AIŠKINAMASIS MEMORANDUMAS

1. PASIŪLYMO APLINKYBĖS

Šiame aiškinamajame memorandume išsamiai išdėstyti principai, kuriais grindžiami naujojo asmens duomenų apsaugos ES teisinio reglamentavimo pagrindai, kaip nurodyta Komunikate COM (2012) 9 final. Teisinio reglamentavimo pagrindus sudaro du teisės aktų pasiūlymai:

– Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) ir

– Europos Parlamento ir Tarybos direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo.

Šiame aiškinamajame memorandume aptariamas pastarasis teisės akto pasiūlymas.

Svarbiausias galiojantis asmens duomenų apsaugą reglamentuojantis ES teisės aktas, Direktyva 95/46/EB[1], buvo priimta 1995 m. siekiant dviejų tikslų: apsaugoti pagrindinę teisę į duomenų apsaugą ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių. Direktyva buvo papildyta keliomis priemonėmis, kuriomis nustatytos konkrečios duomenų apsaugos taisyklės, taikomos vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose[2] (buvusioji trečiojo ramsčio politika), tarp kurių – Tarybos pamatinis sprendimas 2008/977/TVR[3].

Europos Vadovų Taryba paprašė Komisijos įvertinti duomenų apsaugą reglamentuojančių ES priemonių veikimą ir pateikti, jei būtina, papildomų teisėkūros ir kitų iniciatyvų[4]. Savo rezoliucijoje dėl Stokholmo programos Europos Parlamentas[5] palankiai įvertino išsamią duomenų apsaugos sistemą ES ir, be kitų dalykų, paragino persvarstyti Tarybos pamatinį sprendimą. Stokholmo programos įgyvendinimo veiksmų plane[6] Komisija pabrėžė poreikį užtikrinti, kad pagrindinė teisė į duomenų apsaugą būtų nuosekliai taikoma įgyvendinant visų sričių ES politiką. Veiksmų plane pabrėžta, kad: „Pasaulio visuomenėje, kuriai būdingi greiti technologiniai pokyčiai ir kur keitimasis informacija nepaiso sienų, ypač svarbu išsaugoti privatumą. Sąjunga privalo užtikrinti, kad pagrindinė teisė į duomenų apsaugą būtų nuosekliai taikoma. Reikia sustiprinti ES poziciją dėl asmens duomenų apsaugos visų sričių ES politikoje, įskaitant teisėsaugą ir nusikaltimų prevenciją, ir tarptautiniuose santykiuose.“

Komunikate „Visapusiškas požiūris į asmens duomenų apsaugą Europos Sąjungoje“[7] Komisija padarė išvadą, kad ES reikia visapusiškesnės ir nuoseklesnės politikos užtikrinant pagrindinę teisę į asmens duomenų apsaugą.

Pamatinio sprendimo 2008/977/TVR taikymo sritis ribota, nes jis taikomas tik tarpvalstybiniam duomenų tvarkymui ir neapima policijos ir teisminių institucijų vien tik nacionaliniu lygmeniu vykdomos duomenų tvarkymo veiklos. Todėl policijai ir kitoms kompetentingoms institucijoms gali kilti sunkumų vykdant teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą. Šios institucijos ne visada gali lengvai atskirti grynai nacionalinio lygmens duomenų tvarkymą nuo tarpvalstybinio arba numatyti, ar tam tikri asmens duomenys vėliau gali tapti tarpvalstybinio keitimosi duomenimis objektu (žr. 2 skirsnį). Be to, pamatinio sprendimo pobūdis ir turinys nulemia tai, kad nacionalinėje teisėje nustatant įgyvendinimo nuostatas valstybėms narėms suteikta didelė veiksmų laisvė. Be kita ko, sprendimu nesukuriamas joks mechanizmas ar į 29 straipsnio darbo grupę panaši patariamoji grupė, kad būtų paremtas bendras jo nuostatų aiškinimas, taip pat nenumatoma Komisijai suteikti jokių įgyvendinimo įgaliojimų, kuriais būtų užtikrintas bendras požiūris įgyvendinant sprendimą.

Sutarties dėl Europos Sąjungos veikimo (SESV) 16 straipsnio 1 dalyje nustatytas principas, kad kiekvienas turi teisę į asmens duomenų apsaugą. Be to, SESV 16 straipsnio 2 dalyje Lisabonos sutartimi nustatytas konkretus asmens duomenų apsaugos taisyklių priėmimo teisinis pagrindas, kuris taikomas ir teisminiam bendradarbiavimui baudžiamosiose bylose bei policijos bendradarbiavimui. ES pagrindinių teisių chartijos 8 straipsnyje asmens duomenų apsauga įtvirtinta kaip pagrindinė teisė. SESV 16 straipsnyje reikalaujama, kad teisės aktų leidėjas nustatytų fizinių asmenų apsaugos taisykles, susijusias su asmens duomenų tvarkymu, be kita ko, vykdant teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą, ir apimančias asmens duomenų tvarkymą tiek tarpvalstybiniu, tiek nacionaliniu lygmeniu. Taip bus galima apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir tuo pačiu užtikrinti, kad asmens duomenimis būtų keičiamasi nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais. Taip bus paprasčiau bendradarbiauti kovojant su nusikalstamumu Europoje.

21-oje deklaracijoje[8] pripažinta, kad dėl policijos ir teisminio bendradarbiavimo srities ypatingo pobūdžio teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse gali reikėti konkrečių taisyklių dėl asmens duomenų apsaugos ir laisvo šių duomenų judėjimo, pagrįstų SESV 16 straipsniu.

2. KONSULTACIJŲ SU SUINTERESUOTOSIOMIS ŠALIMIS IR POVEIKIO VERTINIMO REZULTATAI

Ši iniciatyva teikiama išsamiai pasikonsultavus su visomis pagrindinėmis suinteresuotosiomis šalimis dėl galiojančių asmens duomenų apsaugos teisinio reglamentavimo pagrindų peržiūros surengiant du viešųjų konsultacijų etapus.

– Nuo 2009 m. liepos 9 d. iki gruodžio 31 d. vyko konsultacijos dėl pagrindinės teisės į asmens duomenų apsaugą teisinio reglamentavimo pagrindų. Komisija gavo 168 atsakymus: 127 iš fizinių asmenų, verslo organizacijų ir asociacijų ir 12 iš valdžios institucijų. Su nekonfidencialiais atsakymais galima susipažinti Komisijos svetainėje[9].

– Nuo 2010 m. lapkričio 4 d. iki 2011 m. sausio 15 d. vyko konsultacijos dėl Komisijos visapusiško požiūrio į asmens duomenų apsaugą Europos Sąjungoje. Komisija gavo 305 atsakymus: 54 iš piliečių, 31 iš valdžios institucijų ir 220 iš privačių organizacijų, visų pirma verslo asociacijų ir nevyriausybinių organizacijų. Su nekonfidencialiais atsakymais galima susipažinti Komisijos svetainėje[10].

Kadangi šiose konsultacijose daugiausia dėmesio buvo skiriama Direktyvos 95/46/EB peržiūrai, tikslinės konsultacijos surengtos su teisėsaugai atstovaujančiomis suinteresuotosiomis šalimis; visų pirma 2010 m. birželio 29 d. surengtas seminaras su valstybių narių valdžios institucijomis, kuriame aptartas duomenų apsaugos taisyklių taikymas valdžios institucijoms, be kita ko, policijos bendradarbiavimo ir teisminio bendradarbiavimo baudžiamosiose bylose srityje. Be to, 2011 m. vasario 2 d. Komisija surengė seminarą valstybių narių valdžios institucijoms, kuriame aptarė Pamatinio sprendimo 2008/977/TVR įgyvendinimą ir duomenų apsaugos klausimus policijos bendradarbiavimo ir teisminio bendradarbiavimo baudžiamosiose bylose srityje apskritai.

2010 m. lapkričio–gruodžio mėn. surengus Eurobarometro apklausą pasikonsultuota su ES piliečiais[11]. Be to, parengta keletas tyrimų[12]. 29 straipsnio darbo grupė[13] pateikė kelias nuomones ir naudingos informacijos Komisijai[14]. Europos duomenų apsaugos pareigūnas taip pat paskelbė išsamią nuomonę dėl 2010 m. lapkričio mėn. Komisijos komunikate iškeltų klausimų[15].

2011 m. liepos 6 d. rezoliucija Europos Parlamentas patvirtino pranešimą, kuriame pritarta Komisijos nuostatai reformuoti duomenų apsaugos teisinio reglamentavimo pagrindus[16]. 2011 m. vasario 24 d. Europos Sąjungos Taryba priėmė išvadas, kuriose aiškiai pritarė Komisijos ketinimui reformuoti duomenų apsaugos teisinio reglamentavimo pagrindus ir sutiko su daugeliu Komisijos nuomonės aspektų. Europos ekonomikos ir socialinių reikalų komitetas taip pat pritarė Komisijos bendram siekiui užtikrinti nuoseklesnį ES duomenų apsaugos taisyklių taikymą visose valstybėse narėse ir tinkamai peržiūrėti Direktyvą 95/46/EB[17].

Laikydamasi geresnio reglamentavimo politikos, Komisija atliko politikos alternatyvų poveikio vertinimą[18]. Poveikio vertinimas grįstas trimis politikos tikslais – gerinti duomenų apsaugos vidaus rinkos aspektą, skatinti fizinius asmenis veiksmingiau naudotis teisėmis į duomenų apsaugą ir sukurti visapusiškus ir nuoseklius reglamentavimo pagrindus visoms Sąjungos kompetencijos sritims, įskaitant policijos bendradarbiavimą ir teisminį bendradarbiavimą baudžiamosiose bylose. Kiek tai susiję su pastaruoju tikslu, įvertintos dvi politikos galimybės: pirmąja iš esmės praplečiama duomenų apsaugos šioje srityje taisyklių taikymo sritis, šalinami pamatinio sprendimo trūkumai ir sprendžiamos kitos dėl jo kilusios problemos, o antroji priemonė yra platesnio užmojo, nes ja nustatomos norminamosios labai griežtos taisyklės, pagal kurias, be kita ko, reikėtų nedelsiant iš dalies pakeisti visas kitas buvusiosios trečiojo ramsčio politikos priemones. Trečioji, „minimalistinė“ politikos galimybė, iš esmės grindžiama aiškinamaisiais komunikatais, taip pat politikos rėmimo priemonėmis, kaip antai finansavimo programomis ir techninėmis priemonėmis, kurioms reikia tik būtiniausių teisėkūros veiksmų, buvo įvertinta kaip netinkama priemonė siekiant išspręsti šioje srityje nustatytas su duomenų apsauga susijusias problemas.

Pagal nusistovėjusią Komisijos metodiką kartu su priežiūros grupe, sudaryta iš įvairių tarnybų atstovų, vertinta, kaip kiekviena politikos galimybe bus veiksmingai pasiekti politikos tikslai, taip pat koks jų ekonominis poveikis suinteresuotosioms šalims (ir ES institucijų biudžetui), socialinis poveikis ir poveikis pagrindinėms teisėms. Poveikis aplinkai nenustatytas.

Išnagrinėjus bendrą poveikį išrinkta tinkamiausia politikos galimybė, kuri įtraukta į šį pasiūlymą. Atsižvelgiant į vertinimą, įgyvendinus priemonę dar labiau pagerės duomenų apsauga šioje politikos srityje, visų pirma įtraukiant duomenų tvarkymą nacionaliniu lygmeniu ir taip kartu užtikrinant didesnį teisinį tikrumą kompetentingoms institucijoms vykdant teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą.

Poveikio vertinimo valdybos nuomonė dėl poveikio vertinimo projekto priimta 2011 m. rugsėjo 9 d. Remiantis valdybos nuomone padarytos tokios poveikio vertinimo pataisos:

– patikslinti dabartinio teisinio reglamentavimo pagrindų tikslai (kiek jie pasiekti ir kiek nepasiekti) ir numatomos reformos tikslai;

– skirsnis „Problemos apibūdinimas“ papildytas įrodymais ir išsamesniais paaiškinimais (patikslinimais).

Komisija taip pat parengė Pamatinio sprendimo 2008/977/TVR įgyvendinimo ataskaitą[19] pagal sprendimo 29 straipsnio 2 dalį ir ji bus priimta kartu su šiuo duomenų apsaugos dokumentų rinkiniu. Ataskaitoje pateiktais duomenimis, pagrįstais valstybių narių pateikta informacija, taip pat naudotasi rengiant poveikio vertinimą.

3. TEISINIAI PASIŪLYMO ASPEKTAI 3.1. Teisinis pagrindas

Šis pasiūlymas grindžiamas SESV 16 straipsnio 2 dalimi – nauju konkrečiu Lisabonos sutartimi nustatytu teisiniu pagrindu, kuriuo remiamasi priimant fizinių asmenų apsaugos Sąjungos institucijoms, įstaigoms, organams ir agentūroms bei valstybėms narėms tvarkant asmens duomenis, kai vykdoma veikla susijusi su Sąjungos teisės taikymo sritimi, taisykles ir laisvo tokių duomenų judėjimo taisykles.

Pasiūlymu siekiama užtikrinti vienodą aukšto lygio duomenų apsaugą šioje srityje ir taip padidinti skirtingų valstybių narių policijos ir teisminių institucijų tarpusavio pasitikėjimą, palengvinti laisvą duomenų judėjimą ir policijos bei teisminių institucijų bendradarbiavimą.

3.2. Subsidiarumas ir proporcingumas

Vadovaujantis subsidiarumo principu (ES sutarties 5 straipsnio 3 dalis), veiksmų Sąjungos lygmeniu reikėtų imtis tik tuomet ir tiek, kiek numatytų tikslų valstybės narės negali deramai pasiekti ir todėl dėl pasiūlytų veiksmų masto ar poveikio jų geriau siekti Sąjungos lygiu. Atsižvelgiant į pirmiau išdėstytas problemas, subsidiarumo analizė patvirtina poreikį policijos ir baudžiamosios teisenos srityje imtis ES lygmens veiksmų dėl toliau nurodytų priežasčių.

– Pagrindinių teisių chartijos 8 straipsnyje ir SESV 16 straipsnio 1 dalyje įtvirtinta teisė į asmens duomenų apsaugą, todėl reikia užtikrinti, kad duomenų apsauga būtų vienoda visoje Sąjungoje. Reikia užtikrinti vienodą duomenų, kuriais keičiamasi ir kurie tvarkomi nacionaliniu lygmeniu, apsaugą.

– Valstybių narių teisėsaugos institucijoms vis dažniau ir sparčiau prireikia keistis duomenimis ir juos tvarkyti tarptautinio nusikalstamumo ir terorizmo prevencijos ir kovos su jais tikslais. Atsižvelgiant į tai, ES nustačius aiškias ir nuoseklias duomenų apsaugos taisykles sustiprės tokių institucijų bendradarbiavimas.

– Be to, kyla praktinių sunkumų dėl duomenų apsaugos teisės aktų vykdymo ir poreikio valstybėms narėms bei jų valdžios institucijoms bendradarbiauti, kuriuos reikia spręsti ES lygmeniu siekiant užtikrinti vienodą Sąjungos teisės taikymą. Tam tikrose situacijose ES turi geriausias galimybes veiksmingai ir nuosekliai užtikrinti vienodą fizinių asmenų apsaugą, kai jų asmens duomenys perduodami į trečiąsias šalis.

– Dabartinėmis aplinkybėmis valstybės narės pačios negali sumažinti problemų, visų pirma kylančių dėl nacionalinės teisės aktų skirtumų. Taigi, yra konkretus poreikis nustatyti suderintus ir nuoseklius reglamentavimo pagrindus, kurie leistų sklandžiai perduoti asmens duomenis tarp ES valstybių narių, kartu užtikrinant veiksmingą visų fizinių asmenų apsaugą visoje ES.

– Dėl problemų, kurios nėra būdingos tik vienai ar kelioms valstybėms narėms, pobūdžio ir masto siūlomi ES teisėkūros veiksmai veikiausiai būtų veiksmingesni nei panašūs valstybių narių veiksmai.

Vadovaujantis proporcingumo principu, visi veiksmai turi būti tikslingi ir neviršyti to, kas būtina siekiant užsibrėžtų tikslų. Šiuo principu vadovautasi rengiant šį pasiūlymą: nuo politikos galimybių nustatymo ir vertinimo iki teisės akto pasiūlymo projekto parengimo.

Todėl direktyva yra geriausia priemonė užtikrinti šios srities normų suvienodinimą ES, kartu valstybėms narėms suteikiant reikiamą lankstumą nacionaliniu lygmeniu įgyvendinti principus, taisykles ir jų išimtis. Atsižvelgdama į sudėtingas galiojančias nacionalines taisykles, taikomas asmens duomenų, tvarkomų vykdant policijos bendradarbiavimą ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugai, ir į tikslą visapusiškai suderinti šias taisykles priimant šią direktyvą, Komisija turės prašyti valstybių narių pateikti aiškinamuosius dokumentus, kuriuose būtų paaiškintas direktyvos nuostatų ir atitinkamų perkėlimo į nacionalinę teisę priemonių ryšys, kad galėtų vykdyti šios direktyvos perkėlimo į nacionalinę teisę priežiūros užduotį.

3.3. Pagrindinių teisių aspektų santrauka

Teisė į asmens duomenų apsaugą įtvirtinta ES pagrindinių teisių chartijos 8 straipsnyje, SESV 16 straipsnyje ir EŽTK 8 straipsnyje. Kaip pabrėžė ES Teisingumo Teismas[20], teisė į asmens duomenų apsaugą nėra absoliuti ir turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį[21]. Duomenų apsauga glaudžiai susijusi su Chartijos 7 straipsniu saugoma teise į privatų ir šeimos gyvenimą. Tai išplaukia iš Direktyvos 95/46/EB 1 straipsnio 1 dalies, kurioje nustatyta, kad valstybės narės užtikrina fizinių asmenų pagrindinių teisių ir laisvių, o ypač jų teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis.

Galimas poveikis ir kitoms Chartijoje įtvirtintoms pagrindinėms teisėms, kaip antai bet kokios diskriminacijos, be kita ko, dėl rasės, tautinės kilmės, genetinių bruožų, religijos ar tikėjimo, politinių ar kitokių pažiūrų, negalios ar seksualinės orientacijos draudimas (21 straipsnis); vaiko teisės (24 straipsnis) ir teisė į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą (47 straipsnis).

3.4. Išsamus pasiūlymo paaiškinimas 3.4.1. I SKYRIUS. BENDROSIOS NUOSTATOS

1 straipsnyje apibrėžiamas direktyvos dalykas, t. y. taisyklės, susijusios su asmens duomenų tvarkymu nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, ir išdėstomas dvejopas direktyvos tikslas, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, kartu užtikrinant aukštą visuomenės saugumo lygį, ir užtikrinti kompetentingų institucijų keitimąsi asmens duomenimis Sąjungoje.

2 straipsnyje nustatoma direktyvos taikymo sritis. Direktyva taikoma ne tik tarpvalstybiniam duomenų tvarkymui, bet visai duomenų tvarkymo veiklai, kurią įgyvendindamos šią direktyvą vykdo kompetentingos institucijos, apibrėžtos 3 straipsnio 14 dalyje. Direktyva netaikoma nei Sąjungos teisės nereglamentuojamai veiklai, nei Sąjungos institucijų, įstaigų, organų ir agentūrų vykdomam duomenų tvarkymui, kuris reglamentuojamas Reglamentu (EB) Nr. 45/2001 ir kitais specialiaisiais teisės aktais.

3 straipsnyje pateiktos direktyvos terminų apibrėžtys. Kai kurios apibrėžtys perimtos iš Direktyvos 95/46/EB ir Pamatinio sprendimo 2008/977/TVR, kitos pakeistos, papildytos papildomais arba naujais aspektais. Naujai apibrėžti terminai: „asmens duomenų saugumo pažeidimas“, „genetiniai duomenys“ ir „biometriniai duomenys“ (remiantis SESV 87 straipsniu ir Pamatinio sprendimo 2008/977/TVR 2 straipsnio h punktu) ir „vaikas“, remiantis JT Vaiko teisių konvencija[22].

3.4.2. II SKYRIUS. PRINCIPAI

4 straipsnyje išdėstyti principai, taikomi asmens duomenų tvarkymui, atitinka Direktyvos 95/46/EB 6 straipsnį bei Pamatinio sprendimo 2008/977/TVR 3 straipsnį, tačiau yra pritaikyti konkrečioms šios direktyvos aplinkybėms.

5 straipsnyje nustatytas reikalavimas kuo labiau atskirti skirtingų kategorijų duomenų subjektų asmens duomenis. Tai nauja nuostata, neįtraukta nei į Direktyvą 95/46/EB, nei į Pamatinį sprendimą 2008/977/TVR, tačiau Komisija ją buvo pasiūliusi savo pirminiame pamatinio sprendimo pasiūlyme[23]. Ji grindžiama Europos Tarybos rekomendacija Nr. R (87)15. Panašios taisyklės jau nustatytos Europolui[24] ir Eurojustui[25]

6 straipsnyje dėl skirtingų asmens duomenų tikslumo ir patikimumo laipsnių įtvirtintas Europos Tarybos rekomendacijos Nr. R (87)15 3.2 principas. Panašios taisyklės, be kita ko, įtrauktos į Komisijos pasiūlymą dėl pamatinio sprendimo, nustatytos Europolui[26].

7 straipsnyje išdėstyti teisėto duomenų tvarkymo pagrindai, nustatant, kad asmens duomenų tvarkymas yra teisėtas, kai jis būtinas kompetentingai institucijai atlikti užduotį, remiantis nacionalinės teisės aktais, vykdyti teisinę prievolę, kuri privaloma duomenų valdytojui, siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus arba siekiant užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui. Direktyvos 95/46/EB 7 straipsnyje nustatyti kiti teisėto duomenų tvarkymo pagrindai nėra tinkami duomenų tvarkymui policijos ir baudžiamosios teisenos srityje.

Remiantis Direktyvos 95/46/EB 8 straipsniu, 8 straipsnyje nustatytas bendras draudimas tvarkyti tam tikrų kategorijų asmens duomenis ir šios bendrosios taisyklės išimtys, pridedant genetinius duomenis pagal EŽTT teismo praktiką[27].

Pagal Pamatinio sprendimo 2008/977/TVR 7 straipsnį 9 straipsnyje nustatytas draudimas taikyti priemones, pagrįstas tik automatizuotu asmens duomenų tvarkymu, jeigu jos neleidžiamos teisės aktu, kuriuo nustatomos tinkamos apsaugos priemonės.

3.4.3. III SKYRIUS. DUOMENŲ SUBJEKTO TEISĖS

10 straipsnyje įtvirtinta valstybių narių pareiga suteikti lengvai prieinamą bei suprantamą informaciją, kaip numatyta visų pirma pagal Madrido rezoliucijos dėl asmens duomenų ir privatumo tarptautinių standartų[28] 10 principą, ir įpareigoti duomenų tvarkytojus nustatyti duomenų subjekto naudojimosi savo teisėmis tvarką ir mechanizmus. Tai apima reikalavimą, kad naudojimasis teisėmis iš principo būtų nemokamas.

11 straipsnyje nustatyta pareiga valstybėms narėms užtikrinti, kad duomenų subjektui būtų teikiama informacija. Šios pareigos grindžiamos Direktyvos 95/46/EB 10 ir 11 straipsniais, atskiruose straipsniuose nediferencijuojant informacijos pagal tai, ar ji surinkta iš duomenų subjekto, ar ne, ir padidinant teiktinos informacijos apimtį. Jame nustatytos pareigos teikti informaciją išimtys, kai tokios išimtys proporcingos ir būtinos kompetentingų institucijų užduotims vykdyti demokratinėje visuomenėje (grindžiama Direktyvos 95/46/EB 13 straipsniu ir Pamatinio sprendimo 2008/977/TVR 17 straipsniu).

12 straipsnyje nustatyta pareiga valstybėms narėms užtikrinti duomenų subjektų teisę susipažinti su savo asmens duomenimis. Jame atsižvelgiama į Direktyvos 95/46/EB 12 straipsnio a punktą ir jis papildomas naujais duomenų subjektui teiktinos informacijos aspektais (informacija apie duomenų saugojimo laikotarpį, teisę reikalauti ištaisyti, ištrinti duomenis ar apriboti jų tvarkymą ir teisę pateikti skundą).

Atsižvelgiant į Pamatinio sprendimo 2008/977/TVR 17 straipsnio 2 ir 3 dalis, 13 straipsnyje nustatyta, kad valstybės narės gali priimti teisėkūros priemones, kuriomis apribojama teisė susipažinti su duomenimis, jeigu to reikia dėl specifinio duomenų tvarkymo policijos ir baudžiamosios teisenos srityse pobūdžio, ir reglamentuojamas informacijos apie teisės susipažinti su duomenimis apribojimą teikimas duomenų subjektui.

14 straipsnyje įtvirtinta nauja taisyklė, kad apribojus teisę tiesiogiai susipažinti su duomenimis duomenų subjektas privalo būti informuotas apie galimybę netiesiogiai su jais susipažinti per priežiūros instituciją, kuri ta teise turėtų naudotis duomenų subjekto vardu ir privalo jį informuoti apie patikrinimų rezultatus.

15 straipsniu dėl teisės reikalauti ištaisyti duomenis atsižvelgiama į Direktyvos 95/46/EB 12 straipsnio b punktą ir, kiek tai susiję su pareigomis atsisakymo atveju, į Pamatinio sprendimo 2008/977/TVR 18 straipsnio 1 dalį.

16 straipsniu dėl teisės reikalauti ištrinti duomenis atsižvelgiama į Direktyvos 95/46/EB 12 straipsnio b punktą ir, kiek tai susiję su pareigomis atsisakymo atveju, į Pamatinio sprendimo 2008/977/TVR 18 straipsnio 1 dalį. Į jį taip pat įtraukta teisė apriboti duomenų tvarkymą tam tikrais atvejais, pakeičianti Direktyvos 95/46/EB 12 straipsnio b punkte ir Pamatinio sprendimo 2008/977/TVR 18 straipsnio 1 dalyje vartojamą neaiškų terminą „užblokuoti“.

17 straipsnyje dėl duomenų ištaisymo, ištrynimo ir tvarkymo apribojimo vykstant teismo procesui pateikiamas patikslinimas remiantis Pamatinio sprendimo 2008/977/TVR 4 straipsnio 4 dalimi.

3.4.4. IV SKYRIUS. DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS 3.4.4.1. 1 SKIRSNIS. BENDROSIOS PAREIGOS

18 straipsnyje aprašoma duomenų valdytojo pareiga laikytis šios direktyvos ir tą užtikrinti, be kita ko, tuo tikslu nustatant atitinkamas nuostatas ir mechanizmus.

19 straipsnyje nustatyta, kad valstybės narės privalo užtikrinti, kad duomenų valdytojas vykdytų savo pareigas, kylančias iš pritaikytosios ir standartizuotosios duomenų apsaugos principų.

20 straipsnyje patikslinamas bendrų duomenų valdytojų statusas, kiek tai susiję su jų vidaus santykiais.

21 straipsnyje, kuris iš dalies grindžiamas Direktyvos 95/46/EB 17 straipsnio 2 dalimi, patikslinamas duomenų tvarkytojų statusas ir pareigos, be to, numatyta naujų aspektų, pavyzdžiui, kad duomenų tvarkytojas, kuris duomenis tvarko viršydamas duomenų valdytojo nurodymus, laikytinas bendru duomenų valdytoju.

22 straipsnis, kuriuo reglamentuojamas duomenų tvarkymas pagal duomenų valdytojo ir duomenų tvarkytojo įgaliojimus, grindžiamas Direktyvos 95/46/EB 16 straipsniu.

23 straipsnyje nustatyta duomenų valdytojų ir duomenų tvarkytojų pareiga saugoti visų duomenų tvarkymo sistemų ir procedūrų, už kurias yra atsakingi, dokumentus.

Pagal Pamatinio sprendimo 2008/977/TVR 10 straipsnio 1 dalį 24 straipsniu reglamentuojamas įrašų saugojimas, šį klausimą patikslinant išsamiau.

25 straipsnyje patikslinamos duomenų valdytojo ir duomenų tvarkytojo pareigos, susijusios su bendradarbiavimu su priežiūros institucija.

Remiantis Pamatinio sprendimo 2008/977/TVR 23 straipsniu, 26 straipsnyje reglamentuojami atvejai, kuriais, prieš tvarkant duomenis, privaloma konsultuotis su priežiūros institucija.

3.4.4.2. 2 SKIRSNIS. DUOMENŲ SAUGUMAS

27 straipsnis dėl duomenų tvarkymo saugumo grindžiamas Direktyvos 95/46 17 straipsnio dėl duomenų tvarkymo saugumo 1 dalimi ir Pamatinio sprendimo 2008/977/TVR 22 straipsniu, išplečiant susijusias duomenų tvarkytojų pareigas, neatsižvelgiant į tai, ar jie sudarę sutartį su duomenų valdytoju.

Remiantis E. privatumo direktyvos 2002/58/EB 4 straipsnio 3 dalimi, kurioje reglamentuojamas pranešimas apie asmens duomenų saugumo pažeidimus, 28 ir 29 straipsniuose įtvirtinta pareiga pranešti apie asmens duomenų saugumo pažeidimus, patikslinant ir atskiriant pareigą pranešti priežiūros institucijai (28 straipsnis) ir, atitinkamomis aplinkybėmis, duomenų subjektui (29 straipsnis). 29 straipsnyje taip pat numatytos išimtys nurodant 11 straipsnio 4 dalį.

3.4.4.3. 3 SKIRSNIS. DUOMENŲ APSAUGOS PAREIGŪNAS

30 straipsnyje nustatyta duomenų valdytojo pareiga paskirti duomenų apsaugos pareigūną, kuris vykdytų 32 straipsnyje išdėstytas užduotis. Jeigu kelios kompetentingos institucijos veikia prižiūrimos centrinės valdžios institucijos, atliekančios duomenų valdytojo funkcijas, tokį duomenų apsaugos pareigūną turėtų paskirti bent ši centrinė valdžios institucija. Direktyvos 95/46/EB 18 straipsnio 2 dalyje nustatyta, kad valstybės narės tokį reikalavimą gali nustatyti vietoj bendros pareigos pranešti, nustatytos toje direktyvoje.

31 straipsnyje apibrėžiamas duomenų apsaugos pareigūno statusas.

32 straipsnyje nustatytos duomenų apsaugos pareigūno užduotys.

3.4.5. V SKYRIUS. ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS AR TARPTAUTINĖMS ORGANIZACIJOMS

33 straipsnyje išdėstyti bendrieji principai, taikomi perduodant duomenis į trečiąsias šalis ar tarptautinėms organizacijoms vykdant policijos bendradarbiavimą ir teisminį bendradarbiavimą baudžiamosiose bylose, įskaitant tolesnį perdavimą. Jame patikslinta, kad duomenys į trečiąsias šalis perduoti galima, tik jeigu juos perduoti būtina nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais.

34 straipsnyje nustatyta, kad duomenis perduoti į trečiąją šalį galima, jeigu Komisija priėmė sprendimą dėl tinkamumo pagal Reglamentą …./../201X arba konkrečiai policijos bendradarbiavimo ir teisminio bendradarbiavimo baudžiamosiose bylose srityje, arba, nesant tokių sprendimų, jeigu nustatytos tinkamos apsaugos priemonės. Jeigu sprendimų dėl tinkamumo nėra, direktyva užtikrinama, kad duomenų perdavimus galima tęsti remiantis tinkamomis apsaugos priemonėmis ir nukrypti leidžiančiomis nuostatomis. Be to, jame išdėstyti kriterijai, kuriais remdamasi Komisija vertina apsaugos tinkamumo lygį, aiškiai įtraukiant teisinės valstybės principą, teismines teisių gynimo priemones ir nepriklausomą priežiūrą. Straipsnyje taip pat numatyta galimybė Komisijai vertinti trečiosios šalies teritorijoje arba su duomenų tvarkymu susijusiame sektoriuje užtikrinamą apsaugos lygį. Jame įtvirtinta, kad pagal Bendrojo duomenų apsaugos reglamento 38 straipsnyje nustatytą tvarką priimtas bendrasis sprendimas dėl tinkamumo taikomas įgyvendinant šią direktyvą. Kita vertus, sprendimą dėl tinkamumo Komisija gali priimti išimtinai šios direktyvos įgyvendinimo tikslais.

35 straipsnyje apibrėžtos tinkamos apsaugos priemonės, kurių reikia prieš vykdant tarptautinius perdavimus, jeigu Komisija nėra priėmusi sprendimo dėl tinkamumo. Šios apsaugos priemonės gali būti nustatytos teisiškai privalomame dokumente, pavyzdžiui, tarptautiniame susitarime. Arba duomenų valdytojas, įvertinęs su perdavimu susijusias aplinkybes, gali padaryti išvadą, kad tos priemonės yra.

Remiantis Direktyvos 95/46/EB 26 straipsniu ir Pamatinio sprendimo 2008/977/TVR 13 straipsniu, 36 straipsnyje išdėstytos nukrypti leidžiančios nuostatos, taikomos perduodant duomenis.

37 straipsnyje valstybės narės įpareigotos numatyti, kad duomenų valdytojas informuotų duomenų gavėją apie visus duomenų tvarkymo apribojimus ir imtųsi visų pagrįstų priemonių, kad šių apribojimų paisytų asmens duomenų gavėjai trečiojoje šalyje arba tarptautinėje organizacijoje.

38 straipsnyje aiškiai nustatytas tarptautinio Komisijos ir trečiųjų šalių, ypač tų, kurių užtikrinamas apsaugos lygis laikomas tinkamu, priežiūros institucijų bendradarbiavimo asmens duomenų apsaugos tikslais mechanizmas, atsižvelgiant į 2007 m. birželio 12 d. EBPO rekomendaciją dėl tarptautinio bendradarbiavimo įgyvendinant privatumo apsaugos teisės aktus.

VI SKYRIUS. NACIONALINĖS PRIEŽIŪROS INSTITUCIJOS

3.4.5.1. 1 SKIRSNIS. NEPRIKLAUSOMUMAS

Pagal Direktyvos 95/46/EB 28 straipsnio 1 dalį ir Pamatinio sprendimo 2008/977/TVR 25 straipsnį 39 straipsnyje valstybės narės įpareigojamos įsteigti priežiūros institucijas, išplečiant šių institucijų paskirtį, siekiant padėti nuosekliai taikyti šią direktyvą visoje Sąjungoje ir nustatant, kad tai gali būti pagal Bendrąjį duomenų apsaugos reglamentą įsteigta priežiūros institucija.

40 straipsnyje patikslintos priežiūros institucijų nepriklausomumo sąlygos, remiantis ES Teisingumo Teismo praktika[29] ir atsižvelgiant į Reglamento (EB) Nr. 45/2001[30] 44 straipsnį.

Remiantis atitinkama teismo praktika[31] ir atsižvelgiant į Reglamento (EB) Nr. 45/2001 42 straipsnio 2–6 dalis, 41 straipsnyje nustatyti bendri reikalavimai priežiūros institucijų nariams.

42 straipsnyje nustatyta, kokie priežiūros institucijos steigimo aspektai, įskaitant reikalavimus jos nariams, turi būti nustatyti valstybių narių teisėje.

43 straipsnyje dėl priežiūros institucijos narių ir darbuotojų profesinės paslapties atsižvelgiama į Direktyvos 95/46/EB 28 straipsnio 7 dalį ir Pamatinio sprendimo 2008/977/TVR 25 straipsnio 4 dalį.

3.4.5.2. 2 SKIRSNIS. PAREIGOS IR ĮGALIOJIMAI

Remiantis Direktyvos 95/46/EB 28 straipsnio 6 dalimi ir Pamatinio sprendimo 2008/977/TVR 25 straipsnio 1 dalimi, 44 straipsnyje išdėstyta priežiūros institucijų kompetencija. Atlikdami teisingumo funkciją, teismai nėra stebimi priežiūros institucijos, tačiau jiems taikomos materialinės duomenų apsaugos teisės normos.

45 straipsnyje valstybės narės įpareigojamos nustatyti priežiūros institucijų pareigas, be kita ko, nagrinėti ir tirti skundus ir didinti visuomenės informuotumą apie riziką, taisykles, apsaugos priemones ir teises. Įgyvendinant šią direktyvą ypač svarbi priežiūros institucijų pareiga, tais atvejais, kai atsisakoma suteikti teisę tiesiogiai susipažinti su duomenimis arba ji apribojama, duomenų subjektų vardu naudotis teise susipažinti su duomenimis ir patikrinti duomenų tvarkymo teisėtumą.

Remiantis Direktyvos 95/46/EB 28 straipsnio 3 dalimi ir Pamatinio sprendimo 2008/977/TVR 25 straipsnio 2 ir 3 dalimis, 46 straipsnyje nustatyti priežiūros institucijos įgaliojimai. Remiantis Direktyvos 95/46/EB 28 straipsnio 5 dalimi, 47 straipsnyje priežiūros institucijos įpareigojamos rengti metines veiklos ataskaitas.

3.4.6. VII SKYRIUS. BENDRADARBIAVIMAS

48 straipsnyje nustatytos privalomos savitarpio pagalbos taisyklės, o Direktyvos 95/46/EB 28 straipsnio 6 dalies antroje pastraipoje buvo nustatyta tik bendra pareiga bendradarbiauti, nesukonkretinant reikalavimų.

49 straipsnyje nustatyta, kad Bendruoju duomenų apsaugos reglamentu įsteigta Europos duomenų apsaugos valdyba atlieka ir su duomenų tvarkymu pagal šią direktyvą susijusias užduotis. Siekdama suteikti papildomą paramą, Komisija konsultuosis su valstybių narių valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymą, atstovais, taip pat su Europolo ir Eurojusto atstovais, dalyvaujančiais ekspertų grupėje, kurioje sprendžiami su teisėsauga susiję duomenų apsaugos klausimai.

3.4.7. VIII SKYRIUS. TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

Remiantis Direktyvos 95/46/EB 28 straipsnio 4 dalimi, 50 straipsnyje įtvirtinta duomenų subjektų teisė pateikti skundą priežiūros institucijai dėl bet kokio su skundo pateikėju susijusio direktyvos pažeidimo. Be to, jame nurodytos įstaigos, organizacijos ar asociacijos, kurios duomenų subjekto vardu gali pateikti skundą, be kita ko, – asmens duomenų saugumo pažeidimo atveju – net ir duomenų subjektui skundo nepateikus.

51 straipsnyje reglamentuojama teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją. Jame remiamasi Direktyvos 95/46/EB 28 straipsnio 3 dalies bendrąja nuostata ir konkrečiai nustatyta, kad duomenų subjektas gali imtis teisių gynimo priemonių teisme, kad įpareigotų priežiūros instituciją imtis veiksmų dėl skundo.

52 straipsnyje reglamentuojama teisė imtis teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją, remiantis Direktyvos 95/46/EB 22 straipsniu ir Pamatinio sprendimo 2008/977/TVR 20 straipsniu.

53 straipsnyje nustatytos bendros teismo proceso taisyklės, įskaitant įstaigų, organizacijų arba asociacijų teises atstovauti duomenų subjektams teisme, ir priežiūros institucijų teisė būti proceso šalimi. Valstybių narių pareiga užtikrinti spartų teismo procesą nustatyta remiantis E. komercijos direktyvos 2000/31/EB[32] 18 straipsnio 1 dalimi.

54 straipsniu valstybės narės įpareigojamos nustatyti teisę reikalauti atlyginti žalą. Jis grindžiamas Direktyvos 95/46/EB 23 straipsniu ir Pamatinio sprendimo 2008/977/TVR 19 straipsnio 1 dalimi, jame ši teisė išplėsta numatant galimybę reikalauti duomenų tvarkytojų padarytos žalos atlyginimo, taip pat patikslinta bendrų duomenų valdytojų ir bendrų duomenų tvarkytojų atsakomybė.

55 straipsniu valstybės narės įpareigojamos nustatyti sankcijas už direktyvos pažeidimus reglamentuojančias taisykles ir užtikrinti jų įgyvendinimą.

3.4.8. X SKYRIUS. DELEGUOTIEJI AKTAI IR ĮGYVENDINIMO AKTAI

56 straipsnyje nustatytos standartinės įgaliojimų perdavimo pagal SESV 290 straipsnį nuostatos. Taip teisės aktų leidėjui suteikiama galimybė įgalioti Komisiją priimti visuotinai taikomus įstatymo galios neturinčius teisės aktus, kuriais papildomos ar iš dalies keičiamos neesminės įstatymo galią turinčio teisės akto nuostatos (kvaziteisėkūros aktai).

57 straipsnyje įtvirtinta nuostata dėl komiteto procedūros, pagal kurią Komisijai perduodami įgyvendinimo įgaliojimai, kai, remiantis SESV 291 straipsniu, teisiškai privalomi Sąjungos aktai turi būti įgyvendinti vienodomis sąlygomis. Taikoma nagrinėjimo procedūra.

3.4.9. X SKYRIUS. BAIGIAMOSIOS NUOSTATOS

58 straipsniu panaikinamas Pamatinis sprendimas 2008/977/TVR.

59 straipsnyje nustatyta, kad specialiosios asmens duomenų apsaugos nuostatos, taikomos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įtvirtintos Sąjungos aktuose, reglamentuojančiuose asmens duomenų tvarkymą arba prieigą prie informacinių sistemų šios direktyvos taikymo srityje, nekeičiamos.

60 straipsnyje patikslintas šios direktyvos ryšys su anksčiau valstybių narių sudarytais tarptautiniais susitarimais teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje.

61 straipsnyje nustatyta Komisijos pareiga įvertinti direktyvos įgyvendinimą ir parengti ataskaitą, siekiant įvertinti poreikį suderinti anksčiau priimtas šios direktyvos 59 straipsnyje nurodytas specialiąsias nuostatas.

62 straipsnyje nustatyta valstybių narių pareiga perkelti šią direktyvą į nacionalinę teisę ir pateikti Komisijai pagal direktyvą priimtų nuostatų tekstus.

63 straipsnyje nustatyta direktyvos įsigaliojimo data.

64 straipsnyje nurodyta, kam skirta ši direktyva.

4.         POVEIKIS BIUDŽETUI

Prie Bendrojo duomenų apsaugos reglamento pasiūlymo pridedamoje finansinėje teisės akto pasiūlymo pažymoje paaiškintas reglamento ir šios direktyvos poveikis biudžetui.

2012/0010 (COD)

Pasiūlymas

EUROPOS PARLAMENTO IR TARYBOS DIREKTYVA

dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisės akto projektą perdavus nacionaliniams parlamentams,

pasikonsultavę su Europos duomenų apsaugos priežiūros pareigūnu[33],

taikydami įprastą teisėkūros procedūrą,

kadangi:

(1) fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo 16 straipsnio 1 dalyje nustatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

(2) asmens duomenų tvarkymo paskirtis – tarnauti žmogui; fizinių asmenų apsaugos principais ir taisyklėmis, taikomais tvarkant jų asmens duomenis, turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Tai turėtų padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę;

(3) dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Stipriai išaugo duomenų rinkimo ir keitimosi jais mastas. Technologijos leidžia kompetentingoms institucijoms vykdant savo veiklą precedento neturinčiu mastu naudotis asmens duomenimis;

(4) todėl reikia palengvinti laisvą duomenų judėjimą tarp Sąjungos kompetentingų institucijų ir jų perdavimą į trečiąsias šalis bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį. Dėl šių pokyčių Sąjungoje reikia nustatyti tvirtus ir nuoseklesnius duomenų apsaugos reglamentavimo pagrindus, kurie būtų griežtai įgyvendinami;

(5) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo[34] taikoma visai asmens duomenų tvarkymo veiklai valstybėse narėse tiek viešajame, tiek privačiajame sektoriuose. Tačiau ji netaikoma tvarkant asmens duomenis, „kai yra užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį“, pvz., veikla teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

(6) 2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos[35] taikomas teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse. Šis pamatinis sprendimas taikomas tik tarp valstybių narių persiųstų asmens duomenų ar duomenų, kuriais naudotis sudaryta galimybė, tvarkymui;

(7) siekiant užtikrinti veiksmingą teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą, labai svarbu užtikrinti vienodą aukšto lygio asmens duomenų apsaugą ir palengvinti valstybių narių kompetentingų institucijų keitimąsi asmens duomenimis. Todėl visose valstybėse narėse turi būti užtikrinta lygiavertė fizinių asmenų teisių ir laisvių apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais. Siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti duomenų subjektų teises ir asmens duomenis tvarkančiųjų pareigas, bet ir nustatyti lygiaverčius priežiūros įgaliojimus valstybėse narėse ir užtikrinti, kad būtų laikomasi asmens duomenų apsaugos taisyklių;

(8) Sutarties dėl Europos Sąjungos veikimo 16 straipsnio 2 dalyje nustatyta, kad Europos Parlamentas ir Taryba turėtų nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo asmens duomenų judėjimo taisykles;

(9) tuo remiantis, Europos Parlamento ir Tarybos Reglamente ES …../2012 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) nustatytos bendrosios taisyklės, kuriomis užtikrinama fizinių asmenų apsauga tvarkant asmens duomenis ir užtikrinamas laisvas asmens duomenų judėjimas Sąjungoje;

(10) 21-oje deklaracijoje dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, Konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio šiose srityse gali reikėti konkrečių taisyklių dėl asmens duomenų apsaugos ir laisvo šių duomenų judėjimo, pagrįstų Sutarties dėl Europos Sąjungos veikimo 16 straipsniu;

(11) todėl atskiroje direktyvoje turėtų būti atsižvelgta į ypatingą šių sričių pobūdį ir turėtų būti nustatytos fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais taisyklės;

(12) siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį visoje Sąjungoje nustačius teisiškai įgyvendinamas teises ir pašalinti skirtumus, kurie trukdo kompetentingoms institucijoms keistis asmens duomenimis, direktyva turėtų būti nustatytos suderintos asmens duomenų apsaugos ir laisvo judėjimo teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse taisyklės;

(13) taikant šios direktyvos nuostatas galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą;

(14) šia direktyva fiziniams asmenims turėtų būti užtikrinama apsauga tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą;

(15) fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir nepriklausyti nuo naudojamų metodų; priešingu atveju iškiltų rimta teisės aktų apėjimo grėsmė. fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Ši direktyva neturėtų būti taikoma pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams. Ši direktyva neturėtų būti taikoma, kai asmens duomenys tvarkomi vykdant Sąjungos teisės nereglamentuojamą veiklą, visų pirma susijusią su nacionaliniu saugumu, arba duomenims, kuriuos tvarko Sąjungos institucijos, įstaigos, organai ir agentūros, pavyzdžiui, Europolas ar Eurojustas;

(16) apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra žinoma arba gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei nustatyti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo. Duomenų apsaugos principai neturėtų būti taikomi duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė nebegali būti nustatyta;

(17) prie asmens sveikatos duomenų turėtų būti priskirta visa informacija apie duomenų subjekto sveikatos būklę, informacija apie asmens registraciją sveikatos priežiūros paslaugoms gauti; informacija apie apmokėjimą ar asmens teisę į sveikatos priežiūrą; asmens numeris, simbolis ar žymė, pagal kurią būtų galima nustatyti asmens tapatybę sveikatos priežiūros tikslais; visa informacija apie asmenį, kuri buvo surinkta jam teikiant sveikatos priežiūros paslaugas; informacija, gauta atliekant kūno dalies ar medžiagos tyrimus, įskaitant biologinius ėminius; asmeniui sveikatos priežiūros paslaugas teikiančio paslaugų teikėjo tapatybė; arba bet kokia informacija, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba faktinę duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pvz., ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos prietaiso ar in vitro diagnostinio tyrimo;

(18) asmens duomenys turi būti tvarkomi sąžiningai ir teisėtai suinteresuotųjų asmenų atžvilgiu. Visų pirma turėtų būti aiškūs konkretūs tikslai, dėl kurių tvarkomi duomenys;

(19) nusikalstamų veikų prevencijos, tyrimo ir traukimo baudžiamojon atsakomybėn už jas tikslais kompetentingoms institucijoms būtina saugoti ir tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, tyrimą, jas nustatant ar traukiant baudžiamojon atsakomybėn už jas, tačiau neapsiribojant šiuo tikslu, kad būtų galima nustatyti ir suprasti nusikalstamus reiškinius ir tendencijas, rinkti žvalgybos informaciją apie organizuotų nusikaltėlių tinklus ir nustatyti sąsajas tarp skirtingų nustatytų veikų;

(20) asmens duomenys neturėtų būti tvarkomi jų surinkimo tikslo neatitinkančiais tikslais. Asmens duomenys turėtų būti adekvatūs, susiję ir minimalios apimties, būtinos tikslams, dėl kurių jie tvarkomi, pasiekti. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti;

(21) duomenų tikslumo principas turėtų būti taikomas atsižvelgiant į konkretaus duomenų tvarkymo pobūdį ir tikslą. Visų pirma pareiškimai, kuriuose yra asmens duomenų ir kurie daromi vykstant teismo procesui, yra pagrįsti subjektyviu asmenų suvokimu ir kai kuriais atvejais jų neįmanoma patikrinti. Todėl tikslumo reikalavimas neturėtų būti siejamas su pareiškimo tikslumu, bet tik su faktu, kad padarytas konkretus pareiškimas;

(22) aiškinant ir taikant bendruosius principus, susijusius su kompetentingų institucijų tvarkomais asmens duomenimis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, reikėtų atsižvelgti į sektoriaus ypatumus, įskaitant konkrečius siekiamus tikslus;

(23) tvarkant asmens duomenis teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, paprastai tvarkomi su skirtingų kategorijų duomenų subjektais susiję asmens duomenys. Todėl reikėtų kuo aiškiau atskirti skirtingų kategorijų duomenų subjektų, pavyzdžiui, įtariamųjų, asmenų, nuteistų už nusikalstamą veiką, aukų ir trečiųjų asmenų, kaip antai liudytojai, atitinkamą informaciją tvarkantys asmenys arba įtariamųjų ar nuteistų nusikaltėlių pažįstami arba su jais susiję asmenys, asmens duomenis;

(24) asmens duomenys turėtų būti kuo labiau atskirti pagal jų tikslumą ir patikimumą. Faktai turėtų būti atskirti nuo asmeninių vertinimų siekiant užtikrinti ir fizinių asmenų apsaugą, ir kompetentingų institucijų tvarkomos informacijos kokybę bei patikimumą;

(25) asmens duomenys tvarkomi teisėtai, kai juos tvarkyti būtina siekiant, kad duomenų valdytojas įvykdytų savo teisinę pareigą, kompetentinga valdžios institucija atliktų užduotį visuomenės labui remdamasi teisės aktais arba siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus, arba užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui;

(26) reikia užtikrinti ypatingą asmens duomenų, visų pirma tų, kurie savo pobūdžiu yra neskelbtini ir dėl kurių gali būti pažeistos pagrindinės teisės arba privatumas, įskaitant genetinius duomenis, apsaugą. Tokie duomenys neturėtų būti tvarkomi, nebent tvarkymas specialiai leidžiamas teisės aktu, kuriame nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba kai duomenis tvarkyti būtina, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai; arba tvarkomi duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

(27) kiekvienas fizinis asmuo turėtų turėti teisę, kad jam nebūtų taikoma priemonė, grindžiama tik automatizuotu duomenų tvarkymu, jeigu dėl jos asmuo patiria neigiamų teisinių pasekmių, išskyrus atvejus, kai ji leidžiama teisės aktu ir kai nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės;

(28) kad duomenų subjektai galėtų naudotis savo teisėmis, bet kokia informacija duomenų subjektui turėtų būti lengvai prieinama ir suprantama, be kita ko, suformuluota aiškiai ir paprastai;

(29) siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šią direktyvą, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant visų pirma prašymo suteikti teisę nemokamai susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti tvarką. Duomenų valdytojas turėtų būti įpareigotas nepagrįstai nedelsdamas atsakyti į duomenų subjekto prašymus;

(30) pagal sąžiningo duomenų tvarkymo principą duomenų subjektams turėtų būti pranešta visų pirma apie vykdomą tvarkymo operaciją ir jos tikslus, apie tai, kaip ilgai bus saugomi duomenys, apie teisę susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti ir apie teisę pateikti skundą. Kai duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti duomenis, taip pat apie tokių duomenų nepateikimo pasekmes;

(31) informacija apie duomenų subjekto asmens duomenų tvarkymą jam turėtų būti suteikta tuo metu, kai duomenys renkami, arba, jeigu duomenys gaunami ne iš duomenų subjekto, tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį nuo jų surinkimo, atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes;

(32) bet kuris asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir gauti informaciją visų pirma apie duomenų tvarkymo tikslus, laikotarpį, duomenų gavėjus, taip pat ir trečiosiose šalyse. Duomenų subjektams turėtų būti leidžiama gauti savo asmens duomenų, kurie yra tvarkomi, kopiją;

(33) valstybėms narėms turėtų būti leidžiama priimti teisėkūros priemones, kuriomis informacijos teikimas duomenų subjektui arba teisė susipažinti su savo asmens duomenimis gali būti atidėti, apriboti arba kuriomis jų būtų galima nepaisyti tiek, kiek toks dalinis arba visiškas apribojimas, tinkamai paisant teisėtų atitinkamo asmens interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras, nepakenkti nusikalstamų veikų prevencijai, nustatymui, tyrimui ir traukimui baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymui, užtikrinti visuomenės saugumą arba nacionalinį saugumą arba apsaugoti duomenų subjektą arba kitų asmenų teises ir laisves;

(34) apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą duomenų subjektui turėtų būti išdėstyta raštu, nurodant faktines arba teisines priežastis, kuriomis pagrįstas sprendimas;

(35) jeigu valstybės narės yra priėmusios teisėkūros priemones, kuriomis visiškai arba iš dalies apribojama teisė susipažinti su duomenimis, duomenų subjektas turėtų turėti teisę prašyti, kad kompetentinga nacionalinė priežiūros institucija patikrintų duomenų tvarkymo teisėtumą. Duomenų subjektas turėtų būti informuotas apie šią teisę. Kai priežiūros institucija naudojasi teise susipažinti su duomenimis duomenų subjekto vardu, priežiūros institucija informuoja duomenų subjektą bent jau apie visus priežiūros institucijos atliktus būtinus patikrinimus ir apie rezultatus, susijusius su atitinkamo duomenų tvarkymo teisėtumu;

(36) bet kuris asmuo turėtų turėti teisę reikalauti, kad su juo susiję netikslūs asmens duomenys būtų ištaisyti, ir teisę reikalauti juos ištrinti, jeigu tokių duomenų tvarkymas neatitinka pagrindinių šioje direktyvoje nustatytų principų. Jeigu asmens duomenys tvarkomi vykdant baudžiamąjį tyrimą ir procesą, duomenys gali būti ištaisyti ir teise gauti informaciją, teise susipažinti su duomenimis, teise reikalauti ištrinti duomenis ir teise apriboti duomenų tvarkymą gali būti naudojamasi pagal nacionalines teismo procesą reglamentuojančias taisykles;

(37) turėtų būti nustatyta visapusiška duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo pavedimu vykdomą asmens duomenų tvarkymą. Visų pirma duomenų valdytojas turėtų užtikrinti, kad duomenų tvarkymo operacijos atitiktų pagal šią direktyvą priimtas taisykles;

(38) dėl duomenų subjektų teisių ir laisvių apsaugos tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi direktyvos reikalavimų. Siekdamas užtikrinti pagal šią direktyvą priimtų nuostatų laikymąsi, duomenų valdytojas turėtų priimti nuostatas ir įdiegti tinkamas priemones, kuriomis visų pirma paisoma pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principų;

(39) siekiant užtikrinti duomenų subjektų teises ir laisves, taip pat nustatyti duomenų valdytojų ir duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybės sritis pagal šią direktyvą, be kita ko, tais atvejais, kai duomenų tvarkymo tikslus, sąlygas ir būdus duomenų valdytojas nustato drauge su kitais duomenų valdytojais arba kai duomenų tvarkymo operacija vykdoma duomenų valdytojo pavedimu;

(40) duomenų valdytojas arba duomenų tvarkytojas turėtų dokumentuoti tvarkymo veiklą, siekiant stebėti, kaip laikomasi šios direktyvos. Kiekvienas duomenų valdytojas ir tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir paprašius pateikti turimus dokumentus, kad pagal juos būtų galima patikrinti duomenų tvarkymo operacijas;

(41) siekiant prevenciniais veiksmais užtikrinti veiksmingą duomenų subjektų teisių ir laisvių apsaugą, duomenų valdytojas arba duomenų tvarkytojas tam tikrais atvejais prieš pradėdami tvarkyti duomenis turėtų pasikonsultuoti su priežiūros institucija;

(42) dėl asmens duomenų saugumo pažeidimo, jei jis tinkamai ir laiku neišaiškintas, gali būti padaryta žala, be kita ko, pakenkta susijusio asmens reputacijai. Todėl, kai tik duomenų valdytojas sužino, kad padarytas toks pažeidimas, jis apie pažeidimą turėtų pranešti kompetentingai nacionalinei institucijai. Fiziniai asmenys, kurių asmens duomenims ar privatumui pažeidimas galėjo turėti neigiamą poveikį, turėtų būti nepagrįstai nedelsiant informuojami, kad galėtų imtis būtinų atsargumo priemonių. Pažeidimas turėtų būti laikomas turinčiu neigiamą poveikį asmens duomenims ar fizinio asmens privatumui, jeigu dėl jo, pavyzdžiui, galėtų būti pavogta ar suklastota tapatybė, padaryta fizinė žala, patirtas didelis pažeminimas ar pakenkta reputacijai tvarkant asmens duomenis;

(43) nustatant išsamias pranešimo apie asmens duomenų saugumo pažeidimus formos ir tvarkos taisykles, turėtų būti tinkamai atsižvelgiama į pažeidimo aplinkybes, įskaitant tai, ar asmens duomenys buvo apsaugoti tinkamomis techninėmis priemonėmis, veiksmingai ribojančiomis neteisėto naudojimo galimybę. Be to, nustatant tokias taisykles ir tvarką reikėtų atsižvelgti į teisėtus kompetentingų institucijų interesus tais atvejais, kai ankstyvas informacijos atskleidimas galėtų bereikalingai sutrukdyti pažeidimo aplinkybių tyrimą;

(44) duomenų valdytojas arba duomenų tvarkytojas turėtų paskirti asmenį, kuris padėtų duomenų valdytojui arba tvarkytojui stebėti, kaip laikomasi pagal šią direktyvą priimtų nuostatų. Duomenų apsaugos pareigūną gali drauge paskirti keli kompetentingos institucijos subjektai. Duomenų apsaugos pareigūnai turi galėti atlikti savo pareigas ir užduotis nepriklausomai ir veiksmingai;

(45) valstybės narės turėtų užtikrinti, kad duomenys į trečiąją šalį perduodami, tik jeigu tai būtina nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, o duomenų valdytojas trečiojoje šalyje arba tarptautinėje organizacijoje yra pagal šią direktyvą kompetentinga institucija. Duomenų perdavimą galima atlikti, jeigu Komisija nusprendė, kad atitinkama trečioji šalis arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį arba jeigu nustatytos atitinkamos apsaugos priemonės;

(46) Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios šalys arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Šiais atvejais asmens duomenys į šias šalis gali būti perduodami be papildomo leidimo;

(47) atsižvelgdama į pagrindines vertybes, kuriomis grindžiama Sąjunga, visų pirma į žmogaus teisių apsaugą, Komisija turėtų atsižvelgti į tai, kaip toje trečiojoje šalyje laikomasi teisinės valstybės principų, teisės kreiptis į teismą, taip pat tarptautinių žmogaus teisių normų ir standartų;

(48) Komisija taip pat turėtų galėti pripažinti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo duomenų apsaugos lygio. Todėl asmens duomenų perdavimas į tą trečiąją šalį turėtų būti draudžiamas, išskyrus atvejus, kai jis vykdomas remiantis tarptautiniu susitarimu, tinkamomis apsaugos priemonėmis arba nukrypti leidžiančia nuostata. Turėtų būti numatyta Komisijos konsultavimosi su tokiomis trečiosiomis šalimis arba tarptautinėmis organizacijomis tvarka. Vis dėlto tokiu Komisijos sprendimu nepažeidžiama galimybė duomenų perdavimus vykdyti remiantis tinkamomis apsaugos priemonėmis arba direktyvoje nustatyta nukrypti leidžiančia nuostata;

(49) duomenų perdavimai, kurie nėra grindžiami tokiu sprendimu dėl tinkamumo, turėtų būti leidžiami, tik jeigu teisiškai privalomame dokumente nustatytos tinkamos apsaugos priemonės, užtikrinančios asmens duomenų apsaugą, arba jeigu duomenų valdytojas arba duomenų tvarkytojas įvertino visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų seka susijusias aplinkybes ir remdamasis tuo vertinimu mano, kad nustatytos tinkamos apsaugos priemonės, susijusios su asmens duomenų apsauga. Tais atvejais, kai pagrindo leisti perduoti duomenis nėra, prireikus turėtų būti galima taikyti nukrypti leidžiančias nuostatas, siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus arba siekiant apsaugoti teisėtus duomenų subjekto interesus, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę arba kai tai būtina, siekiant užkirsti kelią tiesioginei ar didelei grėsmei valstybės narės arba trečiosios šalies visuomenės saugumui, arba atskirais atvejais nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, arba atskirais atvejais, siekiant nustatyti, vykdyti ar ginti teisinius reikalavimus;

(50) kai asmens duomenys perduodami į užsienį, fiziniams asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą ir apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybinių sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis;

(51) visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Priežiūros institucijos turėtų stebėti, kaip taikomos pagal šią direktyvą priimtos nuostatos, ir padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis. Siekdamos šio tikslo, priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija;

(52) valstybės narės gali pagal Reglamentą (ES)..../2012 valstybėje narėje jau įsteigtai priežiūros institucijai pavesti atlikti pagal šią direktyvą įsteigtinų nacionalinių priežiūros institucijų užduotis;

(53) valstybėms narėms turėtų būti leidžiama įsteigti daugiau nei vieną priežiūros instituciją atsižvelgiant į savo konstitucinę, organizacinę ir administracinę sandarą. Kiekvienai priežiūros institucijai turėtų būti suteikta pakankamai finansinių ir žmogiškųjų išteklių, taip pat patalpos ir infrastruktūra, kurie joms būtini siekiant veiksmingai vykdyti užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis;

(54) kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariams, visų pirma turėtų būti nustatyta, kad šiuos narius turėtų skirti valstybės narės parlamentas arba vyriausybė, taip pat turėtų būti įtrauktos taisyklės dėl narių tinkamumo ir šių narių statuso;

(55) ši direktyva taip pat taikoma nacionalinių teismų veiklai, tačiau priežiūros institucijų kompetencija neturėtų apimti asmens duomenų tvarkymo, kurį jie vykdo atlikdami teisingumo funkcijas, siekiant apsaugoti teisėjų nepriklausomumą jiems atliekant savo teismines užduotis. Vis dėlto ši išimtis turėtų būti taikoma tik faktinei teisminei veiklai teismo bylose ir netaikoma kitai veiklai, kurią teisėjai gali vykdyti pagal nacionalinę teisę;

(56) siekiant užtikrinti nuoseklią šios direktyvos taikymo stebėseną ir vykdymą visoje Sąjungoje, kiekvienos valstybės narės priežiūros institucijos turėtų atlikti tas pačias pareigas ir veiksmingai naudotis tais pačiais įgaliojimais, įskaitant įgaliojimus vykdyti tyrimą ir teisiškai privalomas intervencijas, priimti sprendimus ir skirti sankcijas, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir būti proceso šalimi;

(57) kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas, ir juos tirti. Tyrimas gavus skundą turėtų būti vykdomas paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu reikia papildomo tyrimo arba derinimo su kita priežiūros institucija, duomenų subjektas taip pat turėtų būti apie tai informuojamas;

(58) priežiūros institucijos turėtų viena kitai padėti atlikti savo pareigas ir teikti savitarpio pagalbą, kad pagal šią direktyvą priimtos nuostatos būtų nuosekliai taikomos ir vykdomos;

(59) Reglamentu (ES)..../2012 įsteigta Europos duomenų apsaugos valdyba turėtų padėti nuosekliai taikyti šią direktyvą visoje Sąjungoje, be kita ko, patarti Komisijai ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje;

(60) kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje ir turėti teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės pagal šią direktyvą pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo arba nesiima veiksmų, kai tai būtina duomenų subjekto teisėms apsaugoti;

(61) bet kokia įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ir kuri įsteigta pagal valstybės narės teisę, turėtų turėti teisę pateikti skundą arba pasinaudoti teisminėmis teisių gynimo priemonėmis duomenų subjektų vardu, jeigu jų yra tinkamai įgaliota, arba pati pateikti skundą duomenų subjektui skundo nepateikus, jeigu mano, kad buvo pažeistas asmens duomenų saugumas;

(62) kiekvienas fizinis arba juridinis asmuo turėtų turėti teisę imtis teisminių teisių gynimo priemonių prieš jų atžvilgiu priimtus priežiūros institucijos sprendimus. Ieškinys priežiūros institucijai turėtų būti pareiškiamas valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose;

(63) valstybės narės turėtų užtikrinti veiksmingas galimybes pareikšti ieškinius, kurie leistų greitai imtis priemonių šios direktyvos pažeidimui ištaisyti arba užkirsti jam kelią;

(64) bet kokią žalą, kurią asmuo gali patirti dėl neteisėto duomenų tvarkymo, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas, kurie gali būti atleisti nuo atsakomybės, jeigu įrodo, kad nėra atsakingi už žalą, visų pirma, kai nustatyta duomenų subjekto kaltė, arba nenugalimos jėgos atveju;

(65) viešosios teisės arba privatinės teisės reglamentuojamam fiziniam ar juridiniam asmeniui, nesilaikančiam šios direktyvos, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir privalo imtis visų priemonių sankcijoms vykdyti;

(66) siekiant įgyvendinti šios direktyvos tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti aktus. Visų pirma turėtų būti priimami deleguotieji aktai dėl pranešimo apie asmens duomenų saugumo pažeidimą priežiūros institucijai. Itin svarbu, kad atlikdama parengiamuosius darbus Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus, Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai;

(67) siekiant užtikrinti vienodas šios direktyvos įgyvendinimo sąlygas, kiek tai susiję su duomenų valdytojų ir duomenų tvarkytojų atliekamu dokumentavimu, duomenų tvarkymo saugumu, visų pirma susijusiu su šifravimo standartais, pranešimu apie asmens duomenų saugumo pažeidimą priežiūros institucijai ir tinkamu apsaugos lygiu, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai[36];

(68) priimant priemones, susijusias su duomenų valdytojų ir duomenų tvarkytojų atliekamu dokumentavimu, duomenų tvarkymo saugumu, pranešimu apie asmens duomenų saugumo pažeidimą priežiūros institucijai ir tinkamu apsaugos lygiu, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija, taikoma nagrinėjimo procedūra, atsižvelgiant į tai, kad šie aktai yra bendrojo pobūdžio;

(69) Komisija turėtų priimti nedelsiant taikomus įgyvendinimo aktus, jeigu tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio neužtikrinančia trečiąja šalimi arba tos trečiosios šalies teritorija ar sektoriumi, susijusiu su duomenų tvarkymu, arba tarptautine organizacija, to reikia dėl imperatyvių skubos pagrindų;

(70) kadangi šios direktyvos tikslų, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas, valstybės narės negali deramai pasiekti ir kadangi dėl siūlomo veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygiu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytam tikslui pasiekti;

(71) Pamatinis sprendimas 2008/977/TVR turėtų būti panaikintas šia direktyva;

(72) specialiosios nuostatos, susijusios su kompetentingų institucijų vykdomu asmens duomenų tvarkymu nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įtvirtintos Sąjungos aktuose, priimtuose prieš priimant šią direktyvą ir reglamentuojančiuose valstybių narių vykdomą asmens duomenų tvarkymą arba valstybių narių paskirtų institucijų prieigą prie informacinių sistemų, įdiegtų remiantis Sutartimis, nekeičiamos. Komisija turėtų įvertinti šios direktyvos ir aktų, priimtų prieš priimant šią direktyvą, reglamentuojančių valstybių narių vykdomą asmens duomenų tvarkymą arba valstybių narių paskirtų valdžios institucijų prieigą prie informacinių sistemų, įdiegtų remiantis Sutartimis, ryšį, kad nustatytų, ar reikia šias specialiąsias nuostatas suderinti su šia direktyva;

(73) siekiant užtikrinti visapusišką ir nuoseklią asmens duomenų apsaugą Sąjungoje, tarptautiniai susitarimai, kuriuos valstybės narės sudarė prieš įsigaliojant šiai direktyvai, turėtų būti iš dalies pakeisti pagal šią direktyvą;

(74) šia direktyva nepažeidžiamos taisyklės, reglamentuojančios kovą su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, nustatytos 2011 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyvoje 2011/92/ES[37];

(75) pagal Protokolo dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės, pridėto prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo, 6a straipsnį Jungtinė Karalystė ir Airija neįpareigojamos laikytis taisyklių, nustatytų šia direktyva, tais atvejais, kai Jungtinė Karalystė ar Airija neįpareigojamos laikytis taisyklių, reglamentuojančių teisminio bendradarbiavimo baudžiamosiose bylose ar policijos bendradarbiavimo, kurį vykdant turi būti laikomasi pagal Sutarties dėl Europos Sąjungos veikimo 16 straipsnį nustatytų nuostatų, formas;

(76) pagal Protokolo dėl Danijos pozicijos, pridėto prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo, 2 ir 2a straipsnius Danijai ši direktyva nėra privaloma ar taikoma. Atsižvelgiant į tai, kad ši direktyva teikiama remiantis Šengeno acquis, pagal Sutarties dėl Europos Sąjungos veikimo Trečiosios dalies V antraštinę dalį Danija, remdamasi to protokolo 4 straipsniu, per šešis mėnesius nuo šios direktyvos priėmimo priima sprendimą dėl jos įgyvendinimo savo nacionalinėje teisėje;

(77) Islandijos ir Norvegijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip nustatyta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės sudarytame susitarime dėl šių dviejų valstybių asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis[38];

(78) Šveicarijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip nustatyta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis[39];

(79) Lichtenšteino atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip nustatyta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės pasirašytame protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis[40];

(80) šioje direktyvoje paisoma Europos Sąjungos pagrindinių teisių chartijoje pripažintų ir Sutartyje įtvirtintų pagrindinių teisių ir principų, ypač teisės į privatų ir šeimos gyvenimą, teisės į asmens duomenų apsaugą, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą. Šių teisių apribojimai atitinka Chartijos 52 straipsnio 1 dalį, nes jie būtini siekiant atitikti Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti;

(81) pagal 2011 m. rugsėjo 28 d. valstybių narių ir Komisijos bendrą politinį pareiškimą dėl aiškinamųjų dokumentų valstybės narės įsipareigojo pagrįstais atvejais prie pranešimo apie perkėlimo į nacionalinę teisę priemones pridėti vieną ar kelis aiškinamuosius dokumentus, kuriuose būtų paaiškintas direktyvos nuostatų ir atitinkamų perkėlimo į nacionalinę teisę priemonių ryšys. Šios direktyvos atveju teisės aktų leidėjas mano, kad tokių dokumentų perdavimas yra pagrįstas;

(82) šia direktyva valstybėms narėms neturėtų būti trukdoma pagal nacionalines teismo procesą reglamentuojančias taisykles įgyvendinti duomenų subjektų teisę gauti informaciją apie savo asmens duomenis, su jais susipažinti, teisę reikalauti juos ištaisyti, ištrinti ir apriboti jų tvarkymą vykdant baudžiamąjį procesą, taip pat galimus šių teisių apribojimus,

PRIĖMĖ ŠIĄ DIREKTYVĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis Dalykas ir tikslai

1.           Šioje direktyvoje nustatytos fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais taisyklės.

2.           Remdamosi šia direktyva, valstybės narės:

a)      saugo fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą; ir

b)      užtikrina, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas ar draudžiamas remiantis su fizinių asmenų apsauga tvarkant asmens duomenis susijusiais pagrindais.

2 straipsnis Taikymo sritis

1.           Ši direktyva taikoma kompetentingoms institucijoms tvarkant asmens duomenis 1 straipsnio 1 dalyje nurodytais tikslais.

2.           Ši direktyva taikoma visiškai arba iš dalies automatizuotomis priemonėmis tvarkomiems asmens duomenims ir neautomatizuotomis priemonėmis tvarkomiems asmens duomenims, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį.

3.           Ši direktyva netaikoma tvarkant asmens duomenis, kai:

a)      vykdoma Sąjungos teisės nereglamentuojama veikla, visų pirma susijusi su nacionaliniu saugumu;

b)      duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros.

3 straipsnis Apibrėžtys

Šioje direktyvoje:

(1) duomenų subjektas – konkretus fizinis asmuo, kurį tiesiogiai arba netiesiogiai galima nustatyti priemonėmis, kuriomis, tikėtina, galėtų naudotis duomenų valdytojas arba kitas fizinis ar juridinis asmuo, visų pirma pagal asmens identifikavimo numerį, vietos nustatymo duomenis, interneto identifikatorių arba vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

(2) asmens duomenys – bet kokia informacija apie duomenų subjektą;

(3) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniu atliekama operacija ar operacijos seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, ištrynimas ar sunaikinimas;

(4) duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas, kurio tikslas – ribotas jų tvarkymas ateityje;

(5) susistemintas rinkinys – bet kuris susistemintas pagal specifinius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

(6) duomenų valdytojas – kompetentinga valdžios institucija, kuri viena ar drauge su kitais nustato asmens duomenų tvarkymo tikslus, sąlygas ir būdus; jeigu tvarkymo tikslai, sąlygos ir būdai nustatyti Sąjungos arba valstybės narės teisės aktais, duomenų valdytojas arba specialūs jo skyrimo kriterijai taip pat gali būti nustatyti Sąjungos arba valstybės narės teisės aktais;

(7) duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuris duomenų valdytojo pavedimu tvarko asmens duomenis;

(8) duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuriam atskleidžiami asmens duomenys;

(9) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduoti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų gaunama prieiga;

(10) genetiniai duomenys – visi bet kokios rūšies duomenys, susiję su embrioniniu laikotarpiu paveldėtomis ar įgytomis fizinio asmens savybėmis;

(11) biometriniai duomenys – bet kokie duomenys apie asmens fizinius, fiziologinius arba elgesio ypatumus, pagal kuriuos galimas unikalus jo atpažinimas, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys;

(12) sveikatos duomenys – visa informacija, susijusi su fizine ar psichine asmens sveikata arba su asmeniui teikiamomis sveikatos priežiūros paslaugomis;

(13) vaikas – bet kuris jaunesnis nei 18 metų asmuo;

(14) kompetentingos institucijos – visos valstybės valdžios institucijos, atsakingos už nusikalstamų veikų prevenciją, tyrimą, nustatymą ar traukimą baudžiamojon atsakomybėn už jas arba už baudžiamųjų sankcijų vykdymą;

(15) priežiūros institucija – valstybės narės pagal 39 straipsnį įsteigta valdžios institucija.

II SKYRIUS

PRINCIPAI

4 straipsnis Asmens duomenų tvarkymo principai

Valstybės narės nustato, kad asmens duomenys turi būti:

a)      tvarkomi sąžiningai ir teisėtai;

b)      renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, o vėliau tvarkomi su šiais tikslais suderintais būdais;

c)      adekvatūs, susiję ir savo apimtimi neviršijantys tikslų, dėl kurių jie vėliau tvarkomi;

d)      tikslūs ir prireikus nuolat atnaujinami; būtina imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų nedelsiant ištrinti arba ištaisyti, atsižvelgiant į jų tvarkymo tikslus;

e)      laikomi tokiu pavidalu, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių asmens duomenys tvarkomi;

f)       tvarkomi duomenų valdytojo atsakomybe, kuris užtikrina pagal šią direktyvą priimtų nuostatų laikymąsi.

.

5 straipsnis Skirtingų kategorijų duomenų subjektų atskyrimas

1.           Valstybės narės nustato, kad duomenų valdytojas kuo aiškiau atskiria skirtingų kategorijų duomenų subjektų asmens duomenis, pavyzdžiui:

a)      asmenų, kurių atžvilgiu yra rimtų priežasčių manyti, kad jie įvykdė arba rengiasi įvykdyti nusikalstamą veiką;

b)      asmenų, nuteistų už nusikalstamą veiką;

c)      asmenų, kurie buvo nusikalstamos veikos auka, arba asmenų, kurių atžvilgiu, remiantis atitinkamais faktais, yra pagrindo manyti, kad jie galėtų būti nusikalstamos veikos auka;

d)      su nusikalstama veika susijusių trečiųjų asmenų, pavyzdžiui, asmenų, kurie gali būti kviečiami liudyti atliekant nusikalstamų veikų tyrimus arba paskesniu baudžiamojo proceso etapu, arba asmens, kuris gali suteikti informacijos apie nusikalstamas veikas arba kuris yra a ir b punktuose nurodytų asmenų pažįstamas arba su jais susijęs asmuo; ir

e)      asmenų, kurie nepriklauso nė vienai iš pirmiau nurodytų kategorijų.

6 straipsnis Skirtingi asmens duomenų tikslumo ir patikimumo laipsniai

1.           Valstybės narės užtikrina, kad tvarkomi skirtingų kategorijų asmens duomenys būtų kuo labiau atskirti pagal jų tikslumo ir patikimumo laipsnį.

2.           Valstybės narės užtikrina, kad faktais pagrįsti asmens duomenys būtų kuo labiau atskirti nuo asmeniniu vertinimu pagrįstų asmens duomenų.

7 straipsnis Tvarkymo teisėtumas

Valstybės narės nustato, kad asmens duomenų tvarkymas yra teisėtas, tik tuo atveju ir jeigu jis reikalingas:

(a) kompetentingai valdžios institucijai atlikti užduotį, remiantis teisės aktais ir siekiant 1 straipsnio 1 dalyje nurodytų tikslų; arba

(b) vykdyti teisinę prievolę, kuri privaloma duomenų valdytojui; arba

(c) duomenų subjekto ar kito asmens gyvybiniams interesams apsaugoti; arba

(d) užkirsti kelią tiesioginei ir didelei grėsmei visuomenės saugumui.

8 straipsnis Ypatingų kategorijų asmens duomenų tvarkymas

1.           Valstybės narės draudžia tvarkyti asmens duomenis, kurie atskleidžia rasinę arba tautinę kilmę, politines, religines pažiūras ar tikėjimą, priklausymą profesinėms sąjungoms, taip pat genetinius duomenis arba duomenis apie sveikatą ar lytinį gyvenimą.

2.           1 dalis netaikoma tais atvejais, kai:

a)      tvarkyti duomenis leidžiama teisės aktais, kuriuose nustatomos tinkamos apsaugos priemonės; arba

b)      tvarkyti duomenis būtina, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai; arba

c)      tvarkomi duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai.

9 straipsnis Profiliavimu ir automatizuotu tvarkymu pagrįstos priemonės

1.           Valstybės narės nustato, kad priemonės, dėl kurių duomenų subjektas patiria neigiamų teisinių pasekmių arba kurios turi jam didelį poveikį ir kurios pagrįstos tik automatizuotu asmens duomenų tvarkymu, siekiant įvertinti tam tikrus su duomenų subjektu susijusius asmeninius aspektus, draudžiamos, išskyrus atvejus, kai jos leidžiamos teisės aktu, kuriuo taip pat nustatomos duomenų subjekto teisėtų interesų apsaugos priemonės.

2.           Automatizuotas asmens duomenų tvarkymas, siekiant įvertinti tam tikrus su duomenų subjektu susijusius asmeninius aspektus, negali būti grindžiamas tik 8 straipsnyje nurodytais ypatingų kategorijų asmens duomenimis.

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

10 straipsnis Naudojimosi duomenų subjekto teisėmis sąlygos

1.           Valstybės narės nustato, kad duomenų valdytojas imasi visų pagrįstų priemonių, kad būtų nustatytos skaidrios ir lengvai prieinamos asmens duomenų tvarkymo ir duomenų subjektų naudojimosi teisėmis nuostatos.

2.           Valstybės narės nustato, kad visą informaciją ir pranešimus, susijusius su asmens duomenų tvarkymu, duomenų valdytojas duomenų subjektui pateikia suprantama forma, aiškia ir paprasta kalba.

3.           Valstybės narės nustato, kad duomenų valdytojas imasi visų pagrįstų priemonių, kad būtų nustatyta 11 straipsnyje nurodytos informacijos suteikimo ir naudojimosi 12–17 straipsniuose nurodytomis duomenų subjektų teisėmis tvarka.

4.           Valstybės narės nustato, kad duomenų valdytojas nepagrįstai nedelsdamas praneša duomenų subjektui apie su jo prašymu susijusius tolesnius veiksmus.

5.           Valstybės narės nustato, kad duomenų valdytojas visą su 3 ir 4 dalyse nurodytu prašymu susijusią informaciją suteikia ir susijusius veiksmus vykdo nemokamai. Jeigu prašymai įkyraus pobūdžio, visų pirma dėl jų pasikartojančio turinio arba dėl prašymo dydžio ar apimties, duomenų valdytojas gali imti mokestį už prašomos informacijos suteikimą arba veiksmų vykdymą, arba gali nevykdyti prašomų veiksmų. Tokiu atveju duomenų valdytojas privalo įrodyti, kad prašymas įkyraus pobūdžio.

11 straipsnis Duomenų subjekto informavimas

1.           Kai renkami duomenų subjekto asmens duomenys, valstybės narės užtikrina, kad duomenų valdytojas imtųsi visų būtinų priemonių, siekdamas duomenų subjektui pateikti bent tokią informaciją:

a)      duomenų valdytojo ir duomenų apsaugos pareigūno vardą ir pavardę ir duomenis ryšiams;

b)      duomenų tvarkymo tikslus, dėl kurių renkami asmens duomenys;

c)      asmens duomenų saugojimo laikotarpį;

d)      informaciją apie teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis, juos ištaisytų, ištrintų arba apribotų jų tvarkymą;

e)      informaciją apie teisę pateikti skundą 39 straipsnyje nurodytai priežiūros institucijai ir jos duomenis ryšiams;

f)       informaciją apie asmens duomenų gavėjus ar jų kategorijas, įskaitant trečiąsias šalis arba tarptautines organizacijas;

g)      bet kokią papildomą informaciją, jeigu tokios papildomos informacijos reikia, kad būtų užtikrintas sąžiningas su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes.

2.           Kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir apie tai, ar asmens duomenys turi būti teikiami privaloma tvarka ar savanoriškai, taip pat nurodo galimas tokių duomenų nepateikimo pasekmes.

3.           Duomenų valdytojas 1 dalyje nurodytą informaciją pateikia:

a)      tuo metu, kai iš duomenų subjekto gaunami asmens duomenys, arba

b)      jeigu asmens duomenys renkami ne iš duomenų subjekto – tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį po jų surinkimo, atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes.

4.           Valstybės narės gali priimti teisines priemones, kuriomis informacijos teikimas duomenų subjektui gali būti atidėtas, apribotas arba kuriomis jo būtų galima nepaisyti tokiu mastu ir tol, kol toks dalinis arba visiškas apribojimas, tinkamai paisant teisėtų atitinkamo asmens interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, kuria siekiama:

(a) netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

(b) nepakenkti nusikalstamų veikų prevencijai, nustatymui, tyrimui ir traukimui baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymui;

(c) užtikrinti visuomenės saugumą;

(d) užtikrinti nacionalinį saugumą;

(e) užtikrinti kitų asmenų teisių ir laisvių apsaugą.

5.           Valstybės narės gali nustatyti, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomos 4 dalyje nurodytos išimtys.

12 straipsnis Duomenų subjekto teisė susipažinti su duomenimis

1.           Valstybės narės nustato duomenų subjekto teisę gauti duomenų valdytojo patvirtinimą dėl to, ar jų asmens duomenys tvarkomi, ar ne. Jeigu tokie asmens duomenys tvarkomi, duomenų valdytojas pateikia informaciją apie:

a)      duomenų tvarkymo tikslus;

b)      atitinkamų asmens duomenų kategorijas;

c)      duomenų gavėjus, kuriems asmens duomenys buvo atskleisti, arba tokių duomenų gavėjų kategorijas, visų pirma duomenų gavėjus trečiosiose šalyse;

d)      asmens duomenų saugojimo laikotarpį;

e)      teisę reikalauti, kad duomenų valdytojas ištaisytų ar ištrintų duomenų subjekto asmens duomenis arba apribotų jų tvarkymą;

f)       teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

g)      tai, kokie asmens duomenys yra tvarkomi ir visą turimą informaciją apie jų šaltinius.

2.           Valstybės narės nustato duomenų subjekto teisę gauti iš duomenų valdytojo tvarkomų asmens duomenų kopiją.

13 straipsnis Teisės susipažinti su duomenimis apribojimai

1. Valstybėms narėms leidžiama priimti teisines priemones, kuriomis iš dalies arba visiškai apribojama duomenų subjekto teisė susipažinti su duomenimis tiek, kiek toks dalinis arba visiškas apribojimas, tinkamai paisant teisėtų atitinkamo asmens interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, kuria siekiama:

(a) netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

(b) nepakenkti nusikalstamų veikų prevencijai, nustatymui, tyrimui ir traukimui baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymui;

(c) užtikrinti visuomenės saugumą;

(d) užtikrinti nacionalinį saugumą;

(e) užtikrinti kitų asmenų teisių ir laisvių apsaugą.

2. Valstybės narės gali nustatyti, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomos 1 dalyje nurodytos išimtys.

3. 1 ir 2 dalyse nurodytais atvejais valstybės narės nustato, kad duomenų valdytojas raštu informuoja duomenų subjektą apie bet kokį atsisakymą leisti susipažinti su duomenimis arba apie tokios teisės susipažinti apribojimą, nurodo atsisakymo priežastis bei galimybes pateikti skundą priežiūros institucijai ir imtis teisminių teisių gynimo priemonių. Informacijos apie faktines arba teisines priežastis, kuriomis pagrįstas sprendimas, galima nenurodyti, jeigu tokios informacijos pateikimas pakenktų tikslui, kurio siekiama 1 dalimi.

4. Valstybės narės užtikrina, kad duomenų valdytojas dokumentais patvirtintų motyvus, kuriais remiantis nenurodomos faktinės arba teisinės priežastys, kuriomis pagrįstas sprendimas.

14 straipsnis Naudojimosi teise susipažinti su duomenimis sąlygos

1.           Valstybės narės nustato duomenų subjekto teisę, visų pirma 13 straipsnyje nurodytais atvejais, prašyti, kad priežiūros institucija patikrintų duomenų tvarkymo teisėtumą.

2.           Valstybė narė nustato, kad duomenų valdytojas informuoja duomenų subjektą apie jo teisę prašyti, kad priežiūros institucija imtųsi veiksmų pagal 1 dalį.

3.           Kai naudojamasi 1 dalyje nurodyta teise, priežiūros institucija informuoja duomenų subjektą bent jau apie tai, kad priežiūros institucijos atliko visus būtinus patikrinimus, ir apie rezultatus, susijusius su atitinkamo duomenų tvarkymo teisėtumu.

15 straipsnis Teisė reikalauti ištaisyti duomenis

1.           Valstybės narės nustato duomenų subjekto teisę reikalauti, kad duomenų valdytojas ištaisytų netikslius jo asmens duomenis. Duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, visų pirma parengiant klaidų ištaisymą.

2.           Valstybės narės nustato, kad duomenų valdytojas raštu informuoja duomenų subjektą apie bet kokį atsisakymą leisti ištaisyti duomenis, nurodo atsisakymo priežastis bei galimybes pateikti skundą priežiūros institucijai ir imtis teisminių teisių gynimo priemonių.

16 straipsnis Teisė reikalauti ištrinti duomenis

1. Valstybės narės nustato duomenų subjekto teisę reikalauti, kad duomenų valdytojas ištrintų jo asmens duomenis, jeigu duomenų tvarkymas neatitinka pagal šios direktyvos 4 straipsnio a–e punktus, 7 ir 8 straipsnius priimtų nuostatų.

2. Duomenų valdytojas duomenis ištrina nedelsdamas.

3. Duomenų valdytojas asmens duomenų neištrina, o juos pažymi, jeigu:

(a) duomenų subjektas užginčija jų tikslumą; šiuo atveju duomenų tvarkymas apribojamas laikotarpiui, per kurį duomenų valdytojas gali patikrinti duomenų tikslumą;

(b) asmens duomenys turi būti toliau saugomi įrodinėjimo tikslais;

(c) duomenų subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą.

4. Valstybės narės nustato, kad duomenų valdytojas raštu informuoja duomenų subjektą apie bet kokį atsisakymą ištrinti duomenis arba juos žymėti tvarkymo tikslais, nurodo atsisakymo priežastis bei galimybes pateikti skundą priežiūros institucijai ir imtis teisminių teisių gynimo priemonių.

17 straipsnis Duomenų subjekto teisės vykdant baudžiamąjį tyrimą ir procesą

Jeigu vykdant baudžiamąjį tyrimą ir procesą asmens duomenys nurodomi teismo sprendime arba nuosprendžių registre, valstybėms narėms leidžiama nustatyti, kad 11–16 straipsniuose nurodytos teisės gauti informaciją, susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti arba apriboti jų tvarkymą užtikrinamos pagal teismo procesą reglamentuojančius nacionalinės teisės aktus.

IV SKYRIUS DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 SKIRSNIS BENDROSIOS PAREIGOS

18 straipsnis Duomenų valdytojo atsakomybė

1.           Valstybės narės nustato, kad duomenų valdytojas patvirtina politiką ir įgyvendina tinkamas priemones, siekdamas užtikrinti, kad asmens duomenys būtų tvarkomi laikantis pagal šią direktyvą priimtų nuostatų.

2.           1 dalyje nurodytos priemonės pirmiausia yra:

a)      23 straipsnyje nurodytų dokumentų saugojimas;

b)      išankstinio konsultavimosi reikalavimų laikymasis pagal 26 straipsnį;

c)      27 straipsnyje nustatytų duomenų saugumo reikalavimų vykdymas;

d)      duomenų apsaugos pareigūno paskyrimas pagal 30 straipsnį.

3.           Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad būtų tikrinamas 1 dalyje nurodytų priemonių veiksmingumas. Šį patikrinimą atlieka nepriklausomi vidaus ar išorės auditoriai, jei toks patikrinimas yra proporcingas.

19 straipsnis Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.           Valstybės narės nustato, kad duomenų valdytojas, atsižvelgdamas į naujausias technines galimybes ir įdiegimo sąnaudas, įdiegia tinkamas technines bei organizacines priemones ir procedūras, kad duomenų tvarkymas atitiktų pagal šią direktyvą priimtų nuostatų reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.           Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad paprastai būtų tvarkomi tik tie asmens duomenys, kurie būtini duomenų tvarkymo tikslams pasiekti.

20 straipsnis Bendri duomenų valdytojai

Valstybės narės nustato, kad jeigu duomenų valdytojas asmens duomenų tvarkymo tikslus, sąlygas ir būdus nustato kartu su kitais duomenų valdytojais, tokie bendri duomenų valdytojai tarpusavio susitarimu nustato savo atitinkamą atsakomybę už remiantis šia direktyva priimtų nuostatų, visų pirma susijusių su duomenų subjekto naudojimosi savo teisėmis procedūromis ir mechanizmais, laikymąsi.

21 straipsnis Duomenų tvarkytojas

1. Valstybės narės nustato, kad jeigu duomenų tvarkymo operacija atliekama duomenų valdytojo pavedimu, duomenų valdytojas privalo pasirinkti duomenų tvarkytoją, kuris suteikia pakankamą garantiją, kad bus įdiegtos tinkamos techninės ir organizacinės priemonės ir nustatytos procedūros, kad duomenų tvarkymas atitiktų pagal šią direktyvą priimtų nuostatų reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2. Valstybės narės nustato, kad duomenų tvarkytojas duomenis privalo tvarkyti vadovaudamasis teisės aktu, kuriuo nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui ir kuriuo visų pirma nurodoma, kad duomenų tvarkytojas veikia tik pagal duomenų valdytojo nurodymus, pirmiausia jeigu naudojamų asmens duomenų perdavimas draudžiamas.

3. Jeigu duomenų tvarkytojas tvarko asmens duomenis kitaip nei nurodė duomenų valdytojas, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas laikomas duomenų valdytoju ir jam taikomos 20 straipsnyje nustatytos taisyklės dėl bendrų duomenų valdytojų.

22 straipsnis Duomenų valdytojui ir duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Valstybės narės nustato, kad duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, gali juos tvarkyti, tik tais atvejais, kai duomenų valdytojas duoda nurodymą juos tvarkyti arba tai daryti reikalaujama Sąjungos ar valstybės narės teisės aktais.

23 straipsnis Dokumentai

1.           Valstybės narės nustato, kad kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugo visų duomenų tvarkymo sistemų ir procedūrų, už kurias yra atsakingas, dokumentus.

2.           Dokumentuose nurodoma bent ši informacija:

a)      duomenų valdytojo arba bet kurio bendro duomenų valdytojo ar duomenų tvarkytojo vardas ir pavardė (pavadinimas) ir duomenys ryšiams;

b)      duomenų tvarkymo tikslai;

c)      asmens duomenų gavėjai arba asmens duomenų gavėjų kategorijos;

d)      duomenų perdavimai į trečiąją šalį arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją šalį arba tarptautinę organizaciją.

3.           Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas pateikia jai dokumentus.

24 straipsnis Įrašų saugojimas

1.           Valstybės narės užtikrina, kad būtų saugomi įrašai bent apie šias duomenų tvarkymo operacijas: duomenų rinkimą, keitimą, konsultacijas dėl jų, jų atskleidimą, sujungimą arba ištrynimą. Įrašuose apie konsultacijas ir duomenų atskleidimą visų pirma nurodomas tokių operacijų tikslas, data ir laikas, taip pat, kiek tai manoma, apibūdinamas asmuo, konsultavęsis dėl asmens duomenų arba juos atskleidęs.

2.           Įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę ir užtikrinti duomenų vientisumą bei saugumą.

25 straipsnis Bendradarbiavimas su priežiūros institucija

1.           Valstybės narės nustato, kad paprašius duomenų valdytojas ir duomenų tvarkytojas, atlikdami savo pareigas, bendradarbiauja su priežiūros institucija, pirmiausia teikdami priežiūros institucijai visą informaciją, kuri jai reikalinga pareigoms atlikti.

2.           Priežiūros institucijai naudojantis savo įgaliojimais pagal 46 straipsnio a ir b punktus, duomenų valdytojas ir duomenų tvarkytojas atsako priežiūros institucijai per jos nurodytą pagrįstą laikotarpį. Atsakyme į priežiūros institucijos pastabas pateikiamas priemonių, kurių imtasi, aprašymas ir pasiekti rezultatai.

26 straipsnis Išankstinis konsultavimasis su priežiūros institucija

1. Valstybės narės užtikrina, kad duomenų valdytojas arba duomenų tvarkytojas iš anksto konsultuojasi su priežiūros institucija, prieš tvarkydamas asmens duomenis, kurie bus įtraukti į naują susistemintą rinkinį, sudaromą, jeigu:

a)      turi būti tvarkomi 8 straipsnyje nurodytų ypatingų kategorijų duomenys;

b)      dėl duomenų tvarkymo pobūdžio, pirmiausia dėl naujų technologijų ar mechanizmų naudojimo ar naujų procedūrų taikymo, kyla konkreti grėsmė duomenų subjektų pagrindinėms teisėms ir laisvėms, visų pirma asmens duomenų apsaugai.

2. Valstybės narės gali nurodyti, kad priežiūros institucija turi parengti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 1 dalį, sąrašą.

2 SKIRSNIS DUOMENŲ SAUGUMAS

27 straipsnis Duomenų tvarkymo saugumas

1.           Valstybės narės nustato, kad duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdami į naujausias technines galimybes ir įdiegimo sąnaudas, įdiegia tinkamas technines ir organizacines priemones, kad užtikrintų duomenų tvarkymo riziką ir saugotinų asmens duomenų pobūdį atitinkantį saugumo lygį.

2.           Automatizuoto duomenų tvarkymo srityje kiekviena valstybė narė nustato, kad duomenų valdytojas arba duomenų tvarkytojas, atlikęs rizikos vertinimą, įgyvendina priemones, kuriomis siekiama:

(a) nesuteikti neįgaliotiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos asmens duomenims tvarkyti (prieigos prie įrangos kontrolė);

(b) užkirsti kelią neleistinam duomenų laikmenų skaitymui, kopijavimui, keitimui ar pašalinimui (duomenų laikmenų kontrolė);

(c) užkirsti kelią neleistinam duomenų įvedimui ir neleistinam saugomų asmens duomenų tikrinimui, keitimui ar ištrynimui (duomenų saugojimo kontrolė);

(d) neleisti leidimo neturintiems asmenims, kurie naudoja duomenų perdavimo įrangą, naudotis automatizuoto duomenų tvarkymo sistemomis (naudotojo kontrolė);

(e) užtikrinti, kad asmenys, turintys leidimą naudotis automatizuota duomenų tvarkymo sistema, galėtų susipažinti tik su tais duomenimis, su kuriais susipažinti jiems išduotas leidimas (susipažinimo su duomenimis kontrolė);

(f) užtikrinti, kad būtų įmanoma patikrinti ir nustatyti, kokioms įstaigoms asmens duomenys buvo persiųsti arba gali būti persiųsti, arba buvo sudaryta galimybė su jais susipažinti, naudojant duomenų perdavimo įrangą (duomenų perdavimo kontrolė);

(g) užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kurie asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas ir kada bei kas duomenis įvedė (duomenų įvedimo kontrolė);

(h) užkirsti kelią neleistinam asmens duomenų skaitymui, kopijavimui, pakeitimui arba ištrynimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (duomenų gabenimo kontrolė);

(i) užtikrinti, kad pertraukties atveju būtų galima atkurti įdiegtų sistemų veiklą (atgavimas);

(j) užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešta (patikimumas) ir kad dėl blogo sistemos veikimo saugomi duomenys nebūtų sugadinti (vientisumas).

3.           Prireikus Komisija gali priimti įgyvendinimo aktus, kuriais išsamiau apibūdinami 1 ir 2 dalyse nurodyti įvairiais atvejais taikytini reikalavimai, visų pirma šifravimo standartai. Tie įgyvendinimo aktai priimami pagal 57 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

28 straipsnis Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

1.           Valstybės narės nustato, kad asmens duomenų saugumo pažeidimo atveju duomenų valdytojas, nepagrįstai nedelsdamas, jei įmanoma ne vėliau kaip per 24 valandas nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie jį praneša priežiūros institucijai. Paprašius, tuo atveju, jeigu apie asmens duomenų saugumo pažeidimą nepranešama per 24 valandas, duomenų valdytojas pateikia priežiūros institucijai motyvuotą paaiškinimą.

2.           Duomenų tvarkytojas įspėja duomenų valdytoją ir suteikia jam informacijos apie asmens duomenų pažeidimą, iš karto po to, kai apie jį sužino.

3.           1 dalyje nurodytame pranešime turi būti bent:

a)      aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir skaičių, taip pat atitinkamų duomenų įrašų kategorijas ir skaičių;

b)      30 straipsnyje nurodyto duomenų apsaugos pareigūno vardas ir pavardė ir duomenys ryšiams arba nurodytas kitas asmuo ryšiams, iš kurio galima gauti daugiau informacijos;

c)      rekomenduotos priemonės galimam neigiamam asmens duomenų saugumo pažeidimo poveikiui sušvelninti;

d)      aprašytos galimos asmens duomenų saugumo pažeidimo pasekmės;

e)      aprašytos priemonės, kurias pasiūlė arba kurių ėmėsi duomenų valdytojas asmens duomenų saugumo pažeidimui išaiškinti.

4.           Valstybės narės nustato, kad duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant pažeidimo faktus, jo poveikį ir taisomuosius veiksmus, kurių ėmėsi. Remdamasi šiais dokumentais priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio. Dokumentuose pateikiama tik tam tikslui pasiekti būtina informacija.

5.           Komisija įgaliojama pagal 56 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodyto duomenų saugumo pažeidimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas ir duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą, kriterijus ir reikalavimus.

6.           Komisija priežiūros institucijai gali nustatyti standartinę tokio pranešimo formą, pranešimo procedūras ir 4 dalyje nurodytų dokumentų formas ir variantus, įskaitant juose pateiktos informacijos ištrynimo terminus. Tie įgyvendinimo aktai priimami pagal 57 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

29 straipsnis Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

1.           Valstybės narės nustato, kad kai asmens duomenų saugumo pažeidimas gali turėti neigiamą poveikį asmens duomenų apsaugai ar duomenų subjekto privatumui, duomenų valdytojas, pateikęs 28 straipsnyje nurodytą pranešimą, nepagrįstai nedelsdamas apie pažeidimą praneša duomenų subjektui.

2.           1 dalyje nurodytame pranešime duomenų subjektui aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 28 straipsnio 3 dalies b ir c punktuose nurodyta informacija ir rekomendacijos.

3.           Duomenų subjektui apie asmens duomenų saugumo pažeidimą pranešti nebūtina, jeigu duomenų valdytojas priežiūros institucijai patikimai įrodo, kad įdiegė tinkamas technologines apsaugos priemones ir kad tos priemonės taikytos su asmens duomenų saugumo pažeidimu susijusiems duomenims. Tokiomis technologinės apsaugos priemonėmis užtikrinama, kad asmeniui, neturinčiam leidimo su duomenimis susipažinti, jie būtų nesuprantami.

4.           Pranešimas duomenų subjektui gali būti atidėtas, apribotas arba nepateiktas, remiantis 11 straipsnio 4 dalimi.

3 SKIRSNIS DUOMENŲ APSAUGOS PAREIGŪNAS

30 straipsnis Duomenų apsaugos pareigūno paskyrimas

1. Valstybės narės nustato, kad duomenų valdytojas arba duomenų tvarkytojas paskiria duomenų apsaugos pareigūną.

2. Duomenų apsaugos pareigūnas paskiriamas remiantis profesinę kvalifikaciją ir visų pirma duomenų apsaugos įstatymų ir praktikos išmanymu, taip pat gebėjimu atlikti 32 straipsnyje nurodytas užduotis.

3. Duomenų apsaugos pareigūnas gali būti skiriamas keliems subjektams, atsižvelgiant į kompetentingos institucijos organizacinę struktūrą.

31 straipsnis Duomenų apsaugos pareigūno statusas

1. Valstybės narės nustato, kad duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnui būtų tinkamai ir laiku pranešama apie visus su asmens duomenų apsauga susijusius klausimus.

2. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas savo pareigas ir užduotis, nurodytas 32 straipsnyje, atliktų veiksmingai ir nepriklausomai ir nepriimtų jokių su funkcijų vykdymu susijusių nurodymų.

32 straipsnis Duomenų apsaugos pareigūno užduotys

Valstybės narės nustato, kad duomenų valdytojas arba duomenų tvarkytojas paveda duomenų apsaugos pareigūnui atlikti bent šias užduotis:

(a) informuoti duomenų valdytoją arba duomenų tvarkytoją apie jų pareigas, nustatytas pagal šią direktyvą priimtomis nuostatomis, ir dėl tų pareigų duomenų valdytojui arba duomenų tvarkytojui patarti, taip pat dokumentuoti šią veiklą ir gautus atsakymus;

(b) stebėti su asmens duomenų apsauga susijusių nuostatų įgyvendinimą ir taikymą, įskaitant atsakomybės priskyrimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų mokymą ir susijusius auditus;

(c) stebėti pagal šią direktyvą priimtų nuostatų įgyvendinimą ir taikymą, visų pirma kiek tai susiję su reikalavimais dėl pritaikytosios duomenų apsaugos, standartizuotosios duomenų apsaugos ir duomenų saugumo, taip pat informacijos teikimu duomenų subjektams ir jų prašymais, pateiktais remiantis pagal šią direktyvą priimtomis nuostatomis;

(d) užtikrinti, kad būtų saugomi 23 straipsnyje nurodyti dokumentai;

(e) stebėti asmens duomenų saugumo pažeidimų dokumentavimą ir pranešimus apie asmens duomenų saugumo pažeidimus pagal 28 ir 29 straipsnius;

(f) stebėti, kaip vykdomas išankstinio konsultavimosi su priežiūros institucija reikalavimas, jei to reikia pagal 26 straipsnį;

(g) stebėti, ką į prašymus atsako priežiūros institucija, ir priežiūros institucijos prašymu arba savo iniciatyva bendradarbiauti pagal duomenų apsaugos pareigūno kompetenciją;

(h) atlikti asmens ryšiams funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus duomenų apsaugos pareigūno iniciatyva konsultuotis su priežiūros institucija.

V SKYRIUS ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS ARBA TARPTAUTINĖMS ORGANIZACIJOMS

33 straipsnis Bendrieji asmens duomenų perdavimo principai

Valstybės narės nustato, kad kompetentingos institucijos gali perduoti asmens duomenis, kurie tvarkomi arba kuriuos ketinama tvarkyti po perdavimo į trečiąją šalį arba tarptautinei organizacijai, įskaitant tolesnį perdavimą į kitą trečiąją šalį arba kitai tarptautinei organizacijai, tik jeigu:

a)      duomenis perduoti būtina nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais; ir

b)      duomenų valdytojas ir duomenų tvarkytojas įvykdo šiame skyriuje nustatytas sąlygas.

34 straipsnis Perdavimas remiantis sprendimu dėl tinkamumo

1.           Valstybės narės nustato, kad asmens duomenis perduoti į trečiąją šalį arba tarptautinei organizacijai galima, jeigu Komisija pagal Reglamento (ES) ..../2012 41 straipsnį arba pagal šio straipsnio 3 dalį nusprendė, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija užtikrina tinkamą apsaugos lygį. Tokiam duomenų perdavimui papildomo leidimo nereikia.

2.           Jeigu nėra pagal Reglamento (ES) ..../2012 41 straipsnį priimto sprendimo, Komisija įvertina apsaugos lygio tinkamumą, atsižvelgdama į šiuos aspektus:

a)      teisinės valstybės principą, galiojančius atitinkamus bendrojo pobūdžio ir atskiriems sektoriams skirtus teisės aktus, be kita ko, susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu bei baudžiamąja teise ir saugumo priemonėmis, kurios taikomos toje šalyje arba tarptautinėje organizacijoje; taip pat veiksmingas ir įgyvendinamas teises, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami;

b)      ar atitinkamoje trečiojoje šalyje arba tarptautinėje organizacijoje yra ir veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos, kurios užtikrina, kad būtų laikomasi duomenų apsaugos taisyklių, padeda ir pataria duomenų subjektams, kaip naudotis savo teisėmis, ir bendradarbiauja su Sąjungos ir valstybių narių priežiūros institucijomis; ir

c)      atitinkamos trečiosios šalies arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus.

3.           Komisija, atsižvelgdama į šios direktyvos taikymo sritį, gali nuspęsti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį, kaip nustatyta 2 dalyje. Tie įgyvendinimo aktai priimami pagal 57 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

4.           Įgyvendinimo akte nustatoma geografinė ir sektorinė taikymo sritis, ir, jei taikoma, nurodoma 2 dalies b punkte minėta priežiūros institucija.

5.           Komisija, atsižvelgdama į šios direktyvos taikymo sritį, gali nuspręsti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo apsaugos lygio, kaip nustatyta 2 dalyje, visų pirma tais atvejais, kai susijusiais bendraisiais ir atskiriems sektoriams skirtais teisės aktais, galiojančiais trečiojoje šalyje arba tarptautinėje organizacijoje, neužtikrinamos veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys perduodami. Tie įgyvendinimo aktai priimami pagal 57 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą, o tais atvejais, kai reikia itin skubiai užtikrinti fizinių asmenų teisę į asmens duomenų apsaugą, pagal 57 straipsnio 3 dalyje nurodytą procedūrą.

6.           Jeigu Komisija priima sprendimą pagal 5 dalį, valstybės narės užtikrina, kad būtų draudžiama perduoti asmens duomenis į atitinkamą trečiąją šalį arba teritoriją, arba su tvarkymu susijusį sektorių toje trečiojoje šalyje, arba tarptautinei organizacijai; šis sprendimas neturi poveikio duomenų perdavimui pagal 35 straipsnio 1 dalį arba 36 straipsnį. Reikiamu metu Komisija pradeda konsultacijas su trečiąja šalimi arba tarptautine organizacija, kad padėtis, susijusi su sprendimu, priimtu pagal šio straipsnio 5 dalį, būtų ištaisyta.

7.           Komisija Europos Sąjungos oficialiajame leidinyje paskelbia trečiųjų šalių, teritorijų ir su duomenų tvarkymu susijusių sektorių trečiojoje šalyje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo neužtikrina, sąrašą.

8.           Komisija stebi, kaip taikomi 3 ir 5 dalyse nurodyti įgyvendinimo aktai.

35 straipsnis Perdavimas remiantis tinkamomis apsaugos priemonėmis

1.           Kai Komisija nėra priėmusi sprendimo pagal 34 straipsnį, valstybės narės nurodo, kad asmens duomenis gavėjui trečiojoje šalyje arba tarptautinėje organizacijoje galima perduoti, jeigu:

a)      su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės nustatytos teisiškai privalomu dokumentu; arba

b)      duomenų valdytojas arba duomenų tvarkytojas įvertino visas su asmens duomenų perdavimu susijusias aplinkybes ir daro išvadą, kad nustatytos tinkamos su asmens duomenų apsauga susijusios apsaugos priemonės.

1.           Sprendimus dėl duomenų perdavimo pagal 1 dalies b punktą privalo priimti tinkamai įgalioti darbuotojai. Šie duomenų perdavimai turi būti nurodyti dokumentuose, kurie paprašius turi būti pateikti priežiūros institucijai.

36 straipsnis Nukrypti leidžiančios nuostatos

Nukrypdamos nuo 34 ir 35 straipsnių, valstybės narės nustato, kad asmens duomenys į trečiąją šalį arba tarptautinei organizacijai gali būti perduodami, tik jeigu:

a)       perduoti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai; arba

b)       perduoti duomenis būtina, kad būtų apsaugoti teisėti duomenų subjekto interesai, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę; arba

c)       perduoti duomenis būtina, kad būtų užkirstas kelias tiesioginei ir didelei grėsmei valstybės narės arba trečiosios šalies visuomenės saugumui; arba

d)       atskirais atvejais perduoti duomenis būtina nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais; arba

e)       atskirais atvejais perduoti duomenis būtina, kad būtų nustatyti, vykdomi ar ginami teisiniai reikalavimai, susiję su konkrečių nusikalstamų veikų prevencija, tyrimu, nustatymu ar traukimu baudžiamojon atsakomybėn už jas arba konkrečių baudžiamųjų sankcijų vykdymu.

37 straipsnis Konkrečios asmens duomenų perdavimo sąlygos

Valstybės narės nustato, kad duomenų valdytojas informuoja asmens duomenų gavėją apie visus duomenų tvarkymo apribojimus ir imasi visų pagrįstų veiksmų šių apribojimų vykdymui užtikrinti.

38 straipsnis Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

1.           Trečiųjų šalių ir tarptautinių organizacijų atžvilgiu Komisija ir priežiūros institucijos imasi tinkamų veiksmų, kuriais siekia:

(a) sukurti veiksmingus bendradarbiavimo su trečiosiomis šalimis ir tarptautinėmis organizacijomis mechanizmus, kad būtų lengviau įgyvendinti asmens duomenų apsaugos teisės aktus;

(b) teikti tarptautinę savitarpio pagalbą trečiosioms šalims ir tarptautinėms organizacijoms įgyvendinant asmens duomenų apsaugos teisės aktus, be kita ko, teikiant pranešimus, perduodant skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės ir užtikrinamos kitos pagrindinės teisės ir laisvės;

(c) susijusias suinteresuotąsias šalis įtraukti į diskusijas ir veiklą, kurios tikslas – stiprinti tarptautinį bendradarbiavimą įgyvendinant asmens duomenų apsaugos teisės aktus;

(d) skatinti dalytis asmens duomenų apsaugos teisės aktais ir praktika ir ją dokumentuoti.

2.           Siekdama įgyvendinti 1 dalį, Komisija imasi reikiamų veiksmų, kad gerintų santykius su trečiosiomis šalimis arba tarptautinėmis organizacijomis, visų pirma jų priežiūros institucijomis, jeigu Komisija nusprendė, kad jos užtikrina tinkamą apsaugos lygį, kaip apibrėžta 34 straipsnio 3 dalyje.

VI SKYRIUS NEPRIKLAUSOMOS PRIEŽIŪROS INSTITUCIJOS

1 SKIRSNIS NEPRIKLAUSOMUMAS

39 straipsnis Priežiūros institucija

1. Kiekviena valstybė narė nustato, kad viena arba kelios valdžios institucijos stebi, kaip taikomos pagal šią direktyvą priimtos nuostatos, ir padeda jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant jų asmens duomenis ir palengvintas laisvas asmens duomenų judėjimas Sąjungoje. Siekdamos šio tikslo, priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija.

2. Valstybės narės gali nustatyti, kad valstybėje narėje pagal Reglamentą (ES) ..../2012 įsteigta priežiūros institucija prisiima atsakomybę už priežiūros institucijos, kuri turi būti įsteigta pagal 1 dalį, užduočių vykdymą.

3. Jeigu valstybėje narėje įsteigtos kelios priežiūros institucijos, ta valstybė narė paskiria vieno bendro informacinio punkto funkciją atliekančią priežiūros instituciją, kad tos institucijos veiksmingai dalyvautų Europos duomenų apsaugos valdybos veikloje.

40 straipsnis Nepriklausomumas

1.           Valstybės narės užtikrina, kad atlikdama savo pareigas ir naudodamasi jai suteiktais įgaliojimais, priežiūros institucija veiktų visiškai nepriklausomai.

2.           Kiekviena valstybė narė nustato, kad priežiūros institucijos nariai, atlikdami savo pareigas, neprašo ir nepriima jokių nurodymų.

3.           Priežiūros institucijos nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu nedirba jokio nesuderinamo – mokamo ar nemokamo – darbo.

4.           Pasibaigus kadencijai, priežiūros institucijos nariai, sutikdami eiti kitas pareigas ir gauti atlygį, elgiasi sąžiningai ir diskretiškai.

5.           Kiekviena valstybė narė užtikrina, kad priežiūros institucija turėtų pakankamai žmogiškųjų, techninių ir finansinių išteklių, taip pat patalpas ir infrastruktūrą, būtiną, kad būtų veiksmingai atliekamos pareigos ir naudojamasi įgaliojimais, be kita ko, susijusiais su savitarpio pagalba, bendradarbiavimu ir aktyviu dalyvavimu Europos duomenų apsaugos valdyboje.

6            Kiekviena valstybė narė užtikrina, kad priežiūros institucijai būtų privaloma turėti savo darbuotojus, kuriuos skiria ir kuriems vadovauja priežiūros institucijos vadovas.

7.           Valstybės narės užtikrina, kad priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui. Valstybės narės užtikrina, kad priežiūros institucija turėtų atskirą metinį biudžetą. Biudžetai skelbiami viešai.

41 straipsnis Bendrieji reikalavimai priežiūros institucijos nariams

1.           Valstybės narės nustato, kad priežiūros institucijos narius turi skirti atitinkamos valstybės narės parlamentas arba vyriausybė.

2.           Nariai renkami iš asmenų, kurių nepriklausomumas yra neabejotinas ir kurie įrodo, kad turi šioms pareigoms būtinos patirties ir gebėjimų.

3.           Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis 5 dalies.

4.           Kompetentingas nacionalinis teismas gali atleisti narį iš pareigų arba atimti teisę į pensiją arba kitas vietoj jos mokamas išmokas, jeigu jis nebeatitinka jo pareigoms keliamų reikalavimų arba pripažįstamas kaltu padaręs sunkų nusižengimą.

5.           Pasibaigus nario kadencijai arba jam atsistatydinus, jis toliau eina savo pareigas, kol paskiriamas naujas narys.

42 straipsnis Priežiūros institucijos įsteigimo taisyklės

Kiekviena valstybė narė teisės aktais nustato:

a)           priežiūros institucijos įsteigimą ir statusą pagal 39 ir 40 straipsnius;

b)           priežiūros institucijos narių pareigoms būtiną kvalifikaciją, patirtį ir gebėjimus;

c)           priežiūros institucijos narių skyrimo taisykles ir procedūras, taip pat taisykles dėl veiksmų arba darbo, nesuderinamo su tarnybinėmis pareigomis;

d)           priežiūros institucijos narių kadencijos trukmę, ne trumpesnę kaip ketveri metai, išskyrus keletą pirmųjų narių, skiriamų įsigaliojus šiai direktyvai, kurių kadencija gali būti trumpesnė;

e)           ar priežiūros institucijos narių kadencija gali būti atnaujinama;

f)            su priežiūros institucijos narių ir darbuotojų pareigomis susijusį reglamentavimą ir bendruosius reikalavimus;

g)           priežiūros institucijos narių atleidimo iš pareigų taisykles ir procedūras, įskaitant atvejus, kai jie nebetenkina jų pareigoms keliamų reikalavimų arba pripažįstami kalti padarę sunkų nusižengimą.

43 straipsnis Profesinė paslaptis

Valstybės narės nustato, kad priežiūros institucijos nariai ir darbuotojai kadencijos metu ir jai pasibaigus privalo laikytis pareigos saugoti su bet kokia konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

2 SKIRSNIS PAREIGOS IR ĮGALIOJIMAI

44 straipsnis Kompetencija

1.           Valstybės narės nustato, kad kiekviena priežiūros institucija savo valstybės narės teritorijoje naudojasi pagal šią direktyvą jai suteiktais įgaliojimais.

2.           Valstybės narės nustato, kad priežiūros institucija nėra kompetentinga prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdantys teisingumo funkcijas.

45 straipsnis Pareigos

1.           Valstybės narės nustato, kad priežiūros institucija:

(a) stebi ir užtikrina pagal šią direktyvą priimtų nuostatų ir jų įgyvendinimo priemonių taikymą;

(b) nagrinėja skundus, kuriuos pagal 50 straipsnį pateikė bet kuris duomenų subjektas arba tam subjektui atstovaujanti tinkamus įgaliojimus turinti asociacija, tinkamai tiria skundą ir per pagrįstą laikotarpį informuoja duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti su kita priežiūros institucija;

(c) tikrina duomenų tvarkymo teisėtumą pagal 14 straipsnį ir per pagrįstą laikotarpį informuoja duomenų subjektą apie patikrinimo rezultatą arba priežastis, dėl kurių patikrinimas nebuvo atliekamas;

(d) teikia savitarpio pagalbą kitoms priežiūros institucijoms ir užtikrina, kad pagal šią direktyvą priimtos nuostatos būtų nuosekliai taikomos ir būtų užtikrinamas jų vykdymas;

(e) atlieka tyrimus savo iniciatyva arba pagal skundą, arba kitos priežiūros institucijos prašymu ir per pagrįstą laikotarpį informuoja atitinkamą duomenų subjektą, jei jis pateikė skundą, apie tyrimo rezultatą;

(f) stebi naujausius įvykius, jei jie turi poveikį asmens duomenų apsaugai, visų pirma informacinių ir ryšio technologijų raidą;

(g) konsultuoja valstybės narės institucijas ir įstaigas dėl teisinių ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

(h) konsultuoja dėl 26 straipsnyje nurodytų duomenų tvarkymo operacijų;

(i) dalyvauja Europos duomenų apsaugos valdybos veikloje.

2.           Kiekviena priežiūros institucija didina visuomenės informuotumą apie su asmens duomenų tvarkymu susijusią riziką, taisykles, apsaugos priemones ir teises. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys.

3.           Priežiūros institucija duomenų subjekto prašymu jam pataria dėl naudojimosi savo teisėmis, nustatytomis pagal šią direktyvą priimtomis nuostatomis, ir, kai taikoma, šiuo tikslu bendradarbiauja su priežiūros institucijomis kitose valstybėse narėse.

4.           Priežiūros institucija pateikia 1 dalies b punkte nurodyto skundo pateikimo formą, kurią galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis kitomis ryšio priemonėmis.

5.           Valstybės narės nustato, kad priežiūros institucija savo pareigas duomenų subjektams atlieka nemokamai.

6.           Jeigu prašymai yra įkyraus pobūdžio, ypač dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį arba nesiimti duomenų subjekto prašomų veiksmų. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas įkyraus pobūdžio.

46 straipsnis Įgaliojimai

Valstybės narės nustato, kad kiekvienai priežiūros institucijai visų pirma turi būti suteikti:

a)      tyrimo įgaliojimai, pavyzdžiui, įgaliojimai susipažinti su tvarkymo operacijų metu tvarkomais duomenimis, ir įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti;

b)      įgaliojimai veiksmingai įsikišti, pavyzdžiui, įgaliojimai pareikšti nuomonę prieš pradedant tvarkyti duomenis ir užtikrinti tinkamą tokių nuomonių skelbimą viešai, taip pat įgaliojimai nurodyti apriboti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti tvarkyti duomenis, įspėti arba papeikti duomenų valdytoją arba įgaliojimai perduoti klausimą svarstyti nacionaliniams parlamentams ar kitoms politinėms institucijoms,

c)      įgaliojimai dalyvauti teismo procesuose, jeigu buvo pažeistos pagal šią direktyvą priimtos nuostatos, arba atkreipti teisminių institucijų dėmesį į tokius pažeidimus.

47 straipsnis Veiklos ataskaita

Valstybės narės nustato, kad kiekviena priežiūros institucija parengia metinę savo veiklos ataskaitą. Ataskaita pateikiama Komisijai ir Europos duomenų apsaugos valdybai.

VII SKYRIUS BENDRADARBIAVIMAS

48 straipsnis Savitarpio pagalba

1.           Valstybės narės nustato, kad priežiūros institucijos teikia viena kitai savitarpio pagalbą, siekdamos nuosekliai įgyvendinti ir taikyti pagal šią direktyvą priimtas nuostatas, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais iš anksto konsultuotis, atlikti patikrinimus ir vykdyti tyrimus.

2.           Valstybės narės nustato, kad priežiūros institucija imasi visų tinkamų priemonių, kurių reikia atsakyti į kitos priežiūros institucijos prašymą.

3.           Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie jos prašymo rezultatus arba atitinkamais atvejais jo eigą arba priemones, kurių imtasi siekiant jį patenkinti.

49 straipsnis Europos duomenų apsaugos valdybos užduotys

1.           Reglamentu (ES) ..../2012 įsteigta Europos duomenų apsaugos valdyba atlieka šias su duomenų tvarkymu pagal šią direktyvą susijusias užduotis:

(a) pataria Komisijai visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, įskaitant dėl visų siūlomų šios direktyvos pakeitimų;

(b) Komisijos prašymu arba savo iniciatyva, arba vieno iš savo narių iniciatyva nagrinėja visus klausimus, susijusius su pagal šią direktyvą priimtų nuostatų taikymu, ir skelbia priežiūros institucijoms skirtas gaires, rekomendacijas ir geriausią patirtį, siekdama skatinti nuoseklų tų nuostatų taikymą;

(c) peržiūri praktinį šios dalies b punkte nurodytų gairių, rekomendacijų ir geriausios patirties taikymą ir reguliariai teikia Komisijai ataskaitas apie jas;

(d) teikia Komisijai nuomonę dėl duomenų apsaugos lygio trečiosiose šalyse arba tarptautinėse organizacijose;

(e) skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį arba daugiašalį keitimąsi informacija ir praktika;

(f) skatina bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, kai tinkama, trečiųjų šalių arba tarptautinių organizacijų priežiūros institucijų darbuotojų mainus;

(g) skatina keitimąsi žiniomis ir dokumentais, įskaitant duomenų apsaugos teisės aktus ir susijusią praktiką, su priežiūros institucijomis visame pasaulyje.

2.       Jeigu Komisija prašo Europos duomenų apsaugos valdybos patarti, ji gali nustatyti terminą, per kurį Europos duomenų apsaugos valdyba tokį patarimą turi pateikti, atsižvelgdama į klausimo skubumą.

3.           Europos duomenų apsaugos valdyba savo nuomones, gaires bei rekomendacijas ir geriausią patirtį teikia Komisijai ir 57 straipsnio 1 dalyje nurodytam komitetui ir skelbia jas viešai.

4.           Komisija informuoja Europos duomenų apsaugos valdybą apie veiksmus, kurių ji ėmėsi, atsižvelgdama į Europos duomenų apsaugos valdybos paskelbtas nuomones, gaires bei rekomendacijas ir geriausią patirtį.

VIII SKYRIUS TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

50 straipsnis Teisė pateikti skundą priežiūros institucijai

1.           Neapribodamos galimybių imtis administracinių arba teisminių teisių gynimo priemonių, valstybės narės užtikrina kiekvieno duomenų subjekto teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad su juo susiję asmens duomenys tvarkomi nesilaikant pagal šią direktyvą priimtų nuostatų.

2.           Valstybės narės suteikia teisę visoms įstaigoms, organizacijoms arba asociacijoms, kurios siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų asmens duomenų apsauga, ir kurios tinkamai įsteigtos pagal valstybės narės teisę, vieno ar kelių duomenų subjektų vardu pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos šia direktyva nustatytos duomenų subjektų teisės. Organizacija arba asociacija turi būti tinkamai įgaliota duomenų subjekto (-ų).

3.           Valstybės narės suteikia teisę visoms 2 dalyje nurodytoms įstaigoms, organizacijoms arba asociacijoms pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, net jeigu duomenų subjektas nėra pateikęs skundo, jeigu jos mano, kad buvo padarytas asmens duomenų saugumo pažeidimas.

51 straipsnis Teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją

1. Valstybės narės užtikrina teisę imtis teisminių teisių gynimo priemonių prieš priežiūros institucijos sprendimus.

2. Kiekvienas duomenų subjektas turi teisę imtis teisminių teisių gynimo priemonių, kad įpareigotų priežiūros instituciją imtis veiksmų dėl skundo, jeigu nepriimtas jo teisėms apsaugoti būtinas sprendimas arba jeigu priežiūros institucija per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo pažangą ar jo rezultatus pagal 45 straipsnio 1 dalies b punktą.

3. Valstybės narės nustato, kad ieškiniai priežiūros institucijai pareiškiami valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose.

52 straipsnis Teisė imtis teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

Neribodamos galimybių imtis bet kokių administracinių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai, valstybės narės užtikrina kiekvieno fizinio asmens teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad pagal šią direktyvą priimtomis nuostatomis nustatytos jų teisės buvo pažeistos dėl to, kad jų asmens duomenys buvo tvarkomi nesilaikant šių nuostatų.

53 straipsnis Bendros teismo proceso taisyklės

1.           Valstybės narės užtikrina, kad visos 50 straipsnio 2 dalyje nurodytos įstaigos, organizacijos ar asociacijos turėtų teisę vieno ar kelių duomenų subjektų vardu naudotis 51 ir 52 straipsniuose nurodytomis teisėmis.

2.           Kiekviena priežiūros institucija turi teisę būti proceso šalimi ir pareikšti ieškinį teisme, siekdama užtikrinti pagal šią direktyvą priimtų nuostatų vykdymą arba nuoseklią asmens duomenų apsaugą Sąjungoje.

3.           Valstybės narės užtikrina, kad ieškiniais teisme, kuriuos galima pareikšti pagal nacionalinę teisę, būtų sudarytos sąlygos greitai priimti priemones, įskaitant laikinąsias, kuriomis siekiama nutraukti bet kokį įtariamą pažeidimą ir užkirsti kelią tolesniam susijusių interesų pažeidimui.

54 straipsnis Atsakomybė ir teisė reikalauti atlyginti žalą

1.           Valstybės narės nustato, kad bet kuris asmuo, patyręs žalą dėl neteisėtos duomenų tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su pagal šią direktyvą priimtomis nuostatomis, turi teisę reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas atlygintų patirtą žalą.

2.           Jeigu tvarkant duomenis dalyvauja daugiau kaip vienas duomenų valdytojas arba duomenų tvarkytojas, kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra solidariai atsakingi už visą padarytą žalą.

3.           Duomenų valdytojas arba duomenų tvarkytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės, jeigu duomenų valdytojas arba duomenų tvarkytojas įrodo, kad nėra atsakingas už įvykį, dėl kurio patirta žala.

55 straipsnis Sankcijos

Valstybės narės nustato taisykles dėl sankcijų, taikytinų už pagal šią direktyvą priimtų nuostatų pažeidimus, ir imasi visų būtinų priemonių, kad būtų užtikrintas jų vykdymas. Numatytos sankcijos turi būti veiksmingos, proporcingos ir atgrasomos.

IX SKYRIUS DELEGUOTIEJI AKTAI IR ĮGYVENDINIMO AKTAI

56 straipsnis Naudojimasis suteiktais įgaliojimais

1.           Komisijai suteikiami įgaliojimai priimti deleguotuosius aktus laikantis šiame straipsnyje nurodytų sąlygų.

2.           28 straipsnio 5 dalyje nurodyti įgaliojimai Komisijai suteikiami neribotam laikotarpiui nuo šios direktyvos įsigaliojimo dienos.

3.           Europos Parlamentas arba Taryba gali bet kuriuo metu atšaukti 28 straipsnio 5 dalyje nurodytus įgaliojimus. Sprendimu dėl atšaukimo panaikinami tame sprendime nurodyti įgaliojimai. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba jame nurodytą vėlesnę dieną. Jis neturi poveikio jau galiojantiems deleguotiesiems aktams.

4.           Priėmusi deleguotąjį aktą, Komisija apie tai iškart tuo pačiu metu praneša Europos Parlamentui ir Tarybai.

5.           Pagal 28 straipsnio 5 dalį priimtas deleguotasis aktas įsigalioja tik tuo atveju, jeigu per du mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie tą aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimų arba jeigu dar nepasibaigus šiam laikotarpiui tiek Europos Parlamentas, tiek Taryba praneša Komisijai, kad neprieštaraus. Europos Parlamento arba Tarybos iniciatyva šis laikotarpis pratęsiamas dviem mėnesiais.

57 straipsnis Komiteto procedūra

1. Komisijai padeda komitetas. Šis komitetas yra komitetas, kaip apibrėžta Reglamente (ES) Nr. 182/2011.

2. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

X SKYRIUS BAIGIAMOSIOS NUOSTATOS

58 straipsnis Panaikinimas

1.           Panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR.

2.           Nuorodos į 1 dalyje nurodytą panaikintą pamatinį sprendimą laikomos nuorodomis į šią direktyvą.

59 straipsnis Ryšys su pirmiau priimtais Sąjungos aktais dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo

Į šios direktyvos taikymo sritį patenkančios specialiosios asmens duomenų apsaugos nuostatos, susijusios su kompetentingų institucijų vykdomu asmens duomenų tvarkymu nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įtvirtintos Sąjungos aktuose, priimtuose prieš priimant šią direktyvą ir reglamentuojančiuose valstybių narių vykdomą asmens duomenų tvarkymą ir valstybių narių paskirtų valdžios institucijų prieigą prie informacinių sistemų, įdiegtų remiantis Sutartimis, nekeičiamos.

60 straipsnis Ryšys su pirmiau priimtais tarptautiniais susitarimais dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo

Tarptautiniai susitarimai, kuriuos valstybės narės sudarė prieš įsigaliojant šiai direktyvai, prireikus iš dalies pakeičiami per ne ilgesnį kaip penkerių metų laikotarpį po šios direktyvos įsigaliojimo.

61 straipsnis Vertinimas

1.           Komisija vertina šios direktyvos taikymą.

2.           Komisija per trejus metus po šios direktyvos įsigaliojimo peržiūri kitus Europos Sąjungos priimtus aktus, reglamentuojančius kompetentingų institucijų vykdomą asmens duomenų tvarkymą nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, visų pirma 59 straipsnyje nurodytus Sąjungos priimtus aktus, siekdama įvertinti poreikį suderinti juos su šia direktyva ir, kai tinkama, pateikti būtinus pasiūlymus iš dalies pakeisti šiuos aktus, kad būtų užtikrintas nuoseklus požiūris į asmens duomenų apsaugą pagal šios direktyvos taikymo sritį.

3.           Komisija, remdamasi 1 dalimi, reguliariai teikia Europos Parlamentui ir Tarybai šios direktyvos vertinimo ir peržiūros ataskaitas. Pirmosios ataskaitos pateikiamos ne vėliau kaip per ketverius metus po šios direktyvos įsigaliojimo. Paskesnės ataskaitos teikiamos kas ketverius metus. Prireikus Komisija pateikia tinkamus pasiūlymus, kuriais ši direktyva iš dalies pakeičiama ir suderinama su kitais teisės aktais. Ataskaita skelbiama viešai.

62 straipsnis Įgyvendinimas

1.           Valstybės narės ne vėliau kaip iki [data / dvejus metus po įsigaliojimo] priima ir paskelbia įstatymus ir kitus teisės aktus, būtinus, kad būtų laikomasi šios direktyvos. Jos nedelsdamos pateikia Komisijai tų nuostatų tekstus.

Nuostatas jos taiko nuo 201x xx xx [data / dveji metai po įsigaliojimo].

Valstybės narės, priimdamos tas nuostatas, daro jose nuorodą į šią direktyvą arba tokia nuoroda daroma tas nuostatas oficialiai skelbiant. Nuorodų darymo tvarką nustato valstybės narės.

2.           Valstybės narės pateikia Komisijai šios direktyvos taikymo srityje priimtų pagrindinių nacionalinės teisės aktų nuostatų tekstus.

63 straipsnis Įsigaliojimas ir taikymas

Ši direktyva įsigalioja kitą dieną po jos paskelbimo Europos Sąjungos oficialiajame leidinyje.

64 straipsnis Adresatai

Ši direktyva skirta valstybėms narėms.

Priimta Briuselyje, 2012 01 25

Europos Parlamento vardu                           Tarybos vardu

Pirmininkas                                                   Pirmininkas

[1]               1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, OL L 281, 1995 11 23, p. 95.

[2]               Visas sąrašas pateiktas poveikio vertinimo 3 priede, SEC (2012) 72.

[3]               2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos, OL L 350, 2008 12 30, p. 60.

[4]               Stokholmo programoje, OL C 115, 2010 5 4, p. 1.

[5]               Žr. 2009 m. lapkričio 25 d. Europos Parlamento priimtą rezoliuciją dėl Stokholmo programos.

[6]               COM (2010) 171 galutinis.

[7]               Europos Komisijos komunikatas „Visapusiškas požiūris į asmens duomenų apsaugą Europos Sąjungoje“, COM (2010) 609 galutinis, 2010 11 4.

[8]               21-oji deklaracija dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse (pridėta prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, 2007 12 13).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Specialus Eurobarometro tyrimas Nr. 359, „Duomenų apsauga ir elektroninė tapatybė ES“, 2011 m. http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Žr. Privatumo didinimo technologijų ekonominės naudos tyrimą („Study on the economic benefits of privacy enhancing technologies“) arba Skirtingų požiūrių į naujus privatumo srities uždavinius lyginamąją analizę, visų pirma atsižvelgiant į technologinę plėtrą („Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments“), 2010 m. sausio mėn.      (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Patariamąjį statusą turinti darbo grupė sukurta 1996 m. (direktyvos 29 straipsniu). Ją sudaro nacionalinių duomenų apsaugos priežiūros institucijų atstovai, Europos duomenų apsaugos priežiūros pareigūnas ir Komisijos atstovai. Daugiau informacijos apie veiklą http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Visų pirma žr. šias nuomones: dėl konsultacijų „Privatumo ateitis“ (2009 m. WP 168); dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“, (1/2010, WP 169); dėl vartotojų elgesiu grindžiamos internetinės reklamos (2/2010, WP 171); dėl atskaitomybės principo (3/2010, WP 173); dėl taikytinos teisės (8/2010, WP 179); ir dėl sąvokos „sutikimas“ apibrėžties (15/2011, WP 187). Komisijos prašymu ji taip pat parengė šiuos tris patariamuosius dokumentus: dėl pranešimų, dėl neskelbtinų duomenų ir dėl praktinio Direktyvos 95/46/EB 28 straipsnio 6 dalies taikymo. Su jais galima susipažinti http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Su ja galima susipažinti Europos duomenų apsaugos priežiūros pareigūno svetainėje http://www.edps.europa.eu/EDPSWEB/.

[16]             2011 m. liepos 6 d. EP rezoliucija dėl visapusiško požiūrio į asmens duomenų apsaugą Europos Sąjungoje (2011/2025(INI)), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011–0323+0+DOC+XML+V0//LT (pranešėjas – EP narys Axelis Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEC (2012) 72.

[19]             COM(2012) 12.

[20]             2010 m. lapkričio 9 d. ES Teisingumo Teismo sprendimas sujungtose bylose C-92/09 ir C-93/09, Volker und Markus Schecke ir Eifert, 2010 m. Rink., p. I-0000 (dar nepaskelbtas).

[21]             Chartijos 52 straipsnio 1 dalyje numatyta galimybė apriboti naudojimąsi teise į duomenų apsaugą, jei šie apribojimai numatyti įstatyme, nekeičia teisės ir laisvių esmės ir, remiantis proporcingumo principu, yra būtini ir tikrai atitinka Europos Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti.

[22]             Taip pat nurodomas 2011 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyvos 2011/92/ES dėl kovos su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, kuria pakeičiamas Tarybos pamatinis sprendimas 2004/68/TVR, 2 straipsnio a punktas, OL L 335, 2011 12 17, p. 1.

[23]             COM (2005) 475 galutinis.

[24]             Sprendimo dėl Europolo 2009/371/TVR 14 straipsnis.

[25]             Sprendimo dėl Eurojusto 2009/426/TVR 15 straipsnis.

[26]             Sprendimo dėl Europolo 2009/371/TVR 14 straipsnis.

[27]             EˇTT, 2008 m. gruodžio 4 d. sprendimas S. ir Marper prieš Jungtinę Karalystę (pareiškimo Nr. 30562/04 ir 30566/04).   

[28]             Priimta 2009 m. lapkričio 5 d. Tarptautinėje duomenų apsaugos ir privatumo priežiūros pareigūnų konferencijoje.

[29]             2010 m. kovo 9 d. ES Teisingumo Teismo sprendimas Komisija prieš Vokietiją, C–518/07, Rink, p.I–1885).

[30]             2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo, OL L 8, 2001 1 12, p. 1.

[31]             Žr. 27 išnašą.

[32]             2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva), OL L 178, 2000 7 17, p. 1.

[33]             OL C,, p..

[34]             OL L 281, 1995 11 23, p. 31.

[35]             OL L 350, 2008 12 30, p. 60.

[36]             OL L 55, 2011 2 28, p. 13.

[37]             OL L 335, 2011 12 17, p. 1.

[38]             OL L 176, 1999 7 10, p. 36.

[39]             OL L 53, 2008 2 27, p. 52.    

[40]             OL L 160, 2011 6 18, p. 19.