Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32016L0680

    2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR

    OL L 119, 2016 5 4, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force: This act has been changed. Current consolidated version: 04/05/2016

    ELI: http://data.europa.eu/eli/dir/2016/680/oj

    4.5.2016   

    LT

    Europos Sąjungos oficialusis leidinys

    L 119/89


    EUROPOS PARLAMENTO IR TARYBOS DIREKTYVA (ES) 2016/680

    2016 m. balandžio 27 d.

    dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR

    EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

    atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį,

    atsižvelgdami į Europos Komisijos pasiūlymą,

    teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

    atsižvelgdami į Regionų komiteto nuomonę (1),

    laikydamiesi įprastos teisėkūros procedūros (2),

    kadangi:

    (1)

    fizinių asmenų apsauga tvarkant asmens duomenis yra viena iš pagrindinių teisių. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

    (2)

    fizinių asmenų apsaugos tvarkant jų asmens duomenis principais ir taisyklėmis turėtų būti gerbiamos asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą, nepriklausomai nuo jų pilietybės ar gyvenamosios vietos. Šia direktyva siekiama prisidėti užbaigiant kurti laisvės, saugumo ir teisingumo erdvę;

    (3)

    dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Žymiai išaugo asmens duomenų rinkimo ir keitimosi jais mastas. Vykdant veiklą, pavyzdžiui, nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba vykdant bausmes, technologijos leidžia precedento neturinčiu mastu tvarkyti asmens duomenis;

    (4)

    turėtų būti palengvintas laisvas asmens duomenų judėjimas tarp kompetentingų institucijų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais Sąjungoje ir tokių asmens duomenų perdavimas trečiosioms valstybėms bei tarptautinėms organizacijoms, kartu užtikrinant aukšto lygio asmens duomenų apsaugą. Dėl tų pokyčių Sąjungoje reikia sukurti tvirtą ir nuoseklesnę asmens duomenų apsaugos sistemą, paremtą veiksmingu įgyvendinimu;

    (5)

    Europos Parlamento ir Tarybos direktyva 95/46/EB (3) taikoma visai asmens duomenų tvarkymo veiklai valstybėse narėse tiek viešajame, tiek privačiajame sektoriuose. Tačiau ji netaikoma tvarkant asmens duomenis, kai yra užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, pavyzdžiui, veikla teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

    (6)

    Tarybos pamatinis sprendimas 2008/977/TVR (4) taikomas teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse. Tas pamatinis sprendimas taikomas tik tarp valstybių narių persiunčiamų asmens duomenų ar asmens duomenų, kuriais naudotis sudaryta galimybė tarp valstybių narių, tvarkymui;

    (7)

    siekiant užtikrinti veiksmingą teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą, labai svarbu užtikrinti nuoseklią fizinių asmenų asmens duomenų aukšto lygio apsaugą ir palengvinti valstybių narių kompetentingų institucijų keitimąsi asmens duomenimis. Tuo tikslu visose valstybėse narėse turėtų būti užtikrinta lygiavertė fizinių asmenų teisių ir laisvių apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais. Siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia stiprinti duomenų subjektų teises ir asmens duomenis tvarkančiųjų pareigas, taip pat atitinkamus stebėsenos, kaip laikomasi asmens duomenų apsaugos taisyklių, bei tokių taisyklių laikymosi užtikrinimo įgaliojimus valstybėse narėse;

    (8)

    SESV 16 straipsnio 2 dalimi Europos Parlamentas ir Taryba įpareigoti nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo asmens duomenų judėjimo taisykles;

    (9)

    tuo remiantis, Europos Parlamento ir Tarybos reglamente (ES) 2016/679 (5) nustatytos bendrosios taisyklės, kuriomis siekiama užtikrinti fizinių asmenų apsaugą tvarkant asmens duomenis ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje;

    (10)

    deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo;

    (11)

    todėl tikslinga tų sričių klausimus reglamentuoti direktyvoje, kurioje nustatytos specialios fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais taisyklės, atsižvelgiant į specifinį tokios veiklos pobūdį. Tokios kompetentingos institucijos gali būti ne tik valdžios institucijos, pavyzdžiui, teisminės institucijos, policija ar kitos teisėsaugos institucijos, bet ir bet kuri kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais šios direktyvos tikslais. Jei tokia įstaiga arba subjektas tvarko asmens duomenis kitais nei šios direktyvos tikslais, taikomas Reglamentas (ES) 2016/679. Todėl Reglamentas (ES) 2016/679 taikomas tais atvejais, kai įstaiga arba subjektas renka asmens duomenis kitais tikslais ir toliau tvarko tuos asmens duomenis siekdami laikytis teisinės prievolės, kuri jiems taikoma. Pavyzdžiui, nusikalstamų veikų tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais finansų įstaigos saugo tam tikrus savo tvarkomus asmens duomenis ir pateikia tuos asmens duomenis tik kompetentingoms nacionalinėms institucijoms konkrečiais atvejais ir laikydamosi valstybės narės teisės. Įstaiga arba subjektas, tvarkantys asmens duomenis tokių institucijų vardu šios direktyvos taikymo srityje, turėtų būti saistomi sutarties ar kito teisės akto ir nuostatų, taikytinų duomenų tvarkytojams pagal šią direktyvą, o Reglamento (ES) 2016/679 taikymas išlieka nepakitęs duomenų tvarkytojo vykdomos asmens duomenų tvarkymo veiklos, kuriai ši direktyva netaikoma, atžvilgiu;

    (12)

    policijos ar kitų teisėsaugos institucijų vykdoma veikla daugiausia yra sutelkta į nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas, įskaitant policijos veiklą iš anksto nežinant, ar tam tikras incidentas yra nusikalstama veika, ar ne. Tokia veikla taip pat gali apimti valdžios funkcijų vykdymą imantis prievartos priemonių, pavyzdžiui, policijos veiklą demonstracijose, svarbiuose sporto renginiuose ir riaušėse. Tai taip pat apima viešosios tvarkos palaikymą kaip policijai ar kitoms teisėsaugos institucijoms priskirtą užduotį prireikus užtikrinti apsaugą nuo grėsmių visuomenės saugumui ir teisės aktais saugomiems pagrindiniams visuomenės interesams, dėl kurių gali atsirasti sąlygos nusikalstamai veikai įvykdyti, ir užkirsti joms kelią. Valstybės narės gali kompetentingoms institucijoms pavesti kitas užduotis, kurios nebūtinai atliekamos nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, kad tais kitais tikslais atliekamas asmens duomenų tvarkymas tiek, kiek jam taikoma Sąjungos teisė, patektų į Reglamento (ES) 2016/679 taikymo sritį;

    (13)

    nusikalstama veika, kaip apibrėžta šioje direktyvoje, turėtų būti savarankiška Sąjungos teisės sąvoka, kaip ją aiškina Europos Sąjungos Teisingumo Teismas (toliau – Teisingumo Teismas);

    (14)

    kadangi ši direktyva neturėtų būti taikoma asmens duomenų tvarkymui vykdant Sąjungos teisės nereglamentuojamą veiklą, su nacionaliniu saugumu susijusi veikla, nacionalinio saugumo klausimus sprendžiančių agentūrų ar padalinių veikla ir asmens duomenų tvarkymas, kai asmens duomenis valstybės narės tvarko vykdydamos veiklą, kuriai taikomas Europos Sąjungos sutarties (toliau – ES sutartis) V antraštinės dalies 2 skyrius, neturėtų būti laikoma veikla, patenkančia į šios direktyvos taikymo sritį;

    (15)

    siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį visoje Sąjungoje nustačius teisiškai įgyvendinamas teises ir užkirsti kelią skirtumams, kurie trukdo kompetentingoms institucijoms keistis asmens duomenimis, šia direktyva turėtų būti nustatytos suderintos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, apsaugos ir laisvo judėjimo taisyklės. Dėl valstybių narių įstatymų suderinimo neturėtų susilpnėti asmens duomenų apsauga, kurią jie užtikrina, priešingai, suderinimu turėtų būti siekiama užtikrinti aukštą asmens duomenų apsaugos lygį Sąjungoje. Valstybėms narėms neturėtų būti trukdoma taikyti griežtesnes apsaugos priemones nei tos, kurios nustatytos šioje direktyvoje, siekiant užtikrinti duomenų subjekto teisių ir laisvių apsaugą kompetentingoms institucijoms tvarkant asmens duomenis;

    (16)

    šia direktyva nedaromas poveikis galimybės visuomenei susipažinti su oficialiais dokumentais principui. Reglamente (ES) 2016/679 numatyta, kad valdžios institucijos arba viešosios ar privačiosios įstaigos turimuose oficialiuose dokumentuose esantys asmens duomenys, reikalingi dėl viešojo intereso vykdomai užduočiai atlikti, tos institucijos arba įstaigos gali būti atskleidžiami laikantis Sąjungos ar valstybės narės teisės, kuri taikoma tai valdžios institucijai arba įstaigai, taip siekiant visuomenės teisę susipažinti su oficialiais dokumentais suderinti su teise į asmens duomenų apsaugą;

    (17)

    šia direktyva teikiama apsauga turėtų būti taikoma fiziniams asmenims nepriklausomai nuo jų pilietybės ar gyvenamosios vietos, tvarkant jų asmens duomenis;

    (18)

    siekiant išvengti rimtos teisės aktų vengimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų technikų. Fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Ši direktyva neturėtų būti taikoma pagal specialius kriterijus nesusistemintoms rinkmenoms ar jų grupėms, taip pat jų tituliniams lapams;

    (19)

    Sąjungos institucijų, įstaigų, organų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 (6). Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, turėtų būti pritaikyti pagal Reglamente (ES) 2016/679 nustatytus principus ir taisykles;

    (20)

    šia direktyva valstybėms narėms netrukdoma nacionalinėse baudžiamųjų procedūrų taisyklėse nurodyti tvarkymo operacijų ir tvarkymo procedūrų, susijusių su teismų ir kitų teisminių institucijų atliekamu asmens duomenų, visų pirma teismo sprendime arba su baudžiamuoju procesu susijusiuose įrašuose esančių asmens duomenų, tvarkymu;

    (21)

    duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias fizinio asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, gali naudoti duomenų valdytojas ar kitas asmuo, pavyzdžiui, atrankos metodą. Siekiant išsiaiškinti, ar tam tikros priemonės, pagrįstai tikėtina, gali būti naudojamos fizinio asmens tapatybei nustatyti, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, asmens tapatybei nustatyti reikalingas sąnaudas ir laiko trukmę, atsižvelgiant į duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi nuasmenintai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurie nuasmeninti taip, kad duomenų subjekto tapatybė nebegali būti nustatyta;

    (22)

    valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės jų oficialios misijos vykdymo tikslais, pavyzdžiui, mokesčių ir muitinės institucijos, finansinių tyrimų padaliniai, nepriklausomos administracinės institucijos arba už vertybinių popierių rinkų reguliavimą ir priežiūrą atsakingos finansų rinkų institucijos, neturėtų būti laikomos duomenų gavėjais, jei gauna asmens duomenis, kurie yra reikalingi konkrečiam visuotinės svarbos tyrimui atlikti pagal Sąjungos ar valstybės narės teisę. Valdžios institucijų siunčiami prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir teikiami nesistemingai ir neturėtų būti teikiami dėl viso susisteminto rinkinio, o dėl jų neturėtų būti sujungiami susisteminti rinkiniai. Tų valdžios institucijų atliekamas asmens duomenų tvarkymas turėtų atitikti taikytinas duomenų apsaugos taisykles, atsižvelgiant į duomenų tvarkymo tikslus;

    (23)

    genetiniai duomenys turėtų būti apibrėžiami kaip asmens duomenys, susiję su asmens paveldėtomis ar įgytomis genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurios gautos visų pirma atlikus atitinkamų fizinių asmenų biologinio mėginio analizę, visų pirma chromosomų, deoksiribonukleorūgšties (DNR) arba ribonukleorūgšties (RNR) analizę, arba kitų elementų, suteikiančių galimybę gauti lygiavertę informaciją, analizę. Atsižvelgiant į genetinės informacijos sudėtingumą ir konfidencialų pobūdį, egzistuoja didelė rizika, kad duomenų valdytojas tuos duomenis panaudos netinkamai ir panaudos pakartotinai įvairiais kitais tikslais. Bet kokia diskriminacija dėl genetinių savybių turėtų būti iš esmės draudžiama;

    (24)

    prie asmens sveikatos duomenų turėtų būti priskirti visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinės ar psichikos sveikatos būklę. Tai apima informaciją apie fizinį asmenį, surinktą jį registruojant sveikatos priežiūros paslaugoms gauti arba teikiant sveikatos priežiūros paslaugas, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje 2011/24/ES (7), tam fiziniam asmeniui: fiziniam asmeniui priskirtą asmens numerį, simbolį ar žymę, kad būtų galima unikaliai nustatyti to asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar kūno medžiagos, įskaitant genetinius duomenis ir biologinius ėminius, tyrimus ar analizę; taip pat bet kokią kitą informaciją, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, kuris, pavyzdžiui, gali būti gydytojas, kitas sveikatos priežiūros specialistas, ligoninė, medicinos priemonė ar in vitro diagnostinis tyrimas;

    (25)

    visos valstybės narės yra Tarptautinės kriminalinės policijos organizacijos (Interpolo) narės. Tam, kad Interpolas galėtų atlikti savo misiją, jis gauna, saugo ir platina asmens duomenis, taip padėdamas kompetentingoms institucijoms užkirsti kelią tarptautiniam nusikalstamumui ir su juo kovoti. Todėl tikslinga stiprinti Sąjungos ir Interpolo bendradarbiavimą skatinant veiksmingai keistis asmens duomenimis, kartu užtikrinant, kad automatizuoto asmens duomenų tvarkymo atveju būtų paisoma pagrindinių teisių ir laisvių. Jei asmens duomenys perduodami iš Sąjungos Interpolui ir šalims, kurios yra paskyrusios Interpolo narius, turėtų būti taikoma ši direktyva, visų pirma nuostatos dėl tarptautinio duomenų perdavimo. Šia direktyva neturėtų būti daromas poveikis specialioms taisyklėms, nustatytoms Tarybos bendrojoje pozicijoje 2005/69/TVR (8) ir Tarybos sprendime 2007/533/TVR (9);

    (26)

    bet koks asmens duomenų tvarkymas privalo būti teisėtas, sąžiningas ir skaidrus atitinkamų fizinių asmenų atžvilgiu, ir asmens duomenys gali būti tvarkomi tik teisės aktais nustatytais konkrečiais tikslais. Tai savaime neužkerta kelio teisėsaugos institucijoms vykdyti veiklos, pavyzdžiui, slaptųjų tyrimų ar stebėjimo vaizdo kameromis. Tokia veikla gali būti vykdoma nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, jei tik tokia veikla, tinkamai paisant teisėtų atitinkamo fizinio asmens interesų, yra nustatyta įstatymu ir yra laikoma būtina ir proporcinga demokratinės visuomenės priemone. Vienas iš duomenų apsaugos principų – sąžiningo duomenų tvarkymo principas – yra sąvoka, kuri skiriasi nuo teisės į teisingą bylos nagrinėjimą, kaip apibrėžta Chartijos 47 straipsnyje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos (EŽTK) 6 straipsnyje. Fiziniai asmenys turėtų būti informuoti apie su jų asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis duomenų tvarkymo atžvilgiu. Visų pirma, konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. Asmens duomenys turėtų būti adekvatūs ir susiję su tikslais, kuriais jie tvarkomi. Reikėtų visų pirma užtikrinti, kad būtų surinkta ne per daug asmens duomenų ir kad asmens duomenys būtų saugomi ne ilgiau nei būtina tuo tikslu, kuriuo jie tvarkomi. Asmens duomenys turėtų būti tvarkomi tik tuo atveju, jei duomenų tvarkymo tikslo pagrįstai nebuvo galima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys būtų saugomi ne ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Valstybės narės turėtų nustatyti tinkamas apsaugos priemones asmens duomenims, saugomiems ilgesniais laikotarpiais archyvavimo dėl viešojo intereso, panaudojimo moksliniais, statistiniais ar istorinių tyrimų tikslais;

    (27)

    nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo už jas tikslais kompetentingoms institucijoms būtina tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, tyrimą, jas nustatant ar traukiant baudžiamojon atsakomybėn už jas, neapsiribojant šiais tikslais, kad būtų galima geriau suprasti nusikalstamą veiklą ir nustatyti sąsajas tarp skirtingų nustatytų nusikalstamų veikų;

    (28)

    siekiant išlaikyti duomenų tvarkymo saugumą ir užkirsti kelią duomenų tvarkymui pažeidžiant šią direktyvą, asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas saugumo ir konfidencialumo lygis, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui naudojamos įrangos ar naudojimuisi jais, ir būtų atsižvelgta į turimų techninių galimybių išsivystymo lygį bei turimas technologijas, įgyvendinimo sąnaudas pavojų ir saugotinų asmens duomenų pobūdžio atžvilgiu;

    (29)

    asmens duomenys turėtų būti renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais šios direktyvos taikymo srityje ir neturėtų būti tvarkomi tikslais, kurie yra nesuderinami su nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais. Jeigu tas pats ar kitas duomenų valdytojas tvarko asmens duomenis tikslu, kuris patenka į šios direktyvos taikymo sritį, tačiau nėra tikslas, kuriuo jie buvo surinkti, toks duomenų tvarkymas turėtų būti leidžiamas su sąlyga, kad jis yra leidžiamas pagal taikytinas teisės nuostatas ir yra būtinas bei proporcingai atitinka tą kitą tikslą;

    (30)

    duomenų tikslumo principas turėtų būti taikomas atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį ir tikslą. Visų pirma vykstant teismo procesui daromi pareiškimai, kuriuose yra asmens duomenų, yra pagrįsti subjektyviu fizinių asmenų suvokimu ir jų neįmanoma visada patikrinti. Todėl tikslumo reikalavimas neturėtų būti siejamas su pareiškimo tikslumu, o tik su faktu, kad padarytas konkretus pareiškimas;

    (31)

    tvarkant asmens duomenis teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, paprastai tvarkomi su skirtingų kategorijų duomenų subjektais susiję asmens duomenys. Todėl, kai taikytina ir kiek įmanoma, reikėtų aiškiai atskirti skirtingų kategorijų duomenų subjektų, pavyzdžiui, įtariamųjų, asmenų, nuteistų už nusikalstamą veiką, aukų ir kitų asmenų, pavyzdžiui, liudytojų, atitinkamą informaciją tvarkančių asmenų arba įtariamųjų ir nuteistųjų bendrininkų bei su jais susijusių asmenų, asmens duomenis. Tai neturėtų kliudyti taikyti nekaltumo prezumpcijos teisę, kuri garantuojama Chartija ir EŽTK, kaip išaiškinta atitinkamai pagal Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką;

    (32)

    kompetentingos institucijos turėtų užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Siekiant užtikrinti fizinių asmenų apsaugą, persiunčiamų asmens duomenų bei asmens duomenų, kuriais suteikiama galimybė naudotis, tikslumą, išsamumą ar naujumą ir patikimumą, kompetentingos institucijos turėtų, kiek įmanoma, visus persiunčiamus asmens duomenis papildyti būtina informacija;

    (33)

    kai šioje direktyvoje daroma nuoroda į valstybės narės teisę, teisinį pagrindą arba teisėkūros priemonę, tai nebūtinai reiškia, kad parlamentas turi priimti teisės aktą, nedarant poveikio reikalavimams, taikomiems pagal atitinkamos valstybės narės konstitucinę tvarką. Tačiau tokia valstybės narės teisė, teisinis pagrindas ar teisėkūros priemonė turėtų būti aiškūs ir tikslūs, o jų taikymas numatomas tiems subjektams, kuriems jie turi būti taikomi, kaip reikalaujama pagal Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką. Valstybės narės teisėje, kuria reglamentuojamas asmens duomenų tvarkymas šios direktyvos taikymo srityje, turėtų būti konkrečiai nurodyti bent siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir procedūros asmens duomenų vientisumui bei konfidencialumui užtikrinti, taip pat jų sunaikinimo procedūros, tokiu būdu suteikiant pakankamų garantijų, kad nekiltų piktnaudžiavimo ir savivalės pavojus;

    (34)

    kompetentingų institucijų atliekamas asmens duomenų tvarkymas nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais turėtų apimti bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniais atliekamą operaciją ar operacijų seką minėtais tikslais, pavyzdžiui, rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, adaptavimą ar keitimą, išgavą, paiešką, naudojimą, sugretinimą ar sujungimą su kitais duomenimis, tvarkymo apribojimą, ištrynimą ar sunaikinimą. Visų pirma šios direktyvos taisyklės turėtų būti taikomos, kai asmens duomenys šios direktyvos tikslais persiunčiami duomenų gavėjui, kuriam ši direktyva nėra taikoma. Toks duomenų gavėjas turėtų būti fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuri kita įstaiga, kuriems kompetentinga institucija teisėtai atskleidžia asmens duomenis. Jeigu asmens duomenis vienu iš šios direktyvos tikslų iš pradžių buvo surinkusi kompetentinga institucija, Reglamentas (ES) 2016/679 turėtų būti taikomas tų duomenų tvarkymui kitais tikslais nei šios direktyvos tikslai, jeigu taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Visų pirma Reglamento (ES) 2016/679 taisyklės turėtų būti taikomos, kai asmens duomenys persiunčiami į šios direktyvos taikymo sritį nepatenkančiais tikslais. Tais atvejais, kai asmens duomenis tvarko duomenų gavėjas, kuris nėra kompetentinga institucija arba kuris neveikia kaip tokia, kaip apibrėžta šioje direktyvoje, ir kuriam kompetentinga institucija teisėtai atskleidžia asmens duomenis, turėtų būti taikomas Reglamentas (ES) 2016/679. Įgyvendindamos šią direktyvą, valstybės narės taip pat turėtų turėti galimybę išsamiau nurodyti, kaip turi būti taikomos Reglamento (ES) 2016/679 taisyklės, laikantis jame nustatytų sąlygų;

    (35)

    tam, kad asmens duomenų tvarkymas pagal šią direktyvą būtų teisėtas, jis turėtų būti būtinas kompetentingai institucijai įgyvendinant viešąjį interesą, grindžiamą Sąjungos arba valstybės narės teise nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais. Ta veikla turėtų apimti gyvybinių duomenų subjekto interesų apsaugą. Nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas užduočių vykdymas, instituciniu požiūriu teisės aktais priskirtas kompetentingoms institucijoms, suteikia joms galimybę prašyti ar reikalauti, kad fiziniai asmenys vykdytų pateiktus prašymus. Tokiu atveju duomenų subjekto sutikimas, kaip apibrėžta Reglamente (ES) 2016/679, neturėtų suteikti teisinio pagrindo kompetentingų institucijų vykdomam asmens duomenų tvarkymui. Tuo atveju, kai iš duomenų subjekto reikalaujama įvykdyti teisinę prievolę, duomenų subjektas faktiškai neturi laisvo pasirinkimo, taigi duomenų subjekto reakcija negalėtų būti laikoma laisvai išreikštais jo pageidavimais. Tuo valstybėms narėms neturėtų būti trukdoma teisės aktais nustatyti, kad duomenų subjektas gali sutikti su jo asmens duomenų tvarkymu šios direktyvos tikslais, pavyzdžiui, DNR tyrimų vykdant nusikalstamų veikų tyrimus tikslu arba duomenų subjekto buvimo vietos stebėsenos naudojant elektroninius žymenis, siekiant vykdyti baudžiamąsias sankcijas, tikslu;

    (36)

    valstybės narės turėtų nustatyti, kad tais atvejais, kai Sąjungos arba valstybės narės teisėje, taikytinoje duomenis persiunčiančiai kompetentingai institucijai, numatytos konkrečiomis aplinkybėmis asmens duomenų tvarkymui taikytinos konkrečios sąlygos, pavyzdžiui, duomenų tvarkymo kodeksų naudojimas, persiunčianti kompetentinga institucija turėtų informuoti tokių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis. Tokiomis sąlygomis galėtų būti, pavyzdžiui, draudimas persiųsti asmens duomenis kitiems subjektams arba juos naudoti kitais tikslais nei tie, kuriais jie buvo persiųsti gavėjui, arba reikalavimas pranešti duomenų subjektui teisės gauti informaciją apribojimo be išankstinio persiunčiančios kompetentingos institucijos sutikimo atveju. Tie įpareigojimai taip pat turėtų būti taikomi persiunčiančiai kompetentingai institucijai duomenis perduodant gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms. Valstybės narės turėtų užtikrinti, kad persiunčianti kompetentinga institucija gavėjams kitose valstybėse narėse arba agentūroms, organams ir įstaigoms, įsteigtiems pagal SESV V antraštinės dalies 4 ir 5 skyrius, netaikytų kitokių sąlygų nei tos, kurios taikytinos panašiems duomenų persiuntimams tos kompetentingos institucijos valstybėje narėje;

    (37)

    asmens duomenys, kurie yra itin opaus pobūdžio pagrindinių teisių ir laisvių atžvilgiu, turėtų būti ypač saugomi, kadangi dėl jų tvarkymo konteksto galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tiems asmens duomenims turėtų priklausyti ir asmens duomenys, kuriais atskleidžiama rasinė ar etninė kilmė; termino „rasinė kilmė“ vartojimas šioje direktyvoje nereiškia, kad Sąjunga pritaria teorijoms, kuriomis bandoma apibrėžti atskirų žmonių rasių egzistavimą. Tokie asmens duomenys neturėtų būti tvarkomi, nebent jų tvarkymui taikomos tinkamos teisės aktais nustatytos duomenų subjekto teisių ir laisvių apsaugos priemonės ir juos tvarkyti leidžiama teisės aktais leidžiamais atvejais; jeigu juos tvarkyti dar nėra leidžiama tokiu teisės aktu, jų tvarkymas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus; arba tvarkomi duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai. Tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės galėtų būti galimybė rinkti tuos duomenis tik tiek, jei jie susiję su kitais duomenimis apie atitinkamą fizinį asmenį, galimybė tinkamai apsaugoti surinktus duomenis, griežtesnės taisyklės, reglamentuojančios kompetentingos institucijos darbuotojų teisę susipažinti su tais duomenimis, ir draudimas tuos duomenis persiųsti. Tais atvejais, kai duomenų tvarkymas yra ypač invazinio pobūdžio jo atžvilgiu, teisės aktais taip pat turėtų būti leidžiama tvarkyti tokius duomenis, kai duomenų subjektas yra aiškiai su tuo sutikęs. Tačiau duomenų subjekto sutikimas pats savaime neturėtų suteikti teisinio pagrindo kompetentingoms institucijoms tvarkyti tokius neskelbtinus asmens duomenis;

    (38)

    duomenų subjektas turėtų turėti teisę reikalauti, kad jam nebūtų taikomas sprendimas dėl su juo susijusių asmeninių aspektų vertinimo, jeigu toks sprendimas grindžiamas tik automatizuotu duomenų tvarkymu, jo atžvilgiu turi neigiamų teisinių pasekmių arba jam daro didelį poveikį. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, visų pirma pareikšti savo požiūrį, gauti sprendimo, priimto atlikus tokį vertinimą, paaiškinimą, arba ginčyti tą sprendimą. Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis asmens duomenimis, kurie yra itin opaus pobūdžio pagrindinių teisių ir laisvių atžvilgiu, turėtų būti draudžiamas, laikantis Chartijos 21 ir 52 straipsniuose nustatytų sąlygų;

    (39)

    kad duomenų subjektas galėtų naudotis savo teisėmis, bet kokia informacija duomenų subjektui turėtų būti lengvai prieinama, be kita ko, pateikta duomenų valdytojo interneto svetainėje, ir turėtų būti lengvai suprantama, naudojant aiškią ir paprastą kalbą. Tokia informacija turėtų būti pritaikyta pažeidžiamų asmenų, pavyzdžiui, vaikų, poreikiams;

    (40)

    siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis remiantis pagal šią direktyvą priimtomis nuostatomis, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant prašymo suteikti teisę nemokamai visų pirma susipažinti su asmens duomenimis, ir juos ištaisyti ar ištrinti ir apriboti jų tvarkymą ir, jei taikoma, naudojimosi ta teise tvarką. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsiant, išskyrus atvejus, kai duomenų valdytojas taiko apribojimus duomenų subjekto teisėms pagal šią direktyvą. Be to, jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, pavyzdžiui, kai duomenų subjektas nepagrįstai ir pakartotinai prašo pateikti informaciją arba kai duomenų subjektas piktnaudžiauja savo teise gauti informaciją, pavyzdžiui, pateikdamas prašymą nurodo neteisingą ar klaidinančią informaciją, duomenų valdytojas turėtų galėti imti pagrįstą mokestį arba atsisakyti imtis veiksmų pagal prašymą;

    (41)

    kai duomenų valdytojas prašo pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę, ta informacija turėtų būti tvarkoma tik tuo konkrečiu tikslu ir neturėtų būti saugoma ilgiau nei būtina tuo tikslu;

    (42)

    duomenų subjektui turėtų būti padaryta prieinama bent ši informacija: duomenų valdytojo tapatybė, tai, kad vykdoma duomenų tvarkymo operacija, duomenų tvarkymo tikslai, teisė pateikti skundą ir tai, kad jis turi teisę reikalauti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, juos ištaisytų ar ištrintų arba apribotų jų tvarkymą. Tokia informacija galėtų būti pateikta kompetentingos institucijos interneto svetainėje. Be to, konkrečiais atvejais ir siekiant suteikti galimybę duomenų subjektui pasinaudoti savo teisėmis, jis turėtų būti informuojamas apie duomenų tvarkymo teisinį pagrindą ir apie tai, kaip ilgai duomenys bus saugomi, tiek, kiek tokia išsamesnė informacija yra būtina, atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes, kad būtų garantuotas sąžiningas duomenų tvarkymas duomenų subjekto atžvilgiu;

    (43)

    fizinis asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir gauti informaciją apie duomenų tvarkymo tikslus, duomenų tvarkymo laikotarpį ir duomenų gavėjus, įskaitant ir gavėjus trečiosiose valstybėse. Jei tokia informacija apima informaciją apie asmens duomenų kilmę, joje neturėtų būti atskleista asmenų, visų pirma konfidencialių šaltinių, tapatybė. Kad ta teisė būtų užtikrinta, pakanka duomenų subjektui pateikti išsamią tų duomenų santrauką suprantama forma, t. y. tokia forma, kuria tam duomenų subjektui būtų suteikta galimybė sužinoti apie tuos duomenis ir patikrinti, ar jie yra tikslūs ir tvarkomi laikantis šios direktyvos, tokiu būdu užtikrinant, kad jis galėtų pasinaudoti jam pagal šią direktyvą suteiktomis teisėmis. Tokia pateikiama santrauka galėtų būti tvarkomų asmens duomenų kopija;

    (44)

    valstybės narės turėtų turėti galimybę priimti teisėkūros priemones, kuriomis vadovaujantis informacijos teikimas duomenų subjektams galėtų būti atidėtas, apribotas arba kuriomis vadovaujantis tokios informacijos būtų galima neteikti, arba teisėkūros priemones, kuriomis duomenų subjektų teisė susipažinti su savo asmens duomenimis būtų visiškai arba iš dalies apribota, tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras, nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui, užtikrinti visuomenės saugumą arba nacionalinį saugumą arba apsaugoti kitų asmenų teises ir laisves. Duomenų valdytojas turėtų įvertinti, konkrečiai ir atskirai išnagrinėdamas kiekvieną atvejį, ar teisė susipažinti su duomenimis turėtų būti iš dalies arba visiškai apribota;

    (45)

    apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą duomenų subjektui iš principo turėtų būti pranešta raštu, kartu nurodant faktines arba teisines priežastis, kuriomis pagrįstas sprendimas;

    (46)

    bet kokie duomenų subjekto teisių apribojimai turi atitikti Chartiją ir EŽTK, kaip išaiškinta atitinkamai pagal Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką, ir visų pirma tokiais apribojimais negalima pažeisti tų teisių ir laisvių esmės;

    (47)

    fizinis asmuo turėtų turėti teisę reikalauti, kad su juo susiję netikslūs asmens duomenys būtų ištaisyti, visų pirma kalbant apie su faktais susijusius duomenis, ir teisę reikalauti juos ištrinti, jeigu tokių duomenų tvarkymas pažeidžia šią direktyvą. Tačiau teisė reikalauti ištaisyti duomenis neturėtų daryti poveikio, pavyzdžiui, liudytojų parodymų turiniui. Fizinis asmuo taip pat turėtų turėti teisę į tai, kad duomenų tvarkymas būtų apribotas, kai jis ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba kai asmens duomenys turi būti išsaugoti, nes jie bus naudojami kaip įrodymas. Visų pirma vietoj asmens duomenų ištrynimo turėtų būti apribojamas tvarkymas, jeigu konkrečiu atveju yra pagrįstų priežasčių manyti, kad jų ištrynimas galėtų padaryti poveikį teisėtiems duomenų subjekto interesams. Tokiu atveju duomenys, kurių tvarkymas yra apribotas, turėtų būti tvarkomi tik tuo tikslu, dėl kurio jie nebuvo ištrinti. Būdai, kuriais būtų ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: perkelti atrinktus duomenis į kitą duomenų tvarkymo sistemą, pavyzdžiui, archyvavimo tikslais, arba padaryti atrinktus duomenis neprieinamus naudotojams. Automatizuotuose susistemintuose rinkiniuose tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis. Tai, kad asmens duomenų tvarkymas yra apribotas, turėtų būti rinkinyje nurodyta taip, kad būtų aišku, kad asmens duomenų tvarkymas yra apribotas. Apie tokį asmens duomenų ištaisymą ar ištrynimą arba jų tvarkymo apribojimą turėtų būti informuojami gavėjai, kuriems tie duomenys buvo atskleisti, ir kompetentingos institucijos, iš kurių netikslūs duomenys buvo gauti. Duomenų valdytojai taip pat turėtų toliau tokių duomenų neplatinti;

    (48)

    jei duomenų valdytojas nesuteikia duomenų subjektui teisės gauti informaciją, susipažinti su duomenimis arba teisės reikalauti duomenis ištaisyti ar ištrinti arba apriboti jų tvarkymą, duomenų subjektas turėtų turėti teisę prašyti, kad nacionalinė priežiūros institucija patikrintų duomenų tvarkymo teisėtumą. Duomenų subjektas turėtų būti informuotas apie tokią teisę. Jei priežiūros institucija imasi veiksmų duomenų subjekto vardu, priežiūros institucija turėtų bent pranešti duomenų subjektui apie tai, kad priežiūros institucija yra atlikusi visus būtinus patikrinimus ar peržiūrą. Priežiūros institucija taip pat turėtų informuoti duomenų subjektą apie jo teisę siekti teisminės teisių gynimo priemonės;

    (49)

    jeigu asmens duomenys tvarkomi vykdant nusikalstamų veikų tyrimą ir teismo procesuose baudžiamosiose bylose, valstybės narės turėtų turėti galimybę numatyti, kad naudojimasis teise gauti informaciją, teise susipažinti su duomenimis bei teise reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą vykdomas pagal teismo procesą reglamentuojančias nacionalines taisykles;

    (50)

    turėtų būti nustatyta duomenų valdytojo atsakomybė ir teisinė atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir turėtų turėti galimybę įrodyti, kad duomenų tvarkymo veikla atitinka šią direktyvą. Tokiomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms. Priemonės, kurių imasi duomenų valdytojas, turėtų apimti konkrečių apsaugos priemonių pažeidžiamų fizinių asmenų, pavyzdžiui, vaikų, asmens duomenų tvarkymo atžvilgiu parengimą ir įgyvendinimą;

    (51)

    dėl duomenų tvarkymo gali kilti įvairios rizikos ir dydžio pavojus fizinių asmenų teisėms ir laisvėms, o dėl to galėtų būti padaryta fizinė, materialinė ar nematerialinė žala, visų pirma, kai dėl duomenų tvarkymo gali atsirasti diskriminacija, būti pavogta ar suklastota tapatybė, padaryta finansinių nuostolių, pakenkta reputacijai, prarastas duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala, arba kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar kontroliuoti savo asmens duomenis, kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms; kai tvarkomi genetiniai ar biometriniai duomenys siekiant vienareikšmiškai nustatyti asmens tapatybę, arba duomenys apie sveikatą ar duomenys apie lytinį gyvenimą ir seksualinę orientaciją, arba apkaltinamuosius nuosprendžius ir teisės pažeidimus, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma, nagrinėjami ir numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

    (52)

    pavojaus rizika ir dydis turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kuriuo būtų nustatyta, ar duomenų tvarkymo operacijos yra susijusios su dideliu pavojumi. Didelis pavojus yra konkretus pavojus, kad bus padarytas poveikis duomenų subjektų teisėms ir laisvėms;

    (53)

    kad būtų užtikrinta fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis, reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi šios direktyvos reikalavimų. Tokių priemonių įgyvendinimas neturėtų priklausyti vien tik nuo ekonominių aplinkybių. Kad duomenų valdytojas galėtų įrodyti, jog laikosi šios direktyvos, jis turėtų priimti nuostatas dėl vidaus politikos ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principų. Tais atvejais, kai duomenų valdytojas yra atlikęs poveikio duomenų apsaugai vertinimą pagal šią direktyvą, rengiant šias priemones ir procedūras turėtų būti atsižvelgiama į to vertinimo rezultatus. Tokios priemonės galėtų apimti, inter alia, pseudonimų suteikimo naudojimą, tai padarant kuo greičiau. Pseudonimų suteikimo naudojimas šios direktyvos tikslais gali būti priemonė, kuri galėtų visų pirma sudaryti palankesnes sąlygas laisvam asmens duomenų srautui laisvės, saugumo ir teisingumo erdvėje;

    (54)

    siekiant užtikrinti duomenų subjektų teisių bei laisvių apsaugą ir nustatyti duomenų valdytojų bei duomenų tvarkytojų atsakomybę bei teisinę atsakomybę, be kita ko, priežiūros institucijų vykdomos stebėsenos ir taikomų priemonių atžvilgiu, reikia aiškiai paskirstyti šioje direktyvoje nustatytus įpareigojimus, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir būdus arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

    (55)

    duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas teisės aktu, taip pat sutartimi, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui ir kuriuose visų pirma nurodoma, kad duomenų tvarkytojas turėtų veikti tik pagal duomenų valdytojo nurodymus. Duomenų tvarkytojas turėtų atsižvelgti į pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principus;

    (56)

    siekiant įrodyti, kad laikomasi šios direktyvos nuostatų, duomenų valdytojas ar tvarkytojas turėtų saugoti įrašus apie visų kategorijų duomenų tvarkymo veiklą, už kurią jis yra atsakingas. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu jai pateikti tuos įrašus, kad juos būtų galima panaudoti atliekant tų duomenų tvarkymo operacijų stebėseną. Asmens duomenis neautomatizuotose duomenų tvarkymo sistemose tvarkantis duomenų valdytojas arba duomenų tvarkytojas turėtų būti įdiegęs veiksmingus metodus, tokius kaip registracijos įrašai ar kitų formų įrašai, kuriais būtų įrodomas duomenų tvarkymo teisėtumas, suteikiama galimybė vykdyti savikontrolę ir užtikrinamas duomenų vientisumas bei duomenų saugumas;

    (57)

    turėtų būti saugomi registracijos įrašai bent apie operacijas automatizuotose duomenų tvarkymo sistemose, pavyzdžiui, rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimą, sujungimą arba ištrynimą. Turėtų būti registruojamas asmens, kuris susipažino su asmens duomenimis arba juos atskleidė, tapatybės nustatymas, o iš to tapatybės nustatymo turėtų būti galima nustatyti duomenų tvarkymo operacijų priežastis. Registracijos įrašai turėtų būti naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti duomenų vientisumą bei duomenų saugumą ir baudžiamojo proceso tikslais. Savikontrolė turėtų taip pat apimti kompetentingų institucijų vidaus drausmines procedūras;

    (58)

    jei duomenų tvarkymo operacijos dėl savo pobūdžio, apimties ar tikslų gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, duomenų valdytojas turėtų atlikti poveikio duomenų apsaugai vertinimą, kuris visų pirma turėtų apimti numatomas priemones, apsaugos priemones ir mechanizmus, kuriais būtų užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos. Poveikio vertinimai turėtų apimti atitinkamas duomenų tvarkymo operacijų sistemas ir procesus, bet ne atskirus atvejus;

    (59)

    siekiant užtikrinti veiksmingą duomenų subjektų teisių ir laisvių apsaugą, duomenų valdytojas arba duomenų tvarkytojas tam tikrais atvejais prieš duomenų tvarkymo veiksmus turėtų pasikonsultuoti su priežiūros institucija;

    (60)

    siekiant užtikrinti saugumą ir užkirsti kelią duomenų tvarkymui, kuriuo būtų pažeista ši direktyva, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir turėtų įgyvendinti tokių pavojų mažinimo priemones, pavyzdžiui, šifravimą. Tokiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, ir atsižvelgiama į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas pavojaus ir saugotinų asmens duomenų pobūdžio atžvilgiu. Vertinant pavojus duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant duomenis, pavyzdžiui, į tai, kad persiunčiami, saugomi ar kitaip tvarkomi asmens duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba prie jų be leidimo gauta prieiga, ir dėl to visų pirma galėtų būti padaryta fizinė, materialinė ar nematerialinė žala. Duomenų valdytojas ir duomenų tvarkytojas turėtų užtikrinti, kad asmens duomenų netvarkytų leidimo neturintys asmenys;

    (61)

    dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti fizinę, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota atitinkamo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kitokia didelė ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. Todėl, kai tik duomenų valdytojas sužino, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas nepagrįstai nedelsdamas ir, kai įmanoma, ne vėliau kaip per 72 valandas nuo to momento, kai sužinojo apie asmens duomenų saugumo pažeidimą, turėtų apie tai pranešti priežiūros institucijai, nebent duomenų valdytojas gali įrodyti, kad pagal atskaitomybės principą neatrodo, kad dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms. Kai pranešti per 72 valandas neįmanoma, pateikiant tokį pranešimą kartu turėtų būti pateikiamos vėlavimo priežastys, o informaciją galima teikti etapais, toliau nepagrįstai nedelsiant;

    (62)

    fiziniams asmenims turėtų būti nepagrįstai nedelsiant pranešama, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kad jie galėtų imtis būtinų atsargumo priemonių. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, siekiant sumažinti galimą neigiamą poveikį. Duomenų subjektams apie tai turėtų būti pranešta, kai tik tai tampa pagrįstai įmanoma, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos ar kitų atitinkamų institucijų pateiktų rekomendacijų. Pavyzdžiui, siekiant sumažinti tiesioginį žalos pavojų, reikėtų nedelsiant apie tai pranešti duomenų subjektams; tačiau būtinybe įgyvendinti tinkamas priemones, kuriomis siekiama užkirsti kelią besikartojantiems ar panašiems duomenų saugumo pažeidimams, galima pateisinti ilgesnio termino pranešimui pateikti numatymą. Pranešimas apie asmens duomenų saugumo pažeidimus gali būti neteikiamas tik išimtiniais atvejais, kai siekiama išvengti kliudymo oficialiems ar teisiniams nagrinėjimams, tyrimams ar procedūroms, siekiant nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui, traukimui baudžiamojon atsakomybėn ar bausmių vykdymui, siekiant užtikrinti visuomenės ar nacionalinį saugumą, bei siekiant apsaugoti kitų asmenų teises ir laisves, ir kai to neįmanoma užtikrinti atidedant arba apribojant informacijos apie asmens duomenų saugumo pažeidimą teikimą atitinkamam fiziniam asmeniui;

    (63)

    duomenų valdytojas turėtų paskirti asmenį, kuris padėtų jam stebėti atitiktį vidaus lygiu pagal šią direktyvą priimtoms nuostatoms, išskyrus atvejus, kai valstybė narė nusprendžia šio įpareigojimo netaikyti teismams ir kitoms nepriklausomoms teisminėms institucijoms, vykdančioms savo teismines funkcijas. Tas asmuo galėtų būti esamas duomenų valdytojo darbuotojas, kuriam buvo surengtas specialus mokymas duomenų apsaugos teisės ir praktikos klausimu, kad jis įgytų dalykinių žinių toje srityje. Būtinas dalykinių žinių lygis turėtų būti nustatomas visų pirma atsižvelgiant į atliekamą duomenų tvarkymą ir būtiną duomenų valdytojo tvarkomų asmens duomenų apsaugą. Jo užduotis galėtų būti atliekama ne visą darbo dieną arba visą darbo dieną. Duomenų apsaugos pareigūną gali kartu paskirti keli duomenų valdytojai, atsižvelgiant į jų organizacinę struktūrą ir dydį, pavyzdžiui, tuo atveju, kai centriniai padaliniai dalijasi ištekliais. Tas asmuo atitinkamų duomenų valdytojų struktūroje taip pat gali būti paskirtas į įvairias pareigas. Tas asmuo turėtų padėti duomenų valdytojui ir asmens duomenims tvarkantiems darbuotojams juos informuodamas ir konsultuodamas apie jų atitinkamų duomenų apsaugos prievolių laikymąsi. Tokie duomenų apsaugos pareigūnai turėtų turėti galimybę savo pareigas ir užduotis atlikti nepriklausomai pagal valstybės narės teisę;

    (64)

    valstybės narės turėtų užtikrinti, kad duomenys trečiajai valstybei arba tarptautinei organizacijai būtų perduodami tik tuo atveju, jeigu tai būtina nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, ir kad duomenų valdytojas trečiojoje valstybėje arba tarptautinėje organizacijoje būtų pagal šią direktyvą kompetentinga institucija. Perdavimą turėtų atlikti tik kompetentingos institucijos, veikiančios kaip duomenų valdytojai, išskyrus atvejus, kai duomenų tvarkytojams yra aiškiai nurodyta duomenis perduoti duomenų valdytojų vardu. Tokį duomenų perdavimą galima atlikti tais atvejais, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kai numatytos tinkamos apsaugos priemonės, arba jeigu konkrečioms situacijoms taikomos nukrypti leidžiančios nuostatos. Jei asmens duomenys perduodami iš Sąjungos duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šia direktyva fiziniams asmenims numatytos apsaugos lygis, be kita ko, atvejais, susijusiais su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams arba duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar tarptautinėje organizacijoje;

    (65)

    kai asmens duomenys yra perduodami iš valstybės narės trečiosioms valstybėms arba tarptautinėms organizacijoms, toks perdavimas iš esmės turėtų vykti tik po to, kai valstybė narė, iš kurios duomenys buvo gauti, duoda sutikimą juos perduoti. Siekiant veiksmingo bendradarbiavimo teisėsaugos srityje, tais atvejais, kai valstybės narės ar trečiosios valstybės visuomenės saugumui arba valstybės narės esminiams interesams kilusios grėsmės pobūdis yra toks tiesioginis, kad laiku gauti išankstinį leidimą yra neįmanoma, kompetentinga institucija turėtų turėti galimybę perduoti atitinkamus asmens duomenis susijusiai trečiajai valstybei arba tarptautinei organizacijai be tokio išankstinio leidimo. Valstybės narės turėtų nustatyti, kad trečiosioms valstybėms arba tarptautinėms organizacijoms turėtų būti pranešta apie visas konkrečias asmens duomenų perdavimo sąlygas. Asmens duomenys toliau perduodami turėtų būti tik gavus pirminį duomenų perdavimą atlikusios kompetentingos institucijos išankstinį leidimą. Priimdama sprendimą dėl prašymo leisti duomenis perduoti toliau, pirminį duomenų perdavimą atlikusi kompetentinga institucija turėtų tinkamai atsižvelgti į visus susijusius veiksnius, įskaitant nusikalstamos veikos sunkumą, su pirminiu duomenų perdavimu susijusias konkrečias sąlygas ir tikslą, kurių laikantis ir dėl kurio buvo atliktas pirminis duomenų perdavimas, baudžiamosios sankcijos pobūdį ir jos vykdymo sąlygas, taip pat asmens duomenų apsaugos trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai toliau perduodami asmens duomenys, lygį. Pirminį duomenų perdavimą atlikusi kompetentinga institucija taip pat turėtų turėti galimybę nustatyti konkrečias tolesnio duomenų perdavimo sąlygas. Tokios konkrečios sąlygos gali būti apibūdintos, pavyzdžiui, duomenų tvarkymo kodeksuose;

    (66)

    Komisija turėtų turėti galimybę nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios valstybės, teritorija, arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis valstybėmis ar tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Tokiais atvejais asmens duomenys į tas šalis galėtų būti perduodami be jokio specialaus leidimo, išskyrus tuos atvejus, kai kita valstybė narė, iš kurios duomenys buvo gauti, turi duoti leidimą tam perdavimui;

    (67)

    atsižvelgdama į pagrindines vertybes, kuriomis grindžiama Sąjunga, visų pirma žmogaus teisių apsaugą, Komisija, vertindama trečiąją valstybę arba teritoriją, arba nurodytą sektorių trečiojoje valstybėje, turėtų atsižvelgti į tai, kaip atitinkama trečioji valstybė laikosi teisinės valstybės, teisės kreiptis į teismą principų, tarptautinių žmogaus teisių normų ir standartų, taip pat į jos bendrą ir atskirų sektorių teisę, įskaitant visuomenės saugumą, gynybą ir nacionalinį saugumą reglamentuojančius teisės aktus, taip pat viešąją tvarką bei baudžiamąją teisę. Priimant su teritorija arba nurodytu sektoriumi trečiojoje valstybėje susijusį sprendimą dėl tinkamumo turėtų būti atsižvelgiama į aiškius ir objektyvius kriterijus, pavyzdžiui, konkrečią duomenų tvarkymo veiklą ir trečiojoje valstybėje taikytinų teisinių standartų bei galiojančių teisės aktų taikymo sritį. Trečioji valstybė turėtų suteikti garantijų, kuriomis būtų užtikrinta atitinkamo lygio apsauga, iš esmės lygiavertė Sąjungoje užtikrinamai apsaugai, visų pirma tada, kai duomenys tvarkomi viename ar keliuose konkrečiuose sektoriuose. Visų pirma, trečioji valstybė turėtų užtikrinti veiksmingą nepriklausomą duomenų apsaugos priežiūrą ir nustatyti bendradarbiavimo su valstybių narių duomenų apsaugos institucijomis mechanizmus, o duomenų subjektams turėtų būti užtikrintos veiksmingos bei įgyvendinamos teisės ir galimybė naudotis veiksmingomis administracinėmis ir teisminėmis teisių gynimo priemonėmis;

    (68)

    Komisija turėtų atsižvelgti ne tik į trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus, bet ir į įsipareigojimus, kylančius dėl trečiosios valstybės arba tarptautinės organizacijos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma susijusio su asmens duomenų apsauga, ir į tokių įsipareigojimų įgyvendinimą. Visų pirma reikėtų atsižvelgti į trečiosios valstybės prisijungimą prie 1981 m. sausio 28 d. Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu ir jos papildomo protokolo. Vertindama apsaugos lygį trečiosiose valstybėse ar tarptautinėse organizacijose, Komisija turėtų konsultuotis su Europos duomenų apsaugos valdyba, įsteigta Reglamentu (ES) 2016/679 (toliau – Valdyba). Komisija taip pat turėtų atsižvelgti į visus atitinkamus Komisijos sprendimus dėl tinkamumo, priimtus pagal Reglamento (ES) 2016/679 45 straipsnį;

    (69)

    Komisija turėtų stebėti, kaip vykdomi sprendimai dėl apsaugos lygio trečiojoje valstybėje, teritorijoje arba nurodytame sektoriuje trečiojoje valstybėje, arba tarptautinėje organizacijoje. Savo sprendimuose dėl tinkamumo Komisija turėtų numatyti periodinės jų vykdymo peržiūros mechanizmą. Ta periodinė peržiūra turėtų būti atliekama konsultuojantis su atitinkama trečiąja valstybe arba tarptautine organizacija ir ja turėtų būti atsižvelgta į visus svarbius pokyčius toje trečiojoje valstybėje arba tarptautinėje organizacijoje;

    (70)

    Komisija taip pat turėtų galėti pripažinti, kad trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo duomenų apsaugos lygio. Todėl perduoti asmens duomenis tai trečiajai valstybei arba tai tarptautinei organizacijai turėtų būti draudžiama, išskyrus atvejus, kai tenkinami šioje direktyvoje nustatyti reikalavimai, susiję su duomenų perdavimu, kuriam taikomos tinkamos apsaugos priemonės ir nukrypti leidžiančios nuostatos atskirais atvejais. Turėtų būti numatyta Komisijos konsultavimosi su tokiomis trečiosiomis valstybėmis arba tarptautinėmis organizacijomis tvarka. Komisija turėtų laiku informuoti trečiąją valstybę arba tarptautinę organizaciją apie priežastis ir pradėti su ja konsultacijas, kad padėtis būtų ištaisyta;

    (71)

    perduoti duomenis, kai tai nėra grindžiama tokiu sprendimu dėl tinkamumo, turėtų būti leidžiama tik tais atvejais, jeigu teisiškai privalomoje priemonėje yra nustatytos tinkamos apsaugos priemonės, užtikrinančios asmens duomenų apsaugą, arba jeigu duomenų valdytojas įvertino visas su duomenų perdavimu susijusias aplinkybes ir remdamasis tuo įvertinimu mano, kad esama tinkamų apsaugos priemonių, susijusių su asmens duomenų apsauga. Tokiomis teisiškai privalomomis priemonėmis galėtų būti, pavyzdžiui, teisiškai privalomi dvišaliai susitarimai, kuriuos valstybės narės yra sudariusios ir įgyvendinusios savo teisinėje sistemoje ir kuriuos galėtų įgyvendinti jų duomenų subjektai, užtikrinant, kad būtų laikomasi duomenų apsaugos reikalavimų ir būtų užtikrinamos duomenų subjektų teisės, įskaitant teisę naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis. Atlikdamas visų su duomenų perdavimu susijusių aplinkybių vertinimą, duomenų valdytojas turėtų turėti galimybę atsižvelgti į Europolo ar Eurojusto ir trečiųjų valstybių sudarytus bendradarbiavimo susitarimus, kuriais leidžiama keistis asmens duomenimis. Duomenų valdytojas turėtų taip pat turėti galimybę atsižvelgti į tai, kad asmens duomenų perdavimui bus taikomi konfidencialumo įpareigojimai ir savitumo principas, užtikrinant, kad duomenys būtų tvarkomi tik tais tikslais, kuriais jie yra perduodami. Be to, duomenų valdytojas turėtų atsižvelgti į tai, kad asmens duomenys nebus naudojami siekiant tikslo reikalauti paskelbti, paskelbti ar įvykdyti mirties bausmę arba kitą žiauraus ir nežmoniško elgesio bausmę. Nors tos sąlygos galėtų būti laikomos tinkamomis apsaugos priemonėmis, suteikiančiomis galimybę perduoti duomenis, tačiau duomenų valdytojas turėtų turėti galimybę pareikalauti, kad būtų nustatytos papildomos apsaugos priemonės;

    (72)

    kai nepriimtas joks sprendimas dėl tinkamumo arba nėra tinkamų apsaugos priemonių, perdavimą arba tam tikros kategorijos perdavimus būtų galima vykdyti tik konkrečiomis situacijomis, jei tai būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus arba teisėtus duomenų subjekto interesus, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę; siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui; atskiru atveju nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba atskiru atveju, siekiant nustatyti, vykdyti ar ginti teisinius reikalavimus. Tos nukrypti leidžiančios nuostatos turėtų būti aiškinamos siaurai ir jas taikant neturėtų būti leidžiama atlikti dažną, didelio masto ir struktūrinį asmens duomenų perdavimą, taip pat didelio masto duomenų perdavimus; jos turėtų būti taikomos tik tikrai būtinų duomenų perdavimui. Tokie duomenų perdavimai turėtų būti dokumentuojami ir priežiūros institucijos prašymu jai turėtų būti suteikta galimybė su jais susipažinti tam, kad būtų galima stebėti duomenų perdavimo teisėtumą;

    (73)

    valstybių narių kompetentingos institucijos taiko su trečiosiomis valstybėmis sudarytus galiojančius dvišalius ar daugiašalius tarptautinius susitarimus teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse keisdamosi atitinkama informacija, leidžiančia joms vykdyti joms teisiškai paskirtas užduotis. Iš principo tai vyksta per atitinkamas šios direktyvos tikslais kompetentingas institucijas trečiosiose valstybėse arba bent jau su jomis bendradarbiaujant, kartais net tuo atveju, jeigu dvišalių ar daugiašalių tarptautinių susitarimų nėra. Tačiau konkrečiais individualiais atvejais įprastos procedūros, pagal kurias numatyta, kad reikia susisiekti su tokia institucija trečiojoje valstybėje, gali būti neveiksmingos ar netinkamos, visų pirma dėl to, kad duomenų perdavimas negalėtų būti atliktas laiku, arba dėl to, kad ta institucija trečiojoje valstybėje nesilaiko teisinės valstybės principų arba tarptautinių žmogaus teisių normų ir standartų, todėl tokiu atveju valstybių narių institucijos galėtų nuspręsti perduoti asmens duomenis tiesiogiai duomenų gavėjams, įsteigtiems tose trečiosiose valstybėse. Taip gali būti tuo atveju, kai būtina nedelsiant perduoti asmens duomenis siekiant išgelbėti asmens, kuris gali tapti nusikalstamos veikos auka, gyvybę arba siekiant užkirsti kelią realiai gresiančiam nusikaltimui, įskaitant terorizmą. NET jeigu toks duomenų perdavimas tarp kompetentingų institucijų ir duomenų gavėjų, įsteigtų trečiosiose valstybėse, turėtų vykti tik konkrečiais individualiais atvejais, šioje direktyvoje turėtų būti numatytos tokių atvejų reglamentavimo sąlygos. Tos nuostatos neturėtų būti laikomos nukrypti nuo galiojančių dvišalių ar daugiašalių tarptautinių susitarimų teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse leidžiančiomis nuostatomis. Tos taisyklės turėtų būti taikomos kartu su kitomis šios direktyvos taisyklėmis, visų pirma su taisyklėmis dėl duomenų tvarkymo teisėtumo ir V skyriaus taisyklėmis;

    (74)

    kai asmens duomenys perduodami į kitas valstybes, fiziniams asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, kad apsisaugotų nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijoms gali paaiškėti, kad jos negali nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų ir nenuoseklus teisinis reglamentavimas. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis;

    (75)

    visiškai nepriklausomai savo funkcijas galinčių vykdyti priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Priežiūros institucijos turėtų stebėti, kaip taikomos pagal šią direktyvą priimtos nuostatos, ir turėtų padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis. Tuo tikslu priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija;

    (76)

    valstybės narės gali pagal Reglamentą (ES) 2016/679 jau įsteigtai priežiūros institucijai pavesti atlikti pagal šią direktyvą įsteigtinų nacionalinių priežiūros institucijų užduotis;

    (77)

    valstybėms narėms turėtų būti leidžiama įsteigti daugiau nei vieną priežiūros instituciją atsižvelgiant į jų konstitucinę, organizacinę ir administracinę sandarą. Kiekvienai priežiūros institucijai turėtų būti suteikta finansinių ir žmogiškųjų išteklių, taip pat patalpos ir infrastruktūra, kurie joms yra reikalingi jų užduotims veiksmingai vykdyti, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis. Kiekviena priežiūros institucija turėtų turėti atskirą viešą metinį biudžetą; jis gali būti viso valstybės ar nacionalinio biudžeto dalis;

    (78)

    priežiūros institucijoms turėtų būti taikomi jų finansinių išlaidų nepriklausomos kontrolės ar stebėsenos mechanizmai, tačiau tokia finansinė kontrolė neturi turėti poveikio jų nepriklausomumui;

    (79)

    bendrieji reikalavimai priežiūros institucijos nariui arba nariams turėtų būti nustatyti pagal valstybės narės teisę, ir visų pirma turėtų būti nustatyta, kad tuos narius turėtų skirti atitinkamos valstybės narės parlamentas arba Vyriausybė, arba valstybės vadovas, remiantis Vyriausybės ar Vyriausybės nario arba parlamento ar parlamento rūmų pasiūlymu, arba nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta skirti narius taikant skaidrią procedūrą. Siekiant užtikrinti priežiūros institucijos nepriklausomumą, narys arba nariai turėtų elgtis sąžiningai, neturėtų imtis jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu neturėtų dirbti jokio nesuderinamo – mokamo ar nemokamo – darbo. Siekiant užtikrinti priežiūros institucijos nepriklausomumą, darbuotojus turėtų parinkti priežiūros institucija, o šiame procese gali dalyvauti nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta ta funkcija;

    (80)

    nors ši direktyva taip pat taikoma nacionalinių teismų ir kitų teisminių institucijų veiklai, priežiūros institucijų kompetencija neturėtų apimti asmens duomenų tvarkymo, kai teismai vykdo savo teismines funkcijas, taip siekiant apsaugoti teisėjų nepriklausomumą jiems atliekant savo teismines užduotis. Ta išimtis turėtų būti taikoma tik teisminei veiklai teismo bylose ir netaikoma kitai veiklai, kurią teisėjai gali vykdyti pagal valstybės narės teisę. Valstybės narės taip pat turėtų turėti galimybę nustatyti, kad priežiūros institucijos kompetencija neapima asmens duomenų tvarkymo, kai duomenis tvarko kitos nepriklausomos teisminės institucijos vykdydamos savo teismines funkcijas, pavyzdžiui, prokuratūra. Bet kuriuo atveju tam, kaip teismai ir kitos nepriklausomos teisminės institucijos laikosi šios direktyvos taisyklių, visada taikoma nepriklausoma kontrolė pagal Chartijos 8 straipsnio 3 dalį;

    (81)

    kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas, ir turėtų juos tirti arba perduoti kompetentingai priežiūros institucijai. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai yra tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija;

    (82)

    siekiant užtikrinti veiksmingą, patikimą ir nuoseklią šios direktyvos laikymosi stebėseną ir jos vykdymą visoje Sąjungoje pagal SESV, kaip išaiškinta Teisingumo Teismo, kiekvienoje valstybėje narėje priežiūros institucijos turėtų vykdyti tas pačias užduotis ir naudotis tais pačiais veiksmingais įgaliojimais, įskaitant tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų ir patariamuosius įgaliojimus – šie įgaliojimai yra būtinos priemonės jų užduotims atlikti. Tačiau jų įgaliojimai neturėtų prieštarauti specialioms baudžiamojo proceso, įskaitant nusikalstamų veikų tyrimą ir baudžiamąjį persekiojimą už jas, taisyklėms ar teismų nepriklausomumui. Nedarant poveikio baudžiamojo persekiojimo institucijų įgaliojimams pagal valstybės narės teisę, priežiūros institucijoms taip pat turėtų būti suteikti įgaliojimai atkreipti teisminių institucijų dėmesį į šios direktyvos pažeidimus arba būti teisminio proceso šalimi. Priežiūros institucijų įgaliojimais turėtų būti naudojamasi laikantis atitinkamų procedūrinių apsaugos priemonių, nustatytų pagal Sąjungos ir valstybės narės teisę, nešališkai, sąžiningai ir per pagrįstą laikotarpį. Visų pirma kiekviena priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti šios direktyvos laikymąsi, atsižvelgiant į kiekvieno individualaus atvejo aplinkybes, ja turėtų būti gerbiama kiekvieno asmens teisė būti išklausytam prieš imantis konkrečios priemonės, kuri atitinkamam asmeniui padarytų neigiamą poveikį, ir vengiama, kad atitinkamas asmuo patirtų bereikalingų išlaidų ir pernelyg didelių nepatogumų. Tyrimo įgaliojimais, susijusiais su leidimu patekti į patalpas, turėtų būti naudojamasi laikantis valstybės narės teisėje nustatytų konkrečių reikalavimų, pavyzdžiui, reikalavimo iš anksto gauti teismo leidimą. Teisiškai privalomo sprendimo priėmimui turėtų būti taikoma teisminė peržiūra sprendimą priėmusios priežiūros institucijos valstybėje narėje;

    (83)

    priežiūros institucijos turėtų viena kitai padėti vykdyti savo užduotis ir teikti savitarpio pagalbą, siekiant užtikrinti, kad pagal šią direktyvą priimtos nuostatos būtų nuosekliai taikomos ir vykdomos;

    (84)

    Valdyba turėtų padėti nuosekliai taikyti šią direktyvą visoje Sąjungoje, be kita ko, patarti Komisijai ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje;

    (85)

    kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai ir teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį, jeigu duomenų subjektas mano, kad jo teisės remiantis pagal šią direktyvą priimtomis nuostatomis yra pažeistos, arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai yra tikslinga konkrečiu atveju. Kompetentinga priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, kiekviena priežiūros institucija turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima taip pat užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis;

    (86)

    kiekvienas fizinis ar juridinis asmuo turėtų turėti teisę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu. Tačiau ta teisė neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų. Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsteigta, teismuose ir turėtų vykti laikantis valstybės narės teisės. Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi;

    (87)

    jeigu duomenų subjektas mano, kad jo teisės pagal šią direktyvą yra pažeistos, jis turėtų turėti teisę įgalioti įstaigą, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų asmens duomenų apsauga, ir kuri įsteigta pagal valstybės narės teisę, jo vardu pateikti skundą priežiūros institucijai ir pasinaudoti teise į teisminę teisių gynimo priemonę. Teisė į atstovavimą duomenų subjektams neturėtų daryti poveikio valstybės narės proceso teisei, pagal kurią gali būti reikalaujama, kad nacionaliniuose teismuose duomenų subjektams privaloma tvarka atstovautų teisininkas, kaip apibrėžta Tarybos direktyvoje 77/249/EEB (10);

    (88)

    bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo nesilaikant pagal šią direktyvą priimtų nuostatų, turėtų atlyginti duomenų valdytojas arba bet kuri kita pagal valstybės narės teisę kompetentinga institucija. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šios direktyvos tikslai. Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo. Kai daroma nuoroda į duomenų tvarkymą, kuris yra neteisėtas arba atliekamas nesilaikant pagal šią direktyvą priimtų nuostatų, tai apima ir duomenų tvarkymą nesilaikant pagal šią direktyvą priimtų įgyvendinimo aktų. Duomenų subjektai turėtų gauti visą ir veiksmingą kompensaciją už jų patirtą žalą;

    (89)

    privatinės teisės arba viešosios teisės reglamentuojamam fiziniam ar juridiniam asmeniui, nesilaikančiam šios direktyvos, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir jos turėtų imtis visų priemonių sankcijoms vykdyti;

    (90)

    siekiant užtikrinti vienodas šios direktyvos įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai dėl tinkamo apsaugos lygio, kurį turi užtikrinti trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija, dėl savitarpio pagalbos formos ir procedūrų, bei dėl priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarkos. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (11);

    (91)

    priimant įgyvendinimo aktus dėl tinkamo apsaugos lygio, kurį turi užtikrinti trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija, dėl savitarpio pagalbos formos ir procedūrų, bei dėl priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarkos turėtų būti taikoma nagrinėjimo procedūra, jeigu tie aktai yra bendro pobūdžio;

    (92)

    Komisija turėtų priimti nedelsiant taikytinus įgyvendinimo aktus, kai tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio nebeužtikrinančia trečiąja valstybe, teritorija arba nurodytu sektoriumi trečiojoje valstybėje, arba tarptautine organizacija, yra privalomų skubos priežasčių;

    (93)

    kadangi šios direktyvos tikslų, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi ES sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytiems tikslams pasiekti;

    (94)

    specialios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje priimtų Sąjungos aktų, kurie buvo priimti prieš priimant šią direktyvą ir kuriais reglamentuojamas tarp valstybių narių vykdomas asmens duomenų tvarkymas arba valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, nuostatos turėtų likti nepakitusios, pavyzdžiui, specialios nuostatos dėl asmens duomenų apsaugos, taikomos pagal Tarybos sprendimą 2008/615/TVR (12), arba Konvencijos dėl Europos Sąjungos valstybių narių savitarpio pagalbos baudžiamosiose bylose (13) 23 straipsnis. Kadangi Chartijos 8 straipsnyje ir SESV 16 straipsnyje nustatyta, kad pagrindinė teisė į asmens duomenų apsaugą visoje Sąjungoje turi būti užtikrinama nuosekliai, Komisija turėtų įvertinti šios direktyvos ir aktų, priimtų prieš priimant šią direktyvą, kuriais reglamentuojamas tarp valstybių narių vykdomas asmens duomenų tvarkymas arba valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, ryšį, kad nustatytų, ar reikia tas specialias nuostatas suderinti su šia direktyva. Prireikus Komisija turėtų pateikti pasiūlymus, siekdama užtikrinti nuoseklias teisės normas, susijusias su asmens duomenų tvarkymu;

    (95)

    siekiant užtikrinti visapusišką ir nuoseklią asmens duomenų apsaugą Sąjungoje, tarptautiniai susitarimai, kuriuos valstybės narės sudarė iki šios direktyvos įsigaliojimo dienos ir kurie atitinka atitinkamus Sąjungos teisės aktus, taikytinus iki tos dienos, turėtų likti galioti tol, kol jie nepakeičiami iš dalies, nepakeičiami naujais susitarimais arba nepanaikinami;

    (96)

    šiai direktyvai perkelti į nacionalinę teisę valstybėms narėms turėtų suteiktas ne ilgesnis kaip dvejų metų laikotarpis nuo jos įsigaliojimo dienos. Tą dieną jau vykdomas duomenų tvarkymas turėtų būti suderintas su šia direktyva per dvejus metus nuo šios direktyvos įsigaliojimo. Tačiau kai toks duomenų tvarkymas atitinka Sąjungos teisę, taikytiną iki šios direktyvos įsigaliojimo dienos, šios direktyvos reikalavimai, susiję su išankstinėmis konsultacijomis su priežiūros institucija, neturėtų būti taikomi duomenų tvarkymo operacijoms, kurios jau buvo atliekamos tą dieną, kadangi tie reikalavimai pagal savo pobūdį turi būti įvykdyti prieš duomenų tvarkymą. Kai valstybės narės, siekdamos įvykdyti iki šios direktyvos įsigaliojimo dienos sukurtų automatizuotų duomenų tvarkymo sistemų atveju taikomas registravimo prievoles, taiko ilgesnįjį įgyvendinimo laikotarpį, kuris baigiasi praėjus septyniems metams nuo tos dienos, duomenų valdytojas arba duomenų tvarkytojas turėtų būti įdiegęs veiksmingus metodus, kuriais būtų įrodomas duomenų tvarkymo teisėtumas, suteikiama galimybė vykdyti savikontrolę ir užtikrinamas duomenų vientisumas bei duomenų saugumas, tokius kaip registracijos įrašai ar kitų formų įrašai;

    (97)

    šia direktyva nedaromas poveikis taisyklėms, kuriomis reglamentuojama kova su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, nustatytoms Europos Parlamento ir Tarybos direktyvoje 2011/93/ES (14);

    (98)

    todėl Pamatinis sprendimas 2008/977/TVR turėtų būti panaikintas;

    (99)

    pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 21 dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės 6a straipsnį Jungtinei Karalystei ir Airijai nėra privalomos šioje direktyvoje nustatytos taisyklės, kurios yra susijusios su valstybių narių vykdomu asmens duomenų tvarkymu atliekant veiklą, kuriai taikomas SESV trečiosios dalies V antraštinės dalies 4 arba 5 skyrius, tais atvejais, kai Jungtinei Karalystei ir Airijai nėra privalomos taisyklės, kuriomis reglamentuojamos teisminio bendradarbiavimo baudžiamosiose bylose ar policijos bendradarbiavimo, kurį vykdant turi būti laikomasi pagal SESV 16 straipsnį nustatytų nuostatų, formos;

    (100)

    pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 22 dėl Danijos pozicijos 2 ir 2a straipsnius Danijai nėra privalomos ar taikomos šioje direktyvoje nustatytos taisyklės, kurios yra susijusios su valstybių narių vykdomu asmens duomenų tvarkymu atliekant veiklą, kuriai taikomas SESV trečiosios dalies V antraštinės dalies 4 arba 5 skyrius. Kadangi ši direktyva grindžiama Šengeno acquis, pagal SESV trečiosios dalies V antraštinę dalį Danija, remdamasi to protokolo 4 straipsniu, per šešis mėnesius po šios direktyvos priėmimo turi nuspręsti, ar ją įtrauks į savo nacionalinę teisę;

    (101)

    Islandijos ir Norvegijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės susitarime dėl pastarųjų asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (15);

    (102)

    Šveicarijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (16);

    (103)

    Lichtenšteino atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (17);

    (104)

    šioje direktyvoje užtikrinamos pagrindinės teisės ir laikomasi principų, pripažintų Chartijoje ir įtvirtintų SESV, visų pirma teisės į privatų ir šeimos gyvenimą, teisės į asmens duomenų apsaugą, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą. Tų teisių apribojimai atitinka Chartijos 52 straipsnio 1 dalį, nes jie būtini siekiant atitikti Sąjungos pripažintus bendro intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti;

    (105)

    pagal 2011 m. rugsėjo 28 d. Bendrą valstybių narių ir Komisijos politinį pareiškimą dėl aiškinamųjų dokumentų valstybės narės įsipareigojo pagrįstais atvejais prie pranešimų apie perkėlimo į nacionalinę teisę priemones pridėti vieną ar daugiau dokumentų, kuriuose paaiškinamos direktyvos sudėtinių dalių ir nacionalinių perkėlimo į nacionalinę teisę priemonių atitinkamų dalių sąsajos. Šios direktyvos atveju teisės aktų leidėjas laikosi nuomonės, kad tokių dokumentų persiuntimas yra pagrįstas;

    (106)

    remiantis Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalimi, buvo pasikonsultuota su Europos duomenų apsaugos priežiūros pareigūnu ir jis 2012 m. kovo 7 d. pateikė nuomonę (18);

    (107)

    šia direktyva valstybėms narėms neturėtų būti trukdoma nacionalinėse taisyklėse, kuriomis reglamentuojamas baudžiamasis procesas, reglamentuoti naudojimąsi duomenų subjektų teisėmis gauti informaciją, susipažinti su asmens duomenimis, juos ištaisyti ar ištrinti bei apriboti duomenų tvarkymą baudžiamojo proceso metu, taip pat nustatyti galimus tų teisių apribojimus,

    PRIĖMĖ ŠIĄ DIREKTYVĄ:

    I SKYRIUS

    Bendrosios nuostatos

    1 straipsnis

    Dalykas ir tikslai

    1.   Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.

    2.   Remdamosi šia direktyva, valstybės narės:

    a)

    saugo fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir

    b)

    užtikrina, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje, kai tokio keitimosi reikalaujama pagal Sąjungos arba valstybės narės teisę, nebūtų ribojamas ar draudžiamas dėl su fizinių asmenų apsauga tvarkant asmens duomenis susijusių priežasčių.

    3.   Šia direktyva valstybėms narėms netrukdoma taikyti griežtesnes apsaugos priemones nei tos, kurios numatytos šioje direktyvoje, siekiant užtikrinti duomenų subjektų teisių ir laisvių apsaugą kompetentingoms institucijoms tvarkant asmens duomenis.

    2 straipsnis

    Taikymo sritis

    1.   Ši direktyva taikoma kompetentingų institucijų vykdomam asmens duomenų tvarkymui 1 straipsnio 1 dalyje išdėstytais tikslais.

    2.   Ši direktyva taikoma asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, tvarkymui neautomatizuotomis priemonėmis.

    3.   Ši direktyva netaikoma asmens duomenų tvarkymui, kai:

    a)

    duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

    b)

    duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros.

    3 straipsnis

    Apibrėžtys

    Šioje direktyvoje:

    1.   asmens duomenys– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

    2.   duomenų tvarkymas– bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

    3.   duomenų tvarkymo apribojimas– saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

    4.   profiliavimas– bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti arba numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, vieta arba judėjimu;

    5.   pseudonimų suteikimas– asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

    6.   susistemintas rinkinys– bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

    7.   kompetentinga institucija

    a)

    bet kokia valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba

    b)

    bet kokia kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais;

    8.   duomenų valdytojas– kompetentinga institucija, kuri viena ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

    9.   duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kurie duomenų valdytojo vardu tvarko asmens duomenis;

    10.   duomenų gavėjas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne, išskyrus valdžios institucijas, kurios gali gauti asmens duomenis vykdant konkretų tyrimą pagal valstybės narės teisę, kai tvarkydamos tuos duomenis tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

    11.   asmens duomenų saugumo pažeidimas– saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

    12.   genetiniai duomenys– asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

    13.   biometriniai duomenys– po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

    14.   sveikatos duomenys– asmens duomenys, susiję su fizinio asmens fizine ar psichikos sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

    15.   priežiūros institucija– valstybės narės pagal 41 straipsnį įsteigta nepriklausoma valdžios institucija;

    16.   tarptautinė organizacija– organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, arba bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

    II SKYRIUS

    Principai

    4 straipsnis

    Su asmens duomenų tvarkymu susiję principai

    1.   Valstybės narės numato, kad asmens duomenys turi būti:

    a)

    tvarkomi teisėtai ir sąžiningai;

    b)

    renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti tvarkomi tokiu būdu, kuris būtų nesuderinamas su tais tikslais;

    c)

    tinkami, aktualūs ir ne pernelyg išsamūs tikslų, kuriais jie yra tvarkomi, atžvilgiu;

    d)

    tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinti arba ištaisyti;

    e)

    saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie tvarkomi;

    f)

    tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo, taikant tinkamas technines ar organizacines priemones.

    2.   Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu:

    a)

    duomenų valdytojui leidžiama tvarkyti tokius asmens duomenis tokiu tikslu vadovaujantis Sąjungos arba valstybės narės teise ir

    b)

    duomenų tvarkymas yra būtinas bei proporcingai atitinka tą kitą tikslą vadovaujantis Sąjungos arba valstybės narės teise.

    3.   To paties ar kito duomenų valdytojo vykdomas duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimo mokslinio, statistinio ar istorinio tyrimo tikslu, siekiant 1 straipsnio 1 dalyje išdėstytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

    4.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1, 2 ir 3 dalių, ir turi sugebėti tai įrodyti.

    5 straipsnis

    Saugojimo ir peržiūros terminai

    Valstybės narės numato, kad turi būti nustatyti tinkami asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai. Tų terminų laikymasis užtikrinamas procedūrinėmis priemonėmis.

    6 straipsnis

    Skirtingų kategorijų duomenų subjektų atskyrimas

    Valstybės narės numato, kad duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskirtų skirtingų kategorijų duomenų subjektų asmens duomenis, pavyzdžiui:

    a)

    asmenų, kurių atžvilgiu yra rimtų priežasčių manyti, kad jie įvykdė arba rengiasi įvykdyti nusikalstamą veiką;

    b)

    asmenų, nuteistų už nusikalstamą veiką;

    c)

    asmenų, kurie buvo nusikalstamos veikos aukomis arba kurių atžvilgiu, remiantis tam tikrais faktais, yra pagrindo manyti, kad jie galėtų būti nusikalstamos veikos aukomis, ir

    d)

    kitų su nusikalstama veika susijusių šalių, pavyzdžiui, asmenų, kurie galėtų būti kviečiami liudyti atliekant nusikalstamų veikų tyrimus arba paskesniu baudžiamojo proceso etapu, asmenų, kurie gali suteikti informacijos apie nusikalstamas veikas, arba asmenų, kurie yra pažįstami arba susiję su vienu iš a ir b punktuose nurodytų asmenų.

    7 straipsnis

    Asmens duomenų skirstymas ir asmens duomenų kokybės patikrinimas

    1.   Valstybės narės numato, kad faktais pagrįsti asmens duomenys būtų atskiriami, kiek įmanoma, nuo asmeniniais vertinimais pagrįstų asmens duomenų.

    2.   Valstybės narės numato, kad kompetentingos institucijos turi imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, tikrina asmens duomenų kokybę prieš juos persiunčiant arba prieš suteikiant galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę gaunančiajai kompetentingai institucijai įvertinti asmens duomenų tikslumo, išsamumo ir patikimumo laipsnį, taip pat jų naujumą.

    3.   Paaiškėjus, kad buvo persiųsti neteisingi asmens duomenys arba asmens duomenys buvo persiųsti neteisėtai, duomenų gavėjas nedelsiant apie tai informuojamas. Tokiu atveju tie asmens duomenys pagal 16 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

    8 straipsnis

    Tvarkymo teisėtumas

    1.   Valstybės narės numato, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai atlikti užduotį 1 straipsnio 1 dalyje išdėstytais tikslais, ir kad jis turi būti grindžiamas Sąjungos arba valstybės narės teise.

    2.   Valstybės narės teisėje, kuria reglamentuojamas duomenų tvarkymas šios direktyvos taikymo srityje, konkrečiai nurodomi bent tvarkymo tikslai, tvarkytini asmens duomenys ir duomenų tvarkymo tikslai.

    9 straipsnis

    Konkrečios duomenų tvarkymo sąlygos

    1.   Kompetentingų institucijų 1 straipsnio 1 dalyje išdėstytais tikslais renkami asmens duomenys negali būti tvarkomi kitais nei 1 straipsnio 1 dalyje išdėstytais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Jei asmens duomenys tvarkomi tais kitais tikslais, taikomas Reglamentas (ES) 2016/679, išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

    2.   Kai kompetentingoms institucijoms pagal valstybės narės teisę yra pavesta atlikti kitas užduotis, nei tas, kurios vykdomos 1 straipsnio 1 dalyje išdėstytais tikslais, duomenų tvarkymui tokiais tikslais, be kita ko, archyvavimo dėl viešojo intereso, naudojimo mokslinių ar istorinių tyrimų tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679, išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

    3.   Valstybės narės numato, kad tais atvejais, kai Sąjungos arba valstybės narės teisėje, taikytinoje duomenis persiunčiančiai kompetentingai institucijai, numatytos duomenų tvarkymui taikytinos specialios sąlygos, duomenis persiunčianti kompetentinga institucija turi informuoti tokių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

    4.   Valstybės narės numato, kad duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose valstybėse narėse arba agentūroms, organams ir įstaigoms, įsteigtiems pagal SESV V antraštinės dalies 4 ir 5 skyrius, netaiko sąlygų pagal 3 dalį, išskyrus sąlygas, taikytinas panašiems duomenų persiuntimams duomenis persiunčiančios kompetentingos institucijos valstybėje narėje.

    10 straipsnis

    Specialių kategorijų asmens duomenų tvarkymas

    Asmens duomenų tvarkymas, kuriuo atskleidžiama rasinė arba etninė kilmė, politinės pažiūros, religiniai arba filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant vienareikšmiškai nustatyti fizinio asmens tapatybę, arba duomenų apie asmens sveikatą ar lytinį gyvenimą ir seksualinę orientaciją tvarkymas leidžiamas tik tada, jei tai tikrai būtina ir jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, ir jeigu:

    a)

    tai leidžiama pagal Sąjungos arba valstybės narės teisę;

    b)

    tai reikalinga duomenų subjekto ar kito fizinio asmens gyvybiniams interesams apsaugoti, arba

    c)

    toks tvarkymas susijęs su duomenimis, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai.

    11 straipsnis

    Automatizuotas individualių sprendimų priėmimas

    1.   Valstybės narės numato draudimą priimti sprendimą remiantis tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris turi jam didelės įtakos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui ir kuria nustatytos tinkamos duomenų subjekto teisių ir laisvių, bent teisės reikalauti iš duomenų valdytojo žmogaus įsikišimo, apsaugos priemonės.

    2.   Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami 10 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

    3.   Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis 10 straipsnyje nurodytais specialių kategorijų asmens duomenimis, draudžiamas pagal Sąjungos teisę.

    III SKYRIUS

    Duomenų subjekto teisės

    12 straipsnis

    Pranešimas ir duomenų subjektų naudojimosi savo teisėmis sąlygos

    1.   Valstybės narės numato, kad duomenų valdytojas turi imtis visų pagrįstų priemonių, kad visa 13 straipsnyje nurodyta informacija ir visi 11, 14–18 ir 31 straipsniuose nurodyti pranešimai, susiję su duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama bet kokiomis tinkamomis priemonėmis, taip pat ir elektroniniu būdu. Paprastai duomenų valdytojas pateikia informaciją tokia pačia forma kaip ir prašymą.

    2.   Valstybės narės numato, kad duomenų valdytojas turi palengvinti naudojimąsi duomenų subjekto teisėmis pagal 11 ir 14–18 straipsnius.

    3.   Valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi raštu informuoti duomenų subjektą apie su jo prašymu susijusius tolesnius veiksmus.

    4.   Valstybės narės numato, kad pagal 13 straipsnį teikiama informacija ir visi pagal 11, 14–18 ir 31 straipsnius teikiami pranešimai ar atliekami veiksmai turi būti teikiami ir vykdomi nemokamai. Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali:

    a)

    imti pagrįstą mokestį, atsižvelgdamas į administracines išlaidas, už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą, arba

    b)

    atsisakyti imtis veiksmų pagal prašymą.

    Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

    5.   Jei duomenų valdytojas turi pagrįstų abejonių dėl 14 arba 16 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

    13 straipsnis

    Informacija, kuri padaroma prieinama duomenų subjektui arba kuri turi būti pateikta duomenų subjektui

    1.   Valstybės narės numato, kad duomenų valdytojas duomenų subjektui padarytų prieinama bent šią informaciją:

    a)

    duomenų valdytojo tapatybę ir kontaktinius duomenis;

    b)

    duomenų apsaugos pareigūno kontaktinius duomenis, kai taikoma;

    c)

    duomenų tvarkymo tikslus, kuriems asmens duomenys yra skirti;

    d)

    informaciją apie teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos kontaktinius duomenis;

    e)

    tai, kad duomenų subjektas turi teisę duomenų valdytojo reikalauti, kad pastarasis leistų susipažinti su duomenų subjekto asmens duomenimis, juos ištaisytų ar ištrintų ir apribotų asmens duomenų tvarkymą.

    2.   Be 1 dalyje nurodytos informacijos, valstybės narės teisės aktuose numato, kad duomenų valdytojas konkrečiais atvejais duomenų subjektui pateikia toliau nurodytą informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

    a)

    duomenų tvarkymo teisinį pagrindą;

    b)

    asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

    c)

    kai taikoma, asmens duomenų gavėjų kategorijas, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;

    d)

    prireikus, papildomą informaciją, visų pirma tais atvejais, kai asmens duomenys renkami apie tai nežinant duomenų subjektui.

    3.   Valstybės narės gali priimti teisėkūros priemones, kuriomis informacijos teikimas duomenų subjektui pagal 2 dalį būtų atidėtas, apribotas arba kuriomis jo būtų nepaisoma tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

    a)

    netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

    b)

    nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

    c)

    užtikrinti visuomenės saugumą;

    d)

    užtikrinti nacionalinį saugumą;

    e)

    apsaugoti kitų asmenų teises ir laisves.

    4.   Valstybės narės gali priimti teisėkūros priemones, kuriomis būtų nustatyta, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomas bet kuris iš 3 dalies punktų.

    14 straipsnis

    Duomenų subjekto teisė susipažinti su asmens duomenimis

    Atsižvelgiant į 15 straipsnį, valstybės narės numato, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie yra tvarkomi, kad jis turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

    a)

    duomenų tvarkymo tikslais ir teisiniu pagrindu;

    b)

    atitinkamų asmens duomenų kategorijomis;

    c)

    informacija apie duomenų gavėjus arba duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, visų pirma duomenų gavėjų trečiosiose valstybėse arba tarptautinėse organizacijose, kategorijas;

    d)

    jeigu įmanoma, numatomu asmens duomenų saugojimo laikotarpiu arba, jei tai neįmanoma, kriterijais, taikomais tam laikotarpiui nustatyti;

    e)

    tai, kad duomenų subjektas turi teisę duomenų valdytojo reikalauti, kad pastarasis ištaisytų ar ištrintų duomenų subjekto asmens duomenis arba apribotų jų tvarkymą;

    f)

    informacija apie teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos kontaktiniais duomenimis;

    g)

    pranešimu apie tai, kokie asmens duomenys yra tvarkomi, ir apie visą turimą informaciją apie jų kilmę.

    15 straipsnis

    Teisės susipažinti su asmens duomenimis apribojimai

    1.   Valstybės narės gali priimti teisėkūros priemones, kuriomis visiškai arba iš dalies būtų apribota duomenų subjekto teisė susipažinti su duomenimis tiek, kiek ir kol toks dalinis arba visiškas apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

    a)

    netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

    b)

    nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

    c)

    užtikrinti visuomenės saugumą;

    d)

    užtikrinti nacionalinį saugumą;

    e)

    apsaugoti kitų asmenų teises ir laisves.

    2.   Valstybės narės gali priimti teisėkūros priemones, kuriomis būtų nustatyta, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomi 1 dalies a–e punktai.

    3.   1 ir 2 dalyse nurodytais atvejais valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą ir tokio atsisakymo ar apribojimo priežastis. Tokia informacija gali būti nesuteikta, jeigu jos pateikimas pakenktų tikslui, kurio siekiama 1 dalimi. Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai arba siekti teisminės teisių gynimo priemonės.

    4.   Valstybės narės numato, kad duomenų valdytojas turi dokumentuoti faktines arba teisines priežastis, kuriomis pagrįstas sprendimas. Ta informacija pateikiama priežiūros institucijoms.

    16 straipsnis

    Teisė reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą

    1.   Valstybės narės numato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius jo asmens duomenis. Atsižvelgiant į duomenų tvarkymo tikslus, valstybės narės numato, kad duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikiant papildomą pareiškimą.

    2.   Valstybės narės įpareigoja duomenų valdytoją nepagrįstai nedelsiant ištrinti asmens duomenis ir nustato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų jo asmens duomenis, jeigu duomenų tvarkymu pažeidžiamos pagal 4, 8 ar 10 straipsnį priimtos nuostatos arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui.

    3.   Duomenų valdytojas apriboja duomenų tvarkymą jų neištrindamas, jeigu:

    a)

    duomenų subjektas ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba

    b)

    asmens duomenys turi būti išsaugoti įrodymų tikslais.

    Jeigu duomenų tvarkymas ribojamas pagal pirmos pastraipos a punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

    4.   Valstybės narės numato, kad duomenų valdytojas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą bei apie tokio atsisakymo priežastis. Valstybės narės gali priimti teisėkūros priemones, kuriomis visiškai arba iš dalies būtų apribota prievolė pateikti tokią informaciją tiek, kiek toks apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

    a)

    netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

    b)

    nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

    c)

    užtikrinti visuomenės saugumą;

    d)

    užtikrinti nacionalinį saugumą;

    e)

    apsaugoti kitų asmenų teises ir laisves.

    Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai arba siekti teisminės teisių gynimo priemonės.

    5.   Valstybės narės numato, kad duomenų valdytojas turi pranešti apie netikslių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs asmens duomenys buvo gauti.

    6.   Valstybės narės tais atvejais, kai asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas pagal 1, 2 ir 3 dalis, numato, kad duomenų valdytojas turi informuoti duomenų gavėjus, o duomenų gavėjai turi ištaisyti ar ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą, kai asmens duomenų tvarkymas priklauso jų atsakomybei.

    17 straipsnis

    Duomenų subjekto naudojimasis teisėmis ir priežiūros institucijos atliekamas patikrinimas

    1.   13 straipsnio 3 dalyje, 15 straipsnio 3 dalyje ir 16 straipsnio 4 dalyje nurodytais atvejais valstybės narės priima priemones, kuriomis būtų nustatyta, kad duomenų subjekto teisėmis taip pat gali būti naudojamasi per kompetentingą priežiūros instituciją.

    2.   Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę naudotis jo teisėmis per priežiūros instituciją pagal 1 dalį.

    3.   Jei naudojamasi 1 dalyje nurodyta teise, priežiūros institucija informuoja duomenų subjektą bent apie tai, kad priežiūros institucija atliko visus būtinus patikrinimus arba peržiūrą. Priežiūros institucija taip pat informuoja duomenų subjektą apie jo teisę siekti teisminės teisių gynimo priemonės.

    18 straipsnis

    Duomenų subjekto teisės vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą

    Valstybės narės gali numatyti, kad atvejais, kai vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą asmens duomenys yra nurodomi teismo sprendime, nuosprendžių registre arba byloje, 13, 14 ir 16 straipsniuose nurodytomis teisėmis turi būti naudojamasi pagal valstybės narės teisę.

    IV SKYRIUS

    Duomenų valdytojas ir duomenų tvarkytojas

    1 skirsnis

    Bendrosios prievolės

    19 straipsnis

    Duomenų valdytojo prievolės

    1.   Valstybės narės numato, kad duomenų valdytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, siekdamas užtikrinti, kad duomenų tvarkymas būtų atliekamas laikantis šios direktyvos, ir galėtų tai įrodyti. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

    2.   Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

    20 straipsnis

    Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

    1.   Valstybės narės numato, kad duomenų valdytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, kurį kelia duomenų tvarkymas, tiek duomenų tvarkymo priemonių nustatymo metu, tiek paties tvarkymo metu turi įgyvendinti tinkamas technines ir organizacines priemones, pavyzdžiui, pseudonimų suteikimą, skirtas tam, kad būtų veiksmingai įgyvendinami duomenų apsaugos principai, pavyzdžiui, duomenų kiekio mažinimas, ir kad į duomenų tvarkymo procesą būtų integruotos reikiamos apsaugos priemonės, siekiant įvykdyti šios direktyvos reikalavimus ir apsaugoti duomenų subjektų teises.

    2.   Valstybės narės numato, kad duomenų valdytojas turi įgyvendinti tinkamas technines ir organizacines priemones, kuriomis būtų užtikrinta, kad pagal standartizuotą praktiką būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad pagal standartizuotą praktiką su asmens duomenimis be asmens įsikišimo negalėtų susipažinti neribotas fizinių asmenų skaičius.

    21 straipsnis

    Bendri duomenų valdytojai

    1.   Valstybės narės tais atvejais, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, numato, kad jie turi būti laikomi bendrais duomenų valdytojais. Jie tarpusavio susitarimu skaidriai nustato savo atitinkamą atsakomybę už šios direktyvos nuostatų, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir su jų atitinkamomis pareigomis pateikti 13 straipsnyje nurodytą informaciją, vykdymą, išskyrus atvejus, kai, ir tiek, kiek atitinkama duomenų valdytojų atsakomybė nustatoma Sąjungos arba valstybės narės teise, kuri yra taikoma duomenų valdytojams. Tokiu susitarimu nustatomas informacinis punktas, skirtas duomenų subjektams. Valstybės narės gali nustatyti, kuris iš bendrų duomenų valdytojų gali atlikti vieno bendro informacinio punkto funkciją, kad duomenų subjektai galėtų pasinaudoti savo teisėmis.

    2.   Nepaisant 1 dalyje nurodyto susitarimo sąlygų, valstybės narės gali numatyti, kad duomenų subjektas naudojasi savo teisėmis remiantis pagal šią direktyvą priimtomis nuostatomis kiekvieno iš duomenų valdytojų atžvilgiu ir prieš kiekvieną iš jų.

    22 straipsnis

    Duomenų tvarkytojas

    1.   Valstybės narės, jeigu duomenys turi būti tvarkomi duomenų valdytojo vardu, numato, kad duomenų valdytojas turi pasitelkti tik tuos duomenų tvarkytojus, kurie suteikia pakankamų garantijų, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų šios direktyvos reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

    2.   Valstybės narės numato, kad duomenų tvarkytojas be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo negali pasitelkti kito duomenų tvarkytojo. Bendro rašytinio leidimo atveju duomenų tvarkytojas turi informuoti duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikti duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

    3.   Valstybės narės numato, kad duomenų tvarkytojo atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui ir duomenų valdytojui, ir kuriuo nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos, bei duomenų valdytojo prievolės ir teisės. Ta sutartimi ar kitu teisės aktu visų pirma nustatoma, kad duomenų tvarkytojas:

    a)

    veikia tik pagal duomenų valdytojo nurodymus;

    b)

    užtikrina, kad asmenys, kuriems leidžiama tvarkyti asmens duomenis, būtų įsipareigoję laikytis konfidencialumo arba kad jiems būtų taikoma tinkama įstatais nustatyta konfidencialumo užtikrinimo prievolė;

    c)

    visomis tinkamomis priemonėmis padeda duomenų valdytojui užtikrinti, kad būtų laikomasi nuostatų dėl duomenų subjekto teisių;

    d)

    užbaigus teikti duomenų tvarkymo paslaugas, pagal duomenų valdytojo pasirinkimą pašalina arba grąžina visus asmens duomenis duomenų valdytojui ir pašalina esamas kopijas, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę reikalaujama asmens duomenis saugoti;

    e)

    pateikia duomenų valdytojui visą informaciją, būtiną norint parodyti, kad laikomasi šio straipsnio;

    f)

    laikosi 2 ir 3 dalyse nurodytų sąlygų, kurios taikomos siekiant pasitelkti kitą duomenų tvarkytoją.

    4.   3 dalyje nurodyta sutartis arba kitas teisės aktas sudaromi raštu ir gali būti prieinami elektronine forma.

    5.   Jeigu duomenų tvarkytojas, pažeisdamas šią direktyvą, nustato duomenų tvarkymo tikslus ir priemones, to duomenų tvarkymo atžvilgiu tas duomenų tvarkytojas laikomas duomenų valdytoju.

    23 straipsnis

    Duomenų valdytojui ar duomenų tvarkytojui pavaldžių subjektų atliekamas duomenų tvarkymas

    Valstybės narės numato, kad duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymą juos tvarkyti, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

    24 straipsnis

    Duomenų tvarkymo veiklos įrašai

    1.   Valstybės narės numato, kad duomenų valdytojai turi tvarkyti visų kategorijų duomenų tvarkymo veiklos, už kurią jie atsako, registrą. Tame registre pateikiama visa ši informacija:

    a)

    duomenų valdytojo, visų bendrų duomenų valdytojų ir duomenų apsaugos pareigūno, jeigu toks yra, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

    b)

    duomenų tvarkymo tikslai;

    c)

    duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautinėse organizacijose, kategorijos;

    d)

    duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

    e)

    kai taikytina, profiliavimo naudojimas;

    f)

    kai taikytina, asmens duomenų perdavimo trečiosioms valstybėms arba tarptautinėms organizacijoms kategorijos;

    g)

    informacija apie duomenų tvarkymo operacijos, įskaitant duomenų perdavimus, kuriai yra skirti asmens duomenys, teisinį pagrindą;

    h)

    jeigu įmanoma, numatomi įvairių kategorijų asmens duomenų ištrynimo terminai;

    i)

    jeigu įmanoma, bendras 29 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

    2.   Valstybės narės numato, kad kiekvienas duomenų tvarkytojas turi tvarkyti visų kategorijų duomenų tvarkymo veiklos, vykdomos duomenų valdytojo vardu, registrą, kuriame nurodoma:

    a)

    duomenų tvarkytojo arba duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir, jei taikytina, duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

    b)

    kiekvieno duomenų valdytojo vardu vykdomo duomenų tvarkymo kategorijos;

    c)

    kai taikytina, asmens duomenų perdavimai trečiajai valstybei arba tarptautinei organizacijai, jeigu duomenų valdytojas aiškiai paveda tai padaryti, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją;

    d)

    jeigu įmanoma, bendras 29 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

    3.   1 ir 2 dalyse nurodytas registras parengiamas raštu ir gali būti prieinamas elektronine forma.

    Gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas pateikia tuos registrus priežiūros institucijai.

    25 straipsnis

    Registravimas

    1.   Valstybės narės numato, kad turi būti saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas automatizuotose duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris susipažino su asmens duomenimis arba juos atskleidė, tapatybę ir tokių asmens duomenų gavėjų tapatybę.

    2.   Registracijos įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti asmens duomenų vientisumą bei saugumą ir baudžiamojo proceso tikslais.

    3.   Gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas pateikia registracijos įrašus priežiūros institucijai.

    26 straipsnis

    Bendradarbiavimas su priežiūros institucija

    Valstybės narės numato, kad, gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas turi bendradarbiauti su priežiūros institucija jai vykdant savo užduotis.

    27 straipsnis

    Poveikio duomenų apsaugai vertinimas

    1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, valstybės narės numato, kad duomenų valdytojas, prieš pradedant vykdyti duomenų tvarkymą, turi atlikti numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.

    2.   1 dalyje nurodytame vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tam pavojui pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

    28 straipsnis

    Išankstinis konsultavimasis su priežiūros institucija

    1.   Valstybės narės numato, kad duomenų valdytojas arba duomenų tvarkytojas turi iš anksto konsultuotis su priežiūros institucija prieš tvarkydamas asmens duomenis, kurie bus įtraukti į naują susistemintą rinkinį, kuris turi būti sukurtas, jeigu:

    a)

    27 straipsnyje numatytame poveikio duomenų apsaugai vertinime nurodyta, kad atliekant duomenų tvarkymą kiltų didelis pavojus tuo atveju, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti, arba

    b)

    dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, mechanizmus ar taikant naujas procedūras, kyla didelis pavojus duomenų subjektų teisėms ir laisvėms.

    2.   Valstybės narės numato, kad rengiant pasiūlymą dėl su duomenų tvarkymu susijusios teisėkūros priemonės, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą reguliavimo priemonę, turi būti konsultuojamasi su priežiūros institucija.

    3.   Valstybės narės numato, kad priežiūros institucija gali parengti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 1 dalį, sąrašą.

    4.   Valstybės narės numato, kad duomenų valdytojas turi pateikti priežiūros institucijai poveikio duomenų apsaugai vertinimą pagal 27 straipsnį ir, gavęs prašymą, bet kokią kitą informaciją, kad priežiūros institucija galėtų įvertinti, ar duomenų tvarkymas atitinka reikalavimus, ir visų pirma pavojų duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

    5.   Valstybės narės tuo atveju, jeigu priežiūros institucija laikosi nuomonės, kad numatytas duomenų tvarkymas, nurodytas šio straipsnio 1 dalyje, pažeistų pagal šią direktyvą priimtas nuostatas, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, numato, kad priežiūros institucija ne vėliau kaip per šešias savaites nuo tada, kai gavo prašymą suteikti konsultaciją, turi raštu pateikti duomenų valdytojui ir, kai taikytina, duomenų tvarkytojui patarimus ir gali pasinaudoti bet kuriais 47 straipsnyje nurodytais savo įgaliojimais. Tas laikotarpis gali būti pratęstas vienu mėnesiu, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikytina, duomenų tvarkytoją apie bet kokį tokio laikotarpio pratęsimą per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo, taip pat ir apie vėlavimo priežastis.

    2 skirsnis

    Asmens duomenų saugumas

    29 straipsnis

    Duomenų tvarkymo saugumas

    1.   Valstybės narės numato, kad duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su 10 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.

    2.   Automatizuoto duomenų tvarkymo srityje kiekviena valstybė narė numato, kad duomenų valdytojas arba duomenų tvarkytojas, atlikus rizikos vertinimą, turi įgyvendinti priemones, kuriomis siekiama:

    a)

    nesuteikti leidimo neturintiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos duomenims tvarkyti (prieigos prie įrangos kontrolė);

    b)

    užkirsti kelią neteisėtam duomenų laikmenų skaitymui, kopijavimui, keitimui ar pašalinimui (duomenų laikmenų kontrolė);

    c)

    užkirsti kelią neteisėtam asmens duomenų įvedimui ir neteisėtam saugomų asmens duomenų tikrinimui, keitimui ar šalinimui (saugojimo kontrolė);

    d)

    neleisti leidimo neturintiems asmenims, kurie naudojasi duomenų perdavimo įranga, naudotis automatizuotomis duomenų tvarkymo sistemomis (naudotojo kontrolė);

    e)

    užtikrinti, kad asmenys, kuriems suteiktas leidimas naudotis automatizuota duomenų tvarkymo sistema, turėtų prieigą tik prie tų asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos prie duomenų kontrolė);

    f)

    užtikrinti, kad būtų įmanoma patikrinti ir nustatyti įstaigas, kurioms asmens duomenys buvo persiųsti arba gali būti persiųsti, arba kurioms buvo suteikta galimybė su jais susipažinti naudojant duomenų perdavimo įrangą (perdavimo kontrolė);

    g)

    užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kokie asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas ir kada bei kas asmens duomenis įvedė (įvedimo kontrolė);

    h)

    užkirsti kelią neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba šalinimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (siuntimo kontrolė);

    i)

    užtikrinti, kad įdiegtos sistemos pertraukties atveju galėtų būti atkurtos (atgaminimas);

    j)

    užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešama (patikimumas) ir kad saugomi asmens duomenys negalėtų būti iškraipyti dėl blogo sistemos veikimo (vientisumas).

    30 straipsnis

    Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

    1.   Valstybės narės asmens duomenų saugumo pažeidimo atveju numato, kad duomenų valdytojas, nepagrįstai nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai apie jį sužino, turi pranešti apie asmens duomenų saugumo pažeidimą priežiūros institucijai, išskyrus atvejus, kai nėra tikėtina, kad dėl tokio asmens duomenų saugumo pažeidimo kils pavojus fizinių asmenų teisėms ir laisvėms. Jeigu pranešimas priežiūros institucijai pateikiamas vėliau nei per 72 valandas, prie jo pridedama informacija apie vėlavimo priežastis.

    2.   Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

    3.   1 dalyje nurodytame pranešime bent:

    a)

    aprašomas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

    b)

    nurodoma duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė ir kontaktiniai duomenys;

    c)

    aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

    d)

    aprašomos priemonės, kurių ėmėsi duomenų valdytojas, arba kurių siūloma, kad jis imtųsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas, be kita ko, kai tinkama, priemonės, kad būtų sumažintas jo galimas neigiamas poveikis.

    4.   Jeigu ir tiek, kiek informacijos nėra įmanoma pateikti tuo pačiu metu, informaciją galima teikti etapais, toliau nepagrįstai nedelsiant.

    5.   Valstybės narės numato, kad duomenų valdytojas turi dokumentuoti visus 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius asmens duomenų saugumo pažeidimu, jo poveikį ir taisomuosius veiksmus, kurių imtasi. Ta dokumentacija turi sudaryti galimybę priežiūros institucijai patikrinti, ar laikomasi šio straipsnio.

    6.   Valstybės narės, tais atvejais, kai asmens duomenų saugumo pažeidimas yra susijęs su asmens duomenimis, kurie buvo persiųsti kitos valstybės narės duomenų valdytojo arba kitos valstybės narės duomenų valdytojui, numato, kad 3 dalyje nurodyta informacija tos valstybės narės duomenų valdytojui turi būti pateikta nepagrįstai nedelsiant.

    31 straipsnis

    Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

    1.   Jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.

    2.   Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 30 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

    3.   1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu tenkinama bet kuri iš šių sąlygų:

    a)

    duomenų valdytojas įgyvendino tinkamas technologines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

    b)

    duomenų valdytojas ėmėsi paskesnių priemonių, kuriomis užtikrinama, kad duomenų subjektų teisėms ir laisvėms greičiausiai nebegalėtų kilti 1 dalyje nurodytas didelis pavojus;

    c)

    tam prireiktų neproporcingai daug pastangų. Tokiu atveju pranešimas skelbiamas viešai arba taikoma panaši priemonė, kuria duomenų subjektai informuojami taip pat veiksmingai.

    4.   Jeigu duomenų valdytojas dar nepranešė apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi tikimybę, kad asmens duomenų saugumo pažeidimas sukels didelį pavojų, gali reikalauti, kad duomenų valdytojas tai padarytų, arba gali nuspręsti, kad tenkinama bet kuri iš 3 dalyje nurodytų sąlygų.

    5.   Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti, laikantis 13 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

    3 skirsnis

    Duomenų apsaugos pareigūnas

    32 straipsnis

    Duomenų apsaugos pareigūno skyrimas

    1.   Valstybės narės numato, kad duomenų valdytojas turi paskirti duomenų apsaugos pareigūną. Valstybės narės gali tos prievolės netaikyti teismams ir kitoms nepriklausomoms teisminėms institucijoms, vykdantiems savo teismines funkcijas.

    2.   Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis ir visų pirma dalykinėmis duomenų apsaugos teisės ir praktikos žiniomis, taip pat gebėjimu atlikti 34 straipsnyje nurodytas užduotis.

    3.   Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms kompetentingoms institucijoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

    4.   Valstybės narės numato, kad duomenų valdytojas turi paskelbti duomenų apsaugos pareigūno kontaktinius duomenis ir perduoti juos priežiūros institucijai.

    33 straipsnis

    Duomenų apsaugos pareigūno statusas

    1.   Valstybės narės numato, kad duomenų valdytojas turi užtikrinti, jog su duomenų apsaugos pareigūnu būtų tinkamai ir laiku konsultuojamasi visais su asmens duomenų apsauga susijusiais klausimais.

    2.   Duomenų valdytojas padeda duomenų apsaugos pareigūnui atlikti 34 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinų išteklių ir galimybę susipažinti su asmens duomenimis ir duomenų tvarkymo operacijomis, taip pat išteklių, būtinų jo dalykinėms žinioms išsaugoti.

    34 straipsnis

    Duomenų apsaugos pareigūno užduotys

    Valstybės narės numato, kad duomenų valdytojas turi pavesti duomenų apsaugos pareigūnui atlikti bent šias užduotis:

    a)

    informuoti duomenų valdytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šią direktyvą ir pagal kitus Sąjungos ar valstybės narės teisės aktus dėl duomenų apsaugos ir teikti jiems patarimus šiais klausimais;

    b)

    stebėti, kaip laikomasi šios direktyvos, kitų Sąjungos ar valstybės narės teisės aktų dėl duomenų apsaugos ir duomenų valdytojo taikomos politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

    c)

    gavus prašymą teikti patarimus dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal 27 straipsnį;

    d)

    bendradarbiauti su priežiūros institucija;

    e)

    atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant 28 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoti visais kitais klausimais.

    V SKYRIUS

    Asmens duomenų perdavimai trečiosioms valstybėms arba tarptautinėms organizacijoms

    35 straipsnis

    Bendrieji asmens duomenų perdavimo principai

    1.   Valstybės narės numato, kad kompetentingos institucijos gali perduoti asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus trečiajai valstybei arba tarptautinei organizacijai, be kita ko, tolesnio perdavimo kitai trečiajai valstybei arba tarptautinei organizacijai tikslais, tik tuo atveju, kai laikomasi pagal šią direktyvą priimtų nacionalinių nuostatų ir jeigu yra tenkinamos šiame skyriuje nustatytos sąlygos, būtent:

    a)

    perduoti duomenis būtina 1 straipsnio 1 dalyje išdėstytais tikslais;

    b)

    asmens duomenys perduodami duomenų valdytojui trečiojoje valstybėje arba tarptautinėje organizacijoje, kuris yra institucija, kompetentinga 1 straipsnio 1 dalyje nurodytais tikslais;

    c)

    tuo atveju, kai asmens duomenys persiunčiami iš kitos valstybės narės arba ta valstybė narė suteikia galimybę jais naudotis, ta valstybė narė pagal savo nacionalinę teisę perdavimui yra suteikusi išankstinį leidimą;

    d)

    Komisija pagal 36 straipsnį yra priėmusi sprendimą dėl tinkamumo arba, jeigu toks sprendimas nepriimtas, buvo nustatytos arba egzistuoja tinkamos apsaugos priemonės pagal 37 straipsnį, arba, nesant sprendimo dėl tinkamumo pagal 36 ar tinkamų apsaugos priemonių pagal 37 straipsnį, taikomos su konkrečiomis situacijomis susijusios nukrypti leidžiančios nuostatos pagal 38 straipsnį, ir

    e)

    tolesnio duomenų perdavimo kitai trečiajai valstybei arba tarptautinei organizacijai atveju kompetentinga institucija, kuri atliko pirminį perdavimą, arba kita tos pačios valstybės narės kompetentinga institucija leidžia toliau perduoti duomenis, tinkamai atsižvelgusi į visus susijusius veiksnius, įskaitant nusikalstamos veikos sunkumą, tikslą, kuriuo buvo atliktas pirminis asmens duomenų perdavimas, ir asmens duomenų apsaugos trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai toliau perduodami asmens duomenys, lygį.

    2.   Valstybės narės numato, kad perduoti duomenis be kitos valstybės narės išankstinio leidimo pagal 1 dalies c punktą turi būti leidžiama tik tuo atveju, jeigu asmens duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui arba valstybės narės esminiams interesams, o išankstinio leidimo laiku gauti negalima. Nedelsiant informuojama institucija, atsakinga už išankstinio leidimo suteikimą.

    3.   Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nesumažėtų šia direktyva fiziniams asmenims užtikrinamos apsaugos lygis.

    36 straipsnis

    Duomenų perdavimas remiantis sprendimu dėl tinkamumo

    1.   Valstybės narės numato, kad perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai galima tuo atveju, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

    2.   Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

    a)

    teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant teisės aktus dėl visuomenės saugumo, gynybos, nacionalinio saugumo bei baudžiamosios teisės ir valdžios institucijų galimybės susipažinti su asmens duomenimis, taip pat tų teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo kitai trečiajai valstybei ar tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktiką, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

    b)

    tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje valstybėje, arba kurioms yra pavaldi tarptautinė organizacija, kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių, ir užtikrinti jų vykdymą, įskaitant tinkamus vykdymo užtikrinimo įgaliojimus, padėti duomenų subjektams naudotis savo teisėmis ir patarti jiems, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis, ir

    c)

    atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, ir dėl jos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma, kiek tai susiję su asmens duomenų apsauga.

    3.   Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, tuo tikslu priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte nustatomas periodinės peržiūros, kuri turi būti atliekama ne rečiau kaip kas ketverius metus, mechanizmas; ją atliekant turi būti atsižvelgta į visus susijusius įvykius trečiojoje valstybėje arba tarptautinėje organizacijoje. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta (-os) priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

    4.   Komisija nuolat stebi įvykius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų padaryti poveikio pagal 3 dalį priimtų sprendimų veikimui.

    5.   Jei remiantis turima informacija atskleidžiami atitinkami faktai, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, Komisija nusprendžia, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, ji tiek, kiek tai būtina, įgyvendinimo aktais panaikina, iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą arba sustabdo jo galiojimą, nedarant poveikio atgaline data. Tie įgyvendinimo aktai priimami laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

    Kai tinkamai pagrįstais atvejais yra privalomų skubos priežasčių, Komisija priima nedelsiant taikytinus įgyvendinimo aktus pagal 58 straipsnio 3 dalyje nurodytą procedūrą.

    6.   Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

    7.   Valstybės narės numato, kad sprendimas pagal 5 dalį negali daryti poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą vieną ar daugiau sektorių trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 37 ir 38 straipsnius.

    8.   Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje skelbia trečiųjų valstybių, teritorijų ir nurodytų sektorių trečiosiose valstybėse, taip pat tarptautinių organizacijų, kurie, kaip ji nusprendė, užtikrina tinkamo lygio apsaugą arba jos nebeužtikrina, sąrašą.

    37 straipsnis

    Duomenų perdavimas taikant tinkamas apsaugos priemones

    1.   Jeigu nepriimtas sprendimas pagal 36 straipsnio 3 dalį, valstybės narės numato, kad asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai gali būti atliekamas, jeigu:

    a)

    su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės yra numatytos teisiškai privalomame dokumente, arba

    b)

    duomenų valdytojas įvertino visas su asmens duomenų perdavimu susijusias aplinkybes ir daro išvadą, kad nustatytos tinkamos su asmens duomenų apsauga susijusios apsaugos priemonės.

    2.   Duomenų valdytojas informuoja priežiūros instituciją apie duomenų perdavimo pagal 1 dalies b punktą kategorijas.

    3.   Jeigu duomenų perdavimas grindžiamas 1 dalies b punktu, toks perdavimas dokumentuojamas, ir dokumentai, gavus prašymą, pateikiami priežiūros institucijai, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie gaunančiąją kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

    38 straipsnis

    Konkrečioms situacijoms taikomos nukrypti leidžiančios nuostatos

    1.   Jeigu nepriimtas sprendimas dėl tinkamumo pagal 36 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 37 straipsnį, valstybės narės numato, kad asmens duomenų arba tam tikros kategorijos asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai gali būti atliekamas tik su sąlyga, kad perduoti duomenis būtina:

    a)

    kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai;

    b)

    kad būtų apsaugoti teisėti duomenų subjekto interesai, kai tai numatyta asmens duomenis perduodančios valstybės narės teisėje;

    c)

    kad būtų užkirstas kelias tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui;

    d)

    individualiais atvejais 1 straipsnio 1 dalyje išdėstytais tikslais, arba

    e)

    atskiru atveju, kad būtų nustatyti, vykdomi ar ginami teisiniai reikalavimai, susiję su 1 straipsnio 1 dalyje išdėstytais tikslais.

    2.   Asmens duomenys negali būti perduodami, jeigu duomenis perduodanti kompetentinga institucija nustato, kad atitinkamo duomenų subjekto pagrindinės teisės ir laisvės yra viršesnės už 1 dalies d ir e punktuose nurodytą viešąjį interesą, dėl kurio duomenis reikia perduoti.

    3.   Jeigu duomenų perdavimas grindžiamas 1 dalimi, toks perdavimas dokumentuojamas ir dokumentai, gavus prašymą, turi būti pateikti priežiūros institucijai, nurodant duomenų perdavimo datą ir laiką, informaciją apie gaunančiąją kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

    39 straipsnis

    Asmens duomenų perdavimai trečiosiose valstybėse įsteigtiems duomenų gavėjams

    1.   Nukrypstant nuo 35 straipsnio 1 dalies b punkto ir nedarant poveikio šio straipsnio 2 dalyje nurodytiems tarptautiniams susitarimams, Sąjungos arba valstybės narės teisėje gali būti numatyta, kad 3 straipsnio 7 punkto a papunktyje nurodytos kompetentingos institucijos individualiais ir konkrečiais atvejais asmens duomenis trečiosiose valstybėse įsteigtiems duomenų gavėjams tiesiogiai perduoda tik tuo atveju, jeigu laikomasi kitų šios direktyvos nuostatų ir yra tenkinamos visos šios sąlygos:

    a)

    perduoti duomenis tikrai būtina siekiant įvykdyti duomenis perduodančios kompetentingos institucijos užduotį, kaip numatyta Sąjungos arba valstybės narės teisėje, 1 straipsnio 1 dalyje išdėstytais tikslais;

    b)

    duomenis perduodanti kompetentinga institucija nustato, kad jokios atitinkamo duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės už viešąjį interesą, dėl kurio konkrečiu atveju būtina perduoti duomenis;

    c)

    duomenis perduodanti kompetentinga institucija laikosi nuomonės, kad duomenų perdavimas institucijai, kuri trečiojoje valstybėje yra kompetentinga 1 straipsnio 1 dalyje nurodytais tikslais, yra neveiksmingas arba netinkamas, visų pirma dėl to, kad perdavimo neįmanoma atlikti laiku;

    d)

    1 straipsnio 1 dalyje nurodytais tikslais kompetentinga institucija trečiojoje valstybėje nepagrįstai nedelsiant apie tai informuojama, išskyrus atvejus, kai tai yra neveiksminga arba netinkama;

    e)

    duomenis perduodanti kompetentinga institucija informuoja gavėją apie konkrečiai nustatytą tikslą ar tikslus, kuriais jis asmens duomenis gali tvarkyti, su sąlyga, kad toks duomenų tvarkymas yra būtinas.

    2.   1 dalyje nurodyti tarptautiniai susitarimai yra bet kokie dvišaliai ar daugiašaliai tarptautiniai susitarimai, galiojantys tarp valstybių narių ir trečiųjų valstybių teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje.

    3.   Duomenis perduodanti kompetentinga institucija informuoja priežiūros instituciją apie duomenų perdavimus pagal šį straipsnį.

    4.   Jeigu duomenų perdavimas grindžiamas 1 dalimi, toks perdavimas dokumentuojamas.

    40 straipsnis

    Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

    Trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu Komisija ir valstybės narės imasi tinkamų veiksmų siekiant:

    a)

    kurti tarptautinius bendradarbiavimo mechanizmus, kad būtų lengviau veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

    b)

    teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga ir kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

    c)

    atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – skatinti tarptautinį bendradarbiavimą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą,

    d)

    skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis srityje, ir juos dokumentuoti.

    VI SKYRIUS

    Nepriklausomos priežiūros institucijos

    1 skirsnis

    Nepriklausomas statusas

    41 straipsnis

    Priežiūros institucija

    1.   Kiekviena valstybė narė numato, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šios direktyvos taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir palengvintas laisvas asmens duomenų judėjimas Sąjungoje (toliau – priežiūros institucija).

    2.   Kiekviena priežiūros institucija padeda nuosekliai taikyti šią direktyvą visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija, vadovaudamosi VII skyriumi.

    3.   Valstybės narės gali nustatyti, kad pagal Reglamentą (ES) 2016/679 įsteigta priežiūros institucija turi būti šioje direktyvoje nurodyta priežiūros institucija ir kad ji turi prisiimti atsakomybę už priežiūros institucijos, kuri turi būti įsteigta pagal šio straipsnio 1 dalį, užduočių vykdymą.

    4.   Jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri atstovauja toms institucijoms 51 straipsnyje nurodytoje Valdyboje.

    42 straipsnis

    Nepriklausomumas

    1.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija, vykdydama jai pavestas užduotis ir naudodamasi jai suteiktais įgaliojimais pagal šią direktyvą, veikia visiškai nepriklausomai.

    2.   Valstybės narės numato, kad jų priežiūros institucijos narys arba nariai, vykdydami savo užduotis ir naudodamiesi savo įgaliojimais pagal šią direktyvą, negali priklausyti nei nuo tiesioginės, nei nuo netiesioginės išorės įtakos ir negali prašyti bei priimti jokių nurodymų.

    3.   Valstybių narių priežiūros institucijų nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir savo kadencijos metu nedirba jokio nesuderinamo – mokamo ar nemokamo – darbo.

    4.   Kiekviena valstybė narė užtikrina, kad kiekvienai priežiūros institucijai būtų suteikti žmogiškieji, techniniai ir finansiniai ištekliai, patalpos ir infrastruktūra, kurie yra būtini, kad ji veiksmingai vykdytų savo užduotis ir naudotųsi savo įgaliojimais, įskaitant užduotis ir įgaliojimus, vykdytinus savitarpio pagalbos srityje, bendradarbiaujant ir dalyvaujant Valdybos veikloje.

    5.   Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija pasirinktų ir turėtų savo darbuotojus, kuriems vadovautų vien tik tos atitinkamos priežiūros institucijos narys ar nariai.

    6.   Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui ir kad ji turėtų atskirą viešą metinį biudžetą, kuris gali būti viso valstybės ar nacionalinio biudžeto dalis.

    43 straipsnis

    Bendrieji reikalavimai priežiūros institucijos nariams

    1.   Valstybės narės numato, kad kiekvieną jų priežiūros institucijų narį, taikant skaidrią procedūrą, skiria:

    jų parlamentas;

    jų Vyriausybė;

    jų valstybės vadovas, arba

    nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta skirti narius.

    2.   Kiekvienas narys turi turėti jo pareigoms atlikti ir įgaliojimais naudotis būtiną kvalifikaciją, patirtį ir gebėjimus, visų pirma asmens duomenų apsaugos srityje.

    3.   Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis atitinkamos valstybės narės teisės.

    4.   Narys atleidžiamas iš pareigų tik sunkaus nusižengimo atveju arba tuo atveju, jeigu nebeatitinka jo pareigoms atlikti keliamų reikalavimų.

    44 straipsnis

    Priežiūros institucijos įsteigimo taisyklės

    1.   Kiekviena valstybė narė teisės aktais numato visus šiuos elementus:

    a)

    kiekvienos priežiūros institucijos įsteigimą;

    b)

    kvalifikaciją ir tinkamumo sąlygas, kurias turi atitikti asmuo, kad galėtų būti paskirtas kiekvienos priežiūros institucijos nariu;

    c)

    kiekvienos priežiūros institucijos nario ar narių skyrimo taisykles ir procedūras;

    d)

    kiekvienos priežiūros institucijos nario arba narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus dalį pirmųjų narių, skiriamų po 2016 m. gegužės 6 d., kurių kadencija gali būti trumpesnė, jeigu tai yra būtina siekiant išsaugoti priežiūros institucijos nepriklausomumą, taikant laipsnišką skyrimo procedūrą;

    e)

    tai, ar kiekvienos priežiūros institucijos nario arba narių kadencija gali būti atnaujinama, ir jei taip – kelioms kadencijoms,

    f)

    sąlygas, reglamentuojančias kiekvienos priežiūros institucijos nario arba narių ir darbuotojų prievoles, draudimą kadencijos metu ir jai pasibaigus imtis veiksmų, dirbti darbą ir gauti naudos, kurie yra nesuderinami su tomis prievolėmis, ir darbo nutraukimą reglamentuojančias taisykles.

    2.   Kiekvienos priežiūros institucijos narys arba nariai ir darbuotojai kadencijos metu ir jai pasibaigus įpareigojami pagal Sąjungos arba valstybės narės teisę saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais. Jų kadencijos metu ta pareiga saugoti profesinę paslaptį visų pirma taikoma fizinių asmenų pranešimams apie šios direktyvos pažeidimus.

    2 skirsnis

    Kompetencija, užduotys ir įgaliojimai

    45 straipsnis

    Kompetencija

    1.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija savo valstybės narės teritorijoje turi turėti kompetenciją vykdyti pagal šią direktyvą jai pavestas užduotis ir naudotis pagal šią direktyvą jai suteiktais įgaliojimais.

    2.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija neturi kompetencijos vykdyti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdantys savo teismines funkcijas, priežiūrą. Valstybės narės gali numatyti, kad jų priežiūros institucija neturi kompetencijos prižiūrėti duomenų tvarkymo operacijas, kurias atlieka kitos nepriklausomos teisminės institucijos, vykdančios savo teismines funkcijas.

    46 straipsnis

    Užduotys

    1.   Kiekviena valstybė narė numato, kad jos teritorijoje kiekviena priežiūros institucija:

    a)

    stebi ir užtikrina šios direktyvos ir jos įgyvendinimo priemonių taikymą;

    b)

    didina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir jų supratimą;

    c)

    pagal valstybės narės teisę teikia nacionaliniam parlamentui, Vyriausybei ir kitoms institucijoms bei įstaigoms patarimus dėl teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis;

    d)

    didina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šią direktyvą;

    e)

    gavusi prašymą bet kuriam duomenų subjektui teikia informaciją apie naudojimąsi jo teisėmis pagal šią direktyvą ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

    f)

    nagrinėja skundus, kuriuos pagal 55 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

    g)

    tikrina duomenų tvarkymo teisėtumą pagal 17 straipsnį ir per pagrįstą laikotarpį informuoja duomenų subjektą pagal to straipsnio 3 dalį apie patikrinimo rezultatus arba apie priežastis, dėl kurių patikrinimas nebuvo atliekamas;

    h)

    bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijantis informacija, ir teikia joms savitarpio pagalbą, siekiant užtikrinti, kad ši direktyva būtų taikoma ir vykdoma nuosekliai;

    i)

    atlieka tyrimus dėl šios direktyvos taikymo, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

    j)

    stebi susijusius įvykius, jei jie daro poveikį asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų raidą;

    k)

    teikia patarimus dėl 28 straipsnyje nurodytų duomenų tvarkymo operacijų, ir

    l)

    prisideda prie Valdybos veiklos.

    2.   Kiekviena priežiūros institucija imasi priemonių, kad sudarytų palankesnes sąlygas teikti 1 dalies f punkte nurodytus skundus, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

    3.   Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir duomenų apsaugos pareigūno atžvilgiu atlieka nemokamai.

    4.   Jeigu prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl jo pasikartojančio pobūdžio, priežiūros institucija gali imti pagrįstą mokestį, remiantis jos administracinėmis išlaidomis, arba gali atsisakyti imtis veiksmų pagal prašymą. Pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka priežiūros institucijai.

    47 straipsnis

    Įgaliojimai

    1.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus tyrimo įgaliojimus. Tie įgaliojimai apima bent įgaliojimą iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais tvarkomais asmens duomenimis ir visa jos užduotims atlikti būtina informacija.

    2.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus įgaliojimus imtis taisomųjų veiksmų, pavyzdžiui:

    a)

    įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos pagal šią direktyvą priimtos nuostatos;

    b)

    nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su pagal šią direktyvą priimtomis nuostatomis, atitinkamais atvejais – nustatytu būdu ir per nustatytą laikotarpį, visų pirma nurodant pagal 16 straipsnį ištaisyti ar ištrinti asmens duomenis arba apriboti duomenų tvarkymą;

    c)

    laikinai arba galutinai nustatyti duomenų tvarkymo apribojimą, be kita ko, uždrausti tvarkyti duomenis.

    3.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus patariamuosius įgaliojimus teikti patarimus duomenų valdytojui pagal 28 straipsnyje nurodytą išankstinių konsultacijų procedūrą ir savo iniciatyva arba gavus prašymą teikti nuomones jos nacionaliniam parlamentui, Vyriausybei arba, vadovaujantis savo nacionaline teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais.

    4.   Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje laikantis Chartijos.

    5.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti įgaliojimą atkreipti teisminių institucijų dėmesį į pagal šią direktyvą priimtų nuostatų pažeidimus ir prireikus pradėti teisminį procesą arba kitaip dalyvauti teisminiame procese, siekiant užtikrinti pagal šią direktyvą priimtų nuostatų vykdymą.

    48 straipsnis

    Pranešimas apie pažeidimus

    Valstybės narės numato, kad kompetentingos institucijos turi įdiegti veiksmingus mechanizmus, kuriais būtų skatinama konfidencialiai pranešti apie šios direktyvos pažeidimus.

    49 straipsnis

    Veiklos ataskaita

    Kiekviena priežiūros institucija parengia metinę savo veiklos ataskaitą; ji gali apimti pažeidimų, apie kuriuos buvo pranešta, rūšių ir taikytų sankcijų rūšių sąrašą. Tos ataskaitos perduodamos nacionaliniam parlamentui, Vyriausybei ir kitoms institucijoms, kaip nurodyta valstybės narės teisėje. Jos pateikiamos visuomenei, Komisijai ir Valdybai.

    VII SKYRIUS

    Bendradarbiavimas

    50 straipsnis

    Savitarpio pagalba

    1.   Kiekviena valstybė narė numato, kad jų priežiūros institucija teikia viena kitai atitinkamą informaciją ir savitarpio pagalbą, siekiant, kad ši direktyva būtų įgyvendinta ir taikoma nuosekliai, ir įdiegtų veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, pavyzdžiui, prašymais vykdyti konsultacijas, patikrinimus ir tyrimus.

    2.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, į jį atsakytų. Tokios priemonės gali būti, be kita ko, visų pirma svarbios informacijos apie tyrimo eigą perdavimas.

    3.   Pagalbos prašymuose nurodoma visa būtina informacija, įskaitant prašymo tikslą ir prašymo priežastis. Pasikeista informacija naudojamasi tik tuo tikslu, kuriuo jos buvo prašoma.

    4.   Prašymą gavusi priežiūros institucija negali atsisakyti prašymo patenkinti, išskyrus atvejus, kai:

    a)

    ji nėra kompetentinga prašymo dalyko arba priemonių, kurias jos prašoma vykdyti, srityje, arba

    b)

    prašymo patenkinimas pažeistų šią direktyvą arba Sąjungos ar valstybės narės teisę, kuri taikoma prašymą gaunančiai priežiūros institucijai.

    5.   Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie prašymo rezultatus arba atitinkamai jo eigą arba priemones, kurių imtasi siekiant į jį atsakyti. Prašymą gavusi priežiūros institucija pateikia atsisakymo patenkinti prašymą priežastis pagal 4 dalį.

    6.   Prašymą gavusios priežiūros institucijos paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamosi standartizuota forma.

    7.   Prašymą gavusios priežiūros institucijos už veiksmus, kurių jos imasi pagal savitarpio pagalbos prašymą, mokesčio neima. Priežiūros institucijos gali tarpusavyje susitarti dėl taisyklių, susijusių su kompensacija viena kitai už specialias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

    8.   Komisija gali įgyvendinimo aktais nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos, tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarką. Tie įgyvendinimo aktai priimami laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

    51 straipsnis

    Valdybos užduotys

    1.   Reglamentu (ES) 2016/679 įsteigta Valdyba atlieka visas šias su duomenų tvarkymu pagal šią direktyvą susijusias užduotis:

    a)

    teikia patarimus Komisijai visais klausimais, susijusiais su asmens duomenų apsauga Sąjungoje, be kita ko, dėl visų siūlomų šios direktyvos pakeitimų;

    b)

    savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šios direktyvos taikymu, ir skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šią direktyvą taikyti nuosekliai;

    c)

    parengia priežiūros institucijoms skirtas gaires dėl 47 straipsnio 1 ir 3 dalyse nurodytų priemonių taikymo;

    d)

    skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius pagal šios pastraipos b punktą dėl asmens duomenų saugumo pažeidimų ir 30 straipsnio 1 ir 2 dalyse nurodyto nepagrįsto delsimo nustatymo, taip pat dėl konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas privalo pranešti apie asmens duomenų saugumo pažeidimą;

    e)

    skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius pagal šios pastraipos b punktą dėl aplinkybių, kuriomis dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 31 straipsnio 1 dalyje;

    f)

    peržiūri b ir c punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos praktinį taikymą;

    g)

    pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje, teritorijoje ar viename ar keliuose nurodytuose sektoriuose trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar tokia trečioji valstybė, teritorija, nurodytas sektorius arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos;

    h)

    skatina priežiūros institucijų bendradarbiavimą ir jų veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

    i)

    skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, atitinkamais atvejais, darbuotojų mainus su trečiųjų valstybių arba tarptautinių organizacijų priežiūros institucijomis;

    j)

    skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisę ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje.

    Pirmos pastraipos g punkto tikslu Komisija pateikia Valdybai visą reikiamą dokumentaciją, įskaitant korespondenciją su trečiosios valstybės Vyriausybe, teritorija ar nustatytu sektoriumi sektoriaus toje trečiojoje valstybėje, arba su tarptautine organizacija.

    2.   Jeigu Komisija prašo Valdybos patarimo, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

    3.   Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai ir 58 straipsnio 1 dalyje nurodytam komitetui, ir skelbia juos viešai.

    4.   Komisija informuoja Valdybą apie veiksmus, kurių ji ėmėsi atsižvelgdama į Valdybos paskelbtas nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius.

    VIII SKYRIUS

    Teisių gynimo priemonės, atsakomybė ir sankcijos

    52 straipsnis

    Teisė pateikti skundą priežiūros institucijai

    1.   Nedarant poveikio kitoms administracinėms arba teisminėms teisių gynimo priemonėms, valstybės narės numato kiekvieno duomenų subjekto teisę pateikti skundą vienai priežiūros institucijai, jeigu duomenų subjektas mano, kad su juo susiję asmens duomenys tvarkomi pažeidžiant pagal šią direktyvą priimtas nuostatas.

    2.   Valstybės narės numato, kad priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama jį perduoda kompetentingai priežiūros institucijai, jeigu skundas nepateikiamas pagal 45 straipsnio 1 dalį kompetentingai priežiūros institucijai. Duomenų subjektas informuojamas apie šį perdavimą.

    3.   Valstybės narės numato, kad priežiūros institucija, kuriai pateiktas skundas, duomenų subjekto prašymu teikia tolesnę pagalbą.

    4.   Kompetentinga priežiūros institucija informuoja duomenų subjektą apie skundo nagrinėjimo eigą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 53 straipsnį.

    53 straipsnis

    Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją

    1.   Nedarant poveikio kitoms administracinėms arba neteisminėms teisių gynimo priemonėms, valstybės narės numato fizinio ar juridinio asmens teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

    2.   Nedarant poveikio kitoms administracinėms arba neteisminėms teisių gynimo priemonėms, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu pagal 45 straipsnio 1 dalį kompetentinga priežiūros institucija skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 52 straipsnį pateikto skundo nagrinėjimo eigą arba rezultatus.

    3.   Valstybės narės numato, kad byla priežiūros institucijai turi būti keliama valstybės narės, kurioje priežiūros institucija yra įsteigta, teismuose.

    54 straipsnis

    Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

    Nedarant poveikio jokioms galimoms administracinėms arba neteisminėms teisių gynimo priemonėms, įskaitant teisę pateikti skundą priežiūros institucijai pagal 52 straipsnį, valstybės narės numato duomenų subjekto teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu jis mano, kad jo teisės, nustatytos pagal šią direktyvą priimtose nuostatose, buvo pažeistos dėl jo asmens duomenų tvarkymo nesilaikant tų nuostatų.

    55 straipsnis

    Atstovavimas duomenų subjektams

    Valstybės narės, vadovaudamosi savo proceso teise, numato duomenų subjekto teisę įgalioti pelno nesiekiančią įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę, kurios statutiniai tikslai atitinka viešąjį interesą ir kuri vykdo veiklą duomenų subjektų teisių ir laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 52, 53 ir 54 straipsniuose.

    56 straipsnis

    Teisė į kompensaciją

    Valstybės narės numato, kad asmuo, patyręs materialinę ar nematerialinę žalą dėl neteisėtos duomenų tvarkymo operacijos arba dėl kito veiksmo, kuriuo pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, turi teisę iš duomenų valdytojo arba kitos pagal valstybės narės teisę kompetentingos institucijos gauti kompensaciją už patirtą žalą.

    57 straipsnis

    Sankcijos

    Valstybės narės nustato taisykles dėl sankcijų, taikytinų už pagal šią direktyvą priimtų nuostatų pažeidimus, ir imasi visų būtinų priemonių, kad būtų užtikrintas jų vykdymas. Numatytos sankcijos yra veiksmingos, proporcingos ir atgrasomos.

    IX SKYRIUS

    Įgyvendinimo aktai

    58 straipsnis

    Komiteto procedūra

    1.   Komisijai padeda komitetas, įsteigtas pagal Reglamento (ES) 2016/679 93 straipsnį. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

    2.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

    3.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

    X SKYRIUS

    Baigiamosios nuostatos

    59 straipsnis

    Pamatinio sprendimo 2008/977/TVR panaikinimas

    1.   Pamatinis sprendimas 2008/977/TVR panaikinamas nuo 2018 m. gegužės 6 d.

    2.   Nuorodos į 1 dalyje nurodytą panaikintą sprendimą laikomos nuorodomis į šią direktyvą.

    60 straipsnis

    Jau galiojantys Sąjungos teisės aktai

    Į šios direktyvos taikymo sritį patenkančios specialios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje priimtų Sąjungos teisės aktų, kurie įsigaliojo 2016 m. gegužės 6 d. arba anksčiau ir kuriais reglamentuojamas tarp valstybių narių vykdomas duomenų tvarkymas ir valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, nuostatos dėl asmens duomenų apsaugos lieka nepakitusios.

    61 straipsnis

    Ryšys su pirmiau sudarytais tarptautiniais susitarimais dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo

    Su asmens duomenų perdavimu trečiosioms valstybėms arba tarptautinėms organizacijoms susiję tarptautiniai susitarimai, kuriuos valstybės narės sudarė prieš 2016 m. gegužės 6 d. ir kurie atitinka Sąjungos teisę, taikytiną prieš tą datą, lieka galioti tol, kol bus iš dalies pakeisti, pakeisti naujais susitarimais arba panaikinti.

    62 straipsnis

    Komisijos ataskaitos

    1.   Komisija ne vėliau kaip 2022 m. gegužės 6 d. ir po to kas ketverius metus teikia Europos Parlamentui ir Tarybai šios direktyvos vertinimo ir peržiūros ataskaitas. Ataskaitos padaromos viešai prieinamomis.

    2.   Komisija, atlikdama 1 dalyje nurodytus vertinimus ir peržiūras, visų pirma išnagrinėja, kaip taikomos ir kaip veikia V skyrius dėl asmens duomenų perdavimo trečiosioms valstybėms arba tarptautinėms organizacijoms, ypač daug dėmesio skirdama sprendimams, priimtiems pagal 36 straipsnio 3 dalį ir 39 straipsnį.

    3.   Taikydama 1 ir 2 dalis Komisija gali prašyti, kad valstybės narės ir priežiūros institucijos suteiktų informacijos.

    4.   Atlikdama 1 ir 2 dalyse nurodytus vertinimus ir peržiūras Komisija atsižvelgia į Europos Parlamento, Tarybos ir kitų atitinkamų įstaigų ar šaltinių pozicijas ir išvadas.

    5.   Komisija prireikus pateikia atitinkamus pasiūlymus iš dalies pakeisti šią direktyvą, visų pirma atsižvelgiant į informacinių technologijų plėtrą ir informacinės visuomenės pažangos būklę.

    6.   Komisija ne vėliau kaip 2019 m. gegužės 6 d. peržiūri kitus Sąjungos priimtus teisės aktus, kuriais reglamentuojamas kompetentingų institucijų vykdomas duomenų tvarkymas 1 straipsnio 1 dalyje išdėstytais tikslais, įskaitant nurodytuosius 60 straipsnyje, siekdama įvertinti, ar reikia juos suderinti su šia direktyva ir, kai tinkama, pateikti būtinus pasiūlymus iš dalies pakeisti tuos aktus, kad būtų užtikrintas nuoseklus požiūris į asmens duomenų apsaugą šios direktyvos taikymo srityje.

    63 straipsnis

    Perkėlimas

    1.   Valstybės narės ne vėliau kaip 2018 m. gegužės 6 d. priima ir paskelbia įstatymus ir kitus teisės aktus, būtinus, kad būtų laikomasi šios direktyvos. Jos nedelsdamos pateikia Komisijai tų teisės aktų nuostatų tekstą. Tas nuostatas jos taiko nuo 2018 m. gegužės 6 d.

    Valstybės narės, priimdamos tas nuostatas, daro jose nuorodą į šią direktyvą arba tokia nuoroda daroma jas oficialiai skelbiant. Nuorodos darymo tvarką nustato valstybės narės.

    2.   Nukrypstant nuo 1 dalies, valstybė narė gali nustatyti, kad išimtiniais atvejais, jeigu reikia neproporcingai didelių pastangų, iki 2016 m. gegužės 6 d. sukurtos automatizuotos duomenų tvarkymo sistemos turi būti suderintos su 25 straipsnio 1 dalies reikalavimais ne vėliau kaip 2023 m. gegužės 6 d.

    3.   Nukrypstant nuo šio straipsnio 1 ir 2 dalių, valstybė narė išimtinėmis aplinkybėmis gali automatizuotą duomenų tvarkymo sistemą, kaip nurodyta šio straipsnio 2 dalyje, suderinti su 25 straipsnio 1 dalimi per nustatytą laikotarpį pasibaigus šio straipsnio 2 dalyje nurodytam laikotarpiui, jeigu priešingu atveju būtų sukelta didelių sunkumų norint eksploatuoti tą konkrečią automatizuotą duomenų tvarkymo sistemą. Atitinkama valstybė narė praneša Komisijai tų didelių sunkumų priežastis ir nustatyto laikotarpio, per kurį ji tą konkrečią automatizuotą duomenų tvarkymo sistemą turi suderinti su 25 straipsnio 1 dalimi, pagrindimą. Nustatytas laikotarpis jokiu būdu negali ilgesnis nei 2026 m. gegužės 6 d.

    4.   Valstybės narės pateikia Komisijai šios direktyvos taikymo srityje priimtų nacionalinės teisės aktų pagrindinių nuostatų tekstus.

    64 straipsnis

    Įsigaliojimas

    Ši direktyva įsigalioja kitą dieną po jos paskelbimo Europos Sąjungos oficialiajame leidinyje.

    65 straipsnis

    Adresatai

    Ši direktyva skirta valstybėms narėms.

    Priimta Briuselyje 2016 m. balandžio 27 d.

    Europos Parlamento vardu

    Pirmininkas

    M. SCHULZ

    Tarybos vardu

    Pirmininkė

    J.A. HENNIS-PLASSCHAERT


    (1)  OL C 391, 2012 12 18, p. 127.

    (2)  2014 m. kovo 12 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2016 m. balandžio 8 d. Tarybos pozicija, priimta per pirmąjį svarstymą (dar nepaskelbta Oficialiajame leidinyje). 2016 m. balandžio 14 d. Europos Parlamento pozicija.

    (3)  1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

    (4)  2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos (OL L 350, 2008 12 30, p. 60).

    (5)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (Žr. šio Oficialiojo leidinio p. 1).

    (6)  2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

    (7)  2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45).

    (8)  2005 m. sausio 24 d. Tarybos bendroji pozicija 2005/69/TVR dėl keitimosi tam tikrais duomenimis su Interpolu (OL L 27, 2005 1 29, p. 61).

    (9)  2007 m. birželio 12 d. Tarybos sprendimas 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (OL L 205, 2007 8 7, p. 63).

    (10)  1977 m. kovo 22 d. Tarybos direktyva 77/249/EEB, skirta padėti teisininkams veiksmingai naudotis laisve teikti paslaugas (OL L 78, 1977 3 26, p. 17).

    (11)  2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

    (12)  2008 m. birželio 23 d. Tarybos sprendimas 2008/615/TVR dėl tarpvalstybinio bendradarbiavimo gerinimo, visų pirma kovos su terorizmu ir tarpvalstybiniu nusikalstamumu srityje (OL L 210, 2008 8 6, p. 1).

    (13)  2000 m. gegužės 29 d. Tarybos aktas, pagal Europos Sąjungos sutarties 34 straipsnį patvirtinantis Konvenciją dėl Europos Sąjungos valstybių narių savitarpio pagalbos baudžiamosiose bylose (OL C 197, 2000 7 12, p. 1).

    (14)  2011 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyva 2011/93/ES dėl kovos su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, kuria pakeičiamas Tarybos pamatinis sprendimas 2004/68/TVR (OL L 335, 2011 12 17, p. 1).

    (15)  OL L 176, 1999 7 10, p. 36.

    (16)  OL L 53, 2008 2 27, p. 52.

    (17)  OL L 160, 2011 6 18, p. 21.

    (18)  OL C 192, 2012 6 30, p. 7.


    Top