

saskaņā ar šīs daļas b) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 30. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

e)

saskaņā ar šīs daļas b) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt paaugstinātu risku fizisku personu tiesībām un brīvībām, kā minēts 31. panta 1. punktā;

f)

pārskata b) un c) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu;

g)

sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai šādā trešā valstī, teritorijā, konkrētā sektorā vai starptautiskā organizācija vairs netiek nodrošināts pietiekams aizsardzības līmenis;

h)

veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

i)

veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

j)

veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesībām un praksi ar uzraudzības iestādēm visā pasaulē.