Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32008F0977

2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos

OJ L 350, 30.12.2008, p. 60–71 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 16 Volume 002 P. 118 - 129

No longer in force, Date of end of validity: 05/05/2018; panaikino 32016L0680

ELI: http://data.europa.eu/eli/dec_framw/2008/977/oj

30.12.2008   

LT

Europos Sąjungos oficialusis leidinys

L 350/60


TARYBOS PAMATINIS SPRENDIMAS 2008/977/TVR

2008 m. lapkričio 27 d.

dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos

EUROPOS SĄJUNGOS TARYBA,

atsižvelgdama į Europos Sąjungos sutartį, ypač į jos 30 ir 31 straipsnį bei 34 straipsnio 2 dalies b punktą,

atsižvelgdama į Komisijos pasiūlymą,

atsižvelgdama į Europos Parlamento nuomonę (1),

kadangi:

(1)

Europos Sąjunga užsibrėžė tikslą puoselėti ir plėtoti Sąjungą kaip laisvės, saugumo ir teisingumo erdvę, kurioje būtų užtikrintas aukšto lygio saugumas plėtojant bendrą valstybių narių veiklą policijos ir teisminio bendradarbiavimo baudžiamosiose bylose srityse.

(2)

Bendrų veiksmų policijos bendradarbiavimo srityje pagal Europos Sąjungos sutarties 30 straipsnio 1 dalies b punktą ir bendrų veiksmų teisminio bendradarbiavimo baudžiamosiose bylose srityje pagal Europos Sąjungos sutarties 31 straipsnio 1 dalies a punktą vykdymui būtina tvarkyti atitinkamą informaciją ir tai turėtų būti reglamentuojama tinkamomis nuostatomis dėl asmens duomenų apsaugos.

(3)

Europos Sąjungos sutarties VI antraštinės dalies sričiai priklausančiais teisės aktais turėtų būti skatinamas policijos ir teisminis bendradarbiavimas baudžiamosiose bylose, siekiant, kad jis būtų veiksmingas bei teisėtas ir vykdomas nepažeidžiant pagrindinių teisių, ypač teisės į privatumą ir asmens duomenų apsaugą. Abu šiuos tikslus gali padėti pasiekti bendri asmens duomenų, tvarkomų kovos su nusikalstamumu ir jo prevencijos tikslais, tvarkymo ir apsaugos standartai.

(4)

2004 m. lapkričio 4 d. Europos Vadovų Tarybos priimtoje Hagos programoje, skirtoje laisvei, saugumui ir teisingumui Europos Sąjungoje stiprinti, pabrėžiama, jog reikalingas naujoviškas požiūris į valstybių narių keitimąsi teisėsaugos informacija, užtikrinant griežtą pagrindinių reikalavimų duomenų apsaugos srityje laikymąsi; programoje Komisijos prašoma ne vėliau kaip iki 2005 m. pabaigos tuo klausimu pateikti pasiūlymų. Tai buvo atspindėta Tarybos ir Komisijos veiksmų plane, įgyvendinančiame Hagos programą dėl laisvės, saugumo ir teisingumo stiprinimo Europos Sąjungoje (2).

(5)

Keitimasis asmens duomenimis vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, ypač laikantis Hagos programoje nustatyto galimybės naudotis informacija principo, turėtų būti reglamentuojamas aiškiomis taisyklėmis, kuriomis būtų didinamas kompetentingų institucijų tarpusavio pasitikėjimas ir užtikrinama atitinkamos informacijos apsauga tokiu būdu, kad nebūtų jokios diskriminacijos tokio valstybių narių bendradarbiavimo atžvilgiu ir būtų visapusiškai gerbiamos pagrindinės asmenų teisės. Esamų priemonių Europos lygiu nepakanka. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (3) netaikoma asmens duomenų tvarkymui, kai vykdoma į Bendrijos teisės taikymo sritį nepatenkanti veikla, pavyzdžiui, Europos Sąjungos sutarties VI antraštinėje dalyje numatyta veikla, arba, bet kuriuo atveju, duomenų tvarkymo operacijoms, susijusioms su visuomenės saugumu, gynyba, nacionaliniu saugumu ar valstybės veiksmais baudžiamosios teisės srityse.

(6)

Šis pamatinis sprendimas taikomas tik baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais kompetentingų institucijų surinktiems ar tvarkomiems duomenims. Šiame pamatiniame sprendime valstybėms narėms turėtų būti paliekama galimybė nacionaliniu lygiu tiksliau nustatyti, kurie kiti tikslai nelaikomi nesuderinamais su tikslais, kuriais iš pradžių buvo renkami asmens duomenys. Iš esmės, tolesnis duomenų tvarkymas istoriniais, statistiniais ar moksliniais tikslais neturėtų būti laikomas nesuderinamu su pirminiu jų tvarkymo tikslu.

(7)

Šis pamatinis sprendimas turėtų būti taikomas tik tarp valstybių narių persiųstų asmens duomenų ar duomenų, kuriais naudotis sudaryta galimybė, tvarkymui. Remiantis šiuo apribojimu neturėtų būti daroma jokių išvadų dėl Sąjungos kompetencijos priimti teisės aktus, susijusius su asmens duomenų rinkimu ir apdorojimu nacionaliniu lygiu, ar dėl tikslingumo Sąjungai tą daryti ateityje.

(8)

Siekdamos supaprastinti keitimąsi duomenimis Sąjungoje, valstybės narės ketina užtikrinti, kad nacionaliniam duomenų tvarkymui taikomas duomenų apsaugos standartas atitiktų pamatiniame sprendime numatytą standartą. Nacionaliniu duomenų tvarkymo atveju šiuo pamatiniu sprendimu neužkertamas kelias valstybėms narėms nustatyti griežtesnių apsaugos priemonių asmens duomenų apsaugos srityje nei nustatyta šiame pamatiniame sprendime.

(9)

Šis pamatinis sprendimas neturėtų būti taikomas asmens duomenims, kuriuos valstybė narė gavo pagal šį pamatinį sprendimą ir kurių kilmės šalis yra ta valstybė narė.

(10)

Dėl valstybių narių įstatymų suderinimo neturėtų susilpnėti duomenų apsauga, priešingai, suderinimas turėtų užtikrinti aukštą duomenų apsaugos lygį Europos Sąjungoje.

(11)

Būtina nustatyti duomenų apsaugos tikslus policijos ir teisminės veiklos srityje bei nustatyti asmens duomenų tvarkymo teisėtumo taisykles, siekiant užtikrinti, kad informacija, kuria gali būti keičiamasi, buvo tvarkoma teisėtai ir laikantis duomenų kokybei taikomų pagrindinių principų. Tuo pačiu metu neturėtų kilti pavojus teisėtai policijos, muitinės, teismų ir kitų kompetentingų institucijų veiklai.

(12)

Duomenų tikslumo principas turi būti taikomas atsižvelgiant į atitinkamo tvarkymo pobūdį ir tikslą. Pavyzdžiui, visų pirma teismo procesuose duomenys yra pagrįsti subjektyviu suvokimu ir kai kuriais atvejais jų visiškai neįmanoma patikrinti. Todėl tikslumo reikalavimas negali būti susijęs su parodymo tikslumu, o tik su faktu, kad buvo pateiktas konkretus parodymas.

(13)

Archyvuoti atskirais duomenų rinkiniais turėtų būti leidžiama tik tada, jei duomenys nebereikalingi ir nebenaudojami baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais. Archyvuoti atskirais duomenų rinkiniais taip pat turėtų būti leidžiama, jei suarchyvuoti duomenys saugomi duomenų bazėje kartu su kitais duomenimis taip, kad jų nebegalima būtų panaudoti baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais. Tinkamo archyvavimo laikotarpio pasirinkimas turėtų priklausyti nuo archyvavimo tikslų ir duomenų subjektų teisėtų interesų. Archyvuojant istoriniais tikslais gali būti numatomas ir labai ilgas laikotarpis.

(14)

Duomenys taip pat gali būti ištrinami sunaikinus duomenų laikmenas.

(15)

Kai netikslūs, nepilni ar jau pasenę duomenys, kuriuos persiuntė ar sudarė galimybę jais naudotis kitoms valstybėms narėms ir toliau tvarko kvaziteisminės institucijos, kurios yra teisinę galią turinčius sprendimus priimti įgaliotos institucijos, šių duomenų taisymas, trynimas ar blokavimas turėtų būti vykdomas pagal nacionalinės teisės aktus.

(16)

Siekiant užtikrinti aukštą asmens duomenų apsaugos lygį, būtina parengti bendras nuostatas, kurios leistų nustatyti kitų valstybių narių kompetentingų institucijų tvarkytų duomenų kokybę ir tokio tvarkymo teisėtumą.

(17)

Tikslinga Europos lygiu nustatyti sąlygas, pagal kurias valstybių narių kompetentingoms institucijoms būtų leidžiama persiųsti asmens duomenis ar sudaryti galimybę jais naudotis kitose valstybėse narėse esančioms institucijoms ir privačioms šalims. Daugeliu atveju būtina, kad teismai, policija ar muitinė privačioms šalims perduotų asmens duomenis siekiant patraukti baudžiamojon atsakomybėn už nusikaltimus ar užkirsti kelią tiesioginei ir didelei grėsmei, kuri gali grėsti visuomenės saugumui ar užkirsti kelią didelei žalai, kuri gali būti padaryta asmenų teisėms, pavyzdžiui, bankams ir kredito įstaigoms išduodant perspėjimus dėl vertybinių popierių klastojimo arba su transporto priemonėmis susijusių nusikaltimų srityje – draudimo kompanijoms perduodant asmens duomenis siekiant užkirsti kelią vogtų motorinių transporto priemonių neteisėtai prekybai arba gerinti vogtų motorinių transporto priemonių atgavimo iš užsienio sąlygas. Ši nuostata nereiškia, kad policijos ar teismo užduotys perduodamos privačioms šalims.

(18)

Šio pamatinio sprendimo taisyklės dėl teismų, policijos ar muitinės atliekamo asmens duomenų perdavimo privačioms šalims neturėtų būti taikomos duomenų atskleidimui privačioms šalims (pavyzdžiui, advokatams ir nukentėjusiesiems) baudžiamojo proceso metu.

(19)

Iš kitos valstybės narės kompetentingos institucijos gautų asmens duomenų ar asmens duomenų, kuriais naudotis ji sudarė galimybę, tolesniam tvarkymui, ypač tolesniam jų persiuntimui arba galimybės jais naudotis sudarymui, turėtų būti taikomos bendros taisyklės Europos lygiu.

(20)

Kai asmens duomenys gali būti toliau tvarkomi gavus valstybės narės, iš kurios buvo gauti duomenys, sutikimą, kiekviena valstybė narė turėtų galėti nustatyti tokio sutikimo suteikimo būdus, įskaitant, pavyzdžiui, bendru sutikimu dėl tam tikrų rūšių informacijos ar tolesnio duomenų tvarkymo kategorijų.

(21)

Kai asmens duomenys gali būti toliau tvarkomi administracinių procesų tikslais, šie procesai taip pat apima reguliavimo ir priežiūros institucijų vykdomą veiklą.

(22)

Norint vykdyti teisėtus policijos, muitinės, teismų ir kitų kompetentingų institucijų veiksmus, duomenis gali reikėti siųsti trečiųjų šalių institucijoms ar tarptautiniams organams, kurie turi pareigų, susijusių su baudžiamųjų veikų prevencija, tyrimu, nustatymu ar patraukimu baudžiamojon atsakomybėn už šią veiką, arba bausmių vykdymu.

(23)

Kai asmens duomenys yra perduodami iš valstybės narės trečiosioms šalims arba tarptautinėms organizacijoms, iš esmės turėtų būti užtikrinamas tinkamas šių duomenų apsaugos lygis.

(24)

Kai asmens duomenys yra perduodami iš Europos Sąjungos valstybės narės trečiosioms šalims arba tarptautiniams organams, toks perdavimas iš esmės galėtų vykti tik po to, kai valstybė narė, iš kurios gauti duomenys, duoda sutikimą juos perduoti. Kiekviena valstybė narė turėtų galėti nustatyti tokio sutikimo suteikimo būdus, įskaitant, pavyzdžiui, bendru sutikimu dėl tam tikrų rūšių informacijos ar konkrečių trečiųjų šalių.

(25)

Siekiant veiksmingo bendradarbiavimo teisėsaugos srityje, būtina, kad tuo atveju, kai valstybių narių ar trečiosios valstybės narės visuomenės saugumui grėsmė iškyla taip staigiai, kad yra neįmanoma laiku gauti išankstinį sutikimą, kompetentinga institucija turėtų turėti galimybę perduoti atitinkamus asmens duomenis trečiajai valstybei be tokio išankstinio sutikimo. Tai taip pat galėtų būti taikoma iškilus pavojui kitiems esminiams valstybės narės interesams, kurie yra ne mažiau svarbūs, pavyzdžiui, kai tiesioginė ir rimta grėsmė galėtų kilti svarbiai valstybės narės infrastruktūrai arba kai galėtų būti rimtai sutrikdyta valstybės narės finansų sistema.

(26)

Siekiant užtikrinti veiksmingą duomenų subjektų teisinę apsaugą, gali būti reikalinga duomenų subjektus informuoti apie jų duomenų tvarkymą, visų pirma tais atvejais, jei buvo labai rimtai pasikėsinta į jų teises taikant slapto duomenų rinkimo priemones.

(27)

Valstybės narės turėtų užtikrinti, kad duomenų subjektas būtų informuotas apie tai, kad asmens duomenys gali būti renkami ar yra renkami, tvarkomi arba perduodami kitai valstybei narei nusikalstamų veikų prevencijos, tyrimo, nustatymo ir patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais. Būdai duomenų subjektui pasinaudoti teise būti informuotam ir taikomos išimtys turėtų būti nustatomos pagal nacionalinę teisę. Tai gali būti atliekama įprasta tvarka, pvz., pasitelkiant teisę arba paskelbiant duomenų tvarkymo operacijų sąrašą.

(28)

Siekiant užtikrinti asmens duomenų apsaugą nedarant neigiamo poveikio nusikaltimų tyrimams, būtina apibrėžti duomenų subjekto teises.

(29)

Kai kurios valstybės narės suteikė duomenų subjektams teisę susipažinti su savo asmens duomenimis baudžiamosiose bylose pasitelkdamos sistemą, pagal kurią nacionalinė priežiūros institucija, vietoj duomenų subjekto, turi teisę susipažinti su juo susijusiais asmens duomenimis be jokių apribojimų ir taip pat gali pataisyti, ištrinti ar patikslinti neteisingus duomenis. Šiuo netiesioginės prieigos atveju tokių valstybių narių nacionalinės teisės aktuose gali būti numatyta, kad nacionalinė priežiūros institucija tik informuos duomenų subjektą, buvo atlikti visi reikalingi patikrinimai. Tačiau tos valstybės narės taip pat numato galimybes specifiniais atvejais duomenų subjektui tiesiogiai susipažinti su duomenimis, pavyzdžiui, susipažinti su teismo bylų registro įrašais, kad gautų savo nuosprendžių kopijas, arba su jais susijusias policijos tarnybų protokolų dokumentų kopijas.

(30)

Tikslinga nustatyti bendras taisykles, reglamentuojančias duomenų tvarkymo konfidencialumą ir saugumą, atsakomybę ir sankcijas kompetentingoms institucijoms už neteisėtą duomenų naudojimą, taip pat duomenų subjekto teisės gynimo teismines priemones. Vis dėlto kiekviena valstybė narė turėtų nustatyti savo deliktinių taisyklių ir sankcijų, taikomų už šalies duomenų apsaugos nuostatų pažeidimus, pobūdį.

(31)

Šiame pamatiniame sprendime numatoma, kad įgyvendinant jame išdėstytus principus galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą.

(32)

Kai būtina apsaugoti asmens duomenis, susijusius su tvarkymu, kuris dėl apimties ar pobūdžio kelia specifinį pavojų pagrindinėms teisėms ir laisvėms, pavyzdžiui, duomenų tvarkymas pasitelkiant naujas technologijas, mechanizmus ar procedūras, reikėtų užtikrinti, kad prieš sukuriant šių duomenų tvarkymui skirtas rinkmenų sistemas būtų konsultuojamasi su kompetentingomis nacionalinėmis priežiūros institucijomis.

(33)

Itin svarbi asmens duomenų, tvarkomų vykdant valstybių narių policijos ir teisminį bendradarbiavimą, apsaugos sudėtinė dalis – visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse.

(34)

Pagal Direktyvą 95/46/EB valstybėse narėse jau įsteigtos priežiūros institucijos taip pat turėtų turėti galimybę prisiimti atsakomybę už užduotis, kurias turi atlikti pagal šį pamatinį sprendimą įsteigtos nacionalinės priežiūros institucijos.

(35)

Tokios priežiūros institucijos turėtų turėti reikiamas priemones savo pareigoms atlikti, be kita ko, įgaliojimus tyrimui ir intervencijai, visų pirma asmenų skundų atvejais, arba įgaliojimus dalyvauti teismo procese. Šios priežiūros institucijos turėtų padėti užtikrinti duomenų tvarkymo skaidrumą tose valstybėse narėse, kurių jurisdikcijai jos priklauso. Tačiau jų įgaliojimai neturėtų prieštarauti konkrečioms baudžiamojo proceso taisyklėms ar teismų nepriklausomumui.

(36)

Europos Sąjungos sutarties 47 straipsnyje nustatyta, kad nė viena iš jos nuostatų neturi turėti poveikio Europos Bendrijų steigimo sutartims ar vėlesnėms jas keičiančioms ar papildančioms sutartims ir aktams. Todėl šis pamatinis sprendimas neturi poveikio asmens duomenų apsaugai pagal Bendrijos teisę, visų pirma kaip numatyta Direktyvoje 95/46/EB, 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (4) ir 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvoje 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (5).

(37)

Šiuo pamatiniu sprendimu nepažeidžiamos taisyklės, susijusios su neteisėtu susipažinimu su duomenimis, numatytos 2005 m. vasario 24 d. Tarybos pamatiniame sprendime 2005/222/TVR dėl atakų prieš informacines sistemas (6).

(38)

Šiuo pamatiniu sprendimu nedaroma įtaka galiojančioms valstybių narių ar Sąjungos prievolėms ir įsipareigojimams pagal dvišalius ir (arba) daugiašalius susitarimus su trečiosiomis valstybėmis. Būsimi susitarimai turėtų atitikti taisykles dėl keitimosi informacija su trečiosiomis valstybėmis.

(39)

Keliuose teisės aktuose, priimtuose remiantis Europos Sąjungos sutarties VI antraštine dalimi, įtrauktos konkrečios nuostatos dėl duomenų, kuriais keičiamasi ar kurie kitaip tvarkomi pagal šiuos teisės aktus, apsaugos. Kai kuriais atvejais šios nuostatos yra išsamios ir nuoseklios taisyklės, apimančios visus atitinkamus duomenų apsaugos aspektus (duomenų kokybės principus, taisykles dėl duomenų saugumo, duomenų subjektų teisių ir apsaugos priemonių reglamentavimą, priežiūros organizavimą ir atsakomybę), ir jomis šie klausimai reglamentuojami išsamiau, nei šio pamatinio sprendimo nuostatomis. Atitinkamoms šių teisės aktų duomenų apsaugos nuostatoms, visų pirma reglamentuojančioms Europolo, Eurojusto veiklą, Šengeno informacinės sistemos (SIS) ir Muitinės informacinės sistemos (CIS) funkcionavimą, taip pat toms, kuriomis numatoma tiesioginė valstybių narių institucijų prieiga prie tam tikrų kitų valstybių narių duomenų sistemų, šis pamatinis sprendimas neturėtų turėti poveikio. Tas pats taikytina ir duomenų apsaugos nuostatoms, reglamentuojančioms DNR charakteristikų, daktiloskopinių duomenų ir nacionalinių transporto priemonių registracijos duomenų automatinį perdavimą tarp valstybių narių laikantis 2008 m. birželio 23 d. Tarybos sprendimo 2008/615/TVR dėl tarpvalstybinio bendradarbiavimo gerinimo, visų pirma kovos su terorizmu ir tarpvalstybiniu nusikalstamumu srityje (7).

(40)

Kitais atvejais aktų, priimtų remiantis Europos Sąjungos sutarties VI antraštine dalimi, nuostatų dėl duomenų apsaugos taikymo sritis yra labiau ribota. Dažnai jomis nustatomos informaciją su asmens duomenimis iš kitos valstybės narės gaunančiai valstybei narei taikomos konkrečios sąlygos, susijusius su tikslais, kuriais ji gali naudoti šiuos duomenis, tačiau kitais duomenų apsaugos klausimais nuorodos daromos į 1981 m. sausio 28 d. Europos Tarybos konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu arba į nacionalinę teisę. Jeigu tokių teisės aktų, kuriais gaunančiosioms valstybėms narėms nustatomos sąlygos, susijusios su tolesniu asmens duomenų perdavimu, yra griežtesnės nei atitinkamose šio pamatinio sprendimo nuostatose, turėtų likti galioti ankstesnės nuostatos. Tačiau visais kitais aspektais turėtų būti taikomos šiame pamatiniame sprendime nustatytos taisyklės.

(41)

Šiuo pamatiniu sprendimu nedaromas poveikis Europos Tarybos Konvencijai dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu, 2001 m. lapkričio 8 d. papildomam tos Konvencijos protokolui ar Europos Tarybos konvencijoms dėl teisminio bendradarbiavimo baudžiamosiose bylose.

(42)

Kadangi šio pamatinio sprendimo tikslo – nustatyti bendrų taisyklių dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos – valstybės narės veikdamos atskirai negali deramai pasiekti, ir kadangi dėl priemonės masto ir poveikio tas tikslas būtų lengviau pasiekiamas Sąjungos lygiu, Taryba gali patvirtinti priemones laikydamasi Europos Bendrijos steigimo sutarties 5 straipsnyje nustatyto ir Europos Sąjungos sutarties 2 straipsnyje nurodyto subsidiarumo principo. Pagal Europos Bendrijos steigimo sutarties 5 straipsnyje nustatytą proporcingumo principą šiuo pamatiniu sprendimu neviršijama to, kas būtina šiam tikslui pasiekti.

(43)

Pagal Protokolo dėl Šengeno acquis integravimo į Europos Sąjungos sistemą, pridėto prie Europos Sąjungos sutarties ir prie Europos Bendrijos steigimo sutarties, 5 straipsnį ir 2000 m. gegužės 29 d. Tarybos sprendimo 2000/365/EB dėl Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės prašymo dalyvauti įgyvendinant kai kurias Šengeno acquis nuostatas (8) 8 straipsnio 2 dalį Jungtinė Karalystė dalyvauja įgyvendinant šį pamatinį sprendimą.

(44)

Pagal Protokolo dėl Šengeno acquis integravimo į Europos Sąjungos sistemą, pridėto prie Europos Sąjungos sutarties ir Europos Bendrijos steigimo sutarties, 5 straipsnį ir 2002 m. vasario 28 d. Tarybos sprendimo 2002/192/EB dėl Airijos prašymo dalyvauti įgyvendinant kai kurias Šengeno acquis nuostatas (9) 6 straipsnio 2 dalį Airija dalyvauja įgyvendinant šį pamatinį sprendimą.

(45)

Islandijos ir Norvegijos atžvilgiu šiuo pamatiniu sprendimu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos Tarybos, Islandijos Respublikos ir Norvegijos Karalystės sudarytame susitarime dėl pastarosios asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (10), kurios priklauso Tarybos sprendimo 1999/437/EB (11) dėl tam tikrų priemonių taikant tą susitarimą 1 straipsnio H ir I punktuose nurodytai sričiai.

(46)

Šveicarijos atžvilgiu šiuo pamatiniu sprendimu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (12), kurios priklauso Sprendimo 1999/437/EB, skaitant kartu su Tarybos sprendimo 2008/149/TVR (13) dėl šio susitarimo sudarymo Europos Sąjungos vardu 3 straipsniais, 1 straipsnio H ir I punkte nurodytai sričiai.

(47)

Lichtenšteino atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės pasirašytame protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis, kurios patenka į Tarybos sprendimo 1999/437/EB 1 straipsnio B punkte nurodytą sritį, skaitant kartu su Tarybos sprendimo 2008/262/TVR (14) dėl to protokolo pasirašymo Europos Sąjungos vardu 3 straipsniu.

(48)

Šiame pamatiniame sprendime gerbiamos pagrindinės teisės ir laikomasi pripažintų principų, visų pirma nustatytų Europos Sąjungos pagrindinių teisių chartijoje (15). Šiuo pamatiniu sprendimu siekiama užtikrinti, kad būtų visiškai gerbiama Chartijos 7 ir 8 straipsniuose atspindėta teisė į privatumą ir teisė į asmens duomenų apsaugą,

PRIĖMĖ ŠĮ PAMATINĮ SPRENDIMĄ:

1 straipsnis

Tikslas ir taikymo sritis

1.   Šio pamatinio sprendimo tikslas – užtikrinti aukštą fizinių asmenų pagrindinių teisių ir laisvių, visų pirma jų teisės į privatumą, apsaugos lygį tvarkant jų asmens duomenis, vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, numatytą Europos Sąjungos sutarties VI antraštinėje dalyje, tuo pačiu metu užtikrinant aukštą visuomenės saugumo lygį.

2.   Laikydamosi šio pamatinio sprendimo, valstybės narės saugo fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į privatumą, tais atvejais, kai baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo už šią veiką baudžiamojon atsakomybėn arba bausmių vykdymo tikslais asmens duomenys:

a)

yra perduodami ar buvo perduoti valstybių narių tarpusavyje arba jos sudaro ar sudarė galimybę su šiais duomenimis susipažinti;

b)

valstybės narės juos perduoda arba perdavė valdžios institucijoms arba informacinėms sistemoms, įdiegtomis pagal Europos Sąjungos sutarties VI antraštinę dalį, arba jos sudaro ar sudarė galimybę susipažinti su šiais duomenimis; arba

c)

yra perduodami arba buvo perduoti valstybių narių kompetentingoms institucijoms valdžios institucijų arba informacinių sistemų, įdiegtų pagal Europos Sąjungos sutarties VI antraštinę dalį, arba šios institucijos ar informacinės sistemos sudaro ar sudarė galimybę susipažinti su šiais duomenimis.

3.   Šis pamatinis sprendimas taikomas asmens duomenų tvarkymui automatizuotomis priemonėmis arba iš dalies automatizuotomis priemonėmis bei asmens duomenų, kurie yra rinkmenų sistemos dalis arba yra skirti būti rinkmenų sistemos dalimi, tvarkymui neautomatizuotomis priemonėmis.

4.   Šis pamatinis sprendimas nepažeidžia esminių nacionalinio saugumo interesų ar specifinės žvalgybos veiklos nacionalinio saugumo srityje.

5.   Šiuo pamatiniu sprendimu neužkertamas kelias valstybėms narėms nustatyti griežtesnių apsaugos priemonių, skirtų nacionaliniu lygiu renkamų ar tvarkomų asmens duomenų apsaugai nei nustatyta šiame pamatiniame sprendime.

2 straipsnis

Sąvokų apibrėžtys

Šiame pamatiniame sprendime:

a)

asmens duomenys – bet kokios rūšies informacija, susijusi su fiziniu asmeniu („duomenų subjektu“), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, visų pirma pagal asmens tapatybės kodą arba vieną ar kelis to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingus veiksnius;

b)

asmens duomenų tvarkymas ir tvarkymas – bet kokia su asmens duomenimis automatizuotomis arba neautomatizuotomis priemonėmis atliekama operacija ar operacijos, pavyzdžiui, rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas duomenis persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat palyginimas ar sujungimas, blokavimas, ištrynimas ar sunaikinimas;

c)

blokavimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

d)

asmens duomenų kaupimo rinkmenose sistema ir rinkmenų sistema – bet koks pagal konkrečius kriterijus susistemintas prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

e)

duomenų tvarkytojas – bet kuris organas, duomenų valdytojo vardu tvarkantis asmens duomenis;

f)

duomenų gavėjas – bet kuris organas, kuriam atskleidžiami duomenys;

g)

duomenų subjekto sutikimas – bet koks tinkamai informuoto duomenų subjekto savanoriškas valios pareiškimas, kuriuo duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję duomenys;

h)

kompetentingos institucijos – valdžios institucijos, įsteigtos pagal Tarybos teisės aktus, priimtus remiantis Europos Sąjungos sutarties VI antraštine dalimi, taip pat valstybių narių policija, muitinė, teisminės ir kitos kompetentingos institucijos, pagal nacionalinę teisę įgaliotos tvarkyti asmens duomenis šio pamatinio sprendimo taikymo srityje;

i)

duomenų valdytojas – juridinis asmuo, valstybės valdžios institucija, agentūra ar kitas organas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus;

j)

žymėjimas – saugomų asmens duomenų žymėjimas nesiekiant apriboti jų tvarkymo ateityje;

k)

padaryti anoniminiais – pakeisti asmens duomenis taip, kad asmeninės ar materialinės padėties duomenys nebegalėtų būti priskiriami fiziniam asmeniui, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba galėtų būti jam priskiriami tik įdėjus pernelyg daug laiko, lėšų ir darbo.

3 straipsnis

Teisėtumo, proporcingumo ir tikslo principai

1.   Asmens duomenis gali rinkti kompetentingos institucijos, vykdydamos savo užduotis, tik konkrečiai įvardytais, aiškiai apibrėžtais ir teisėtais tikslais; duomenys gali būti tvarkomi tik tuo pačiu tikslu, kuriuo jie buvo surinkti. Duomenų tvarkymas turi būti teisėtas, adekvatus ir neviršyti tikslų, kuriais jie renkami.

2.   Tolesnis tvarkymas kitu tikslu leidžiamas, jei:

a)

jis suderinamas su tikslais, kuriais duomenys buvo surinkti;

b)

pagal taikomas teisės nuostatas kompetentingoms institucijoms leidžiama tokius duomenis tvarkyti tokiu kitu tikslu; ir

c)

tvarkymas yra būtinas bei atitinka tą kitą tikslą.

Be to, kompetentingos institucijos gali toliau tvarkyti persiųstus asmens duomenis istoriniais, statistikos ar moksliniais tikslais, jeigu valstybės narės numato tinkamas apsaugos priemones, pavyzdžiui, padaro duomenis anoniminiais.

4 straipsnis

Taisymas, trynimas ir blokavimas

1.   Jei asmens duomenys yra netikslūs, jie pataisomi, o prireikus ir jei tai įmanoma, baigiami pildyti ar atnaujinami.

2.   Asmens duomenys ištrinami arba padaromi anoniminiais, jei jie nebereikalingi tais tikslais, kuriais jie buvo teisėtai surinkti arba teisėtai toliau tvarkomi. Ši nuostata neturi poveikio pagal nacionalinę teisę atliekamam šių duomenų archyvavimui atskiroje duomenų bazėje atitinkamam laikotarpiui.

3.   Asmens duomenys ne ištrinami, o blokuojami, jei yra pagrįstų priežasčių manyti, jog jų ištrynimas galėtų turėti poveikį teisėtiems duomenų subjekto interesams. Blokuoti duomenys tvarkomi tik tuo tikslu, dėl kurio jie nebuvo ištrinti.

4.   Kai asmens duomenys pateikiami teismo sprendime ar įraše, susijusiame su teismo sprendimo paskelbimu, taisymas, trynimas ar blokavimas vykdomas nacionalinėmis taisyklėmis dėl teismo procesų.

5 straipsnis

Duomenų ištrynimo ir peržiūros terminų nustatymas

Nustatomi tinkami asmens duomenų ištrynimo arba duomenų saugojimo poreikio periodiškos peržiūros terminai. Tų terminų laikymasis užtikrinamas procedūrinėmis priemonėmis.

6 straipsnis

Ypatingų kategorijų duomenų tvarkymas

Asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politinius, religinius ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat duomenis apie asmens sveikatą ar intymų gyvenimą leidžiama tvarkyti tik tais atvejais, kai tai yra tikrai būtina ir kai nacionalinė teisė numato tinkamas apsaugos priemones.

7 straipsnis

Automatizuoti individualūs sprendimai

Sprendimą, kuris duomenų subjektui daro neigiamą teisinį poveikį ar turi rimtų pasekmių ir kuris grindžiamas tik automatizuotu duomenų tvarkymu siekiant įvertinti duomenų subjekto tam tikrus asmeninius aspektus, leidžiama priimti tik jei tai leidžiama teisės aktais, kurie taip pat numato priemones, skirtas apsaugoti teisėtus duomenų subjekto interesus.

8 straipsnis

Persiunčiamų duomenų ar duomenų, kuriais naudotis sudaryta galimybė, kokybės patikrinimas

1.   Kompetentingos institucijos imasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kompetentingos institucijos, kiek tai įmanoma, tikrina asmens duomenų kokybę prieš juos persiunčiant ar prieš sudarant galimybę jais naudotis. Jei yra galimybė, prie visų persiunčiamų duomenų pridedama visa turima informacija, sudaranti galimybę gaunančiajai valstybei narei nustatyti duomenų tikslumo, išsamumo, naujumo ir patikimumo laipsnį. Jei asmens duomenys buvo persiųsti jų neprašant, gaunančioji institucija turi nedelsdama patikrinti, ar tie duomenys yra būtini tam tikslui, dėl kurio jie buvo persiųsti.

2.   Paaiškėjus, kad buvo persiųsti neteisingi duomenys arba duomenys buvo persiųsti neteisėtai, duomenų gavėjas turi būti nedelsiant apie tai informuojamas. Tokie duomenys turi būti nedelsiant pataisyti, ištrinti arba blokuojami pagal 4 straipsnio nuostatas.

9 straipsnis

Terminai

1.   Persiųsdama duomenis arba sudarydama galimybę jais naudotis, persiunčiančioji institucija, laikydamasi nacionalinės teisės aktų ir pagal 4 bei 5 straipsnius gali nurodyti duomenų saugojimo terminus, kuriems pasibaigus duomenų gavėjas privalo duomenis ištrinti, užblokuoti arba patikrinti, ar jie vis dar reikalingi. Ši prievolė netaikoma, jeigu tuo metu, kai pasibaigia šie saugojimo terminai, duomenys reikalingi tuo metu vykstančiam tyrimui, patraukimui baudžiamojon atsakomybėn už baudžiamąsias veikas arba bausmių vykdymui.

2.   Jeigu persiunčiančioji institucija nenurodo terminų pagal 1 dalį, laikantis 4 ir 5 straipsnių dėl duomenų saugojimo taikomi gaunančiosios valstybės narės nacionalinėje teisėje numatyti duomenų saugojimo terminai.

10 straipsnis

Registravimas ir dokumentavimas

1.   Visi persiųsti asmens duomenys turi būti registruojami ar dokumentuojami duomenų tvarkymo teisėtumo patikrinimo, taip pat savistabos ir deramo duomenų vientisumo ir saugumo užtikrinimo tikslais.

2.   Pagal 1 dalį užregistruoti ar dokumentuoti duomenys kompetentingos priežiūros institucijos prašymu perduodami jai duomenų apsaugos kontrolės tikslais. Kompetentinga priežiūros institucija šia informacija naudojasi tik duomenų apsaugos kontrolei ir deramam duomenų tvarkymui, taip pat jų vientisumui ir saugumui užtikrinti.

11 straipsnis

Iš kitos valstybės narės gautų asmens duomenų ar asmens duomenų, kuriais naudotis ji sudarė galimybę, tvarkymas

Iš kitos valstybės narės kompetentingos institucijos gauti asmens duomenys ar asmens duomenys, kuriais naudotis ji sudarė galimybę, pagal 3 straipsnio 2 dalies reikalavimus gali būti toliau tvarkomi tik šiais tikslais, išskyrus tikslus, kuriais jie buvo persiųsti arba kuriais buvo sudaryta galimybė jais naudotis:

a)

baudžiamųjų veikų, išskyrus tas, dėl kurių duomenys buvo persiųsti arba sudaryta galimybė jais naudotis, prevencijai, tyrimui, nustatymui ar patraukimui baudžiamojon atsakomybėn arba bausmių vykdymui;

b)

kituose teisminiuose ir administraciniuose procesuose, kurie yra tiesiogiai susiję su baudžiamųjų veikų prevencija, tyrimu, nustatymu ar patraukimu baudžiamojon atsakomybėn arba bausmių vykdymu;

c)

staigios ir didelės grėsmės visuomenės saugumui prevencijai; arba

d)

visais kitais tikslais tik iš anksto gavus persiunčiančiosios valstybės narės sutikimą arba duomenų subjekto sutikimą, duotą pagal nacionalinės teisės nuostatas.

Be to, kompetentingos institucijos gali toliau tvarkyti persiųstus asmens duomenis istoriniais, statistikos ar moksliniais tikslais, jeigu valstybės narės numato tinkamas apsaugos priemones, pavyzdžiui, padaro duomenis anoniminiais.

12 straipsnis

Nacionalinių duomenų tvarkymo apribojimų laikymasis

1.   Jeigu pagal persiunčiančiosios valstybės narės teisę tam tikromis aplinkybėmis kompetentingų institucijų tarpusavio keitimuisi duomenimis toje valstybėje narėje taikomi tam tikri tvarkymo apribojimai, persiunčiančioji institucija informuoja duomenų gavėją apie tokius duomenų tvarkymo apribojimus. Duomenų gavėjas užtikrina, kad laikomasi šių duomenų tvarkymo apribojimų.

2.   Kai taikydamos 1 dalies nuostatas, valstybės narės duomenų persiuntimui kitoms valstybėms narėms arba agentūroms ar organams, įsteigtiems pagal Europos Sąjungos sutarties VI antraštinę dalį, netaiko griežtesnių apribojimų nei panašiam nacionaliniam duomenų persiuntimui.

13 straipsnis

Duomenų perdavimas trečiųjų valstybių kompetentingoms institucijoms arba tarptautiniams organams

1.   Valstybės narės numato, kad kitos valstybės narės kompetentingos institucijos persiųsti asmens duomenys arba asmens duomenys, kuriais naudotis ji sudarė galimybę, gali būti perduodami trečiosioms valstybėms arba tarptautiniams organams įsteigtiems pagal tarptautinius susitarimus arba paskelbtoms tarptautiniais organais, tik jeigu:

a)

tai būtina baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais,

b)

trečiosios valstybės priimančioji institucija arba priimantysis tarptautinis organas yra atsakingas už baudžiamųjų veikų prevenciją, tyrimą, nustatymą ar patraukimą baudžiamojon atsakomybėn arba bausmių vykdymą,

c)

valstybė narė, iš kurios buvo gauti duomenys, laikydamasi nacionalinės teisės, sutiko su tokiu perdavimu; ir

d)

trečioji valstybė arba atitinkamas tarptautinis organas užtikrina tinkamą ketinamo atlikti duomenų tvarkymo apsaugos lygį.

2.   Perdavimas iš anksto negavus sutikimo pagal 1 dalies c punktą leidžiamas, tik jeigu perduoti duomenis yra būtina tiesioginės ir rimtos grėsmės valstybės narės ar trečiosios valstybės visuomenės saugumui ar svarbiems valstybės narės interesams prevencijos tikslais, o išankstinio sutikimo neįmanoma gauti laiku. Institucija, kurios sutikimą reikia gauti, informuojama nedelsiant.

3.   Nukrypstant nuo 1 dalies d punkto, asmens duomenis galima perduoti, jeigu:

a)

tai numatoma duomenis perduodančios valstybės narės nacionalinėje teisėje dėl:

i)

duomenų subjekto konkrečių teisėtų interesų; arba

ii)

vyraujančių teisėtų interesų, visų pirma svarbių viešųjų interesų; arba

b)

trečioji valstybė arba gaunantysis tarptautinis organas nustato apsaugos priemones, kurias atitinkama valstybė narė pagal savo nacionalinę teisę laiko tinkamomis.

4.   1 dalies d punkte nurodyto apsaugos lygio tinkamumas įvertinamas atsižvelgiant į visas duomenų perdavimo operacijos ar duomenų perdavimo operacijų aplinkybes. Ypatingas dėmesys skiriamas duomenų pobūdžiui, siūlomos tvarkymo operacijos ar operacijų tikslui ir trukmei, duomenų kilmės valstybei bei galutinės duomenų paskirties valstybei arba tarptautiniam organui, bendrosioms ir atskiriems sektoriams taikomoms teisės normoms, galiojančioms toje trečiojoje valstybėje arba tarptautiniame organe, taip pat profesinėms taisyklėms ir saugumo priemonėms, kurios taikomos toje valstybėje arba tarptautiniame organe.

14 straipsnis

Persiuntimas privačioms šalims valstybėse narėse

1.   Valstybės narės numato, kad iš kitos valstybės narės kompetentingos institucijos gauti asmens duomenys ar asmens duomenys, kuriais naudotis ji sudarė galimybę, gali būti persiunčiami privačioms šalims, tik jeigu:

a)

valstybės narės kompetentinga institucija, iš kurios buvo gauti duomenys, laikydamasi nacionalinės teisės, sutiko su tokiu persiuntimu;

b)

duomenų subjekto konkretūs teisėti interesai neužkerta kelio persiuntimui; ir

c)

ypatingais atvejais perdavimas yra būtinas kompetentingai institucijai, persiunčiančiai duomenis privačiai šaliai:

i)

teisėtai jai skirtai užduočiai atlikti;

ii)

baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais;

iii)

staigios ir didelės grėsmės visuomenės saugumui prevencijai; arba

iv)

didelės žalos asmenų teisėms prevencijai.

2.   Privačiai šaliai duomenis persiunčiančioji kompetentinga institucija praneša tai šaliai apie tikslus, kuriais duomenys gali būti išimtinai naudojami.

15 straipsnis

Informavimas kompetentingos institucijos prašymu

Duomenų gavėjas kompetentingai institucijai, persiuntusiai asmens duomenis ar sudariusiai galimybę jais naudotis, paprašius informuoja ją apie duomenų tvarkymą.

16 straipsnis

Duomenų subjekto informavimas

1.   Valstybės narės užtikrina, kad jų kompetentingos institucijos informuotų duomenų subjektą apie asmens duomenų rinkimą ar tvarkymą pagal nacionalinės teisės nuostatas.

2.   Kai asmens duomenys persiunčiami tarp valstybių narių arba sudaroma galimybė jais naudotis, kiekviena valstybė narė pagal 1 dalyje minimas savo nacionalinės teisės nuostatas gali prašyti kitos valstybės narės neinformuoti duomenų subjekto. Tokiu atveju pastaroji valstybė narė neinformuoja duomenų subjekto negavusi kitos valstybės narės išankstinio sutikimo.

17 straipsnis

Teisė susipažinti su savo asmens duomenimis

1.   Kiekvienas duomenų subjektas paprašęs turi teisę priimtinais laiko tarpais, per daug nedelsiant ir be pernelyg didelių išlaidų gauti bent:

a)

duomenų valdytojo arba nacionalinės priežiūros institucijos patvirtinimą, kad buvo perduoti arba sudaryta galimybė naudotis su juo susijusiais duomenimis arba jie nebuvo perduoti ir jais nesudaryta galimybė naudotis bei informaciją apie gavėjus, kuriems duomenys buvo atskleisti, arba tokių gavėjų kategorijas ir pranešimų apie vykdomą duomenų tvarkymą; arba

b)

nacionalinės priežiūros institucijos patvirtinimą, kad buvo atlikti visi reikalingi patikrinimai.

2.   Valstybės narės gali patvirtinti teisines priemones, apribojančias teisę susipažinti su 1 dalies a punkte nurodyta informacija tais atvejais, kai toks apribojimas, tinkamai atsižvelgiant į atitinkamo asmens teisėtus interesus, yra būtina ir proporcinga priemonė:

a)

siekiant netrukdyti atlikti oficialius ar teisinius nagrinėjimus, tyrimus ar procedūras;

b)

siekiant nepakenkti baudžiamųjų veikų prevencijai, nustatymui, tyrimui ir patraukimui baudžiamojon atsakomybėn arba bausmių vykdymui;

c)

siekiant užtikrinti visuomenės saugumą;

d)

siekiant užtikrinti nacionalinį saugumą;

e)

siekiant užtikrinti duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą.

3.   Apie atsisakymą suteikti teisę susipažinti su informacija arba tokios teisės apribojimą duomenų subjektui pranešama raštu. Tuo pat metu jam turi būti pranešamos ir faktinės ar teisinės priežastys, kuriomis grindžiamas toks sprendimas. Tokio pranešimo gali būti nereikalaujama tais atvejais, jei nurodomos 2 dalies a–e punktuose išvardintos priežastys. Visais šiais atvejais duomenų subjektas informuojamas, kad kompetentingai nacionalinei priežiūros institucijai, teisminei institucijai ar teismui jis gali pateikti skundą.

18 straipsnis

Teisė ištaisyti, ištrinti ar užblokuoti duomenis

1.   Duomenų subjektas turi teisę tikėtis, kad duomenų valdytojas atliks pagal šį pamatinį sprendimą numatomas pareigas, susijusias su asmens duomenų ištaisymu, ištrynimu ar blokavimu, laikydamasis 4, 8 ir 9 straipsnių. Valstybės narės nustato, ar duomenų subjektas šią teisę gali ginti tiesiogiai kreipdamasis į duomenų valdytoją, ar tarpininkaujant kompetentingai nacionalinei priežiūros institucijai. Jeigu duomenų valdytojas atsisako duomenis ištaisyti, ištrinti ar užblokuoti, apie tokį atsisakymą turi būti pranešama raštu, o duomenų subjektas turi būti informuojamas apie nacionalinėje teisėje numatomas galimybes teikti skundą ar siekti teisminės teisės gynimo priemonės. Išnagrinėjus skundą arba prašymą dėl teisminės teisės gynimo priemonės, duomenų subjektui pranešama, ar duomenų valdytojo veiksmai buvo tinkami. Valstybės narės taip pat gali numatyti, kad kompetentinga nacionalinė priežiūros institucija duomenų subjektui praneša, kad peržiūra įvyko.

2.   Jeigu duomenų subjektas ginčija, kad tam tikri jo asmens duomenys yra netikslūs, ir jų tikslumo ar netikslumo nustatyti negalima, tokie asmens duomenys gali būti pažymimi.

19 straipsnis

Teisė į kompensaciją

1.   Asmuo, patyręs žalą dėl neteisėtos tvarkymo operacijos ar veiksmo, nesuderinamo su nacionalinės teisės nuostatomis, priimtomis pagal šį pamatinį sprendimą, turi teisę iš duomenų valdytojo ar kitos valdžios institucijos, turinčios kompetenciją pagal nacionalinę teisę, gauti kompensaciją už patirtą žalą.

2.   Kai valstybės narės kompetentinga institucija persiuntė asmens duomenis, duomenų gavėjas, atsižvelgdamas į savo atsakomybę nukentėjusiajai šaliai pagal nacionalinę teisę, negali gindamasis pareikšti, kad persiųsti duomenys buvo netikslūs. Jeigu gavėjas sumoka kompensaciją už žalą, patirtą naudojantis neteisingai persiųstais duomenimis, persiunčiančioji kompetentinga institucija duomenų gavėjui kompensuoja žalai atlyginti sumokėtą sumą, atsižvelgdama į galimą duomenų gavėjo kaltę.

20 straipsnis

Teisminės teisės gynimo priemonės

Nepažeidžiant administracinių teisės gynimo priemonių, kurias taikyti galima numatyti prieš kreipiantis į teisminę instituciją, duomenų subjektas privalo turėti teisę siekti teisminės teisės gynimo priemonės, jei pažeidžiamos pagal galiojančią nacionalinę teisę jam garantuojamos teisės.

21 straipsnis

Asmens duomenų tvarkymo konfidencialumas

1.   Asmenys, kurie turi teisę susipažinti su asmens duomenimis, kuriems taikomas šis pamatinis sprendimas, gali tvarkyti tokius duomenis, tik jeigu jie yra kompetentingos institucijos darbuotojai ar vykdo jos nurodymus, išskyrus atvejus, kai jam reikalavimą taip elgtis nustato teisės aktai.

2.   Asmenys, dirbantys valstybės narės kompetentingoje institucijoje, privalo laikytis visų duomenų apsaugos taisyklių, kurios taikomos tai kompetentingai institucijai.

22 straipsnis

Duomenų tvarkymo saugumas

1.   Valstybės narės numato, kad kompetentingos institucijos privalo įgyvendinti tinkamas technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo arba atsitiktinio praradimo, pakeitimo, neleistino atskleidimo ar nesankcionuotos teisės su jais susipažinti, visų pirma atvejais, kai tvarkomi duomenys persiunčiami tinklu arba sudaroma galimybė jais naudotis tiesioginės automatizuotos prieigos būdu, taip pat apsaugoti nuo visų kitų neteisėtų tvarkymo būdų, visų pirma atsižvelgiant į pavojus, kuriuos kelia duomenų tvarkymas, ir į saugotinų duomenų pobūdį. Tokiomis priemonėmis, atsižvelgiant į technikos lygį ir jų įgyvendinimo išlaidas, užtikrinamas tinkamas saugumo lygis, atsižvelgiant į pavojus, kuriuos kelia duomenų tvarkymas, ir į saugotinų duomenų pobūdį.

2.   Automatizuoto duomenų tvarkymo srityje kiekviena valstybė narė įgyvendina priemones, kuriomis siekiama:

a)

nesuteikti neįgaliotiems asmenims teisės naudotis duomenų tvarkymo įranga, naudojama asmens duomenims tvarkyti (naudojimosi įranga kontrolė);

b)

užkirsti kelią neleistinam duomenų laikmenų skaitymui, kopijavimui, keitimui ar pašalinimui (duomenų laikmenų kontrolė);

c)

užkirsti kelią neleistinam duomenų įvedimui ir neleistinam saugomų asmens duomenų tikrinimui, keitimui ar ištrynimui (duomenų saugojimo kontrolė);

d)

užkirsti kelią leidimo neturintiems duomenų perdavimo įrangą naudojantiems asmenims naudoti automatizuoto duomenų tvarkymo sistemas (naudotojo kontrolė);

e)

užtikrinti, kad asmenys, įgalioti naudotis automatizuota duomenų tvarkymo sistema, galėtų susipažinti tik su tais duomenimis, dėl kurių jiems išduotas leidimas (naudojimosi duomenimis kontrolė);

f)

užtikrinti, kad būtų įmanoma patikrinti ir nustatyti, kokiems organams asmens duomenys buvo persiųsti ar gali būti persiųsti arba sudaryta galimybė jais naudotis per duomenų perdavimo įrangą (duomenų perdavimo kontrolė);

g)

užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kurie asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas, kada ir kas tuos duomenis įvedė (duomenų įvedimo kontrolė);

h)

užkirsti kelią neleistinam asmens duomenų skaitymui, kopijavimui, pakeitimui arba ištrynimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (gabenimo kontrolė);

i)

užtikrinti, kad įrengtas sistemas būtų galima atstatyti pertraukties atveju (atgavimas);

j)

užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešama (patikimumas) ir kad dėl blogo sistemos veikimo saugomi duomenys nebūtų sugadinti (vientisumas).

3.   Valstybės narės numato, kad duomenų tvarkytojai gali būti paskirti tik tuo atveju, jei jie užtikrina 1 dalyje numatytą reikiamą techninių bei organizacinių priemonių įgyvendinimą ir laikosi 21 straipsnyje numatytų nurodymų. Kompetentinga institucija stebi duomenų tvarkytojų veiklą šioje srityje.

4.   Duomenų tvarkytojas gali tvarkyti duomenis tik remdamasis teisės aktu arba rašytine sutartimi.

23 straipsnis

Išankstinės konsultacijos

Valstybės narės užtikrina, kad būtų konsultuojamasi su kompetentingomis nacionalinėmis priežiūros institucijomis prieš tvarkant asmens duomenis, kurie bus įtraukti į naują rinkmenų sistemą, kuri bus sukurta, jeigu:

a)

turi būti tvarkomi 6 straipsnyje numatyti ypatingų kategorijų duomenys; arba

b)

duomenų tvarkymo būdas, visų pirma kai naudojantis naujomis technologijomis, mechanizmais ar procedūromis, kelia kitokio pobūdžio specifinį pavojų duomenų subjekto pagrindinėms teisėms ir laisvėms, visų pirma privatumui.

24 straipsnis

Sankcijos

Valstybės narės patvirtina tinkamas priemones, skirtas užtikrinti, kad būtų įgyvendintos visos šio pamatinio sprendimo nuostatos, visų pirma nustato veiksmingas, proporcingas ir atgrasančias sankcijas, taikomas pažeidus pagal šį pamatinį sprendimą priimtas nuostatas.

25 straipsnis

Nacionalinės priežiūros institucijos

1.   Kiekviena valstybė narė numato, kad viena ar kelios valdžios institucijos būtų atsakingos už rekomendacijas, kaip savo teritorijoje taikyti valstybių narių pagal šį pamatinį sprendimą priimtas nuostatas, ir už jų taikymo stebėseną. Šios valdžios institucijos, vykdydamos joms patikėtas funkcijas, veikia visiškai nepriklausomai.

2.   Kiekvienai valdžios institucijai suteikiami visų pirma:

a)

įgaliojimai tirti, pavyzdžiui, įgaliojimai susipažinti su tvarkymo operacijų metu tvarkomais duomenimis, ir įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti;

b)

įgaliojimai veiksmingai įsikišti, pavyzdžiui, pareikšti nuomonę prieš atliekant tvarkymo operacijas ir užtikrinti, kad tokios nuomonės būtų tinkamu būdu skelbiamos viešai, taip pat įgaliojimai nurodyti blokuoti, ištrinti arba sunaikinti duomenis, laikinai arba visam laikui uždrausti tvarkyti duomenis, įspėti duomenų valdytoją ar pateikti jam pastabą arba įgaliojimai perduoti klausimą svarstyti nacionaliniams parlamentams ar kitoms politinėms institucijoms;

c)

įgaliojimas dalyvauti teismo procesuose, kai buvo pažeistos pagal šį pamatinį sprendimą priimtos nacionalinės nuostatos, arba atkreipti teisminių institucijų dėmesį į tokį pažeidimą. Priežiūros institucijos priimti sprendimai, dėl kurių pateikiami skundai, gali būti apskundžiami teismuose.

3.   Kiekviena priežiūros institucija nagrinėja asmens iškeltus ieškinius dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis. Suinteresuotam asmeniui pranešama apie ieškinio rezultatą.

4.   Valstybės narės numato, kad priežiūros institucijos nariai ir personalas taip pat privalo laikytis duomenų apsaugos nuostatų, taikomų tai kompetentingai institucijai, ir net jei jie toje institucijoje nebedirba, jie privalo vykdyti pareigą saugoti profesinę paslaptį, susijusią su konfidencialia informacija, su kuria jie gali susipažinti.

26 straipsnis

Ryšys su susitarimais su trečiosiomis valstybėmis

Šis pamatinis sprendimas neturi įtakos valstybių narių ar Sąjungos pareigoms ir įsipareigojimams pagal dvišalius ir (arba) daugiašalius susitarimus su trečiosiomis šalimis, jau sudarytais šio pamatinio sprendimo priėmimo metu.

Taikant šiuos susitarimus iš kitos valstybės narės gautų asmens duomenų perdavimas trečiajai valstybei atliekamas laikantis atitinkamai 13 straipsnio 1 dalies c punkto ar 2 dalies.

27 straipsnis

Įvertinimas

1.   Ne vėliau kaip iki 2013 m. lapkričio 27 d. valstybės narės pateikia ataskaitas Komisijai apie nacionalines priemones, kurių jos ėmėsi, siekdamos užtikrinti, jog būtų visapusiškai laikomasi šio pamatinio sprendimo, visų pirma dėl tų nuostatų, kurios duomenų rinkimo metu jau turi būti įvykdytos. Komisija išnagrinėja šių nuostatų poveikį šio pamatinio sprendimo taikymo sričiai, kaip ji apibrėžta 1 straipsnio 2 dalyje.

2.   Per vienerių metų laikotarpį Komisija Europos Parlamentui ir Tarybai pateikia ataskaitą apie 1 dalyje nurodyto įvertinimo rezultatus ir prie pranešimo prideda atitinkamus pasiūlymus dėl šio pamatinio sprendimo pakeitimų.

28 straipsnis

Ryšys su anksčiau priimtais Sąjungos teisės aktais

Jeigu teisės aktuose, priimtuose pagal Europos Sąjungos sutarties VI antraštinę dalį iki šio pamatinio sprendimo įsigaliojimo dienos ir reglamentuojančiuose keitimąsi asmens duomenimis tarp valstybių narių ar valstybių narių paskirtųjų institucijų prieigą prie pagal Europos Bendrijos steigimo sutartį sukurtų informacinių sistemų, nustatomos gaunančiajai valstybei narei taikomos konkrečios sąlygos, susijusios su tokių duomenų naudojimu, šios sąlygos yra viršesnės už šio pamatinio sprendimo nuostatas dėl iš kitos valstybės narės gautų asmens duomenų ar asmens duomenų, kuriais naudotis ji sudarė galimybę, naudojimo.

29 straipsnis

Įgyvendinimas

1.   Valstybės narės imasi reikiamų priemonių, kad pradėtų laikytis šio pamatinio sprendimo anksčiau nei 2010 m. lapkričio 27 d.

2.   Iki tos pačios dienos valstybės narės perduoda Tarybos Generaliniam sekretoriatui ir Komisijai nuostatų, kuriomis į nacionalinę teisę perkeliamos šiuo pamatiniu sprendimu joms nustatytos pareigos, tekstą ir informaciją apie 25 straipsnyje nurodytą priežiūros instituciją arba institucijas. Pagal šią informaciją parengtos Komisijos ataskaitos pagrindu Taryba anksčiau nei 2011 m. lapkričio 27 d. įvertina, kiek valstybės narės laikosi šio pamatinio sprendimo nuostatų.

30 straipsnis

Įsigaliojimas

Šis pamatinis sprendimas įsigalioja dvidešimtą dieną nuo jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Briuselyje, 2008 m. lapkričio 27 d.

Tarybos vardu

Pirmininkė

M. ALLIOT-MARIE


(1)  OL C 125 E, 2008 5 22, p. 154.

(2)  OL C 198, 2005 8 12, p. 1.

(3)  OL L 281, 1995 11 23, p. 31.

(4)  OL L 8, 2001 1 12, p. 1.

(5)  OL L 201, 2002 7 31, p. 37.

(6)  OL L 69, 2005 3 16, p. 67.

(7)  OL L 210, 2008 8 6, p. 1.

(8)  OL L 131, 2000 6 1, p. 43.

(9)  OL L 64, 2002 3 7, p. 20.

(10)  OL L 176, 1999 7 10, p. 36.

(11)  OL L 176, 1999 7 10, p. 31.

(12)  OL L 53, 2008 2 27, p. 52.

(13)  OL L 53, 2008 2 27, p. 50.

(14)  OL L 83, 2008 3 26, p. 5.

(15)  OL C 303, 2007 12 14, p. 1.


Top