(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo 16 straipsnio 1 dalyje nustatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą. Chartijos 8 straipsnio 2 dalyje nustatyta, kad tokie duomenys turi būti tinkamai tvarkomi ir naudojami tik konkretiems tikslams ir tik atitinkamam asmeniui sutikus ar kitais įstatymo nustatytais teisėtais pagrindais ; [1 pakeit.]

(2)

asmens duomenų tvarkymo paskirtis – tarnauti žmogui; fizinių asmenų apsaugos principais ir taisyklėmis, taikomais tvarkant jų asmens duomenis, turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Tai turėtų padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę;

(3)

dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Stipriai išaugo duomenų rinkimo ir keitimosi jais mastas. Technologijos leidžia kompetentingoms institucijoms vykdant savo veiklą precedento neturinčiu mastu naudotis asmens duomenimis;

(4)

todėl kai būtina ir proporcinga, reikia palengvinti laisvą duomenų judėjimą tarp Sąjungos kompetentingų institucijų ir jų perdavimą į trečiąsias šalis bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį. Dėl šių pokyčių Sąjungoje reikia nustatyti tvirtus ir nuoseklesnius duomenų apsaugos reglamentavimo pagrindus, kurie būtų griežtai įgyvendinami; [2 pakeit.]

(5)

Europos Parlamento ir Tarybos direktyva 95/46/EB (3) taikoma visai asmens duomenų tvarkymo veiklai valstybėse narėse tiek viešajame, tiek privačiajame sektoriuose. Tačiau ji netaikoma tvarkant asmens duomenis, kai yra užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, pvz., veikla teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

(6)

Tarybos pamatinis sprendimas 2008/977/TVR (4) taikomas teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse. Šis pamatinis sprendimas taikomas tik tarp valstybių narių persiųstų asmens duomenų ar duomenų, kuriais naudotis sudaryta galimybė, tvarkymui;

(7)

siekiant užtikrinti veiksmingą teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą, labai svarbu užtikrinti vienodą aukšto lygio asmens duomenų apsaugą ir taip palengvinti valstybių narių kompetentingų institucijų keitimąsi asmens duomenimis. Todėl visose valstybėse narėse turi būti užtikrinta lygiavertė fizinių asmenų teisių ir laisvių apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais. Visoje Sąjungoje turėtų būti užtikrinamas nuoseklus ir vienodas fizinių asmenų pagrindinių teisių ir laisvių apsaugos tvarkant asmens duomenis taisyklių taikymas. Siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik stiprinti duomenų subjektų teises ir asmens duomenis tvarkančiųjų pareigas, bet ir nustatyti lygiaverčius priežiūros įgaliojimus valstybėse narėse bei užtikrinti, kad būtų laikomasi asmens duomenų apsaugos taisyklių; [3 pakeit.]

(8)

Sutarties dėl Europos Sąjungos veikimo 16 straipsnio 2 dalyje nustatyta, kad Europos Parlamentas ir Taryba turėtų nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo jų asmens duomenų judėjimo taisykles; [4 pakeit.]

(9)

tuo remiantis, Europos Parlamento ir Tarybos reglamente (ES) Nr…/2014 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) nustatytos bendrosios taisyklės, kuriomis užtikrinama fizinių asmenų apsauga tvarkant asmens duomenis ir užtikrinamas laisvas asmens duomenų judėjimas Sąjungoje;

(10)

21-oje deklaracijoje dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, Konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio šiose srityse gali reikėti konkrečių taisyklių dėl asmens duomenų apsaugos ir laisvo šių duomenų judėjimo, pagrįstų Sutarties dėl Europos Sąjungos veikimo 16 straipsniu;

(11)

todėl atskiroje specialioje direktyvoje turėtų būti atsižvelgta į ypatingą šių sričių pobūdį ir turėtų būti nustatytos fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais taisyklės; [5 pakeit.]

(12)

siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį visoje Sąjungoje nustačius teisiškai įgyvendinamas teises ir pašalinti skirtumus, kurie trukdo kompetentingoms institucijoms keistis asmens duomenimis, direktyva turėtų būti nustatytos suderintos asmens duomenų apsaugos ir laisvo judėjimo teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse taisyklės;

(13)

taikant šios direktyvos nuostatas galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą;

(14)

šia direktyva fiziniams asmenims turėtų būti užtikrinama apsauga tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą;

(15)

fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir nepriklausyti nuo naudojamų metodų; priešingu atveju iškiltų rimta teisės aktų apėjimo grėsmė. fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Ši direktyva neturėtų būti taikoma pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams. Ši direktyva neturėtų būti taikoma, kai asmens duomenys tvarkomi vykdant Sąjungos teisės nereglamentuojamą veiklą., visų pirma susijusią su nacionaliniu saugumu, arba duomenims, kuriuos tvarko Sąjungos institucijos, įstaigos, organai ir agentūros, pavyzdžiui, Europolas ar Eurojustas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001  (5) ir konkrečios teisinės priemonės, taikomos Sąjungos agentūroms, įstaigoms arba organams, turėtų būti suderintos su šia direktyva ir taikomos remiantis šia direktyva ; [6 pakeit.]

(16)

apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra žinoma arba gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei nustatyti arba asmeniui išskirti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo. Duomenų apsaugos principai neturėtų būti taikomi duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė nebegali būti nustatyta. Ši direktyva neturėtų būti taikoma anoniminiams duomenims, t. y. bet kokiems duomenims, kurių negalima tiesiogiai ar netiesiogiai, vienų ar kartu su susijusiais duomenimis susieti su fiziniu asmeniu. Atsižvelgiant į šiuo metu vykstančių informacinės visuomenės pokyčių ir metodų, kuriais naudojamasi fizinių asmenų vietos nustatymo duomenims rinkti, persiųsti, apdoroti, įrašyti, saugoti ar perduoti ir kurie gali būti naudojami įvairiems tikslams, įskaitant sekimą ar profilių kūrimą, svarbą, ši direktyva turėtų būti taikoma tvarkant ir tokius asmens duomenis ; [7 pakeit.]

(16a)

asmens duomenys turėtų būti tvarkomi teisėtai, sąžiningai ir skaidriai suinteresuotųjų asmenų atžvilgiu. Visų pirma konkretūs tikslai, dėl kurių tvarkomi duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, aktualūs ir jų apimtis neturėtų viršyti būtinų tikslų, dėl kurių jie tvarkomi. Todėl visų pirma reikia griežtai iki minimumo riboti duomenų rinkimą ir jų saugojimo laikotarpį. Asmens duomenys turėtų būti tvarkomi tik jeigu duomenų tvarkymo tikslo negalima pasiekti kitomis priemonėmis. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Siekiant užtikrinti, kad duomenys nebūtų saugomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus; [8 pakeit.]

(17)

prie asmens sveikatos duomenų turėtų būti priskirta visa informacija apie duomenų subjekto sveikatos būklę, informacija apie asmens registraciją sveikatos priežiūros paslaugoms gauti; informacija apie apmokėjimą ar asmens teisę į sveikatos priežiūrą; asmens numeris, simbolis ar žymė, pagal kurią būtų galima nustatyti asmens tapatybę sveikatos priežiūros tikslais; visa informacija apie asmenį, kuri buvo surinkta jam teikiant sveikatos priežiūros paslaugas; informacija, gauta atliekant kūno dalies ar medžiagos tyrimus, įskaitant biologinius ėminius; asmeniui sveikatos priežiūros paslaugas teikiančio paslaugų teikėjo tapatybė; arba bet kokia informacija, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba faktinę duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pvz., ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos prietaiso ar in vitro diagnostinio tyrimo;

(18)

asmens duomenys turi būti tvarkomi sąžiningai ir teisėtai suinteresuotųjų asmenų atžvilgiu. Visų pirma turėtų būti aiškūs konkretūs tikslai, dėl kurių tvarkomi duomenys; [9 pakeit.]

(19)

nusikalstamų veikų prevencijos, tyrimo ir traukimo baudžiamojon atsakomybėn už jas tikslais kompetentingoms institucijoms būtina saugoti ir tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, tyrimą, jas nustatant ar traukiant baudžiamojon atsakomybėn už jas, tačiau neapsiribojant šiuo tikslu, kad būtų galima nustatyti ir suprasti nusikalstamus reiškinius ir tendencijas, rinkti žvalgybos informaciją apie organizuotų nusikaltėlių tinklus ir nustatyti sąsajas tarp skirtingų nustatytų veikų; [10 pakeit.]

(20)

asmens duomenys neturėtų būti tvarkomi jų surinkimo tikslo neatitinkančiais tikslais. Asmens duomenys turėtų būti adekvatūs, susiję ir minimalios apimties, būtinos tikslams, dėl kurių jie tvarkomi, pasiekti. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti; [11 pakeit.]

(20a)

vien tai, kad abu du tikslai yra susiję su nusikalstamų veikų prevencija, tyrimu, nustatymu ar traukimu baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymu, nebūtinai reiškia, kad jie yra suderinami. Vis dėlto esama atvejų, kai tolesnis duomenų tvarkymas nesuderinamais tikslais turėtų būti įmanomas, jeigu tai būtina teisinei prievolei, kuri privaloma duomenų valdytojui, atlikti siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus arba siekiant užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui. Todėl valstybės narės turėtų galėti priimti nacionalinius įstatymus, kuriose numatomas tokių nukrypti leidžiančių nuostatų taikymas griežtai tik tais atvejais, kai tai būtina. Tokiuose nacionaliniuose įstatymuose turi būti numatyti tam tikri saugikliai; [12 pakeit.]

(21)

duomenų tikslumo principas turėtų būti taikomas atsižvelgiant į konkretaus duomenų tvarkymo pobūdį ir tikslą. Visų pirma pareiškimai, kuriuose yra asmens duomenų ir kurie daromi vykstant teismo procesui, yra pagrįsti subjektyviu asmenų suvokimu ir kai kuriais atvejais jų neįmanoma patikrinti. Todėl tikslumo reikalavimas neturėtų būti siejamas su pareiškimo tikslumu, bet tik su faktu, kad padarytas konkretus pareiškimas;

(22)

aiškinant ir taikant bendruosius principus, susijusius su kompetentingų institucijų tvarkomais asmens duomenimis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, reikėtų atsižvelgti į sektoriaus ypatumus, įskaitant konkrečius siekiamus tikslus; [13 pakeit.]

(23)

tvarkant asmens duomenis teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, paprastai tvarkomi su skirtingų kategorijų duomenų subjektais susiję asmens duomenys. Todėl reikėtų kuo aiškiau atskirti skirtingų kategorijų duomenų subjektų, pavyzdžiui, įtariamųjų, asmenų, nuteistų už nusikalstamą veiką, aukų ir trečiųjų asmenų, kaip antai liudytojai, atitinkamą informaciją tvarkantys asmenys arba įtariamųjų ar nuteistų nusikaltėlių pažįstami arba su jais susiję asmenys, asmens duomenis. Valstybės narės turėtų nustatyti specialias taisykles dėl šios klasifikacijos padarinių atsižvelgdamos į skirtingus tikslus, dėl kurių renkami duomenys, ir numatyti konkrečias asmenų, kurie nėra įtariami arba nebuvo nuteisti už nusikalstamą veiką, apsaugos priemones ; [14 pakeit.]

(24)

asmens duomenys turėtų būti kuo labiau atskirti pagal jų tikslumą ir patikimumą. Faktai turėtų būti atskirti nuo asmeninių vertinimų siekiant užtikrinti ir fizinių asmenų apsaugą, ir kompetentingų institucijų tvarkomos informacijos kokybę bei patikimumą;

(25)

asmens duomenys tvarkomi teisėtai, kai juos tvarkyti leidžiama tik tuomet, kai tai būtina siekiant, kad duomenų valdytojas įvykdytų savo teisinę pareigą, kompetentinga valdžios institucija atliktų užduotį visuomenės labui remdamasi Sąjungos ar valstybės narės teisės aktais arba siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus, arba užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui , į kuriuos turėtų būti įtrauktos aiškios ir išsamios nuostatos bent dėl siekių, asmens duomenų, konkrečių tikslų ir priemonių, kuriomis paskiriamas duomenų valdytojas arba galima paskirti duomenų valdytoją, procedūrų, kurių reikia laikytis, ir dėl naudojimosi bet kokia kompetentingoms institucijoms suteikta veiksmų laisve tvarkyti duomenis bei jos apribojimų ; [15 pakeit.]

(25a)

asmens duomenys neturėtų būti tvarkomi su jų surinkimo tikslu nesuderinamais tikslais. Toliau tvarkyti duomenis siekiant šios direktyvos taikymo sričiai priskiriamo tikslo, kuris nesuderinamas su pirminiu tikslu, kompetentingoms institucijoms turėtų būti leidžiama tik tam tikrais atvejais, kai tvarkyti duomenis būtina norint įvykdyti teisinę pareigą remiantis duomenų valdytojui taikomais Sąjungos arba valstybės narės teisės aktais, siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus arba užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui. Tai, kad duomenys tvarkomi teisėsaugos tikslais, nebūtinai reiškia, kad šis tikslas suderinamas su pirminiu tikslu. Sąvoka „suderinamas naudojimas“ turi būti aiškinama siaurai; [16 pakeit.]

(25b)

asmens duomenys, sutvarkyti pažeidžiant pagal šią direktyvą priimtas nacionalinės teisės nuostatas, neturėtų būti toliau tvarkomi; [17 pakeit.]

(26)

reikia užtikrinti ypatingą asmens duomenų, visų pirma tų, kurie dėl savo pobūdžiu pobūdžio yra slapti bei neskelbtini ir dėl kurių gali būti pažeistos pagrindinės teisės arba privatumas, įskaitant genetinius duomenis, apsaugą. Tokie duomenys neturėtų būti tvarkomi, nebent tvarkymas specialiai leidžiamas juos tvarkyti konkrečiu atveju būtina siekiant atlikti užduotį visuomenės labui remiantis Sąjungos ar valstybės narės teisės aktu, kuriame nustatytos tinkamos teisėtų duomenų subjekto pagrindinėms teisėms ir interesų apsaugos priemonės; arba kai duomenis tvarkyti būtina, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai; arba tvarkomi duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai . Slapti asmens duomenys turėtų būti apdorojami tik jeigu jais yra papildomi kiti duomenys, jau apdoroti teisėsaugos tikslais. Bet koks nukrypimas nuo draudimo apdoroti slaptus duomenis turėtų būti aiškinamas ribotai ir nepaskatinti dažno, plataus masto arba struktūrinio slaptų asmens duomenų apdorojimo ; [18 pakeit.]

(26a)

tvarkyti genetinius duomenis turėtų būti leidžiama tik jeigu yra genetinis ryšys, kuris išaiškėja per nusikalstamų veikų tyrimą arba teismo procesą. Genetiniai duomenys turėtų būti saugomi tik tiek, kiek griežtai būtina dėl tokių tyrimų ir procesų, nors valstybės narės šioje direktyvoje nustatytomis sąlygomis gali numatyti ilgesnius saugojimo laikotarpius; [19 pakeit.]

(27)

kiekvienas fizinis asmuo turėtų turėti teisę, kad jam nebūtų taikoma priemonė, grindžiama tik automatizuotu duomenų tvarkymu, jeigu dėl jos asmuo patiria neigiamų daliniu arba visišku profiliavimu duomenis tvarkant automatizuotai. Toks tvarkymas, turintis asmeniui teisinių pasekmių arba didelį poveikį, turėtų būti draudžiamas , išskyrus atvejus, kai ji leidžiama jis leidžiamas teisės aktu ir kai nustatytos tinkamos teisėtų duomenų subjekto interesų ir pagrindinių teisių apsaugos priemonės, įskaitant teisę gauti prasmingą informaciją apie profiliavimui naudojamus principus. Taip tvarkant duomenis jokiomis aplinkybėmis neturėtų būti naudojami ir kuriami ypatingų kategorijų duomenys arba jų pagrindu diskriminuojama ; [20 pakeit.]

(28)

kad duomenų subjektai galėtų naudotis savo teisėmis, bet kokia informacija duomenų subjektui turėtų būti lengvai prieinama ir suprantama, be kita ko, suformuluota aiškiai ir paprastai. Ši informacija turėtų būti pritaikyta prie duomenų subjekto poreikių, visų pirma kai informacija skirta būtent vaikui ; [21 pakeit.]

(29)

siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šią direktyvą, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant visų pirma prašymo suteikti teisę nemokamai susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti tvarką. Duomenų valdytojas turėtų būti įpareigotas nepagrįstai nedelsdamas atsakyti į duomenų subjekto prašymus per vieną mėnesį nuo prašymo gavimo datos. Kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų valdytojas taip pat užtikrina galimybes pateikti prašymus elektroniniu būdu ; [22 pakeit.]

(30)

pagal sąžiningo ir skaidraus duomenų tvarkymo principą duomenų subjektui turėtų būti pranešta visų pirma apie vykdomą tvarkymo operaciją, jos tikslus ir teisinį pagrindą, apie tai, kaip ilgai bus saugomi duomenys, apie teisę susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti ir apie teisę pateikti skundą. Be to, duomenų subjektas turėtų būti informuojamas apie vykdomą profiliavimą ir su tuo susijusias pasekmes. Kai duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti duomenis, taip pat apie tokių duomenų nepateikimo pasekmes; [23 pakeit.]

(31)

informacija apie duomenų subjekto asmens duomenų tvarkymą jam turėtų būti suteikta tuo metu, kai duomenys renkami, arba, jeigu duomenys gaunami ne iš duomenų subjekto, tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį nuo jų surinkimo, atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes;

(32)

bet kuris asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir gauti informaciją visų pirma apie duomenų tvarkymo tikslus, teisinį pagrindą, laikotarpį, duomenų gavėjus, taip pat ir trečiosiose šalyse, aiškią informaciją apie bet kokio automatizuoto duomenų tvarkymo principus ir jo svarbą bei numatomas pasekmes, taip pat teisę pateikti skundą priežiūros institucijai bei sužinoti jos kontaktinius duomenis. Duomenų subjektams turėtų būti leidžiama gauti savo asmens duomenų, kurie yra tvarkomi, kopiją; [24 pakeit.]

(33)

valstybėms narėms turėtų būti leidžiama priimti teisėkūros priemones, kuriomis informacijos teikimas duomenų subjektui arba teisė susipažinti su savo asmens duomenimis gali būti atidėti, arba apriboti arba kuriomis jų būtų galima nepaisyti tiek, kiek toks dalinis arba visiškas apribojimas, tinkamai paisant pagrindinių teisių ir teisėtų atitinkamo asmens interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras, nepakenkti nusikalstamų veikų prevencijai, nustatymui, tyrimui ir traukimui baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymui, užtikrinti visuomenės saugumą arba nacionalinį saugumą arba apsaugoti duomenų subjektą arba kitų asmenų teises ir laisves . Duomenų valdytojas, konkrečiai ir individualiai išnagrinėdamas kiekvieną atvejį, turėtų įvertinti, ar reikėtų taikyti dalinį ar visišką teisės susipažinti su duomenimis apribojimą ; [25 pakeit.]

(34)

apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą duomenų subjektui turėtų būti išdėstyta raštu, nurodant faktines arba teisines priežastis, kuriomis pagrįstas sprendimas;

(34a)

bet kokie duomenų subjekto teisių apribojimai turi atitikti Chartijos ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos nuostatas, kaip išaiškinta Europos Sąjungos Teisingumo Teismo ir Europos žmogaus teisių teismo praktikoje, ir visų pirma taikant apribojimus negalima keisti teisių ir laisvių esmės; [26 pakeit.]

(35)

jeigu valstybės narės yra priėmusios teisėkūros priemones, kuriomis visiškai arba iš dalies apribojama teisė susipažinti su duomenimis, duomenų subjektas turėtų turėti teisę prašyti, kad kompetentinga nacionalinė priežiūros institucija patikrintų duomenų tvarkymo teisėtumą. Duomenų subjektas turėtų būti informuotas apie šią teisę. Kai priežiūros institucija naudojasi teise susipažinti su duomenimis duomenų subjekto vardu, priežiūros institucija informuoja duomenų subjektą bent jau apie visus priežiūros institucijos atliktus būtinus patikrinimus ir apie rezultatus, susijusius su atitinkamo duomenų tvarkymo teisėtumu . Priežiūros institucija taip pat turėtų informuoti duomenų subjektą apie teisę imtis teisminių teisių gynimo priemonių ; [27 pakeit.]

(36)

bet kuris asmuo turėtų turėti teisę reikalauti, kad su juo susiję netikslūs arba neteisėtai tvarkomi asmens duomenys būtų ištaisyti, ir teisę reikalauti juos ištrinti, jeigu tokių duomenų tvarkymas neatitinka pagrindinių šioje direktyvoje nustatytų principų nuostatų . Apie tokį atitaisymą, papildymą arba ištrynimą informuojami gavėjai, kuriems šie duomenys buvo atskleisti ir trečiosios šalys, iš kurių netikslūs duomenys buvo gauti. Valdytojai taip pat turėtų susilaikyti nuo tolimesnio tokių duomenų platinimo. Jeigu asmens duomenys tvarkomi vykdant baudžiamąjį tyrimą ir procesą, duomenys gali būti ištaisyti ir teise gauti informaciją, teise susipažinti su duomenimis, teise reikalauti ištrinti duomenis ir teise apriboti duomenų tvarkymą gali būti naudojamasi pagal nacionalines teismo procesą reglamentuojančias taisykles; [28 pakeit.]

(37)

turėtų būti nustatyta visapusiška duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo pavedimu vykdomą asmens duomenų tvarkymą. Visų pirma duomenų valdytojas turėtų užtikrinti, kad kiekviena duomenų tvarkymo operacijos operacija atitiktų pagal šią direktyvą priimtas taisykles , ir privalėti galėti tai įrodyti ; [29 pakeit.]

(38)

dėl duomenų subjektų teisių ir laisvių apsaugos tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi direktyvos reikalavimų. Siekdamas užtikrinti pagal šią direktyvą priimtų nuostatų laikymąsi, duomenų valdytojas turėtų priimti nuostatas ir įdiegti tinkamas priemones, kuriomis visų pirma paisoma pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principų;

(39)

siekiant užtikrinti duomenų subjektų teises ir laisves, taip pat nustatyti duomenų valdytojų ir duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybės sritis pagal šią direktyvą, be kita ko, tais atvejais, kai duomenų tvarkymo tikslus, sąlygas ir būdus duomenų valdytojas nustato drauge su kitais duomenų valdytojais arba kai duomenų tvarkymo operacija vykdoma duomenų valdytojo pavedimu . Duomenų subjektas turėtų turėti teisę naudotis pagal šią direktyvą jam suteiktomis teisėmis kiekvieno iš bendrų duomenų valdytojų atžvilgiu ir prieš kiekvieną iš jų ; [30 pakeit.]

(40)

duomenų valdytojas arba duomenų tvarkytojas turėtų dokumentuoti tvarkymo veiklą, siekiant stebėti, kaip laikomasi šios direktyvos. Kiekvienas duomenų valdytojas ir tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir paprašius pateikti turimus dokumentus, kad pagal juos būtų galima patikrinti duomenų tvarkymo operacijas;

(40a)

kiekviena asmens duomenų tvarkymo operacija turėtų būti registruojama, kad būtų galima patikrinti duomenų tvarkymo teisėtumą ir užtikrinti savikontrolę bei tinkamą duomenų vientisumą ir saugumą. Priežiūros institucija, pateikusi prašymą, turėtų galėti susipažinti su šiais įrašais, kad galėtų stebėti, ar laikomasi šioje direktyvoje nustatytų taisyklių; [31 pakeit.]

(40b)

jei duomenų tvarkymo operacijos dėl savo pobūdžio, apimties ar tikslo gali kelti konkrečią grėsmę duomenų subjektų teisėms ir laisvėms, duomenų valdytojas ar duomenų tvarkytojas turėtų atlikti duomenų apsaugos poveikio vertinimą, kuris visų pirma turėtų apimti numatomas priemones, apsaugos priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos nuostatų. Poveikio vertinimai turėtų būti susiję su atitinkamomis asmens duomenų tvarkymo operacijų sistemomis ir procedūromis, bet ne su atskirais atvejais; [32 pakeit.]

(41)

siekiant prevenciniais veiksmais užtikrinti veiksmingą duomenų subjektų teisių ir laisvių apsaugą, duomenų valdytojas arba duomenų tvarkytojas tam tikrais atvejais prieš pradėdami tvarkyti duomenis turėtų pasikonsultuoti su priežiūros institucija. Be to, kai iš duomenų apsaugos poveikio vertinimo matyti, kad dėl duomenų tvarkymo operacijų gali kilti didelė konkreti grėsmė duomenų subjektų teisėms ir laisvėms, priežiūros institucija turėtų galėti prieš pradedant duomenų tvarkymo operacijas užkirsti kelią pavojingam duomenų tvarkymui, kuris neatitinka šios direktyvos nuostatų, ir pateikti pasiūlymų, kaip ištaisyti tokią padėtį. Konsultuotis būtų galima ir rengiant nacionalinio parlamento teisėkūros priemonę arba ja grindžiamą priemonę, kuria apibrėžiamas duomenų tvarkymo pobūdis ir nustatomos tinkamos apsaugos priemonės ; [33 pakeit.]

(41a)

siekiant užtikrinti saugumą ir užkirsti kelią šios direktyvos nuostatų neatitinkančiam duomenų tvarkymui, duomenų valdytojas arba tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusią riziką ir įgyvendinti jas mažinančias priemones. Tomis priemonėmis turėtų būti užtikrintas saugumo lygis, kuris atsižvelgiant į technologijų lygį ir jų įdiegimo išlaidas, turėtų būti adekvatus tvarkymo keliamai rizikai ir saugotinų asmens duomenų pobūdžiui. Tvirtinant techninius standartus ir organizacines priemones, skirtas tvarkymo saugumui užtikrinti, reikėtų skatinti technologinį neutralumą; [34 pakeit.]

(42)

dėl asmens duomenų saugumo pažeidimo, jei jis tinkamai ir laiku neišaiškintas, susijęs asmuo gali būti padaryta žala, be kita ko, pakenkta susijusio asmens reputacijai patirti didelių ekonominių nuostolių arba socialinę žalą, įskaitant tapatybės klastojimą . Todėl, kai tik duomenų valdytojas sužino, kad padarytas toks pažeidimas, jis apie pažeidimą turėtų pranešti kompetentingai nacionalinei institucijai. Fiziniai asmenys, kurių asmens duomenims ar privatumui pažeidimas galėjo turėti neigiamą poveikį, turėtų būti nepagrįstai nedelsiant informuojami, kad galėtų imtis būtinų atsargumo priemonių. Pažeidimas turėtų būti laikomas turinčiu neigiamą poveikį asmens duomenims ar fizinio asmens privatumui, jeigu dėl jo, pavyzdžiui, galėtų būti pavogta ar suklastota tapatybė, padaryta fizinė žala, patirtas didelis pažeminimas ar pakenkta reputacijai tvarkant asmens duomenis . Į pranešimą turėtų būti įtraukiama informacija apie priemones, kurių ėmėsi duomenų valdytojas, kad išsiaiškintų pažeidimą, taip pat rekomendacijos duomenų subjektui ar susijusiems asmenims. Pranešimai duomenų subjektams turėtų būti pateikiami kuo skubiau, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos pateiktų rekomendacijų ; [35 pakeit.]

(43)

nustatant išsamias pranešimo apie asmens duomenų saugumo pažeidimus formos ir tvarkos taisykles, turėtų būti tinkamai atsižvelgiama į pažeidimo aplinkybes, įskaitant tai, ar asmens duomenys buvo apsaugoti tinkamomis techninėmis priemonėmis, veiksmingai ribojančiomis neteisėto naudojimo galimybę. Be to, nustatant tokias taisykles ir tvarką reikėtų atsižvelgti į teisėtus kompetentingų institucijų interesus tais atvejais, kai ankstyvas informacijos atskleidimas galėtų bereikalingai sutrukdyti pažeidimo aplinkybių tyrimą;

(44)

duomenų valdytojas arba duomenų tvarkytojas turėtų paskirti asmenį, kuris padėtų duomenų valdytojui arba tvarkytojui stebėti, kaip laikomasi pagal šią direktyvą priimtų nuostatų , ir įrodyti atitiktį joms. Jei kelios kompetentingos institucijos veikia prižiūrimos centrinės valdžios institucijos, tokį duomenų apsaugos pareigūną gali drauge paskirti keli kompetentingos institucijos subjektai turėtų paskirti bent ši centrinė valdžios institucija . Duomenų apsaugos pareigūnai turi galėti atlikti savo pareigas ir užduotis nepriklausomai ir veiksmingai, visų pirma nustatant taisykles, kuriomis siekiama išvengti interesų konfliktų dėl kitų duomenų apsaugos pareigūno atliekamų užduočių ; [36 pakeit.]

(45)

valstybės narės turėtų užtikrinti, kad duomenys į trečiąją šalį būtų perduodami, tik jeigu tai būtina tas konkretus duomenų perdavimas būtinas nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, o duomenų valdytojas trečiojoje šalyje arba tarptautinėje organizacijoje yra pagal šią direktyvą kompetentinga valdžios institucija. Duomenų perdavimą galima atlikti, jeigu Komisija nusprendė, kad atitinkama trečioji šalis arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį arba jeigu nustatytos atitinkamos apsaugos priemonės arba jeigu atitinkamos apsaugos priemonės buvo nustatytos teisiškai privalomu dokumentu . Kompetentingoms valdžioms institucijoms trečiosiose šalyse perduoti duomenys neturėtų būti toliau tvarkomi jokiais kitais tikslais, išskyrus tikslą, dėl kurio jie buvo perduoti ; [37 pakeit.]

(45a)

tolesnis duomenų perdavimas iš kompetentingų institucijų trečiosiose šalyse ar tarptautinių organizacijų, kurioms duomenys buvo perduoti, turėtų būti leidžiamas tik tuo atveju, jei tolesnis duomenų perdavimas būtinas siekiant to paties tikslo, dėl kurio duomenys buvo perduoti pirmą kartą, ir jei antrasis duomenų gavėjas taip pat yra kompetentinga valdžios institucija. Tolesnis duomenų siuntimas siekiant bendrų teisėsaugos tikslų neturėtų būti leidžiamas. Pirminį siuntimą atlikusi kompetentinga institucija turėjo duoti sutikimą tolimesniam duomenų siuntimui; [38 pakeit.]

(46)

Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios šalys arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Šiais atvejais asmens duomenys į šias šalis gali būti perduodami be papildomo leidimo;

(47)

atsižvelgdama į pagrindines vertybes, kuriomis grindžiama Sąjunga, visų pirma į žmogaus teisių apsaugą, Komisija turėtų atsižvelgti į tai, kaip toje trečiojoje šalyje laikomasi teisinės valstybės principų, teisės kreiptis į teismą, taip pat tarptautinių žmogaus teisių normų ir standartų;

(48)

Komisija taip pat turėtų galėti pripažinti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo duomenų apsaugos lygio. Todėl asmens duomenų perdavimas į tą trečiąją šalį turėtų būti draudžiamas, išskyrus atvejus, kai jis vykdomas remiantis tarptautiniu susitarimu, tinkamomis apsaugos priemonėmis arba nukrypti leidžiančia nuostata. Turėtų būti numatyta Komisijos konsultavimosi su tokiomis trečiosiomis šalimis arba tarptautinėmis organizacijomis tvarka. Vis dėlto tokiu Komisijos sprendimu nepažeidžiama galimybė duomenų perdavimus vykdyti remiantis tinkamomis teisiškai privalomais dokumentais nustatytomis apsaugos priemonėmis arba šioje direktyvoje nustatyta nukrypti leidžiančia nuostata; [39 pakeit.]

(49)

duomenų perdavimai, kurie nėra grindžiami tokiu sprendimu dėl tinkamumo, turėtų būti leidžiami, tik jeigu teisiškai privalomame dokumente nustatytos tinkamos apsaugos priemonės, užtikrinančios asmens duomenų apsaugą, arba jeigu duomenų valdytojas arba duomenų tvarkytojas įvertino visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų seka susijusias aplinkybes ir remdamasis tuo vertinimu mano, kad nustatytos tinkamos apsaugos priemonės, susijusios su asmens duomenų apsauga. Tais atvejais, kai pagrindo leisti perduoti duomenis nėra, prireikus turėtų būti galima taikyti nukrypti leidžiančias nuostatas, siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus arba siekiant apsaugoti teisėtus duomenų subjekto interesus, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę arba kai tai būtina, siekiant užkirsti kelią tiesioginei ar didelei grėsmei valstybės narės arba trečiosios šalies visuomenės saugumui, arba atskirais atvejais nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, arba atskirais atvejais, siekiant nustatyti, vykdyti ar ginti teisinius reikalavimus; [40 pakeit.]

(49a)

tais atvejais, kai nėra pagrindo leisti perduoti duomenis, prireikus turėtų būti galima taikyti nukrypti leidžiančias nuostatas, siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus arba siekiant apsaugoti teisėtus duomenų subjekto interesus, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę, arba kai tai būtina siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios šalies visuomenės saugumui arba atskirais atvejais nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais arba atskirais atvejais siekiant nustatyti, vykdyti ar ginti teisinius reikalavimus. Tos nukrypti leidžiančios nuostatos turėtų būti aiškinamos siaurai, be to, jas taikant neturėtų būti leidžiama atlikti dažną, didelio masto ir struktūrinį asmens duomenų perdavimą, taip pat perduoti išsamius duomenis; pastaruoju atveju turėtų būti perduodami tik būtini duomenys. Be to, sprendimą perduoti duomenis turėtų priimti tinkamai įgaliotas asmuo, o tas duomenų perdavimas turi būti nurodytas dokumentuose, kurie paprašius turėtų būti pateikiami priežiūros institucijai, kad būtų galima stebėti duomenų perdavimo teisėtumą; [41 pakeit.]

(50)

kai asmens duomenys perduodami į užsienį, fiziniams asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą ir apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybinių sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis;

(51)

visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Priežiūros institucijos turėtų stebėti, kaip taikomos pagal šią direktyvą priimtos nuostatos, ir padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis. Siekdamos šio tikslo, priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija; [42 pakeit.]

(52)

valstybės narės gali pagal Reglamentą (ES) Nr…/2014 valstybėje narėje jau įsteigtai priežiūros institucijai pavesti atlikti pagal šią direktyvą įsteigtinų nacionalinių priežiūros institucijų užduotis;

(53)

valstybėms narėms turėtų būti leidžiama įsteigti daugiau nei vieną priežiūros instituciją atsižvelgiant į savo konstitucinę, organizacinę ir administracinę sandarą. Kiekvienai priežiūros institucijai turėtų būti suteikta pakankamai finansinių ir žmogiškųjų išteklių, taip pat patalpos ir infrastruktūra, įskaitant techninius pajėgumus, patirtį ir įgūdžius, kurie joms būtini siekiant veiksmingai vykdyti užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis; [43 pakeit.]

(54)

kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariams, visų pirma turėtų būti nustatyta, kad šiuos narius turėtų skirti valstybės narės parlamentas arba vyriausybė, remdamasi konsultacijomis su parlamentu, taip pat turėtų būti įtrauktos taisyklės dėl narių tinkamumo ir šių narių statuso; [44 pakeit.]

(55)

ši direktyva taip pat taikoma nacionalinių teismų veiklai, tačiau priežiūros institucijų kompetencija neturėtų apimti asmens duomenų tvarkymo, kurį jie vykdo atlikdami teisingumo funkcijas, siekiant apsaugoti teisėjų nepriklausomumą jiems atliekant savo teismines užduotis. Vis dėlto ši išimtis turėtų būti taikoma tik faktinei teisminei veiklai teismo bylose ir netaikoma kitai veiklai, kurią teisėjai gali vykdyti pagal nacionalinę teisę;

(56)

siekiant užtikrinti nuoseklią šios direktyvos taikymo stebėseną ir vykdymą visoje Sąjungoje, kiekvienos valstybės narės priežiūros institucijos turėtų atlikti tas pačias pareigas ir veiksmingai naudotis tais pačiais įgaliojimais, įskaitant įgaliojimus veiksmingai vykdyti tyrimą , įgaliojimus susipažinti su visais asmens duomenimis ir visa informacija, reikalinga kiekvienai priežiūros funkcijai atlikti, įgaliojimus patekti į bet kurias duomenų valdytojo ar duomenų tvarkytojo patalpas, be kita ko, galimybę susipažinti su duomenų tvarkymo įranga, ir teisiškai privalomas intervencijas, priimti sprendimus ir skirti sankcijas, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir būti proceso šalimi; [45 pakeit.]

(57)

kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas, ir juos tirti. Tyrimas gavus skundą turėtų būti vykdomas paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu reikia papildomo tyrimo arba derinimo su kita priežiūros institucija, duomenų subjektas taip pat turėtų būti apie tai informuojamas;

(58)

priežiūros institucijos turėtų viena kitai padėti atlikti savo pareigas ir teikti savitarpio pagalbą, kad pagal šią direktyvą priimtos nuostatos būtų nuosekliai taikomos ir vykdomos. Kiekviena priežiūros institucija turėtų būti pasirengusi dalyvauti bendrose operacijose. Prašomoji priežiūros institucija turėtų būti įpareigota per nustatytą terminą atsakyti į prašymą ; [46 pakeit.]

(59)

Reglamentu (ES)…/2012 2014 įsteigta Europos duomenų apsaugos valdyba turėtų padėti nuosekliai taikyti šią direktyvą visoje Sąjungoje, be kita ko, patarti Komisijai ir Sąjungos institucijoms, skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje ir teikti nuomonę Komisijai pagal šią direktyvą rengiant deleguotuosius ir įgyvendinimo aktus ; [47 pakeit.]

(60)

kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje ir turėti teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės pagal šią direktyvą pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo arba nesiima veiksmų, kai tai būtina duomenų subjekto teisėms apsaugoti;

(61)

bet kokia įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ir kuri kuri veikia visuomenės labui ir kuri įsteigta pagal valstybės narės teisę, turėtų turėti teisę pateikti skundą arba pasinaudoti teisminėmis teisių gynimo priemonėmis duomenų subjektų vardu, jeigu jų yra tinkamai įgaliota, arba pati pateikti skundą duomenų subjektui skundo nepateikus, jeigu mano, kad buvo pažeistas asmens duomenų saugumas; [48 pakeit.]

(62)

kiekvienas fizinis arba juridinis asmuo turėtų turėti teisę imtis teisminių teisių gynimo priemonių prieš jų atžvilgiu priimtus priežiūros institucijos sprendimus. Ieškinys priežiūros institucijai turėtų būti pareiškiamas valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose;

(63)

valstybės narės turėtų užtikrinti veiksmingas galimybes pareikšti ieškinius, kurie leistų greitai imtis priemonių šios direktyvos pažeidimui ištaisyti arba užkirsti jam kelią;

(64)

bet kokią žalą, įskaitant neturtinę žalą, kurią asmuo gali patirti dėl neteisėto duomenų tvarkymo, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas, kurie gali būti atleisti nuo atsakomybės, jeigu įrodo, kad nėra atsakingi už žalą, visų pirma, kai nustatyta duomenų subjekto kaltė, arba nenugalimos jėgos atveju; [49 pakeit.]

(65)

viešosios teisės arba privatinės teisės reglamentuojamam fiziniam ar juridiniam asmeniui, nesilaikančiam šios direktyvos, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir privalo imtis visų priemonių sankcijoms vykdyti;

(65a)

Sąjungoje draudžiama perduoti asmens duomenis kitoms institucijoms arba privatiems subjektams, išskyrus atvejus, kai duomenys perduodami laikantis įstatymų, duomenų gavėjas yra įsisteigęs valstybėje narėje, konkretūs teisėti duomenų subjekto interesai neužkerta kelio duomenų perdavimui arba kai konkrečiu atveju reikia perduoti duomenis duomenų valdytojui, kad jis arba atliktų teisėtai jam pavestą užduotį, arba išvengtų staigios ir didelės grėsmės visuomenės saugumui ar didelės žalos asmenų teisėms. Duomenų valdytojas turėtų informuoti duomenų gavėją apie duomenų tvarkymo tikslą, o priežiūros instituciją – apie duomenų perdavimą. Duomenų gavėjui taip pat turėtų būti pranešta apie duomenų tvarkymo apribojimus ir užtikrinta, kad jų būtų laikomasi; [50 pakeit.]

(66)

siekiant įgyvendinti šios direktyvos tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti aktus. Visų pirma turėtų būti priimami deleguotieji aktai dėl pranešimo apie asmens , skirti papildomai apibrėžti kriterijus ir sąlygas, taikomas vykdant tvarkymo operacijas, kurioms yra reikalingas poveikio duomenų apsaugai vertinimas; duomenų saugumo pažeidimą priežiūros institucijai pažeidimo kriterijai ir reikalavimai, taip pat dėl tinkamo apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija. Itin svarbu, kad atlikdama parengiamuosius darbus Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais, visų pirma su Europos duomenų apsaugos valdyba . Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus, Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai; [51 pakeit.]

(67)

siekiant užtikrinti vienodas šios direktyvos įgyvendinimo sąlygas, kiek tai susiję su duomenų valdytojų ir duomenų tvarkytojų atliekamu dokumentavimu, duomenų tvarkymo saugumu, visų pirma susijusiu su šifravimo standartais, ir pranešimu apie asmens duomenų saugumo pažeidimą priežiūros institucijai ir tinkamu apsaugos lygiu, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai  (6); [52 pakeit.]

(68)

priimant priemones, susijusias su duomenų valdytojų ir duomenų tvarkytojų atliekamu dokumentavimu, duomenų tvarkymo saugumu, pranešimu apie asmens duomenų saugumo pažeidimą priežiūros institucijai ir tinkamu apsaugos lygiu, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija, taikoma nagrinėjimo procedūra, atsižvelgiant į tai, kad šie aktai yra bendrojo pobūdžio; [53 pakeit.]

(69)

Komisija turėtų priimti nedelsiant taikomus įgyvendinimo aktus, jeigu tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio neužtikrinančia trečiąja šalimi arba tos trečiosios šalies teritorija ar sektoriumi, susijusiu su duomenų tvarkymu, arba tarptautine organizacija, to reikia dėl imperatyvių skubos pagrindų; [54 pakeit.]

(70)

kadangi šios direktyvos tikslų, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į  jų asmens duomenų apsaugą, ir užtikrinti, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas, valstybės narės negali deramai pasiekti, bet dėl siūlomo veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytam tikslui nurodytiems tikslams pasiekti. Valstybės narės gali numatyti aukštesnius standartus, nei yra patvirtinti šioje direktyvoje ; [55 pakeit.]

(71)

Pamatinis sprendimas 2008/977/TVR turėtų būti panaikintas šia direktyva;

(72)

specialiosios nuostatos, susijusios su kompetentingų institucijų vykdomu asmens duomenų tvarkymu nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įtvirtintos Sąjungos aktuose, priimtuose prieš priimant šią direktyvą ir reglamentuojančiuose valstybių narių vykdomą asmens duomenų tvarkymą arba valstybių narių paskirtų institucijų prieigą prie informacinių sistemų, įdiegtų remiantis Sutartimis, nekeičiamos. Kadangi Chartijos 8 straipsnyje ir SESV16 straipsnyje numatyta, kad pagrindinė teisė į asmens duomenų apsaugą visoje Sąjungoje turėtų būti užtikrinama nuosekliai ir vienodai, Komisija per dvejus metus nuo šios direktyvos įsigaliojimo turėtų įvertinti šios direktyvos ir aktų, priimtų prieš priimant šią direktyvą, reglamentuojančių valstybių narių vykdomą asmens duomenų tvarkymą arba valstybių narių paskirtų valdžios institucijų prieigą prie informacinių sistemų, įdiegtų remiantis Sutartimis, ryšį kad nustatytų, ar reikia šias specialiąsias nuostatas suderinti su šia direktyva ir pateikti atitinkamus pasiūlymus, kad būtų užtikrinamos nuoseklios ir vienodos teisės normos, susijusios su kompetentingų institucijų atliekamu asmens duomenų tvarkymu arba valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, taip pat su Sąjungos institucijų, įstaigų, organų ir agentūrų atliekamu asmens duomenų tvarkymu nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais pagal šios direktyvos taikymo sritį ; [56 pakeit.]

(73)

siekiant užtikrinti visapusišką ir nuoseklią asmens duomenų apsaugą Sąjungoje, tarptautiniai susitarimai, kuriuos Sąjunga ar valstybės narės sudarė prieš įsigaliojant šiai direktyvai, turėtų būti iš dalies pakeisti pagal šią direktyvą; [57 pakeit.]

(74)

šia direktyva nepažeidžiamos taisyklės, reglamentuojančios kovą su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, nustatytos Europos Parlamento ir Tarybos direktyvoje 2011/93/ES (7);

(75)

pagal Protokolo Nr. 21 dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės, pridėto prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo, 6a straipsnį Jungtinė Karalystė ir Airija neįpareigojamos laikytis taisyklių, nustatytų šia direktyva, tais atvejais, kai Jungtinė Karalystė ar Airija neįpareigojamos laikytis taisyklių, reglamentuojančių teisminio bendradarbiavimo baudžiamosiose bylose ar policijos bendradarbiavimo, kurį vykdant turi būti laikomasi pagal Sutarties dėl Europos Sąjungos veikimo 16 straipsnį nustatytų nuostatų, formas;

(76)

pagal Protokolo Nr. 22 dėl Danijos pozicijos, pridėto prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo, 2 ir 2a straipsnius Danijai ši direktyva nėra privaloma ar taikoma. Atsižvelgiant į tai, kad ši direktyva teikiama remiantis Šengeno acquis, pagal Sutarties dėl Europos Sąjungos veikimo Trečiosios dalies V antraštinę dalį Danija, remdamasi to protokolo 4 straipsniu, per šešis mėnesius nuo šios direktyvos priėmimo priima sprendimą dėl jos įgyvendinimo savo nacionalinėje teisėje; [58 pakeit.]

(77)

Islandijos ir Norvegijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip nustatyta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės sudarytame susitarime dėl jų asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (8);

(78)

Šveicarijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip nustatyta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (9);

(79)

Lichtenšteino atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip nustatyta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės pasirašytame protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (10);

(80)

šioje direktyvoje paisoma Chartijoje pripažintų ir Sutartyje įtvirtintų pagrindinių teisių ir principų, ypač teisės į privatų ir šeimos gyvenimą, teisės į asmens duomenų apsaugą, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą. Šių teisių apribojimai atitinka Chartijos 52 straipsnio 1 dalį, nes jie būtini siekiant atitikti Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti;

(81)

pagal 2011 m. rugsėjo 28 d. valstybių narių ir Komisijos bendrą politinį pareiškimą dėl aiškinamųjų dokumentų (11) valstybės narės įsipareigojo pagrįstais atvejais prie pranešimo apie perkėlimo į nacionalinę teisę priemones pridėti vieną ar kelis aiškinamuosius dokumentus, kuriuose būtų paaiškintas direktyvos nuostatų ir atitinkamų perkėlimo į nacionalinę teisę priemonių ryšys. Šios direktyvos atveju teisės aktų leidėjas mano, kad tokių dokumentų perdavimas yra pagrįstas;

(82)

šia direktyva valstybėms narėms neturėtų būti trukdoma pagal nacionalines teismo procesą reglamentuojančias taisykles įgyvendinti duomenų subjektų teisę gauti informaciją apie savo asmens duomenis, su jais susipažinti, teisę reikalauti juos ištaisyti, ištrinti ir apriboti jų tvarkymą vykdant baudžiamąjį procesą, taip pat galimus šių teisių apribojimus,

a)

saugo fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į  jų asmens duomenų ir privatumo apsaugą; ir

b)

užtikrina, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas ar draudžiamas remiantis su fizinių asmenų apsauga tvarkant asmens duomenis susijusiais pagrindais.

a)

vykdoma Sąjungos teisės nereglamentuojama veikla, visų pirma susijusi su nacionaliniu saugumu;.

b)

duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros. [60 pakeit.]

1)

duomenų subjektas – konkretus fizinis asmuo, kurį tiesiogiai arba netiesiogiai galima nustatyti priemonėmis, kuriomis, tikėtina, galėtų naudotis duomenų valdytojas arba kitas fizinis ar juridinis asmuo, visų pirma pagal asmens identifikavimo numerį, vietos nustatymo duomenis, interneto identifikatorių arba vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)

asmens duomenys – tai bet kuri informacija apie fizinį asmenį (duomenų subjektą), kurio tapatybė yra arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta – tai asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, pirmiausia pagal žymenį, pavyzdžiui, vardą, asmens kodą, duomenis apie vietą, unikalų žymenį arba pagal vieną ar kelis to asmens fizinio, fiziologinio, genetinio, psichologinio, ekonominio, kultūrinio ar socialinio arba lyties požymius;

2a)

pseudoniminiai duomenys – asmens duomenys, kurie negali būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, tol, kol tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės, siekiant užtikrinti tokį nepriskyrimą;

3)

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniu atliekama operacija ar operacijos seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, ištrynimas ar sunaikinimas;

3a)

profiliavimas – bet kokia automatizuoto asmens duomenų tvarkymo forma, siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus arba visų pirma išnagrinėti arba numatyti to fizinio asmens darbo rezultatus, ekonominę padėtį, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį;

4)

duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas, kurio tikslas – ribotas jų tvarkymas ateityje;

5)

susistemintas rinkinys – bet kuris susistemintas pagal specifinius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

6)

duomenų valdytojas – kompetentinga valdžios institucija, kuri viena ar drauge su kitais nustato asmens duomenų tvarkymo tikslus, sąlygas ir būdus; jeigu tvarkymo tikslai, sąlygos ir būdai nustatyti Sąjungos arba valstybės narės teisės aktais, duomenų valdytojas arba specialūs jo skyrimo kriterijai taip pat gali būti nustatyti Sąjungos arba valstybės narės teisės aktais;

7)

duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuris duomenų valdytojo pavedimu tvarko asmens duomenis;

8)

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuriam atskleidžiami asmens duomenys;

9)

asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduoti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų gaunama prieiga netyčinis arba neteisėtas sunaikinimas, praradimas, pakeitimas, be leidimo atskleidimas perduoti, saugojimas arba kitoks asmens duomenų tvarkymas arba prieigos prie jų gavimas ;

10)

genetiniai duomenys – visi bet kokios rūšies duomenys, susiję su embrioniniu laikotarpiu paveldėtomis ar įgytomis fizinio asmens savybėmis;

11)

biometriniai asmens duomenys – bet kokie duomenys apie asmens fizinius, fiziologinius arba elgesio ypatumus, pagal kuriuos galimas unikalus jo atpažinimas, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys;

12)

sveikatos duomenys – visa informacija, susijusi asmens duomenys, susiję su fizine ar psichine asmens sveikata arba su asmeniui teikiamomis sveikatos priežiūros paslaugomis;

13)

vaikas – bet kuris jaunesnis nei 18 metų asmuo;

14)

kompetentingos institucijos – visos valstybės valdžios institucijos, atsakingos už nusikalstamų veikų prevenciją, tyrimą, nustatymą ar traukimą baudžiamojon atsakomybėn už jas arba už baudžiamųjų sankcijų vykdymą;

15)

priežiūros institucija – valstybės narės pagal 39 straipsnį įsteigta valdžios institucija. [61 pakeit.]

a)

duomenų subjekto atžvilgiu tvarkomi teisėtai, sąžiningai, skaidriai ir taip, kad būtų galima patikrinti ;

b)

renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, o vėliau tvarkomi su šiais tikslais suderintais būdais;

c)

adekvatūs tikslams, susiję ir savo apimtimi neviršijantys ribojami būtinų tikslų, dėl kurių jie vėliau tvarkomi; jie tvarkomi tik tiek ir tol, kol tikslų negalima pasiekti tvarkant asmens duomenų neapimančios informacijos ;

d)

tikslūs ir prireikus nuolat atnaujinami; būtina imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų nedelsiant ištrinti arba ištaisyti, atsižvelgiant į jų tvarkymo tikslus;

e)

laikomi tokiu pavidalu, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių asmens duomenys tvarkomi;

f)

tvarkomi duomenų valdytojo atsakomybe, kuris užtikrina ir gali įrodyti pagal šią direktyvą priimtų nuostatų laikymąsi;

fa)

tvarkomi taip, kad duomenų subjektas galėtų veiksmingai naudotis savo teisėmis, aprašytomis 10–17 straipsniuose;

fb)

tvarkomi taip, kad taikant atitinkamas technines ar organizacines priemones būtų apsaugoti nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

fc)

tvarkomi tik leidimą tai daryti turinčio kompetentingų institucijų personalo, kurie yra reikalingi norint šioms institucijoms atlikti savo užduotis. [62 pakeit.]

a)

susipažinti su duomenimis gali tik tinkamai įgalioti kompetentingų institucijų darbuotojai atlikdami savo užduotis, kai konkrečiu atveju remiantis pagrįstomis priežastimis galima manyti, kad asmens duomenų tvarkymas labai padės užtikrinti nusikalstamų veikų prevenciją, atlikti jų tyrimus, tokias veikas nustatyti ar patraukti baudžiamojon atsakomybėn už jas arba įvykdyti baudžiamąsias sankcijas;

b)

prašymai susipažinti su duomenimis turi būti pateikiami raštu ir juose turi būti nurodytas prašymo teisinis pagrindas;

c)

raštu pateikiami prašymai turi būti užregistruojami dokumentuose; ir

d)

taikomos tinkamos apsaugos priemonės siekiant užtikrinti pagrindinių teisių ir laisvių apsaugą tvarkant asmens duomenis. Šiomis apsaugos priemonėmis nepažeidžiamos ir papildomos specialios susipažinimo su asmens duomenimis sąlygos, pavyzdžiui, teismo pagal valstybių narių teisės aktus išduotas leidimas.

a)

asmenų, kurių atžvilgiu yra rimtų pagrįstų priežasčių manyti, kad jie įvykdė arba rengiasi įvykdyti nusikalstamą veiką;

b)

asmenų, nuteistų už nusikalstamą veiką nusikaltimą ;

c)

asmenų, kurie buvo nusikalstamos veikos auka, arba asmenų, kurių atžvilgiu, remiantis atitinkamais faktais, yra pagrindo manyti, kad jie galėtų būti nusikalstamos veikos auka; ir

d)

su nusikalstama veika susijusių trečiųjų asmenų, pavyzdžiui, asmenų, kurie gali būti kviečiami liudyti atliekant nusikalstamų veikų tyrimus arba paskesniu baudžiamojo proceso etapu, arba asmens, kuris gali suteikti informacijos apie nusikalstamas veikas arba kuris yra a ir b punktuose nurodytų asmenų pažįstamas arba su jais susijęs asmuo; ir.

e)

asmenų, kurie nepriklauso nė vienai iš pirmiau nurodytų kategorijų.

a)

jei tai būtina siekiant nustatyti vienos iš 1 dalyje nurodytų kategorijų duomenų svarbą tiriant konkrečią nusikalstamą veiką arba traukiant baudžiamojon atsakomybėn už ją; arba

b)

kai toks duomenų tvarkymas būtinas numatomais prevenciniais arba nusikalstamos veikos tyrimo tikslais, jeigu šis tikslas yra teisėtas, aiškiai apibrėžtas ir konkretus ir tol, kol duomenys tvarkomi griežtai tik siekiant nustatyti vienos iš 1 dalyje nurodytų kategorijų duomenų svarbą. Ši veikla persvarstoma rečiausiai kas šešis mėnesius. Bet koks tolimesnis naudojimas yra draudžiamas.

a)

kompetentingai valdžios institucijai atlikti užduotį, remiantis teisės aktais ir siekiant 1 straipsnio 1 dalyje nurodytų tikslų; arba

b)

vykdyti teisinę prievolę, kuri privaloma duomenų valdytojui; arba

c)

duomenų subjekto ar kito asmens gyvybiniams interesams apsaugoti; arba

d)

užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui.

a)

tikslai, dėl kurių tvarkomi duomenys;

b)

tvarkytini asmens duomenys;

c)

konkretūs duomenų tvarkymo tikslai ir būdai;

d)

duomenų valdytojo paskyrimas arba konkretūs duomenų valdytojo paskyrimo kriterijai;

e)

tinkamai įgaliotų tvarkyti asmens duomenis kompetentingų institucijų darbuotojų kategorijos;

f)

duomenų tvarkymo tvarka;

g)

galimi gautų asmens duomenų naudojimo būdai;

h)

kompetentingoms institucijoms suteiktos veiksmų laisvės tvarkyti duomenis apribojimai. [67 pakeit.]

a)

tikslas yra būtinas ir proporcingas demokratiškoje visuomenėje ir reikalingas pagal Sąjungos arba valstybės narės teisės aktus, teisėtu, tinkamai apibrėžtu ir konkrečiu tikslu;

b)

duomenys yra tvarkomi griežtai ribotą laikotarpį, kurio trukmė neviršija laiko, reikalingo konkrečiai duomenų tvarkymo operacijai atlikti;

c)

naudojimas bet kokiais kitais tikslais yra draudžiamas.

a)

konkretūs būtent to duomenų tvarkymo tikslai ir būdai;

b)

kad susipažinti su duomenimis gali tik tinkamai įgalioti kompetentingų institucijų darbuotojai atlikdami savo užduotis, kai konkrečiu atveju yra pagrįstų priežasčių manyti, kad asmens duomenų tvarkymas labai padės užtikrinti nusikalstamų veikų prevenciją, atlikti jų tyrimus, tokias veikas nustatyti ar patraukti baudžiamojon atsakomybėn už jas arba įvykdyti baudžiamąsias sankcijas; ir

c)

kad yra nustatytos tinkamos apsaugos priemonės, siekiant užtikrinti pagrindinių teisių ir laisvių apsaugą tvarkant asmens duomenis.

a)

tvarkyti duomenis leidžiama teisės aktais, kuriuose nustatomos tinkamos apsaugos priemonės griežtai būtina ir proporcinga siekiant kompetentingoms institucijoms vykdyti užduotis tikslais, išdėstytais 1 straipsnio 1 dalyje, remiantis Sąjungos arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos ir specialios priemonės duomenų subjekto teisėtiems interesams apsaugoti, įskaitant teisminės institucijos išduotą leidimą, jei to reikalaujama pagal nacionalinę teisę ; arba

b)

tvarkyti duomenis būtina, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai; arba

c)

tvarkomi duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai su sąlyga, kad jie yra svarbūs ir griežtai reikalingi tikslams, kurių siekiama konkrečiu atveju . [69 pakeit.]

a)

duomenų valdytojo ir duomenų apsaugos pareigūno vardą ir pavardę ir duomenis ryšiams;

b)

teisinį pagrindą ir duomenų tvarkymo tikslus, dėl kurių renkami asmens duomenys;

c)

asmens duomenų saugojimo laikotarpį;

d)

informaciją apie teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis, juos ištaisytų, ištrintų arba apribotų jų tvarkymą;

e)

informaciją apie teisę pateikti skundą 39 straipsnyje nurodytai priežiūros institucijai ir jos duomenis ryšiams;

f)

informaciją apie asmens duomenų gavėjus ar jų kategorijas, įskaitant trečiąsias šalis arba tarptautines organizacijas gavėjus trečiosiose šalyse arba tarptautinėse organizacijose, kurie turi prieigos prie duomenų teisę pagal atitinkamos trečiosios šalies teisės aktus arba tarptautinės organizacijos nuostatus, informaciją apie atitinkamo Komisijos sprendimo buvimą arba nebuvimą arba, 35 arba 36 straipsniuose minimo perdavimo atvejais, informaciją apie tai, kaip galima gauti perduodant naudojamų atitinkamų apsaugos priemonių kopiją ;

fa)

tais atvejais, kai duomenų valdytojas tvarko asmens duomenis, kaip aprašyta 9 straipsnio 1 dalyje, informaciją apie su tvarkymu susijusios 9 straipsnio 1 dalyje nurodytos rūšies priemonės taikymą ir numatomas tokio tvarkymo pasekmes duomenų subjektui, informaciją apie profiliuojant duomenis naudojamus principus ir informaciją apie teisę reikalauti žmogaus įvertinimo;

fb)

informacija apie saugumo priemones, kurių buvo imtasi siekiant apsaugoti asmens duomenis;

g)

bet kokią papildomą informaciją, jeigu tokios papildomos informacijos reikia, kad būtų užtikrintas sąžiningas su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes.

a)

tuo metu, kai iš duomenų subjekto gaunami asmens duomenys, arba

b)

jeigu asmens duomenys renkami ne iš duomenų subjekto – tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį po jų surinkimo, atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes.

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

nepakenkti nusikalstamų veikų prevencijai, nustatymui, tyrimui ir traukimui baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymui;

c)

užtikrinti visuomenės saugumą;

d)

užtikrinti nacionalinį saugumą;

e)

užtikrinti kitų asmenų teisių ir laisvių apsaugą.

-a)

tai, kokie asmens duomenys yra tvarkomi, ir visą turimą informaciją apie jų šaltinius, taip pat, kai tinka, suprantamą informaciją apie logiką, kuria vadovautasi automatizuotu būdu tvarkant duomenis;

-aa)

tokio duomenų tvarkymo reikšmę ir numatomas pasekmes bent tuo atveju, kai taikomos 9 straipsnyje nurodytos priemonės;

a)

duomenų tvarkymo tikslus ir tokio tvarkymo teisinį pagrindą ;

b)

atitinkamų asmens duomenų kategorijas;

c)

duomenų gavėjus, kuriems asmens duomenys buvo atskleisti, arba tokių duomenų gavėjų kategorijas, visų pirma duomenų gavėjus trečiosiose šalyse;

d)

asmens duomenų saugojimo laikotarpį;

e)

teisę reikalauti, kad duomenų valdytojas ištaisytų ar ištrintų duomenų subjekto asmens duomenis arba apribotų jų tvarkymą;

f)

teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

g)

tai, kokie asmens duomenys yra tvarkomi ir visą turimą informaciją apie jų šaltinius.

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

nepakenkti nusikalstamų veikų prevencijai, nustatymui, tyrimui ir traukimui baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymui;

c)

užtikrinti visuomenės saugumą;

d)

užtikrinti nacionalinį saugumą;

e)

užtikrinti kitų asmenų teisių ir laisvių apsaugą.

a)

duomenų subjektas užginčija jų tikslumą; šiuo atveju duomenų tvarkymas apribojamas laikotarpiui, per kurį duomenų valdytojas gali patikrinti duomenų tikslumą;

b)

asmens duomenys turi būti toliau saugomi įrodinėjimo tikslais; arba siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus.

c)

duomenų subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą.

a)

23 straipsnyje nurodytų dokumentų saugojimas;

aa)

aduomenų apsaugos poveikio vertinimo atlikimas pagal 25a straipsnį;

b)

išankstinio konsultavimosi reikalavimų laikymasis pagal 26 straipsnį;

c)

27 straipsnyje nustatytų duomenų saugumo reikalavimų vykdymas;

d)

duomenų apsaugos pareigūno paskyrimas pagal 30 straipsnį;

da)

parengti ir įgyvendinti specifines garantija, skirtas asmens duomenų tvarkymo reikmėms, susijusioms su vaikais, kai tai yra tinkama.

a)

veikia tik pagal duomenų valdytojo nurodymus;

b)

įdarbina tik tuos darbuotojus, kurie sutiko įsipareigoti laikytis konfidencialumo arba kuriems taikoma įstatymu nustatyta konfidencialumo pareiga;

c)

imasi visų būtinų priemonių pagal 27 straipsnį;

d)

pasitelkia kitą duomenų tvarkytoją tik gavęs duomenų valdytojo leidimą, taigi tinkamu laiku praneša duomenų valdytojui apie ketinimus pasitelkti kitą duomenų tvarkytoją, kad duomenų valdytojas galėtų pareikšti prieštaravimą;

e)

jei įmanoma, atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų valdytojui pritarus priima būtinus techninius ir organizacinius reikalavimus, kad būtų įvykdyta duomenų valdytojo pareiga atsakyti į prašymus dėl pasinaudojimo III skyriuje nustatytomis duomenų subjekto teisėmis;

f)

padeda duomenų valdytojui užtikrinti 25a–29 straipsniuose nustatytų pareigų laikymąsi;

g)

baigęs tvarkyti duomenis, grąžina visus rezultatus duomenų valdytojui, kitaip asmens duomenų netvarko ir panaikina turimas kopijas, nebent Sąjungos arba valstybės barės teisės aktais reikalaujama jas saugoti;

h)

pateikia duomenų valdytojui ir priežiūros institucijai visą informaciją, reikalingą šiame straipsnyje nustatytų pareigų laikymuisi patikrinti;

i)

atsižvelgia į pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principus.

a)

duomenų valdytojo arba bet kurio bendro duomenų valdytojo ar duomenų tvarkytojo vardas ir pavardė (pavadinimas) ir duomenys ryšiams;

aa)

teisiškai privalomas susitarimas, kai yra bendrų duomenų valdytojų; duomenų tvarkytojų sąrašas ir duomenų tvarkytojų veikla;

b)

duomenų tvarkymo tikslai;

ba)

duomenų valdytojo ar duomenų tvarkytojo organizacijos, kuriai konkrečiu tikslu patikėta tvarkyti asmens duomenis, skyriai;

bb)

duomenų subjektų kategorijos ar kategorijų ir su jais susijusių duomenų ar duomenų kategorijų apibūdinimas;

c)

asmens duomenų gavėjai arba asmens duomenų gavėjų kategorijos;

ca)

jei taikoma, informacija apie profiliavimą, profiliavimu grindžiamas priemones ir priemones, kuriomis galima prieštarauti profiliavimui;

cb)

suprantama informacija apie loginius metodus, taikomus automatiškai tvarkant duomenis;

d)

duomenų perdavimai į trečiąją šalį arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją šalį arba tarptautinę organizaciją ir teisinį pagrindą, pagal kurį duomenys perduodami ; kai duomenų perdavimas grindžiamas šios direktyvos 35 ar 36 straipsniais, pateikiamas esminis paaiškinimas;

da)

skirtingų kategorijų duomenų ištrynimo terminai;

db)

18 straipsnio 1 pastraipoje nurodytų priemonių patikrinimo rezultatus;

dc)

duomenų tvarkymo operacijos, kuriai yra skirti duomenys, teisinį pagrindą.

a)

tvarkant asmens duomenis didelės apimties susistemintuose rinkiniuose nusikalstamų veikų prevencijos, nustatymo, tyrimo, ar traukimo baudžiamojon atsakomybėn už jas ir baudžiamųjų sankcijų vykdymo tikslais;

b)

tvarkant asmens duomenis didelės apimties susistemintuose rinkiniuose, kaip paminėta 8 straipsnyje, nusikalstamų veikų prevencijos, nustatymo, tyrimo, ar traukimo baudžiamojon atsakomybėn už jas ir baudžiamųjų sankcijų vykdymo tikslais ir susijusius su vaikais bei biometrinius ir vietos nustatymo duomenis;

c)

vertinant su fiziniu asmeniu susijusius asmeninius aspektus arba siekiant išnagrinėti arba visų pirma numatyti fizinio asmens elgesį, kai tokios operacijos grindžiamos automatizuotu duomenų tvarkymu ir kai dėl jų gali būti taikomos priemonės, dėl kurių fizinis asmuo patiria teisinių pasekmių arba kurios jam daro didelį poveikį;

d)

stebint viešas vietas, ypač naudojant optinius elektroninius prietaisus (stebėjimas vaizdo kameromis); arba

e)

atliekant kitas duomenų tvarkymo operacijas, dėl kurių būtina konsultuotis su priežiūros institucija pagal 26 straipsnio 1 dalies nuostatas.

a)

numatytų duomenų tvarkymo operacijų sisteminis aprašymas;

b)

tam tikru tikslu vykdomų tvarkymo operacijų reikalingumo ir proporcingumo vertinimas;

c)

pavojų duomenų subjektų teisėms ir laisvėms vertinimas ir priemonės, kuriomis ketinama šiuos pavojus mažinti bei mažinti tvarkomų asmens duomenų kiekį;

d)

saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos nuostatų, atsižvelgiant į duomenų subjektų ir kitų atitinkamų asmenų teises ir teisėtus interesus;

e)

bendra informacija apie skirtingų kategorijų duomenų ištrynimo terminus;

f)

jei taikoma, numatytų duomenų perdavimų į trečiąją šalį arba tarptautinei organizacijai, įskaitant tos trečiosios šalies arba tarptautinės organizacijos pavadinimą, sąrašas ir tais atvejais, kai duomenys perduodami remiantis 36 straipsnio 2 dalimi, tinkamų apsaugos priemonių dokumentų sąrašas;

a)

turi būti tvarkomi 8 straipsnyje nurodytų ypatingų kategorijų duomenys duomenų apsaugos poveikio vertinime pagal 25a straipsnį nurodyta, kad atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties ir (arba) tikslų gali kilti didelė konkreti rizika; arba ;

b)

dėl duomenų tvarkymo pobūdžio, pirmiausia dėl naujų technologijų ar mechanizmų naudojimo ar naujų procedūrų taikymo, kyla konkreti grėsmė duomenų subjektų pagrindinėms teisėms ir laisvėms, visų pirma asmens duomenų apsaugai priežiūros institucija mano, kad būtina iš anksto konsultuotis dėl konkrečių duomenų tvarkymo operacijų, kurias atliekant dėl jų pobūdžio, aprėpties arba tikslų gali kilti konkreti grėsmė duomenų subjektų teisėms ir laisvėms .

a)

nesuteikti neįgaliotiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos asmens duomenims tvarkyti (prieigos prie įrangos kontrolė);

b)

užkirsti kelią neleistinam duomenų laikmenų skaitymui, kopijavimui, keitimui ar pašalinimui (duomenų laikmenų kontrolė);

c)

užkirsti kelią neleistinam duomenų įvedimui ir neleistinam saugomų asmens duomenų tikrinimui, keitimui ar ištrynimui (duomenų saugojimo kontrolė);

d)

neleisti leidimo neturintiems asmenims, kurie naudoja duomenų perdavimo įrangą, naudotis automatizuoto duomenų tvarkymo sistemomis (naudotojo kontrolė);

e)

užtikrinti, kad asmenys, turintys leidimą naudotis automatizuota duomenų tvarkymo sistema, galėtų susipažinti tik su tais duomenimis, su kuriais susipažinti jiems išduotas leidimas (susipažinimo su duomenimis kontrolė);

f)

užtikrinti, kad būtų įmanoma patikrinti ir nustatyti, kokioms įstaigoms asmens duomenys buvo persiųsti arba gali būti persiųsti, arba buvo sudaryta galimybė su jais susipažinti, naudojant duomenų perdavimo įrangą (duomenų perdavimo kontrolė);

g)

užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kurie asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas ir kada bei kas duomenis įvedė (duomenų įvedimo kontrolė);

h)

užkirsti kelią neleistinam asmens duomenų skaitymui, kopijavimui, pakeitimui arba ištrynimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (duomenų gabenimo kontrolė);

i)

užtikrinti, kad pertraukties atveju būtų galima atkurti įdiegtų sistemų veiklą (atgavimas);

j)

užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešta (patikimumas) ir kad dėl blogo sistemos veikimo saugomi duomenys nebūtų sugadinti (vientisumas);

ja)

užtikrinti, kad tvarkant neskelbtinus asmens duomenis pagal 8 straipsnį būtų įdiegtos papildomos saugumo priemonės, siekiant užtikrinti supratimą apie pavojus ir gebėjimą imtis prevencinių, korekcinių ir švelninančių veiksmų beveik realiuoju laiku šalinant rastus pažeidžiamumus arba incidentus, kurie gali kelti pavojų duomenims;

a)

aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir skaičių, taip pat atitinkamų duomenų įrašų kategorijas ir skaičių;

b)

30 straipsnyje nurodyto duomenų apsaugos pareigūno vardas ir pavardė ir duomenys ryšiams arba nurodytas kitas asmuo ryšiams, iš kurio galima gauti daugiau informacijos;

c)

rekomenduotos priemonės galimam neigiamam asmens duomenų saugumo pažeidimo poveikiui sušvelninti;

d)

aprašytos galimos asmens duomenų saugumo pažeidimo pasekmės;

e)

aprašytos priemonės, kurias pasiūlė arba kurių ėmėsi duomenų valdytojas asmens duomenų saugumo pažeidimui išaiškinti ir jo poveikiui sušvelninti .

a)

didinti informuotumą, informuoti duomenų valdytoją arba duomenų tvarkytoją apie jų pareigas, nustatytas pagal šią direktyvą priimtomis nuostatomis, ypač susijusias su techninėmis ir organizacinėmis priemonėmis ir procedūromis, ir dėl tų pareigų duomenų valdytojui arba duomenų tvarkytojui patarti, taip pat dokumentuoti šią veiklą ir gautus atsakymus;

b)

stebėti su asmens duomenų apsauga susijusių nuostatų įgyvendinimą ir taikymą, įskaitant atsakomybės priskyrimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų mokymą ir susijusius auditus;

c)

stebėti pagal šią direktyvą priimtų nuostatų įgyvendinimą ir taikymą, visų pirma kiek tai susiję su reikalavimais dėl pritaikytosios duomenų apsaugos, standartizuotosios duomenų apsaugos ir duomenų saugumo, taip pat informacijos teikimu duomenų subjektams ir jų prašymais, pateiktais remiantis pagal šią direktyvą priimtomis nuostatomis;

d)

užtikrinti, kad būtų saugomi 23 straipsnyje nurodyti dokumentai;

e)

stebėti asmens duomenų saugumo pažeidimų dokumentavimą ir pranešimus apie asmens duomenų saugumo pažeidimus pagal 28 ir 29 straipsnius;

f)

stebėti, kaip vykdomas duomenų valdytojas arba duomenų tvarkytojas taiko duomenų apsaugos poveikio vertinimą ir kaip teikia prašymus dėl išankstinio konsultavimosi su priežiūros institucija reikalavimas, jei to reikia pagal 26 straipsnį 26 straipsnio 1 dalį ;

g)

stebėti, ką į prašymus atsako priežiūros institucija, ir priežiūros institucijos prašymu arba savo iniciatyva bendradarbiauti pagal duomenų apsaugos pareigūno kompetenciją;

h)

atlikti asmens ryšiams funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus duomenų apsaugos pareigūno iniciatyva konsultuotis su priežiūros institucija.[95 pakeit.]

a)

duomenis perduoti būtina nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais; ir

aa)

duomenys perduodami duomenų valdytojui trečiojoje šalyje arba tarptautinei organizacijai, kuri yra valdžios institucija, kompetentinga spręsti 1 straipsnio 1 dalyje nurodytus klausimus; ir

ab)

duomenų valdytojas ir duomenų tvarkytojas įvykdo šiame skyriuje nustatytas sąlygas, įskaitant tolesnį asmens duomenų perdavimą iš trečiosios šalies ar tarptautinės organizacijos kitai trečiajai šaliai ar kitai tarptautinei organizacijai; ir

b)

duomenų valdytojas ir duomenų tvarkytojas įvykdo šiame skyriuje nustatytas sąlygas kitas pagal šią direktyvą priimtas ; ir

ba)

nepakenkta asmens duomenų apsaugos lygiui, kuris Sąjungoje užtikrinamas šia direktyva; ir

bb)

Komisija, laikydamasi 34 straipsnyje nustatytų sąlygų ir tvarkos, nusprendė, kad atitinkama trečioji šalis arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį; arba

bc)

su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės buvo nustatytos teisiškai privalomu dokumentu, kaip numatyta 35 straipsnyje.

a)

tolimesnis duomenų perdavimas būtinas tokiu pačiu konkrečiu tikslu, kaip ir pirminis tikslas; ir

b)

pirminį duomenų perdavimą atlikusi kompetentinga institucija leidžia toliau perduoti duomenis. [96 pakeit.]

a)

teisinės valstybės principą, galiojančius atitinkamus bendrojo pobūdžio ir atskiriems sektoriams skirtus teisės aktus, be kita ko, susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu bei baudžiamąja teise , taip pat šių teisės aktų įgyvendinimą ir saugumo priemonėmis priemones , kurios taikomos toje šalyje arba tarptautinėje organizacijoje; teismų praktiką, taip pat veiksmingas ir įgyvendinamas teises, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami;

b)

ar atitinkamoje trečiojoje šalyje arba tarptautinėje organizacijoje yra ir veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos, kurios užtikrina, kad būtų laikomasi duomenų apsaugos taisyklių, kurioms, be kita ko, suteikti pakankami sankcijų taikymo įgaliojimai ir kurios padeda ir pataria duomenų subjektams, kaip naudotis savo teisėmis, ir bendradarbiauja su Sąjungos ir valstybių narių priežiūros institucijomis; ir

c)

atitinkamos trečiosios šalies arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus , ypač teisiškai privalomas asmens duomenų apsaugos konvencijas arba dokumentus .

a)

su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės nustatytos teisiškai privalomu dokumentu; arba

b)

duomenų valdytojas arba duomenų tvarkytojas įvertino visas su asmens duomenų perdavimu susijusias aplinkybes ir daro išvadą, kad nustatytos tinkamos su asmens duomenų apsauga susijusios apsaugos priemonės.

a)

perduoti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai; arba

b)

perduoti duomenis būtina, kad būtų apsaugoti teisėti duomenų subjekto interesai, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę; arba

c)

perduoti duomenis būtina, kad būtų užkirstas kelias tiesioginei ir didelei grėsmei valstybės narės arba trečiosios šalies visuomenės saugumui; arba

d)

atskirais atvejais perduoti duomenis būtina nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais; arba

e)

atskirais atvejais perduoti duomenis būtina, kad būtų nustatyti, vykdomi ar ginami teisiniai reikalavimai, susiję su konkrečių nusikalstamų veikų prevencija, tyrimu, nustatymu ar traukimu baudžiamojon atsakomybėn už jas arba konkrečių baudžiamųjų sankcijų vykdymu.

a)

sukurti veiksmingus bendradarbiavimo su trečiosiomis šalimis ir tarptautinėmis organizacijomis mechanizmus, kad būtų lengviau įgyvendinti siekiant užtikrinti asmens duomenų apsaugos teisės aktus aktų įgyvendinimą ; [101 pakeit.]

b)

teikti tarptautinę savitarpio pagalbą trečiosioms šalims ir tarptautinėms organizacijoms įgyvendinant asmens duomenų apsaugos teisės aktus, be kita ko, teikiant pranešimus, perduodant skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės ir užtikrinamos kitos pagrindinės teisės ir laisvės;

c)

susijusias suinteresuotąsias šalis įtraukti į diskusijas ir veiklą, kurios tikslas – stiprinti tarptautinį bendradarbiavimą įgyvendinant asmens duomenų apsaugos teisės aktus;

d)

skatinti dalytis asmens duomenų apsaugos teisės aktais ir praktika ir ją dokumentuoti;

da)

išaiškinti jurisdikcijos konfliktus su trečiosiomis šalimis ir konsultuotis šiais klausimais. [102 pakeit.]

6.

Kiekviena valstybė narė užtikrina, kad priežiūros institucijai būtų privaloma turėti savo darbuotojus, kuriuos skiria ir kuriems vadovauja priežiūros institucijos vadovas.

a)

priežiūros institucijos įsteigimą ir statusą pagal 39 ir 40 straipsnius;

b)

priežiūros institucijos narių pareigoms būtiną kvalifikaciją, patirtį ir gebėjimus;

c)

priežiūros institucijos narių skyrimo taisykles ir procedūras, taip pat taisykles dėl veiksmų arba darbo, nesuderinamo su tarnybinėmis pareigomis;

d)

priežiūros institucijos narių kadencijos trukmę, ne trumpesnę kaip ketveri metai, išskyrus keletą pirmųjų narių, skiriamų įsigaliojus šiai direktyvai, kurių kadencija gali būti trumpesnė;

e)

ar priežiūros institucijos narių kadencija gali būti atnaujinama;

f)

su priežiūros institucijos narių ir darbuotojų pareigomis susijusį reglamentavimą ir bendruosius reikalavimus;

g)

priežiūros institucijos narių atleidimo iš pareigų taisykles ir procedūras, įskaitant atvejus, kai jie nebetenkina jų pareigoms keliamų reikalavimų arba pripažįstami kalti padarę sunkų nusižengimą.

a)

stebi ir užtikrina pagal šią direktyvą priimtų nuostatų ir jų įgyvendinimo priemonių taikymą;

b)

nagrinėja skundus, kuriuos pagal 50 straipsnį pateikė bet kuris duomenų subjektas arba tam subjektui atstovaujanti tinkamus įgaliojimus turinti asociacija, tinkamai tiria skundą ir per pagrįstą laikotarpį informuoja duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti su kita priežiūros institucija;

c)

tikrina duomenų tvarkymo teisėtumą pagal 14 straipsnį ir per pagrįstą laikotarpį informuoja duomenų subjektą apie patikrinimo rezultatą arba priežastis, dėl kurių patikrinimas nebuvo atliekamas;

d)

teikia savitarpio pagalbą kitoms priežiūros institucijoms ir užtikrina, kad pagal šią direktyvą priimtos nuostatos būtų nuosekliai taikomos ir būtų užtikrinamas jų vykdymas;

e)

atlieka tyrimus , patikrinimus ir auditą savo iniciatyva arba pagal skundą, arba kitos priežiūros institucijos prašymu ir per pagrįstą laikotarpį informuoja atitinkamą duomenų subjektą, jei jis pateikė skundą, apie tyrimo rezultatą;

f)

stebi naujausius įvykius, jei jie turi poveikį asmens duomenų apsaugai, visų pirma informacinių ir ryšio technologijų raidą;

g)

konsultuoja valstybės narės institucijas ir įstaigas dėl teisinių ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

h)

konsultuoja dėl 26 straipsnyje nurodytų duomenų tvarkymo operacijų;

i)

dalyvauja Europos duomenų apsaugos valdybos veikloje.

a)

tyrimo įgaliojimai, pavyzdžiui, įgaliojimai susipažinti su tvarkymo operacijų metu tvarkomais duomenimis, ir įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą nuostatų dėl asmens duomenų tvarkymo pažeidimą ir prireikus nurodyti duomenų valdytojui arba duomenų tvarkytojui konkrečiomis priemonėmis ištaisyti pažeidimą, siekiant sustiprinti duomenų subjekto apsaugą ;

b)

įgaliojimai veiksmingai įsikišti, pavyzdžiui, įgaliojimai pareikšti nuomonę prieš pradedant tvarkyti duomenis ir užtikrinti tinkamą tokių nuomonių skelbimą viešai, taip pat įgaliojimai nurodyti apriboti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti tvarkyti duomenis, įspėti arba papeikti duomenų valdytoją arba įgaliojimai perduoti klausimą svarstyti nacionaliniams parlamentams ar kitoms politinėms institucijoms nurodyti duomenų valdytojui patenkinti duomenų subjekto prašymus užtikrinti jam pagal šią direktyvą nustatytas teises, įskaitant 12–17 straipsniuose numatytas teises, jeigu tokie prašymai buvo atmesti pažeidžiant tas nuostatas ;

c)

įgaliojimai dalyvauti teismo procesuose, jeigu buvo pažeistos pagal šią direktyvą priimtos nuostatos, arba atkreipti teisminių institucijų dėmesį į tokius pažeidimus nurodyti duomenų valdytojui arba duomenų tvarkytojui teikti informaciją pagal 10 straipsnio 1 ir 2 dalis ir pagal 11, 28 ir 29 straipsnius ;

d)

užtikrinti, kad būtų laikomasi nuostatų dėl 26 straipsnyje nurodyto išankstinio konsultavimosi;

e)

įspėti duomenų valdytoją ar duomenų tvarkytoją arba pareikšti jiems pastabą;

f)

nurodyti ištaisyti, ištrinti ar sunaikinti visus duomenis, jeigu jie buvo tvarkomi pažeidžiant pagal šią direktyvą priimtas nuostatas, ir pranešti apie tokius veiksmus tretiesiems subjektams, kuriems tie duomenys buvo atskleisti;

g)

laikinai ar galutinai uždrausti tvarkyti duomenis;

h)

sustabdyti duomenų srautus duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai;

i)

informuoti nacionalinius parlamentus, vyriausybes ar kitas viešąsias institucijas, taip pat visuomenę šiais klausimais.

a)

galimybę susipažinti su visais asmens duomenimis ir visa priežiūros pareigoms atlikti būtina informacija;

b)

galimybę patekti į bet kurias jo patalpas, be kita ko, pasinaudoti bet kuria jo duomenų tvarkymo įranga ir priemonėmis pagal nacionalinės teisės aktus, jeigu yra pagrįstų priežasčių manyti, kad ten vykdoma veikla pažeidžiamos pagal šią direktyvą priimtos nuostatos, tačiau nepažeidžiant teismo leidimo, jeigu jo reikia pagal nacionalinės teisės aktus.

a)

ji nėra kompetentinga patenkinti prašymą; or

b)

prašymo patenkinimas būtų nesuderinamas su pagal šią direktyvą priimtomis nuostatomis.

a)

pataria Komisijai Sąjungos institucijoms visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, įskaitant dėl visų siūlomų šios direktyvos pakeitimų;

b)

Komisijos , Europos Parlamento ar Tarybos prašymu arba savo iniciatyva, arba vieno iš savo narių iniciatyva nagrinėja visus klausimus, susijusius su pagal šią direktyvą priimtų nuostatų taikymu, ir skelbia priežiūros institucijoms skirtas gaires, rekomendacijas ir geriausią patirtį, siekdama skatinti nuoseklų tų nuostatų taikymą , įskaitant gaires, rekomendacijas ir geriausią patirtį, susijusias su naudojimusi vykdymo įgaliojimais ;

c)

peržiūri praktinį šios dalies b punkte nurodytų gairių, rekomendacijų ir geriausios patirties taikymą ir reguliariai teikia Komisijai ataskaitas apie jas;

d)

teikia Komisijai nuomonę dėl duomenų apsaugos lygio trečiosiose šalyse arba tarptautinėse organizacijose;

e)

skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį arba daugiašalį keitimąsi informacija ir praktika , įskaitant bendrų operacijų ir kitos bendros veiklos koordinavimą tais atvejais, kai vienos ar kelių priežiūros institucijų prašymu nusprendžia jo imtis ;

f)

skatina bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, kai tinkama, trečiųjų šalių arba tarptautinių organizacijų priežiūros institucijų darbuotojų mainus;

g)

skatina keitimąsi žiniomis ir dokumentais, įskaitant duomenų apsaugos teisės aktus ir susijusią praktiką, su priežiūros institucijomis visame pasaulyje;

ga)

teikia savo nuomonę Komisijai pagal šią direktyvą rengiant deleguotuosius ir įgyvendinimo aktus.

a)

duomenų perdavimas atitinka Sąjungos ar valstybės narės teisės aktus; ir

b)

duomenų gavėjas yra įsisteigęs Europos Sąjungos valstybėje narėje; ir

c)

konkretūs teisėti duomenų subjekto interesai neužkerta kelio duomenų perdavimui; ir

d)

konkrečiu atveju būtina perduoti duomenis duomenų valdytojui, kad jis: