3.5.2016

LT

Europos Sąjungos oficialusis leidinys

C 159/83

---

Tarybos motyvų pareiškimas. Per pirmąjį svarstymą priimta Tarybos pozicija (ES) Nr. 6/2016 siekiant priimti Europos Parlamento ir Tarybos reglamentą dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)

(2016/C 159/02)

I.   ĮVADAS

2012 m. sausio 25 d. Komisija pasiūlė visapusę duomenų apsaugos reformą, grindžiamą:

—	pirmiau nurodytu pasiūlymu dėl Bendrojo duomenų apsaugos reglamento, kuriuo siekiama pakeisti 1995 m. Duomenų apsaugos direktyvą (buvęs pirmasis ramstis),

—

pasiūlymu dėl Direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, kuria siekiama pakeisti 2008 m. Duomenų apsaugos pamatinį sprendimą (buvęs trečiasis ramstis).

Europos Parlamentas savo poziciją per pirmąjį svarstymą dėl siūlomo Bendrojo duomenų apsaugos reglamento priėmė 2014 m. kovo 12 d. (dok. 7427/14).

Taryba dėl bendro požiūrio susitarė 2015 m. birželio 15 d., tokiu būdu suteikdama pirmininkaujančiai valstybei narei derybų įgaliojimus pradėti trišalius dialogus su Europos Parlamentu (dok. 9565/15).

Europos Parlamentas ir Taryba atitinkamai Piliečių laisvių, teisingumo ir vidaus reikalų komiteto bei Nuolatinių atstovų komiteto lygmeniu atitinkamai 2015 m. gruodžio 17 d. ir 18 d. patvirtino susitarimą dėl kompromisinio teksto, parengto trišaliuose dialoguose įvykusiose derybose.

2016 m. vasario 12 d. posėdžiuose Taryba pasiekė politinį susitarimą dėl reglamento projekto (dok. 5455/15). 2016 m. balandžio 8 d. posėdyje Taryba priėmė poziciją per pirmąjį svarstymą, kuri visiškai atitinka neformaliose Tarybos ir Europos Parlamento derybose sutartą kompromisinį tekstą dėl reglamento.

Europos ekonomikos ir socialinių reikalų komitetas nuomonę dėl reglamento pateikė 2012 m. (OL C 229, 2012 7 31, p. 90).

Nuomonę dėl reglamento pateikė Regionų komitetas (OL C 391, 2012 12 18, p. 127).

Buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, jis pirmą nuomonę pateikė 2012 m. (OL C 192, 2012 6 30, p. 7), antrą nuomonę – 2015 m. (OL C 301, 2015 9 12, p. 8).

Europos Sąjungos pagrindinių teisių agentūra nuomonę pateikė 2012 m. spalio 1 d.

II.   TIKSLAS

Bendruoju duomenų apsaugos reglamentu suderinamos Europos Sąjungoje taikomos duomenų apsaugos taisyklės. Reglamento tikslai – sustiprinti fizinių asmenų duomenų apsaugos teises, sudaryti palankesnes sąlygas laisvam asmens duomenų judėjimui bendrojoje rinkoje ir sumažinti administracinę naštą.

III.   PER PIRMĄJĮ SVARSTYMĄ PRIIMTOS TARYBOS POZICIJOS ANALIZĖ

A.    Bendrosios pastabos

Atsižvelgiant į Europos Vadovų Tarybos tikslą užtikrinti, kad iki 2015 m. pabaigos būtų susitarta dėl duomenų apsaugos reformos, Europos Parlamentas ir Taryba, siekdami suderinti savo pozicijas, surengė neformalias derybas. Per pirmąjį svarstymą priimtos Tarybos pozicijos tekstas dėl Bendrojo duomenų apsaugos reglamento visiškai atspindi abiejų teisėkūros institucijų, padedamų Europos Komisijos, pasiektą kompromisą.

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje išlaikomi Direktyvos 95/46/EB tikslai: duomenų subjektų teisių apsauga ir laisvas duomenų judėjimas. Tuo pačiu metu, atsižvelgiant į dėl technologinių pokyčių ir globalizacijos padarinių vis didėjantį tvarkomų asmens duomenų kiekį, ja siekiama pritaikyti šiuo metu galiojančias duomenų apsaugos taisykles. Kad reglamentas nepasentų, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatytos duomenų apsaugos taisyklės yra neutralios technologijų atžvilgiu.

Siekiant užtikrinti nuoseklią fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudytų laisvam asmens duomenų judėjimui vidaus rinkoje, per pirmąjį svarstymą priimtoje Tarybos pozicijoje iš esmės numatomas bendras tiesiogiai visoje Sąjungoje taikomas taisyklių rinkinys. Šiuo derinimu bus panaikintas susiskaidymas, atsiradęs dėl skirtingų valstybių narių įstatymų, kuriais įgyvendinama Direktyva 95/46/EB. Vis dėlto, siekiant atsižvelgti į konkretiems duomenų tvarkymo atvejams taikomus reikalavimus, įskaitant taikomus viešajam sektoriui, per pirmąjį svarstymą priimtoje Tarybos pozicijoje valstybėms narėms leidžiama savo nacionalinėje teisėje konkrečiau apibrėžti reglamente nustatytų duomenų apsaugos taisyklių taikymą.

Asmens duomenų apsauga yra viena iš pagrindinių teisių, įtvirtinta Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje. Be to, Sutarties dėl Europos Sąjungos veikimo 16 straipsnyje nustatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą, neatsižvelgiant į jo pilietybę ar gyvenamąją vietą, ir kad tuo tikslu bei siekiant užtikrinti laisvą asmens duomenų judėjimą turėtų būti nustatytos taisyklės. Tuo remiantis per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyti fizinių asmenų apsaugos tvarkant jų asmens duomenis principai ir taisyklės.

Siekiant reglamento tikslų, per pirmąjį svarstymą priimtoje Tarybos pozicijoje sugriežtinama duomenų valdytojų (atsakingų už asmens duomenų tvarkymo tikslų ir priemonių nustatymą) ir duomenų tvarkytojų (atsakingų už asmens duomenų tvarkymą duomenų valdytojo vardu) atskaitomybė, taip siekiant skatinti realią duomenų apsaugos kultūrą. Šiame kontekste visame reglamente nustatomas rizika grindžiamas požiūris, kurio laikantis leidžiama keisti duomenų valdytojo ir duomenų tvarkytojo prievoles atsižvelgiant į jų atliekamo duomenų tvarkymo keliamą pavojų. Be to, asmens duomenų apsaugos taisyklių padeda laikytis elgesio kodeksai ir sertifikavimo mechanizmai. Laikantis tokio požiūrio išvengiama pernelyg griežtų taisyklių ir nepakenkiant taisyklių laikymuisi sumažinama administracinė našta. Be to, atgrasomasis galimų taikytinų baudų pobūdis skatina duomenų valdytojus laikytis šio reglamento.

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatytomis naujosiomis duomenų apsaugos taisyklėmis taip pat numatomos sustiprintos ir vykdytinos piliečių teisės. Tokiu būdu fiziniams asmenims sudaromos sąlygos geriau valdyti savo asmens duomenis ir labiau pasitikėti interneto paslaugomis tarpvalstybiniu mastu, o tai paskatins bendrąją skaitmeninę rinką. Vaikams reikia ypatingos apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus ir savo teises.

Be to, per pirmąjį svarstymą priimtoje Tarybos pozicijoje sustiprinamas priežiūros institucijų nepriklausomumas ir kartu suderinamos jų užduotys bei įgaliojimai. Nustatant taisykles dėl priežiūros institucijų tarpusavio bendradarbiavimo ir prireikus jų bendradarbiavimo su Komisija tarpvalstybiniais atvejais (nuoseklumo užtikrinimo mechanizmas) bus padedama nuosekliai taikyti reglamentą visoje Europos Sąjungoje. Taip bus padidintas teisinis tikrumas ir sumažinta administracinė našta. Be to, vieno langelio mechanizme bus numatyta viena bendra institucija, su kuria duomenų valdytojai ir duomenų tvarkytojai palaikys ryšius vykdydami tarpvalstybinį duomenų tvarkymą, įskaitant privalomus sprendimus ginčuose, kuriuos priims naujai įsteigta Europos duomenų apsaugos valdyba. Dėl šio mechanizmo reglamento taikymas bus nuoseklesnis. Be to, juo bus užtikrintas didesnis teisinis tikrumas ir sumažinta administracinė našta.

Galiausiai, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta išsami asmens duomenų perdavimo iš Europos Sąjungos gavėjams trečiosiose valstybėse arba tarptautinėse organizacijose sistema, kurioje numatomos naujos priemonės, palyginti su Direktyva 95/46/EB.

B.    Pagrindiniai klausimai

Taryba ir Europos Parlamentas, padedami Europos Komisijos, neformaliose derybose suderino savo pozicijas, kurios atitinkamai išdėstytos Tarybos bendrame požiūryje ir Parlamento per pirmąjį svarstymą priimtoje pozicijoje. Per pirmąjį svarstymą priimta Tarybos pozicija dėl Bendrojo duomenų apsaugos reglamento visiškai atspindi pasiektus kompromisus. Pagrindiniai per pirmąjį svarstymą priimtos Tarybos pozicijos klausimai išdėstyti toliau.

1.    Taikymo sritis

1.1   Materialinė reglamento taikymo sritis ir atskyrimas nuo Teisėsaugos direktyvos

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad Bendrasis duomenų apsaugos reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie yra susisteminto pagal konkrečius kriterijus prieinamų asmens duomenų rinkinio dalis arba kuriuos planuojama įtraukti į susistemintą rinkinį, tvarkymui ne automatizuotomis priemonėmis. Materialinė Bendrojo duomenų apsaugos reglamento taikymo sritis ir Duomenų apsaugos teisėsaugos srityje direktyvos taikymo sritis nesutampa. Pozicijoje nurodyta, kad reglamentas netaikomas kompetentingų institucijų vykdomam asmens duomenų tvarkymui nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais. Atsižvelgiant į šį atskyrimą, teisėsaugos institucijos, visų pirma policija, paprastai gali taikyti direktyvoje numatytą duomenų apsaugos tvarką, tuo pačiu metu užtikrindamos nuoseklią ir aukšto lygio fizinių asmenų, kurių atžvilgiu vykdomos teisėsaugos operacijos, asmens duomenų apsaugą.

1.2   ES institucijos ir įstaigos

Siekiant užtikrinti vienodą ir nuoseklią duomenų subjektų apsaugą tvarkant jų asmens duomenis, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nurodoma, kad priėmus Bendrąjį duomenų apsaugos reglamentą turėtų būti padaryti reikiami Reglamento (EB) Nr. 45/2001, kuris taikomas ES institucijoms, įstaigoms, tarnyboms ir agentūroms, pakeitimai, kad jį būtų galima taikyti tuo pačiu metu kaip ir Bendrąjį duomenų apsaugos reglamentą.

1.3   Namų ūkiams taikoma išimtis

Tam, kad nebūtų nustatytos tokios taisyklės, kuriomis fiziniams asmenims būtų užkrauta nereikalinga našta, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad reglamentas netaikomas fizinio asmens atliekamam asmens duomenų tvarkymui užsiimant išimtinai asmenine ar namų ūkio veikla, kuris todėl nėra susijęs su profesine ar komercine veikla.

1.4   Teritorinė taikymo sritis

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje duomenų valdytojams ir duomenų tvarkytojams sudaromos vienodos sąlygos teritorinės taikymo srities požiūriu, apimant visus duomenų valdytojus ir duomenų tvarkytojus, nepriklausomai nuo to, ar jie įsteigti Sąjungoje, ar ne.

Visų pirma šiame reglamente nustatyta, kad duomenų apsaugos taisyklės taikomos asmens duomenų tvarkymui duomenų valdytojo arba duomenų tvarkytojo buveinėje Sąjungoje šioje buveinėje jiems vykdant veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne. Antra, siekiant užtikrinti, kad fiziniai asmenys neprarastų teisės į duomenų apsaugą, šis reglamentas taikomas Sąjungoje esančių duomenų subjektų asmens duomenų, net jei juos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, tvarkymui, kai duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu tokiems Sąjungoje esantiems duomenų subjektams, taip pat jų elgesio, jei jie veikia Europos Sąjungoje, stebėsenai. Be to, taip nustačius taikymo sritį, sustiprinamas teisinis tikrumas duomenų valdytojams ir duomenų subjektams (fiziniams asmenims, kurių asmens duomenys tvarkomi).

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje taip pat užtikrinama, kad tuo atveju, kai duomenų valdytojai arba duomenų tvarkytojai nėra įsisteigę Sąjungoje, tačiau patenka į reglamento taikymo sritį, Europos Sąjungoje būtų įsteigti duomenų subjektų ir priežiūros institucijų informavimo punktai; duomenų valdytojai arba duomenų tvarkytojai turi raštu paskirti atstovą Sąjungoje. Kad būtų išvengta nereikalingos administracinės naštos, ši prievolė netaikoma duomenų tvarkymui, dėl kurio neturėtų kilti pavojus fizinių asmenų teisėms bei laisvėms, ir duomenų tvarkymui, kurį vykdo trečiosios valstybės valdžios institucija ar įstaiga.

2.    Su asmens duomenų tvarkymu susiję principai

Duomenų apsaugos principai taikomi bet kuriai informacijai, susijusiai su fiziniu asmeniu, kurio tapatybė gali būti arba yra nustatyta, įskaitant informaciją, kuri konkrečiam duomenų subjektui gali būti priskirta tik pasinaudojus papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti, kad tokia informacija nebūtų priskiriama asmeniui, kurio tapatybė yra arba gali būti nustatyta (pseudonimų suteikimas). Palyginti su Direktyva 95/46/EB, reglamente iš esmės numatomas pagrindinių asmens duomenų tvarkymo principų taikymo tęstinumas. Tuo pačiu metu buvo pakoreguotas duomenų kiekio mažinimo principas, kad būtų atsižvelgta į skaitmeninę tikrovę ir būtų užtikrinta pusiausvyra tarp asmenų duomenų apsaugos ir duomenų valdytojų galimybių tvarkyti duomenis.

3.    Duomenų tvarkymo teisėtumas

3.1   Teisėtumo sąlygos

Siekiant užtikrinti teisinį tikrumą, per pirmąjį svarstymą priimtoje Tarybos pozicijoje remiamasi Direktyva 95/46/EB ir nurodoma, kad asmens duomenų tvarkymas yra teisėtas tik tuomet, jei tenkinama bent viena iš toliau nurodytų sąlygų:

—	duomenų subjekto sutikimas dėl vieno ar daugiau konkrečių tikslų,

—

sutartis,

—	teisinė prievolė,

—	gyvybinių duomenų subjekto ar kito fizinio asmens interesų apsauga,;

—	užduotis, atliekama dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas,

—	teisėti duomenų valdytojo arba trečiosios šalies interesai.

Dvi sąlygas (sutikimą ir teisėtus duomenų valdytojo arba trečiosios šalies interesus) verta aptarti išsamiau.

3.1.1   Sutikimas

Kad duomenų subjektas leistų tvarkyti jo asmens duomenis, sutikimą dėl duomenų tvarkymo jis gali duoti aiškiai patvirtindamas, kad yra laisva valia ir vienareikšmiškai duotas konkretus ir informacija pagrįstas jo sutikimas dėl su juo susijusių asmens duomenų tvarkymo. Toks sutikimas apima visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turi būti duotas dėl visų duomenų tvarkymo tikslų. Be to, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą dėl duomenų tvarkymo operacijos. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas nėra laikomi sutikimu. Sutikimo sąvokos formuluotė užtikrina tęstinumą acquis, kuri buvo išplėtota šią sąvoką naudojant pagal Direktyvą 95/46/EB, atžvilgiu; ja taip pat prisidedama prie sutikimo sąvokos bendro supratimo ir taikymo visoje Europos Sąjungoje.

Be to, siekiant apsaugoti duomenų subjekto duomenų apsaugos teises, pozicijoje nurodyta, kad jeigu duomenų subjektas sutikimą duoda pateikdamas rašytinį pareiškimą, susijusį ir su kitais klausimais, jokia to pareiškimo dalis, kuria pažeidžiamas šis reglamentas, nėra privaloma. Be to, vertinant, ar sutikimas yra duotas laisva valia, visų pirma turi būti atsižvelgiama į tai, ar, inter alia, sutarties vykdymas priklauso nuo sutikimo dėl duomenų tvarkymo, kuris nėra būtinas šiai sutarčiai vykdyti.

Galiausiai, kad būtų galima taikyti nuostatas, leidžiančias nukrypti nuo bendro draudimo tvarkyti specialių kategorijų asmens duomenis, per pirmąjį svarstymą priimtoje Tarybos pozicijoje šio duomenų tvarkymo atveju numatomi griežtesni reikalavimai nei kitokiam duomenų tvarkymui – duomenų subjektas turi duoti savo aiškų sutikimą dėl tokių neskelbtinų asmens duomenų tvarkymo.

Vaikų atveju per pirmąjį svarstymą priimtoje Tarybos pozicijoje numatoma speciali apsaugos tvarka, skirta vaikų sutikimui gauti, kai tai susiję su informacinės visuomenės paslaugų siūlymu. Jaunesnio nei 16 metų amžiaus vaiko asmens duomenų tvarkymas yra teisėtas, jeigu atsižvelgiant į turimas technologijas galima pagrįstai patikrinti, ar tokį sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas. Valstybėms narėms, manančioms, kad būtų tikslinga nustatyti mažesnį amžių, leidžiama nustatyti mažesnę didžiausio amžiaus ribą, su sąlyga, kad ji būtų ne mažesnė nei 13 metų.

3.1.2   Teisėtas duomenų valdytojo interesas

Asmens duomenų tvarkymas gali būti teisėtas, jei duomenis tvarkyti būtina teisėtų duomenų valdytojo arba trečiosios šalies interesų tikslais. Tačiau tokie teisėti interesai nėra pakankama teisėto duomenų tvarkymo priežastis, kai už tokius interesus yra viršesni duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, ypač kai duomenų subjektas yra vaikas.

Reikia įvertinti, ar esama teisėto intereso, be kita ko, nustatyti, ar duomenų subjektas tuo metu, kai renkami asmens duomenys, ir asmens duomenų rinkimo kontekste gali pagrįstai tikėtis, kad šiuo tikslu gali būti tvarkomi duomenys. Gali būti laikoma, kad asmens duomenų tvarkymas tiesioginės rinkodaros tikslais yra vykdomas vadovaujantis teisėtu interesu. Atsižvelgiant į tai, kad asmens duomenų tvarkymo teisinį pagrindą valdžios institucijoms teisės aktu turi nustatyti teisės aktų leidėjas, tai netaikoma valdžios institucijų vykdomam asmens duomenų tvarkymui atliekant jų užduotis.

3.2   Specialios valstybių narių taisyklės, kuriomis pritaikomas reglamento taikymas

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje valstybėms narėms leidžiama toliau taikyti arba nustatyti konkretesnes nuostatas, kuriomis būtų pritaikytas šio reglamento taisyklių taikymas, jei asmens duomenys tvarkomi siekiant laikytis nustatytos teisinės prievolės arba jis yra būtinas siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Be to, numatomos nukrypti leidžiančios nuostatos, konkretūs reikalavimai ir kitos priemonės, susiję su specifinėmis duomenų tvarkymo operacijomis, kuriomis valstybės narės teisę į asmens duomenų apsaugą suderina su teise į saviraiškos laisvę ir informaciją, visuomenės teise susipažinti su oficialiais dokumentais, nacionalinių asmens identifikavimo numerių tvarkymu, asmens duomenų tvarkymu su darbo santykiais susijusiame kontekste ir duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais.

3.3   Tolesnis duomenų tvarkymas

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad duomenų tvarkymas kitu tikslu nei tikslu, kuriuo asmens duomenys iš pradžių buvo surinkti, yra teisėtas tik tuomet, kai tas tolesnis duomenų tvarkymas yra suderinamas su tais tikslais, kuriais tie asmens duomenys iš pradžių buvo tvarkomi. Tačiau, jei duomenų subjektas yra davęs sutikimą arba jei duomenų tvarkymas yra grindžiamas Sąjungos ar valstybės narės teisės aktais, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendrųjų viešųjų interesų tikslus, duomenų valdytojui leidžiama toliau tvarkyti asmens duomenis neatsižvelgiant į tikslų suderinamumą. Tolesnio duomenų tvarkymo atveju duomenų subjekto teisės buvo sustiprintos, visų pirma kiek tai susiję su teise į informaciją ir teise nesutikti su tokiu tolesniu duomenų tvarkymu, kai jis nėra būtinas siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas yra suderinamas su tikslu, kuriuo asmens duomenys iš pradžių buvo surinkti, duomenų valdytojas turi atsižvelgti, inter alia, į visas sąsajas tarp pradinių tikslų ir numatomo tolesnio duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjekto lūkesčius, grindžiamus jo santykiais su duomenų valdytoju dėl tolesnio duomenų naudojimo, asmens duomenų pobūdį, numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektui ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnio duomenų tvarkymo operacijose.

3.4   Specialių kategorijų asmens duomenų tvarkymas

Turi būti užtikrinta ypatinga asmens duomenų, kurie yra ypač opaus pobūdžio, apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą gali kilti didelis pavojus fizinių asmenų pagrindinėms teisėms ir laisvėms. Todėl per pirmąjį svarstymą priimtoje Tarybos pozicijoje iš esmės išlaikomas Direktyvos 95/46/EB požiūris draudžiant tvarkyti specialių kategorijų asmens duomenis.

Tam tikrais, išsamiai išvardytais atvejais, nuo šios taisyklės nukrypstama ir neskelbtinus duomenis leidžiama tvarkyti, pavyzdžiui, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenis tvarkyti yra būtina dėl svarbaus viešojo intereso arba kai duomenis tvarkyti yra būtina dėl kitų tikslų, be kita ko, sveikatos apsaugos srityje.

Galiausiai, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad valstybės narės gali nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba duomenų apie sveikatos būklę tvarkymui. Tačiau šiomis papildomomis sąlygomis negali būti trikdomas laisvas duomenų judėjimas Sąjungoje.

4.    Duomenų subjektų įgalėjimas

4.1   Įvadas

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje duomenų subjektai įgalinami jiems suteikiant sustiprintas duomenų apsaugos teises ir nustatant prievoles duomenų valdytojams. Duomenų subjekto teisės apima teisę į informaciją, teisę susipažinti su asmens duomenimis, teisę reikalauti ištaisyti asmens duomenis, teisę reikalauti ištrinti asmens duomenis, įskaitant „teisę būti pamirštam“, teisę apriboti duomenų tvarkymą, teisę į duomenų perkeliamumą, teisę nesutikti ir teisę į tai, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas. Teisės, kurios, palyginti su Direktyva 95/46/EB, buvo labai pakeistos, yra išsamiau išdėstytos toliau.

Duomenų valdytojai privalo sudaryti palankesnes sąlygas duomenų subjektams naudotis savo teisėmis, o asmens duomenis tvarkyti laikantis skaidrumo principo, visų pirma suteikti informaciją apie jų vykdomą asmens duomenų tvarkymą.

Tačiau, jeigu duomenų valdytojas pagal tvarkomus asmens duomenis negali nustatyti duomenų subjekto tapatybės, duomenų valdytojas nėra įpareigojamas gauti papildomos informacijos duomenų subjekto tapatybei nustatyti vien tam, kad būtų laikomasi kurios nors šio reglamento nuostatos.

Nepaisant šių duomenų subjektų teisių ir šių duomenų valdytojų prievolių, per pirmąjį svarstymą priimtoje Tarybos pozicijoje išlaikomas Direktyvos 95/46/EB požiūris leidžiant apriboti bendruosius principus ir fizinio asmens teises, jei toks apribojimas grindžiamas Sąjungos ar valstybės narės teise. Tokiais apribojimais turi būti gerbiama pagrindinių teisių bei laisvių esmė ir jie demokratinėje visuomenėje turi būti būtini bei proporcingi siekiant apsaugoti tam tikrus viešuosius interesus.

4.2   Skaidrumas

Laikydamiesi skaidrumo principo duomenų valdytojai informaciją ir pranešimus, susijusius su asmens duomenų tvarkymu, turi pateikti glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra skirta vaikui. Informacija turi būti pateikiama raštu arba kitomis priemonėmis, prireikus – elektronine forma.

Be to, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatomi prašymų duomenų valdytojui suteikti informacijos, pranešti arba atlikti kitus veiksmus, kurie paprastai turi būti atliekami nemokamai, terminai. Tačiau jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo, pranešimų ar veiksmų, kurių prašoma, administracines išlaidas, arba duomenų valdytojas gali atsisakyti imtis veiksmų pagal prašymą. Tokiais atvejais duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

4.3   Informacija ir pranešimai, kuriuos turi teikti duomenų valdytojas

Siekiant užtikrinti pusiausvyrą tarp pakankamos informacijos apie tvarkomus asmens duomenis teikimo duomenų subjektams ir vengimo nustatyti per dideles prievoles duomenų valdytojams, per pirmąjį svarstymą priimtoje Tarybos pozicijoje išdėstytas dviejų pakopų požiūris, kuriuo siekiama užtikrinti, kad duomenų subjektai būtų tinkamai informuojami tiek tais atvejais, kai asmens duomenys renkami iš duomenų subjektų, tiek tais atvejais, kai asmens duomenys gaunami ne iš duomenų subjektų. Pirmajame etape duomenų valdytojas įpareigojamas asmens duomenų gavimo metu duomenų subjektui pateikti reglamente išvardytą informaciją. Antrajame etape duomenų valdytojas turi pateikti reglamente išvardytą papildomą informaciją, kuri yra būtina siekiant užtikrinti sąžiningą ir veiksmingą duomenų tvarkymą. Be to, duomenų valdytojai turi informuoti duomenų subjektus, kai jie ketina toliau tvarkyti asmens duomenis kitu tikslu nei tikslas, kuriuo asmens duomenys buvo iš pradžių surinkti.

Duomenų valdytojas neįpareigojamas pateikti išvardytos informacijos nei pirmajame, nei antrajame etape, jei duomenų subjektas jau yra apie tai informuotas. Jei asmens duomenys buvo gauti ne iš duomenų subjekto, duomenų valdytojas duomenų subjektui nesuteikia jokios informacijos, jei asmens duomenų užregistravimas ar atskleidimas trečiosioms šalims yra aiškiai nustatytas teisės aktuose, arba kai pateikti informaciją duomenų subjektui yra neįmanoma, arba tai pareikalautų neproporcingų pastangų.

Galiausiai, duomenų valdytojai įpareigojami kiekvieną duomenų gavėją, kuriam buvo atskleisti asmens duomenys, informuoti apie visus duomenų ištaisymo ir ištrynimo atvejus arba duomenų tvarkymo apribojimus, išskyrus atvejus, kai tai yra neįmanoma arba reikalauja neproporcingų pastangų. Be to, duomenų valdytojas turi informuoti duomenų subjektą apie tuos duomenų gavėjus, jei duomenų subjektas to prašo.

4.4   Piktogramos

Pagal skaidraus duomenų tvarkymo principus duomenų subjektas turi būti informuojamas, kad yra vykdomas duomenų tvarkymas, ir apie jo tikslus. Todėl per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad prie duomenų subjektui pateikiamos informacijos gali būti pridedamos standartizuotos piktogramos. Duomenų valdytojai gali savanoriškai spręsti dėl to, ar šių standartizuotų piktogramų naudojimas būtų naudingas jų vykdomam asmens duomenų tvarkymui. Piktogramose turėtų būti gerai matomai, suprantamai ir įskaitomai pateikta prasminga numatomo duomenų tvarkymo apžvalga. Piktogramos turi būti pateikiamos informacijos pateikimo metu. Jei pateikiamos elektroninės formos piktogramos, jos turi būti kompiuterio skaitomos. Siekiant prisidėti prie standartizuoto piktogramų naudojimo Europos Sąjungoje, reglamentu Komisijai suteikiami įgaliojimai priimti deleguotuosius aktus, kuriais nustatoma informacija, kuri turėtų būti perduodama piktogramomis, ir standartizuotų piktogramų pateikimo tvarka. Europos duomenų apsaugos valdyba turi pateikti nuomonę dėl Komisijos siūlomų piktogramų. Tai, kad gali būti priimti deleguotieji aktai, netrukdo Europos duomenų apsaugos valdybai skelbti gaires, nuomones ir geriausios patirties pavyzdžius piktogramų srityje.

4.5   Teisė susipažinti su duomenimis

Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar jo asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi – turi teisę susipažinti su reglamente išvardyta informacija. Šiuo atžvilgiu reglamente tiksliai nurodyta, kad duomenų valdytojas turi nemokamai pateikti tvarkomų asmens duomenų kopiją. Už visas kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Dėl teisės gauti kopiją neturi būti daromas neigiamas poveikis kitų asmenų teisėms ir laisvėms.

4.6   Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje duomenų subjektams suteikiama teisė reikalauti, kad jų asmens duomenys būtų ištrinti, jei tvarkant tokius duomenis nesilaikoma šio reglamento arba duomenų valdytojui taikomos Sąjungos ar valstybės narės teisės.

Nurodant „teisę būti pamirštam“ pripažįstamas poreikis pakoreguoti teisę reikalauti ištrinti duomenis, visų pirma skaitmeniniame kontekste. Duomenų valdytojai, kurie paviešino asmens duomenis, kuriuos duomenų subjektas nori visiškai ištrinti, turi imtis pagrįstų veiksmų, įskaitant technines priemones, kad duomenų valdytojai, kurie tvarko asmens duomenis, būtų informuoti apie duomenų subjekto prašymą ištrinti saitus į tokius duomenis arba tokių duomenų kopijas ar dublikatus, atsižvelgiant į turimas technologijas ir įgyvendinimo išlaidas. Europos duomenų apsaugos valdyba gali skelbti gaires, rekomendacijas ir geriausios patirties pavyzdžius, susijusius su saitų į asmens duomenis, duomenų kopijų ar dublikatų ištrynimo viešai prieinamose ryšių paslaugose tvarka.

Teisė reikalauti ištrinti duomenis ir duomenų valdytojo prievolė informuoti kitus duomenų valdytojus apie prašymą ištrinti duomenis netaikomos, jei asmens duomenų tvarkymas yra būtinas dėl reglamente išsamiai išvardytų tikslų, pavyzdžiui dėl teisės į saviraiškos laisvę ir informaciją.

4.7   Teisė į duomenų perkeliamumą

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektai turi teisę gauti savo asmens duomenis, kuriuos jie pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu bei sąveikiu formatu, ir perduoti šiuos duomenis kitam duomenų valdytojui. Be to, pozicijoje nurodyta, kad tais atvejais, kai tai techniškai įmanoma, duomenų subjektai turi teisę reikalauti, kad vienas duomenų valdytojas asmens duomenis kitam duomenų valdytojui perduotų tiesiogiai. Taip duomenų subjektai gali labiau kontroliuoti savo asmens duomenis. Be to, taip skatinama duomenų valdytojų konkurencija.

Vis dėlto ši teisė į duomenų perkeliamumą netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Be to, tais atvejais, kai tam tikri asmens duomenys yra susiję su daugiau nei vienu duomenų subjektu, duomenų subjekto teisė gauti asmens duomenis nedaro poveikio kitų asmenų teisėms ir laisvėms.

4.8   Teisė nesutikti

Tais atvejais, kai asmens duomenys galėtų būti teisėtai tvarkomi, kadangi duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, arba vadovaujantis teisėtais duomenų valdytojo arba trečiosios šalies interesais, duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi bet kokie su jo konkrečia padėtimi susiję duomenys. Tokiu atveju duomenų valdytojui nebeleidžiama tvarkyti asmens duomenų, išskyrus atvejus, kai jis įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų pagrindų, kurie yra viršesni už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

Šiame kontekste pozicijoje nurodyta, kad tais atvejais, kai asmens duomenys tvarkomi tiesioginiais rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad būtų tvarkomi jo asmens duomenys. Tai apima profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara. Profiliavimas apibrėžiamas kaip bet kurios formos automatizuotas asmens duomenų tvarkymas, kai tie duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu. Jeigu duomenų subjektas nesutinka, kad jo asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, tvarkyti asmens duomenis tokiais tikslais nebeleidžiama. Be to, apie šią teisę duomenų subjektui turi būti aiškiai ir nedviprasmiškai pranešama ne vėliau kaip asmens duomenų valdytojui pirmą kartą susisiekiant su duomenų subjektu.

Be to, per pirmąjį svarstymą priimtoje Tarybos pozicijoje pateikiama nuoroda į funkciją „Nesekti“ internete ir patikslinama, kad naudojimosi informacinės visuomenės paslaugomis atveju duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis ir naudotis techninėmis specifikacijomis.

4.9   Automatizuotas individualių sprendimų priėmimas, įskaitant profiliavimą

Duomenų subjektas turi teisę reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas, kuriuo įvertinami jo asmeniniai aspektai ir dėl kurio jam kyla teisinių pasekmių arba kuris jam daro panašų didelį poveikį. Tai gali būti automatinis internetinės kredito paraiškos atmetimas ar elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks automatizuotas duomenų tvarkymas gali apimti profiliavimą. Vis dėlto ši teisė reikalauti, kad nebūtų taikomas automatizuotas duomenų tvarkymas, netaikoma, kai tai:

—	būtina siekiant sudaryti arba vykdyti duomenų subjekto ir duomenų valdytojo sutartį arba

—	leidžiama duomenų valdytojui taikoma Sąjungos ar valstybės narės teise, kuria taip pat nustatomos tinkamos duomenų subjekto teisių bei laisvių ir teisėtų interesų apsaugos priemonės, pavyzdžiui, sukčiavimo ir mokesčių slėpimo stebėsenos tikslais, arba

—	yra pagrįsta aiškiu duomenų subjekto sutikimu.

—

Išskyrus antrąjį atvejį, susijusį su Sąjungos ar valstybės narės teise leidžiamu duomenų tvarkymu, duomenų valdytojas, kuris tvarko duomenis automatizuotomis priemonėmis, turi įdiegti tinkamas duomenų subjekto teisių bei laisvių ir teisėtų interesų apsaugos priemones. Šios apsaugos priemonės turi apimti bent teisę reikalauti, kad duomenų valdytojas užtikrintų žmogaus įsikišimą ir galimybę duomenų subjektui pareikšti savo nuomonę bei teisę užginčyti sprendimą Be to, siekdami užtikrinti sąžiningą ir skaidrų duomenų tvarkymą, duomenų valdytojai turėtų taikyti tinkamas matematines bei statistines profiliavimo procedūras ir priemones, kuriomis būtų sumažintas galimas pavojus duomenų subjektų interesams.

Duomenų subjektui suteikiama dar daugiau teisių, kadangi duomenų valdytojas įpareigojamas tais atvejais, kai tai būtina siekiant užtikrinti sąžiningą ir skaidrų duomenų tvarkymą, teikti duomenų subjektui informaciją, kad vykdomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą, ir bent tais atvejais – prasmingą informaciją apie logiką, kuria vadovaujamasi, taip pat apie tokio duomenų tvarkymo mastą ir numatomą poveikį duomenų subjektui.

Galiausiai, automatizuotas sprendimų priėmimas ir specialiomis asmens duomenų kategorijomis grindžiamas profiliavimas leidžiamas tik konkrečiomis sąlygomis, be kita ko, numatant duomenų subjekto teisę nesutikti su tokiu duomenų tvarkymu, kai šie asmens duomenys yra toliau tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, išskyrus atvejus, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso.

Europos duomenų apsaugos valdyba gali skelbti gaires, rekomendacijas ir geriausios patirties pavyzdžius, kad būtų galima tiksliau apibrėžti profiliavimu grindžiamų sprendimų priėmimo kriterijus ir sąlygas.

5.    Duomenų valdytojas ir duomenų tvarkytojas

5.1   Įvadas

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatoma duomenų valdytojo arba jo vardu duomenis tvarkančio duomenų tvarkytojo atsakomybę ir teisinę atsakomybę už asmens duomenų tvarkymą reglamentuojanti teisinė sistema. Vadovaujantis atskaitomybės principu duomenų valdytojas įpareigojamas įdiegti atitinkamas technines bei organizacines priemones ir sugebėti įrodyti, kad jo vykdomos duomenų tvarkymo operacijos atitinka šio reglamento reikalavimus. Šiame kontekste reglamente nustatomos taisyklės, susijusios su duomenų valdytojo prievolėmis, susijusiomis su poveikio vertinimais, duomenų tvarkymo įrašų saugojimu, duomenų saugumo pažeidimais, duomenų apsaugos pareigūno skyrimu, elgesio kodeksais ir sertifikavimo mechanizmais.

5.2   Poveikio vertinimai

Duomenų valdytojas atsako už duomenų apsaugos poveikio vertinimo atlikimą siekiant nustatyti atvejus, kai dėl duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nurodomi atvejai, kai ypač reikia atlikti duomenų apsaugos poveikio vertinimą, pavyzdžiui, tam tikrų specifinių plataus masto duomenų tvarkymo operacijų atveju. Kai atlikus tokį poveikio vertinimą paaiškėja, kad duomenų tvarkymo operacijos yra susijusios su dideliu pavojumi, kurio duomenų valdytojas negali sumažinti tinkamomis priemonėmis, atsižvelgiant į turimas technologijas ir įgyvendinimo išlaidas, prieš pradedant duomenų tvarkymą turi būti konsultuojamasi su priežiūros institucija. Tada priežiūros institucija gali pateikti rekomendacijų duomenų valdytojui pasinaudoti bet kuriais iš savo įgaliojimų.

Europos duomenų apsaugos valdyba gali skelbti gaires dėl duomenų tvarkymo operacijų, kurias vykdant gali kilti didelis pavojus fizinių asmenų teisėms bei laisvėms, ir nurodyti, kokių priemonių gali pakakti norint tokiais atvejais panaikinti galimą pavojų.

5.3   Duomenų tvarkymo veiklos įrašai

Kad priežiūros institucija galėtų vykdyti ex post kontrolę, duomenų valdytojas arba, jei toks yra, duomenų valdytojo atstovas, arba duomenų tvarkytojas turi saugoti jo atsakomybe atliekamos duomenų tvarkymo veiklos įrašus, įskaitant įrašus apie duomenų saugumo pažeidimus. Siekiant sumažinti administracinę naštą, prievolė registruoti įrašus netaikoma įmonėms arba organizacijoms, kuriose dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jų vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas yra reguliarus arba tvarkomi neskelbtini duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas.

5.4   Duomenų saugumo pažeidimai

Dėl asmens duomenų saugumo pažeidimo fiziniai asmenys gali patirti fizinę, turtinę ar neturtinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jų asmens tapatybė, padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, pakenkta jų reputacijai, prarastas duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad duomenų valdytojai turi apie duomenų saugumo pažeidimus pranešti priežiūros institucijoms, išskyrus atvejus, kai nėra tikėtina, jog dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms. Jie taip pat privalo atitinkamiems duomenų subjektams pranešti apie tuos pažeidimus, dėl kurių gali kilti didelis pavojus. Gavusios šią informaciją priežiūros institucijos prireikus galės imtis priemonių. Be to, informavus atitinkamą duomenų subjektą, jis galės imtis atsargumo priemonių.

Siekiant sumažinti administracinę naštą, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyti skirtingi pranešimo priežiūros institucijai ir atitinkamų duomenų subjektų informavimo terminai; informavimo terminas yra ilgesnis už pranešimo terminą. Duomenų valdytojai įpareigojami iškart, sužinojus apie padarytą asmens duomenų saugumo pažeidimą, nepagrįstai nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po sužinojimo apie pažeidimą, apie tai pranešti kompetentingai priežiūros institucijai. Vis dėlto duomenų valdytojai gali nepranešti apie asmens duomenų saugumo pažeidimą, jei jie gali įrodyti, jog nėra tikėtina, kad dėl šio pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms. Duomenų valdytojai su kai kuriomis išimtimis įpareigojami apie duomenų saugumo pažeidimą nepagrįstai nedelsiant informuoti atitinkamus duomenų subjektus, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus tų duomenų subjektų teisėms ir laisvėms.

Europos duomenų apsaugos valdyba gali skelbti gaires, rekomendacijas ir geriausios patirties pavyzdžius, susijusius su duomenų saugumo pažeidimų nustatymu ir nepagrįsto delsimo duomenų valdytojui sužinojus apie pažeidimą apibrėžimu ir konkrečiomis aplinkybėmis, kuriomis duomenų valdytojas privalo pranešti apie asmens duomenų saugumo pažeidimą, taip pat aplinkybėmis, kuriomis dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus atitinkamų fizinių asmenų teisėms ir laisvėms.

5.5   Duomenų apsaugos pareigūnas

Skiriant duomenų apsaugos pareigūną siekiama pagerinti reglamento nuostatų laikymąsi. Todėl duomenų apsaugos pareigūnas turi turėti ekspertinių žinių duomenų apsaugos teisės bei praktikos srityje ir turi padėti duomenų valdytojui arba duomenų tvarkytojui stebėti, kaip vidaus lygmeniu laikomasi šio reglamento. Jis gali būti duomenų valdytojo arba duomenų tvarkytojo personalo narys arba atlikti užduotis pagal paslaugų teikimo sutartį. Be to, įmonių grupei arba tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija, gali būti paskirtas vienas bendras duomenų apsaugos pareigūnas. Per pirmąjį svarstymą priimtoje Tarybos pozicijoje numatytas privalomas duomenų apsaugos pareigūno skyrimas tais atvejais, kai:

—	duomenis tvarko valdžios institucija, išskyrus teismus arba nepriklausomas teismines institucijas, vykdančius savo teismines funkcijas, arba

—	duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus, arba

—	duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra neskelbtinų duomenų ir duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

5.6   Elgesio kodeksai ir sertifikavimo mechanizmai

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje skatinamas elgesio kodeksų taikymas ir intensyvesnis duomenų apsaugos sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų naudojimas. Šiomis iniciatyvomis prisidedama prie duomenų apsaugos taisyklių laikymosi vengiant nustatyti pernelyg griežtas taisykles ir mažinant už vykdymo užtikrinimą atsakingų valdžios institucijų išlaidas. Be to, elgesio kodeksuose gali būti atsižvelgiama į konkrečias tam tikruose sektoriuose vykdomo duomenų tvarkymo savybes, taip pat į labai mažų, mažųjų ir vidutinių įmonių poreikius. Sertifikavimo mechanizmais ir duomenų apsaugos ženklais bei žymenimis savo ruožtu prisidedama prie šio reglamento laikymosi, kadangi duomenų subjektai gali nesunkiai įvertinti duomenų apsaugos lygį atitinkamų gaminių ir paslaugų atžvilgiu.

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje pateiktos išsamios taisyklės dėl elgesio kodeksų ir sertifikavimo mechanizmų, duomenų apsaugos ženklų ir žymenų, kuriais suteikiama galimybė imtis privačių iniciatyvų tuo pačiu metu garantuojant duomenų apsaugos standartų laikymąsi, į šį procesą įtraukiant priežiūros institucijas.

5.6.1   Elgesio kodeksai

Priežiūros institucija gali patvirtinti elgesio kodeksus arba tokių elgesio kodeksų pakeitimus ar taikymo išplėtimus. Kai elgesio kodekso projektas yra susijęs su duomenų tvarkymo veikla, vykdoma keliose valstybėse narėse, kompetentinga priežiūros institucija, prieš patvirtindama kodeksą, turi pateikti kodekso projektą, jo pakeitimą ar išplėtimą Europos duomenų apsaugos valdybai jos nuomonei gauti.

Komisija gali priimti įgyvendinimo aktus, kuriais būtų priimtas sprendimas, kad nauji elgesio kodeksai ir galiojančių elgesio kodeksų pakeitimai arba išplėtimai, kuriuos patvirtino kompetentinga priežiūros institucija, visuotinai galioja Sąjungoje.

Europos duomenų apsaugos valdyba turėtų skatinti rengti elgesio kodeksus. Valdyba taip pat turi registruoti visus patvirtintus elgesio kodeksus bei jų pakeitimus ir juos viešai paskelbti naudodamasi atitinkamomis priemonėmis.

5.6.2   Sertifikavimo mechanizmai ir duomenų apsaugos ženklai bei žymenys

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad kiekviena valstybė narė turi užtikrinti, kad sertifikavimo įstaigas akredituotų priežiūros institucija arba nacionalinė akreditavimo įstaiga. Akredituotos sertifikavimo įstaigos gali sertifikuoti duomenų valdytojus ir duomenų tvarkytojus remdamosi kompetentingos priežiūros institucijos arba, vadovaujantis nuoseklumo užtikrinimo mechanizmu, Europos duomenų apsaugos valdybos patvirtintais kriterijais. Pastaruoju atveju pagal Europos duomenų apsaugos valdybos patvirtintus kriterijus gali būti išduodamas bendras sertifikatas – Europos duomenų apsaugos ženklas. Duomenų valdytojas arba duomenų tvarkytojas sertifikuojamas ne ilgiau kaip 3 metams; sertifikato galiojimas gali būti pratęstas. Sertifikavimo įstaiga kompetentingai priežiūros institucijai turi nurodyti prašomo sertifikavimo suteikimo arba panaikinimo priežastis. Po to atitinkama priežiūros institucija gali atsisakyti suteikti sertifikavimą arba paskelbti jį negaliojančiu.

Komisija gali priimti deleguotuosius aktus, kuriais būtų apibrėžti reikalavimai, į kuriuos turi būti atsižvelgiama taikant duomenų apsaugos sertifikavimo mechanizmus. Europos duomenų apsaugos valdyba turi pateikti nuomonę dėl šių reikalavimų. Komisija taip pat gali priimti įgyvendinimo aktus dėl sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų techninių standartų, kad būtų skatinama taikyti sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis ir jie būtų pripažinti.

Galiausiai Europos duomenų apsaugos valdyba turėtų skatinti nustatyti duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis.

6.    Asmens duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms

6.1   Įvadas

Pasaulinės prekybos ir tarpvalstybinės skaitmeninės ekonomikos kontekste būtinas tarpvalstybinis asmens duomenų judėjimas į Sąjungai nepriklausančias valstybes bei tarptautines organizacijas. Tais atvejais, kai ES piliečių asmens duomenys perduodami iš Sąjungos kitiems duomenų gavėjams, negali sumažėti Sąjungoje garantuojamos apsaugos lygis.

Apskritai asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai galima tik tuo atveju, jei duomenų valdytojai ir duomenų tvarkytojai laikosi reglamentu nustatytų taisyklių. Per pirmąjį svarstymą priimtoje Tarybos pozicijoje visapusiškai atsižvelgiama į Europos Sąjungos Teisingumo Teismo praktiką, įskaitant jo 2015 m. spalio 6 d. sprendimą byloje C-362/14. Tarybos pozicijoje palikti įvairūs būdai, kuriais naudojantis leidžiama atlikti tarpvalstybinius asmens duomenų perdavimus, kartu sustiprinant garantijas, kad būtų užtikrintos duomenų apsaugos teisės. Šie įvairūs asmens duomenų perdavimo būdai – tai sprendimai dėl tinkamumo, tinkamos apsaugos priemonės ir nukrypti leidžiančios nuostatos.

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje paaiškinta, kad bet kuris teismo sprendimas ir bet kuris trečiosios valstybės administracinės institucijos sprendimas, kuriuo reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, gali būti bet kuriuo būdu pripažįstamas arba vykdytinas tik tuo atveju, jei jis grindžiamas galiojančiu prašymą pateikusios trečiosios valstybės ir Sąjungos ar valstybės narės tarptautiniu susitarimu. Be to, per pirmąjį svarstymą priimtoje Tarybos pozicijoje aiškiai nurodyta, kad tokiais tarptautiniais susitarimais nedaromas poveikis kitiems tarpvalstybinio duomenų perdavimo pagrindams, numatytiems reglamente.

6.2   Sprendimai dėl tinkamumo

Tarptautinius duomenų perdavimus galima atlikti remiantis Komisijos priimtu sprendimu dėl tinkamumo, kuriuo nuspręsta, kad atitinkama trečioji valstybė ar teritorija arba vienas ar daugiau konkrečių sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina atitinkamo lygio apsaugą, iš esmės lygiavertę Sąjungoje užtikrinamai apsaugai, Tokiu būdu garantuojamas teisinis tikrumas ir vienodas teisės taikymas visoje Sąjungoje.

Komisija, įspėjusi trečiąją valstybę ar tarptautinę organizaciją ir pateikusi jai išsamų pagrindimą, gali nuspręsti sprendimą dėl tinkamumo atšaukti. Sprendimus dėl tinkamumo ir sprendimus atšaukti tokius sprendimus Komisija priima kaip įgyvendinimo aktus. Įgyvendinimo aktuose turi būti numatytas periodinės peržiūros, atliekamos bent kas ketverius metus, mechanizmas. Komisija turi stebėti pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų daryti poveikį sprendimų dėl tinkamumo veikimui. Stebėsenos ir periodinių peržiūrų atlikimo tikslais Komisija turėtų atsižvelgti į Europos Parlamento ir Tarybos, taip pat kitų svarbių įstaigų ir šaltinių nuomones ir išvadas. Be to, atlikdama reglamento vertinimą ir peržiūrą, Komisija reguliariai turi teikti ataskaitas Europos Parlamentui ir Tarybai. Galiausiai, Europos duomenų apsaugos valdyba turi pateikti Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar ir toliau yra užtikrinamas tinkamas apsaugos lygis.

Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi, lieka galioti tol, kol Komisijos sprendimu jie bus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti. Analogiškai, leidimai, kuriuos valstybė narė arba priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, ir sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 26 straipsnio 4 dalimi, lieka galioti atitinkamai tol, kol ta priežiūros institucija prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins, arba tol, kol Komisijos sprendimu jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti. Per pirmąjį svarstymą priimta Tarybos pozicija užtikrinant tęstinumą garantuojamas teisinis tikrumas.

6.3   Tinkamos apsaugos priemonės

Tarpvalstybiniai duomenų perdavimai gali būti atliekami ne tik remiantis sprendimais dėl tinkamumo, bet ir tais atvejais, jeigu duomenų valdytojas arba duomenų tvarkytojas imasi tinkamų apsaugos priemonių nepakankamai duomenų apsaugai trečiojoje valstybėje arba tarptautinėje organizacijoje kompensuoti. Tokios apsaugos priemonės gali apimti tarp valdžios institucijų ar įstaigų taikomas teisiškai privalomas ir vykdytinas priemones, įmonėms privalomas taisykles, Komisijos priimtas standartines duomenų apsaugos sąlygas, priežiūros institucijos priimtas standartines duomenų apsaugos sąlygas arba priežiūros institucijos pripažintas sutarčių sąlygas. Duomenų valdytojai arba duomenų tvarkytojai trečiojoje valstybėje taip pat gali užtikrinti atitinkamas asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms apsaugos priemones. Jie tai gali padaryti patvirtintu elgesio kodeksu kartu su privalomais ir vykdytinais įsipareigojimais taikyti tinkamas apsaugos priemones, nustatytais sutartinėmis ar kitomis teisiškai privalomomis priemonėmis, be kita ko, duomenų subjektų teisių atžvilgiu. Jie taip pat tai gali padaryti kompetentingos priežiūros institucijos patvirtintu sertifikavimo mechanizmu kartu su privalomais ir vykdytinais duomenų valdytojo ar duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, duomenų subjektų teisių atžvilgiu.

6.4   Nukrypti leidžiančios nuostatos

Jeigu nepriimtas sprendimas dėl tinkamumo arba nėra tinkamų apsaugos priemonių, asmens duomenų perdavimas arba perdavimai į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekami remiantis nukrypti leidžiančiomis nuostatomis, kurios yra išsamiai išvardytos reglamente. Viena iš šių nukrypti leidžiančių nuostatų yra susijusi su duomenų valdytojo siekiamais teisėtais interesais, kai duomenų subjekto interesai ar teisės ir laisvės nėra viršesni už tokius interesus. Siekiant užtikrinti pakankamas apsaugos priemones tarpvalstybinio asmens duomenų perdavimo atvejais, teisėti duomenų valdytojo interesai yra griežtai apriboti ir jais gali būti remiamasi tik kaip ultimum remedium. Siekiant užtikrinti nuoseklų šio reglamento taikymą, Europos duomenų apsaugos valdyba turi savo iniciatyva arba Komisijai paprašius rengti ir peržiūrėti gaires, rekomendacijas ir geriausios patirties pavyzdžius, kad būtų labiau patikslinti duomenų perdavimo tais atvejais, kai nepriimtas sprendimas dėl tinkamumo arba nėra tinkamų apsaugos priemonių, kriterijai ir reikalavimai.

7.    Priežiūros institucijos

7.1   Nepriklausomumas

Siekiant apsaugoti fizinių asmenų pagrindines teises ir laisves tvarkant jų asmens duomenis ir sudaryti palankesnes sąlygas laisvam asmens duomenų judėjimui Sąjungoje, kiekviena valstybė narė turi nustatyti, kad už reglamento taikymo jų teritorijoje stebėseną būtų atsakinga viena arba kelios nepriklausomos valdžios institucijos. Kiekviena priežiūros institucija ir jos nariai, atlikdami jiems pavestas užduotis ir naudodamiesi tai priežiūros institucijai ir jos nariams suteiktais įgaliojimais, turi veikti visiškai nepriklausomai, be kita ko, sąžiningai.

Kiekviena priežiūros institucija turi prisidėti prie nuoseklaus reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos turi bendradarbiauti tarpusavyje ir su Europos duomenų apsaugos valdyba, taip pat su Komisija. Nuoseklus reglamento taikymas dar labiau užtikrinamas nustatant priežiūros institucijų kompetenciją ir apibrėžiant užduotis bei mažiausius priežiūros institucijų turėtinus tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų, taip pat leidimų išdavimo ir patariamuosius įgaliojimus.

7.2   Profesinė paslaptis

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje išdėstytos priežiūros institucijoms ir jų nariams taikomos profesinės paslapties taisyklės. Visų pirma, kiekvienos priežiūros institucijos narys arba nariai ir darbuotojai turi būti įpareigojami kadencijos metu ir jai pasibaigus pagal Sąjungos ar valstybės narės teisės aktus saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais. Pozicijoje tai pat nurodyta, kad jų kadencijos metu šis įpareigojimas saugoti profesinę paslaptį visų pirma taikomas fizinių asmenų parnešimo apie reglamento pažeidimus atvejais. Be to, Europos duomenų apsaugos valdybai paskirta užduotis teikti gaires, rekomendacijas ir geriausios patirties pavyzdžius siekiant nustatyti bendrą fizinių asmenų pranešimo apie reglamento pažeidimus tvarką.

8.    Bendradarbiavimas ir nuoseklumas

8.1   Europos duomenų apsaugos valdyba

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje, siekiant užtikrinti teisingą ir nuoseklų šio reglamento taikymą, kaip Sąjungos įstaiga, turinti juridinio asmens statusą, įsteigiama Europos duomenų apsaugos valdyba. Valdybos funkcijos apima visų pirma nuomonių teikimą, privalomų sprendimų priėmimą sprendžiant priežiūros institucijų tarpusavio ginčus arba gairių skelbimą bet kuriuo klausimu, apimančiu šio reglamento taikymą, siekiant užtikrinti nuoseklų šio reglamento vykdymą.

Europos duomenų apsaugos valdybą sudaro kiekvienos valstybės narės vienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jų atitinkami atstovai. Komisija turi teisę dalyvauti Europos duomenų apsaugos valdybos veikloje bei posėdžiuose be balsavimo teisės. Europos duomenų apsaugos valdybos diskusijos yra konfidencialios, jei, valdybos nuomone, tai yra būtina, kaip numatyta jos darbo tvarkos taisyklėse.

Tuo atveju, kai sprendžiant ginčą Europos duomenų apsaugos valdyba priima privalomą sprendimą, Europos duomenų apsaugos priežiūros pareigūnas balsavimo teisę turi priimant tik tuos sprendimus, kurie yra susiję su Sąjungos institucijoms, įstaigoms, organams ir agentūroms taikomais principais ir taisyklėmis, kurie iš esmės atitinka reglamente nustatytus principus ir taisykles.

8.2   Nuoseklumo užtikrinimo mechanizmas

Tarpvalstybinio asmens duomenų tvarkymo atvejais, kai šiame procese dalyvauja daugiau nei viena priežiūros institucija, nuoseklumo užtikrinimo mechanizmu garantuojama, kad būtų priimtas vienas bendras sprendimas, kuris bus taikomas visoje Europos Sąjungoje, kartu atsižvelgiant į įvairių susijusių priežiūros institucijų nuomones. Taigi, nuoseklumo užtikrinimo mechanizmu labiau suartinami duomenų subjektai ir sprendimus priimanti priežiūros institucija, į sprendimų priėmimo procesą įtraukiant vietos priežiūros institucijas. Be to, kilus ginčams tarp įvairių valstybių narių priežiūros institucijų, naujai įsteigta Europos duomenų apsaugos valdyba yra kompetentinga priimti privalomus sprendimus.

Taisyklės dėl nuoseklumo užtikrinimo mechanizmo netaikomos, jeigu valdžios institucijos arba privačios įstaigos duomenis tvarko viešojo intereso tikslais. Tokiais atvejais vienintelė kompetentinga priežiūros institucija yra valstybės narės, kurioje yra įsteigta ta valdžios institucija arba privati įstaiga, priežiūros institucija.

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje numatyta, kad Komisijai atliekant reglamento vertinimą bus nagrinėjamas bendradarbiavimo ir nuoseklumo užtikrinimo mechanizmo taikymas.

9.    Teisių gynimo priemonės, įpareigojimai ir sankcijos

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatytos išsamios taisyklės, kuriomis duomenų subjektams sudaromos kelios galimybės pasinaudoti teisių gynimo priemonėmis, be kita ko, reikalauti kompensuoti žalą, padarytą dėl reglamento pažeidimo.

9.1   Teisė pateikti skundą ir teisė imtis teisminių teisių gynimo priemonių

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, jeigu jis mano, kad su juo susiję asmens duomenys tvarkomi nesilaikant šio reglamento. Be to, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą. Jis taip pat turi teisę imtis veiksmingų teisių gynimo priemonių tuo atveju, jeigu priežiūros institucija skundo nenagrinėja arba nepraneša jam apie skundo nagrinėjimo pažangą arba rezultatus.

Be to, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu jis mano, kad pagal šį reglamentą nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi nesilaikant reglamento.

Užtikrinamas duomenų subjekto ir nacionalinio teismo artumas, kadangi duomenų subjektas turi teisę reikalauti, kad jo nacionalinis teismas peržiūrėtų jo duomenų apsaugos institucijos sprendimą, neatsižvelgiant į tai, kurioje valstybėje narėje yra įsteigtas duomenų valdytojas ar duomenų tvarkytojas. Byla duomenų valdytojui arba duomenų tvarkytojui turi būti keliama valstybės narės, kurioje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, teismuose. Kitu atveju tokia byla gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus.

Galiausiai, bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Europos Sąjungos Teisingumo Teisme pareikšti ieškinį dėl Europos duomenų apsaugos valdybos sprendimų panaikinimo.

9.2   Atstovavimas duomenų subjektams

Duomenų subjektas turi teisę įgalioti įstaigas, organizacijas arba asociacijas, kurios tenkina konkrečius kriterijus, pavyzdžiui, tas, kurios nesiekia pelno ir veikia duomenų apsaugos srityje, pateikti skundą jo vardu, pasinaudoti teisėmis į teismines teisių gynimo priemones jo vardu ir pasinaudoti teise gauti kompensaciją jo vardu, jei tai numatyta valstybės narės teisės aktuose. Šie konkretūs kriterijai nustatomi tam, kad duomenų apsaugos srityje nesusiformuotų komercinė ieškinių teikimo praktika. Be to, valstybės narės gali nustatyti, kad bet kuri tokia įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turėtų teisę pateikti skundą kompetentingai priežiūros institucijai ir pasinaudoti teisėmis į teismines teisių gynimo priemones, jei ji mano, kad duomenų subjekto teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi nesilaikant reglamento.

9.3   Bylos nagrinėjimo sustabdymas

Siekiant, kad to paties dalyko, susijusio su to paties duomenų valdytojo arba duomenų tvarkytojo atliekamu duomenų tvarkymu, nenagrinėtų skirtingi teismai, bet kuris kompetentingas teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, gali sustabdyti bylos nagrinėjimą arba vienos iš šalių prašymu atsisakyti jurisdikcijos.

9.4   Teisė į kompensaciją ir atsakomybė

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad bet kuris duomenų subjektas, kuris patyrė turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją. Siekiant duomenų subjektams suteikti galimybę reikalauti kompensuoti žalą, kartu užtikrinant teisinį tikrumą duomenų valdytojams ir duomenų tvarkytojams, reglamente apibrėžiami pastarųjų įpareigojimai. Duomenų tvarkymo procese dalyvaujantis duomenų valdytojas atsako už žalą, kurią jis padarė. Duomenų tvarkytojas už žalą atsako tik tuo atveju, jei jis nesilaikė reglamente konkrečiai duomenų tvarkytojams nustatytų prievolių arba veikė nepaisydamas teisėtų duomenų valdytojo nurodymų arba juos pažeisdamas. Tačiau duomenų valdytojas arba duomenų tvarkytojas atleidžiamas nuo atsakomybės, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio buvo padaryta žala.

Jei tame pačiame duomenų tvarkymo procese dalyvauja daugiau nei vienas duomenų valdytojas ar duomenų tvarkytojas arba dalyvauja duomenų valdytojas ir duomenų tvarkytojas ir kai jie yra atsakingi už bet kokią dėl duomenų tvarkymo padarytą žalą, kiekvienas duomenų valdytojas arba duomenų tvarkytojas laikomas atsakingu už visą žalą, kad būtų užtikrintas veiksmingas kompensavimas duomenų subjektui. Tačiau, kai duomenų valdytojas arba duomenų tvarkytojas sumoka visą kompensaciją už patirtą žalą, tas duomenų valdytojas arba duomenų tvarkytojas turi teisę reikalauti iš kitų tame pačiame duomenų tvarkymo procese dalyvavusių duomenų valdytojų arba duomenų tvarkytojų, kad jie sugrąžintų jam kompensacijos dalį, atitinkančią jų atsakomybės už žalą dalį.

9.5   Sankcijos

Siekiant užtikrinti reglamento laikymąsi, per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatyta, kad priežiūros institucijos gali skirti administracines baudas. Šios baudos turi būti veiksmingos, proporcingos ir atgrasomos. Valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsteigtoms toje valstybėje narėje. Priežiūros institucijos gali ne tik skirti administracines baudas, bet ir pasinaudoti kitais įgaliojimais imtis taisomųjų veiksmų, pavyzdžiui, reikšti įspėjimus ar papeikimus. Siekiant didesnio suderinimo, Europos duomenų apsaugos valdyba turi rengti priežiūros institucijoms skirtas gaires dėl priežiūros institucijų naudojimosi įgaliojimais imtis taisomųjų veiksmų ir administracinių baudų nustatymo.

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje pateikiamas kriterijų sąrašas, kuriuo turi remtis priežiūros institucija spręsdama, ar skirti administracinę baudą, ir, jeigu taip, koks turėtų būti tos baudos dydis. Šie kriterijai yra susiję, inter alia, su reglamento pažeidimo pobūdžiu, sunkumu ir trukme arba tuo, ar pažeidimas padarytas tyčia ar dėl aplaidumo. Reglamente išvardyti ir pažeidimai, ir atitinkamos maksimalios administracinės baudos. Neviršydama šių maksimalių administracinių baudų dydžių, priežiūros institucija, atsižvelgdama į kiekvieno konkretaus pažeidimo aplinkybes, turi nustatyti tinkamo dydžio baudą. Siekiant užtikrinti teisinį tikrumą duomenų valdytojams bei duomenų tvarkytojams ir labiau suderinti administracines baudas Sąjungoje, kartu priežiūros institucijoms užtikrinant tam tikrą veiksmų laisvę, šie pažeidimai skirstomi į tris kategorijas. Už pirmosios kategorijos pažeidimus, kurie yra susiję su duomenų valdytojų ir duomenų tvarkytojų prievolėmis, gali būti skiriama iki 10 000 000 EUR dydžio bauda, o įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos dydžio bauda, atsižvelgiant į tai, kuri suma yra didesnė. Už antrosios kategorijos pažeidimus, kai pažeidžiamos duomenų subjektų teisės ir bendrieji duomenų tvarkymo principai, skiriama iki 20 000 000 EUR arba iki 4 % apyvartos dydžio bauda. Trečiosios kategorijos pažeidimai yra susiję su priežiūros institucijos nurodymo nesilaikymu ir už juos taip pat skiriama iki 20 000 000 EUR arba iki 4 % apyvartos dydžio bauda.

10.    Specialūs duomenų tvarkymo atvejai

10.1   Asmens duomenų tvarkymas ir saviraiškos bei informacijos laisvė

Valstybės narės teisės aktuose turi numatyti teisės į asmens duomenų apsaugą suderinimą su teise į saviraiškos ir informacijos laisvę, įskaitant asmens duomenų tvarkymą žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais. Siekiant užtikrinti skaidrumą šių teisių suderinimo atžvilgiu, kiekviena valstybė narė įpareigojama pranešti Komisijai atitinkamas savo teisės aktų nuostatas, tų nuostatų pakeitimus, taip pat naujas atitinkamas nuostatas.

10.2   Duomenų tvarkymas su darbo santykiais susijusiame kontekste

Valstybės narės gali teisės aktuose ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis būtų užtikrinama teisių ir laisvių apsauga tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste.

Šios taisyklės turi apimti tinkamas ir konkrečias priemones, kuriomis būtų apsaugotas duomenų subjekto žmogiškasis orumas, teisėti interesai ir pagrindinės teisės. Kiekviena valstybė narė turi pranešti Komisijai atitinkamas savo teisės aktų nuostatas, tų nuostatų pakeitimus, taip pat naujas atitinkamas nuostatas.

10.3   Apsaugos priemonės ir nukrypti leidžiančios nuostatos, taikomos tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nustatytos konkrečios taisyklės, taikomos tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Šiomis taisyklėmis siekiama suderinti, viena vertus, interesą turėti asmens duomenų siekiant kaupti archyvus, teikti statistinius duomenis ir atlikti mokslinius tyrimus, ir, kita vertus, duomenų apsaugos teises.

Tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal reglamentą. Valstybėms narėms leidžiama konkrečiomis sąlygomis ir taikant tinkamas duomenų subjektų apsaugos priemones nustatyti specifikacijas ir nukrypti leidžiančias nuostatas, susijusias su informacijos reikalavimais ir teise reikalauti ištaisyti duomenis, teise reikalauti ištrinti duomenis, teise būti pamirštam, teise apriboti duomenų tvarkymą ir teise į duomenų perkeliamumą, taip pat teise nesutikti, kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais.

Be to, per pirmąjį svarstymą priimtoje Tarybos pozicijoje leidžiama taikyti nuostatą, leidžiančią nukrypti nuo draudimo tvarkyti neskelbtinus asmens duomenis, kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Tokią nukrypti leidžiančią nuostatą taikyti leidžiama, jeigu atitinkamas duomenų tvarkymas yra grindžiamas Sąjungos ar valstybės narės teise; tai turi būti proporcinga tikslui, kurio siekiama, nepažeisti esminių teisės į asmens duomenų apsaugą nuostatų ir turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

11.    Anksčiau sudaryti susitarimai

Per pirmąjį svarstymą priimtoje Tarybos pozicijoje nurodyta, kad tarptautiniai susitarimai, kuriuose numatomas asmens duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms, kuriuos valstybės narės sudarė prieš įsigaliojant šiam reglamentui ir kurie atitinka Sąjungos teisės aktus, taikytinus prieš įsigaliojant šiam reglamentui, lieka galioti tol, kol bus iš dalies pakeisti, pakeisti naujais susitarimais arba panaikinti. Tuo užtikrinamas teisinis tikrumas duomenų valdytojams ir užkertamas kelias nereikalingai administracinei naštai valstybėms narėms. Taip pat atsižvelgiama į tai, kad tam, kad būtų galima iš dalies pakeisti galiojančius susitarimus, valstybės narės priklauso nuo trečiosios valstybės ar tarptautinės organizacijos bendradarbiavimo.

IV.   IŠVADA

Per pirmąjį svarstymą priimta Tarybos pozicija atspindi kompromisą, pasiektą neformaliose Tarybos ir Europos Parlamento derybose, padedant Komisijai. Taryba prašo Europos Parlamento formaliai patvirtinti per pirmąjį svarstymą priimtą Tarybos poziciją be pakeitimų, kad būtų galima nustatyti naują ES duomenų apsaugos teisės aktų sistemą, kuria bus sustiprintos duomenų apsaugos teisės ir sudarytos palankesnės sąlygos asmens duomenų judėjimui skaitmeninėje rinkoje.

---