•Proporcingumo principas

Pagal proporcingumo principą, norint pasiekti pagrindinius tikslus užtikrinti lygiavertį fizinių asmenų apsaugos lygį tvarkant asmens duomenis ir laisvą asmens duomenų judėjimą Sąjungoje, būtina ir tinkama nustatyti Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamo asmens duomenų tvarkymo taisykles. Pagal Europos Sąjungos sutarties 5 straipsnio 4 dalį šiuo reglamentu neviršijama to, kas būtina nurodytiems tikslams pasiekti.

•Pasirinkta priemonė

Reglamentas laikomas tinkama teisine priemone siekiant apibrėžti asmenų apsaugos sistemą Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant asmens duomenis ir laisvą šių duomenų judėjimą. Jame fiziniams asmenims numatytos teisės, kurių įgyvendinimą galima teisiškai užtikrinti, ir nustatytos Sąjungos institucijų, įstaigų, tarnybų ir agentūrų duomenų valdytojų pareigos, susijusios su duomenų tvarkymu. Be to, jame numatyta nepriklausoma priežiūros institucija – Europos duomenų apsaugos priežiūros pareigūnas. Jo pareiga bus stebėti, kaip Sąjungos institucijos, įstaigos, tarnybos ir agentūros tvarko asmens duomenis.

3.EX POST VERTINIMO, KONSULTACIJŲ SU SUINTERESUOTOSIOMIS ŠALIMIS IR POVEIKIO VERTINIMO REZULTATAI

2010 ir 2011 m., rengdama duomenų apsaugos reformai skirtų teisės aktų rinkinį, Komisija surengė konsultacijas su suinteresuotosiomis šalimis ir atliko poveikio vertinimą, kuriame pateikiama informacija apie siūlomus Reglamento (EB) Nr. 45/2001 pakeitimus. Šiuo tikslu Komisija taip pat surengė Komisijos duomenų apsaugos koordinatorių (DAK) apklausą 5 .

Informacija apie Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamą praktinį Reglamento (EB) Nr. 45/2001 taikymą buvo renkama iš Europos duomenų apsaugos priežiūros pareigūno (EDAPP), kitų Sąjungos institucijų, įstaigų, tarnybų ir agentūrų, Komisijos generalinių direktoratų ir išorės rangovo. Duomenų apsaugos pareigūnų (DAP) tinklo nariams buvo išsiųstas klausimynas 6 .

2015 m. liepos 9 d., 2015 m. spalio 22 d., 2016 m. sausio 19 d. ir 2016 m. kovo 15 d. įvairių Sąjungos institucijų, įstaigų, tarnybų ir agentūrų duomenų apsaugos pareigūnai surengė praktinius seminarus dėl Reglamento Nr. 45/2001 reformos.

2013 m. Komisija nusprendė atlikti Reglamento (EB) Nr. 45/2001 ligšiolinio taikymo vertinamąjį tyrimą ir pavedė jį atlikti išorės rangovui. Galutiniai vertinamojo tyrimo dokumentai (galutinė ataskaita, penki atvejo tyrimai ir kiekvieno straipsnio analizė) Komisijai buvo pateikti 2015 m. birželio 8 d. 7

Vertinimas parodė, kad DAP ir EDAPP valdymo struktūra yra veiksminga. Jame nustatyta, kad DAP ir EDAPP įgaliojimai paskirstyti aiškiai ir subalansuotai ir kad kiekvieno iš jų įgaliojimų aprėptis tinkama. Tačiau sunkumų gali kilti dėl autoriteto stokos, nes duomenų apsaugos pareigūnus nepakankamai remia jų vadovybė.

Vertinamajame tyrime nurodyta, kad Reglamentą (EB) Nr. 45/2001 būtų galima įgyvendinti geriau, jeigu EDAPP taikytų sankcijas. Jeigu EDAPP dažniau naudotųsi savo priežiūros įgaliojimais, duomenų apsaugos taisyklės galėtų būti įgyvendinamos geriau. Padaryta ir kita išvada – kad duomenų valdytojai turėtų vadovautis rizikos valdymo metodu ir prieš atlikdami duomenų tvarkymo operacijas įvertintų riziką siekdami geriau įgyvendinti duomenų saugojimo ir saugumo reikalavimus.

Šis tyrimas taip pat parodė, kad esamos Reglamento (EB) Nr. 45/2001 IV skyriaus taisyklės dėl telekomunikacijų sektoriaus yra pasenusios ir kad šį skyrių reikia suderinti su E. privatumo direktyva. Vadovaujantis vertinamuoju tyrimu, taip pat reikia patikslinti kai kurių svarbiausių Reglamento (EB) Nr. 45/2001 sąvokų apibrėžtis. Be kita ko, reikia nustatyti duomenų valdytojus Sąjungos institucijose, įstaigose, tarnybose ir agentūrose, apibrėžti gavėjų sąvoką, o konfidencialumo pareigą taikyti ir išorės duomenų tvarkytojams.

Vertinamajame tyrime taip pat pažymėtas poreikis paprastinti pranešimų ir išankstinių patikrų sistemą siekiant didinti efektyvumą ir mažinti administracinę naštą.

Vertintojas internetu surengė apklausą 64 Sąjungos institucijose, įstaigose, tarnybose ir agentūrose. Į apklausos klausimus atsakė 42 atsakingieji duomenų valdytojų pareigūnai, 73 DAP, 118 DAK ir 109 IT respondentai. Vertintojas taip pat surengė keletą pokalbių su suinteresuotosiomis šalimis. 2015 m. kovo 26 d. Komisijos vertintojas surengė baigiamąjį praktinį seminarą, kuriame dalyvavo nemažai duomenų valdytojų, DAP, DAK, IT respondentų ir EDAPP atstovų.

•Tiriamųjų duomenų rinkimas ir naudojimas

Žr. pirmesniame punkte pateiktą nuorodą į vertinamąjį tyrimą.

•Poveikio vertinimas

Šis pasiūlymas visų pirma turės poveikį Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms. Tai buvo patvirtinta surinkus informaciją iš EDAPP, kitų Sąjungos institucijų, įstaigų, tarnybų ir agentūrų, Komisijos generalinių direktoratų ir išorės rangovo. Be to, iš Reglamento (EB) 2016/679, su kuriuo numatoma suderinti šį reglamentą, kylančių įpareigojimų poveikis buvo įvertintas atsižvelgiant į šio reglamento parengiamuosius darbus. Todėl nėra būtina atlikti konkretaus šio reglamento poveikio vertinimo.

•Reglamentavimo tinkamumas ir supaprastinimas

Netaikoma

•Pagrindinės teisės

Teisė į asmens duomenų apsaugą nustatyta Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnyje, SESV 16 straipsnyje ir Europos žmogaus teisių konvencijos 8 straipsnyje. Kaip pažymėjo Europos Sąjungos Teisingumo Teismas, 8 teisė į asmens duomenų apsaugą nėra absoliuti ir ją reikia vertinti atsižvelgiant į jos funkciją visuomenėje 9 . Duomenų apsauga glaudžiai susijusi su privataus ir šeimos gyvenimo, kuris yra saugomas pagal Chartijos 7 straipsnį, gerbimu.

Šiame pasiūlyme nustatomos asmenų apsaugos Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant asmens duomenis ir laisvo šių duomenų judėjimo taisyklės.

Kitos Chartijoje įtvirtintos teisės, kurios galėtų būti paveiktos, yra: saviraiškos laisvė (11 straipsnis); nuosavybės teisė ir visų pirma intelektinės nuosavybės apsauga (17 straipsnio 2 dalis); diskriminacijos dėl rasės, etninės kilmės, genetinių bruožų, kalbos, religijos ar tikėjimo, politinių ar kitokių pažiūrų, negalios ar seksualinės orientacijos draudimas (21 straipsnis); vaiko teisės (24 straipsnis); teisė į aukšto lygio sveikatos priežiūrą (35 straipsnis); teisė susipažinti su dokumentais (42 straipsnis); teisė į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą (47 straipsnis).

4.POVEIKIS BIUDŽETUI

Žr. priede pateiktą finansinę pažymą.

5.KITI ASPEKTAI

•Įgyvendinimo planai ir stebėsena, vertinimas ir ataskaitų teikimo tvarka

Netaikoma

•Aiškinamieji dokumentai (direktyvoms)

Netaikoma

I SKYRIUS. BENDROSIOS NUOSTATOS

1 straipsnyje apibrėžiamas reglamento dalykas ir, kaip ir Reglamento (EB) Nr. 45/2001 1 straipsnyje, nustatomi reglamento tikslai: apsaugoti pagrindinę teisę į duomenų apsaugą ir užtikrinti laisvą asmens duomenų judėjimą visoje Sąjungoje. Jame taip pat numatytos pagrindinės Europos duomenų apsaugos priežiūros pareigūno užduotys.

2 straipsnyje apibrėžiama reglamento taikymo sritis; jis taikomas visoms Sąjungos institucijoms ir įstaigoms tvarkant asmens duomenis automatizuotomis priemonėmis, jeigu asmens duomenys yra tvarkomi vykdant veiklą, kuri visa ar kurios dalis patenka į Sąjungos teisės taikymo sritį. Materialinė šio reglamento taikymo sritis yra neutrali technologijų atžvilgiu. Asmens duomenų apsauga taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje.

3 straipsnyje pateiktos reglamente vartojamų sąvokų apibrėžtys. Be sąvokų „Sąjungos institucijos ir įstaigos“, „duomenų valdytojas“, „naudotojas“ ir „sąrašas“ apibrėžčių, kurios yra apibrėžtos šiame reglamente, jame taip pat vartojamos sąvokos, apibrėžtos Reglamente (ES) 2016/679, Reglamente (ES) 0000/00 [naujasis E. privatumo reglamentas], Direktyvoje 00/000/ES [Direktyva, kuria nustatomas Europos elektroninių ryšių kodeksas] ir Komisijos direktyvoje 2008/63/EB.

II SKYRIUS. PRINCIPAI

4 straipsnyje nustatomi principai, susiję su asmens duomenų tvarkymu, ir atitinka Reglamento (ES) 2016/679 5 straipsnyje įtvirtintus principus. Palyginti su Reglamentu (EB) Nr. 45/2001, į šį reglamentą įtraukiami nauji skaidrumo, vientisumo ir konfidencialumo principai.

5 straipsnis grindžiamas Reglamento (ES) 2016/679 6 straipsniu, jame nustatomi teisėto duomenų tvarkymo kriterijai, išskyrus duomenų valdytojo teisėto intereso kriterijų, kuris netaikytinas viešajam sektoriui ir todėl neturėtų būti taikomas Sąjungos institucijoms ir įstaigoms. 5 straipsnyje išlaikomi Reglamento (EB) Nr. 45/2001 5 straipsnyje nustatyti kriterijai.

6 straipsnyje paaiškinamos duomenų tvarkymo siekiant kito suderinamo tikslo sąlygos pagal Reglamento (ES) 2016/679 6 straipsnio 4 dalį. Palyginti su Reglamento (EB) Nr. 45/2001 6 straipsniu, šia nauja nuostata užtikrinamas didesnis lankstumas ir teisinis tikrumas, susijęs su tolesniu duomenų tvarkymu suderinamais tikslais.

7 straipsnyje pagal Reglamento (ES) 2016/679 7 straipsnį patikslinamos sąlygos, kad sutikimas galiotų kaip teisėto tvarkymo teisinis pagrindas.

8 straipsnyje, laikantis Reglamento (ES) 2016/679 8 straipsnio, nustatomos papildomos vaikų asmens duomenų tvarkymo teisėtumo sąlygos, susijusios su jiems tiesiogiai siūlomomis informacinės visuomenės paslaugomis. Jame nustatoma, jog tam, kad sutikimas galiotų, vaikas turėtų būti bent 13 metų amžiaus.

9 straipsnyje pagal Reglamento (EB) Nr. 45/2001 8 straipsnį nustatomas specialus apsaugos lygis asmens duomenis perduodant kitiems gavėjams nei Sąjungos institucijos ir įstaigos, kurie yra įsteigti Sąjungoje ir kuriems taikomas Reglamentas (ES) 2016/679 ar Direktyva (ES) 2016/680. Jame paaiškinta, kad jeigu duomenų perdavimą inicijuoja duomenų valdytojas, jis turėtų įrodyti duomenų perdavimo būtinumą ir proporcingumą.

Remiantis Reglamento (ES) 2016/679 9 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 10 straipsnį, 10 straipsnyje nustatytas bendrasis specialių kategorijų asmens duomenų tvarkymo draudimas ir šios bendros taisyklės išimtys.

11 straipsnyje, pagal Reglamento (ES) 2016/679 11 straipsnį ir laikantis Reglamento (EB) Nr. 45/20021 10 straipsnio 5 dalies, nustatomos asmens duomenų, susijusių su nuosprendžiais baudžiamosiose bylose ir nusikaltimais, tvarkymo sąlygos.

12 straipsnyje pagal Reglamento (ES) 2016/679 11 straipsnį patikslinamos duomenų valdytojo prievolės informuoti duomenų subjektą, numatant, kad jeigu asmens duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, duomenų valdytojas neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Tačiau duomenų valdytojas neturėtų atsisakyti priimti papildomos informacijos, kurią duomenų subjektas pateikia, kad pagrįstų naudojimąsi savo teisėmis.

13 straipsnyje, remiantis Reglamento (ES) 2016/679 89 straipsnio 1 dalimi, nustatomos taisyklės dėl apsaugos priemonių, susijusių su duomenų tvarkymu archyvavimo tikslais siekiant viešojo intereso, mokslinių ar istorinių tyrimų tikslų ar statistinių tikslų.

III SKYRIUS. DUOMENŲ SUBJEKTO TEISĖS

1 skirsnis. Skaidrumas ir sąlygos

Remiantis Reglamento (ES) 2016/679 12 straipsniu, 14 straipsnyje duomenų valdytojams nustatoma pareiga pateikti skaidrią, lengvai prieinamą ir suprantamą informaciją, taip pat duomenų subjekto teisių įgyvendinimo procedūros ir mechanizmas, įskaitant galimybes tam tikrais atvejais teikti elektroninius prašymus, reikalavimą per nustatytą terminą atsakyti į duomenų subjekto prašymą ir motyvuoti neigiamus atsakymus. Kadangi Sąjungos institucijos ir įstaigos jokiomis aplinkybėmis negali taikyti mokesčių, susijusių su administracinėmis informacijos teikimo išlaidomis, ši Reglamente (ES) 2016/679 numatyta galimybė šiame reglamente nenumatyta.

2 skirsnis. Informavimas ir teisė susipažinti su asmens duomenimis

15 straipsnyje, remiantis Reglamento (ES) 2016/679 13 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 11 straipsnį, nustatomi duomenų valdytojui taikomi duomenų subjekto informavimo įpareigojimai, jei asmens duomenys renkami iš duomenų subjekto, informacijos teikimas duomenų subjektui, įskaitant saugojimo laikotarpį, teisę pateikti skundą, taip pat dėl tarptautinio duomenų perdavimo.

16 straipsnyje, remiantis Reglamento (ES) 2016/679 14 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 12 straipsnį, nustatomi duomenų valdytojui taikomi duomenų subjekto informavimo įpareigojimai, jei asmens duomenys buvo gauti iš duomenų subjekto nepateikus informacijos apie duomenų kilmės šaltinį. Jame taip pat išlaikomos Reglamento (ES) 2016/679 galimos nukrypti leidžiančios nuostatos, pavyzdžiui, šis įpareigojimas nebus taikomas, jei duomenų subjektas jau turi informaciją, šios informacijos neįmanoma pateikti arba duomenų valdytojui tektų dėti neproporcingas pastangas, kad ją pateiktų, jei asmens duomenys turi išlikti konfidencialūs pagal Sąjungos teise reglamentuojamą profesinės paslapties įpareigojimą arba jei duomenų įrašymas ar atskleidimas aiškiai nustatytas įstatymais. Tai galėtų būti taikoma, pavyzdžiui, procedūrose, kurias atlieka už socialinę apsaugą ar sveikatos klausimus atsakingos tarnybos.

17 straipsnyje, remiantis Reglamento (ES) 2016/679 15 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 13 straipsnį, numatyta duomenų subjekto teisė susipažinti su savo asmens duomenimis, įtraukiant naujus aspektus, pavyzdžiui, įpareigojimą pranešti duomenų subjektams apie duomenų saugojimo laikotarpį ir apie teisę reikalauti ištaisyti ir ištrinti duomenis, taip pat teisę pateikti skundą.

3 skirsnis. Duomenų ištaisymas ir ištrynimas

18 straipsnyje, remiantis Reglamento (ES) 2016/679 16 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 14 straipsnį, nustatoma duomenų subjekto teisė reikalauti ištaisyti duomenis.

19 straipsnyje, remiantis Reglamento (ES) 2016/679 17 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 16 straipsnį, nustatoma duomenų subjekto teisė būti pamirštam ir teisė reikalauti ištrinti duomenis. Jame nustatomos teisės būti pamirštam sąlygos, įskaitant asmens duomenis paviešinusiam duomenų valdytojui taikomą įpareigojimą pranešti tretiesiems asmenims apie duomenų subjekto prašymą ištrinti visas nuorodas į šiuos asmens duomenis ar šių duomenų kopijas.

20 straipsnyje nustatyta teisė reikalauti, kad tam tikrais atvejais duomenų tvarkymas būtų ribojamas, vengiant Reglamente (EB) Nr. 45/2001 vartojamo dviprasmio termino „blokavimas“ ir užtikrinant suderinamumą su naująja terminologija pagal Reglamento (ES) 2016/679 18 straipsnį.

21 straipsnyje, remiantis Reglamento (ES) 2016/679 19 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 17 straipsnį, numatyta duomenų valdytojo pareiga pranešti gavėjams, kuriems buvo atskleisti asmens duomenys, apie kiekvieną asmens duomenų ištaisymą, ištrynimą ar apribojimą, nebent tai būtų neįmanoma ar reikėtų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas taip pat turi informuoti duomenų subjektą apie tuos duomenų gavėjus.

22 straipsnyje, remiantis Reglamento (ES) 2016/679 20 straipsniu, nustatoma duomenų subjekto teisė į duomenų perkeliamumą, t. y. teisė gauti asmens duomenis, kuriuos asmuo, su kuriuo šie duomenys yra susiję, pateikė duomenų valdytojui, arba teisė reikalauti, kad šie asmens duomenys būtų perduoti tiesiogiai kitam duomenų valdytojui, kai tai techniškai įmanoma. Kaip šios teisės įgyvendinimo prielaida ir siekiant dar labiau gerinti asmenų teisę susipažinti su savo asmens duomenimis, jame nustatyta teisė tuos duomenis iš duomenų valdytojo gauti susistemintu, paprastai naudojamu, kompiuterio skaitomu formatu. Ši teisė taikoma tik jei duomenų tvarkymas grindžiamas duomenų subjekto sutikimu arba su juo sudaryta sutartimi.

4 skirsnis. Teisė nesutikti ir automatizuotas atskirų sprendimų priėmimas

23 straipsnyje, remiantis Reglamento (ES) 2016/679 21 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 18 straipsnį, numatytos duomenų subjekto teisės nesutikti.

24 straipsnis, remiantis Reglamento (ES) 2016/679 22 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 19 straipsnį, susijęs su duomenų subjekto teise reikalauti, kad priemonė jam nebūtų taikoma remiantis vien automatizuotu duomenų tvarkymu, įskaitant profiliavimą.

5 skirsnis. Apribojimai

25 straipsnyje leidžiama apriboti 14–22 straipsniuose, taip pat 34 ir 38 straipsniuose nustatytas duomenų subjekto teises bei 4 straipsnyje įtvirtintus principus (tiek, kiek jo nuostatos atitinka 14–22 straipsniuose numatytas teises ir pareigas). Tokie apribojimai turėtų būti nustatyti teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ir įstaigų vidaus taisyklėse. Jeigu teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ar įstaigų vidaus taisyklėse tokio apribojimo galimybė nenumatyta, šios institucijos ar įstaigos galėtų nustatyti ad hoc apribojimą, jei juo nepažeidžiama pagrindinių teisių ir laisvių esmė, kiek tai susiję su konkrečia tvarkymo operacija, jei juo nepažeidžiama pagrindinių teisių ir laisvių esmė, kiek tai susiję su konkrečia tvarkymo operacija, ir jei jis yra demokratinėje visuomenėje būtina ir proporcinga priemonė siekiant apsaugoti vieną ar kelis tikslus, kurių siekiant leidžiama riboti duomenų subjektų teises. Šis požiūris atitinka Reglamento (ES) 2016/679 23 straipsnį. Tačiau, priešingai nei Reglamento (ES) 2016/679 23 straipsnyje ir laikantis Reglamento (EB) Nr. 45/2001 20 straipsnio, šioje nuostatoje nenumatyta galimybė apriboti teisės nesutikti ir teisės reikalauti, kad asmeniui nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas. Apribojimams taikomi reikalavimai atitinka Pagrindinių teisių chartiją ir Europos žmogaus teisių konvenciją, kaip ją yra išaiškinę atitinkamai Europos Sąjungos Teisingumo Teismas ir Europos Žmogaus Teisių Teismas.

IV SKYRIUS. DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 skirsnis. Bendrosios prievolės

26 straipsnis grindžiamas Reglamento (ES) 2016/679 24 straipsniu ir juo nustatomas „atskaitomybės“ principas, apibūdinant duomenų valdytojo pareigą laikytis šio reglamento ir įrodyti, kad jis jo laikosi, įskaitant atvejus, kai jis imasi atitinkamų techninių ir organizacinių priemonių ir, jei taikytina, įgyvendina vidaus politiką ir mechanizmus, kuriais užtikrinama, kad duomenų valdytojas laikytųsi šio reglamento. Reglamento (ES) 2016/679 24 straipsnio 3 dalyje šios nuostatos nebelieka, nes Sąjungos institucijos ir įstaigos neturėtų laikytis elgesio kodeksų ar taikyti sertifikavimo mechanizmų.

27 straipsnyje, remiantis Reglamento (ES) 2016/679 27 straipsniu, nustatomi duomenų valdytojo įpareigojimai, kylantys iš pritaikytosios ir standartizuotosios duomenų apsaugos principų.

28 straipsnis dėl bendrų duomenų valdytojų grindžiamas Reglamento (ES) 2016/679 26 straipsniu ir jame paaiškinami bendrų duomenų valdytojų įsipareigojimai, nesvarbu, ar tai būtų Sąjungos institucijos ar įstaigos, ar ne, kurie yra susiję su jų vidaus santykiais ir santykiais su duomenų subjektu. Šioje nuostatoje reglamentuojami atvejai, kai visiems bendriems duomenų valdytojams taikoma ta pati teisinė tvarka (šis reglamentas), ir atvejis, kai vieniems iš jų taikomas šis reglamentas, o kitiems – kitas atitinkamas teisės aktas (Reglamentas (ES) 2016/679, Direktyva (ES) 2016/680, Direktyva (ES) 2016/681) ir kitos atitinkamos duomenų apsaugos sistemos, susijusios su Sąjungos institucijomis ir įstaigomis.

29 straipsnyje, remiantis Reglamento (ES) 2016/679 28 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 23 straipsnį, paaiškinama duomenų tvarkytojų padėtis ir pareigos, be to, nustatoma, kad duomenų tvarkytojas, kuris, nustatydamas duomenų tvarkymo tikslus ir priemones, pažeidžia reglamentą, šio duomenų tvarkymo atžvilgiu turi būti laikomas duomenų tvarkytoju.

30 straipsnis susijęs su atvejais, kai duomenis tvarko duomenų valdytojui ar duomenų tvarkytojui pavaldūs asmenys, ir yra grindžiamas Reglamento (ES) 2016/679 29 straipsniu, kuriame nustatomas draudimas duomenų tvarkytojui ar bet kuriam duomenų valdytojui ar tvarkytojui pavaldžiam asmeniui, turinčiam galimybę susipažinti su asmens duomenimis, tvarkyti šiuos duomenis ne pagal duomenų valdytojo nurodymus, nebent to reikalaujama pagal Sąjungos ar valstybių narių teisę.

31 straipsnis grindžiamas Reglamento (ES) 2016/679 30 straipsniu ir juo nustatoma duomenų valdytojų ir tvarkytojų pareiga saugoti duomenų tvarkymo operacijų dokumentus, už kuriuos jie yra atsakingi, užuot teikus išankstinį pranešimą EDAPP, kaip to reikalaujama pagal Reglamento (EB) Nr. 45/2001 25 straipsnį, ir DAP registrui. Priešingai nei Reglamente (ES) 2016/679, šioje nuostatoje nenurodomi atstovai, nes atstovų Sąjungos institucijos neturės, bet jos visada turės duomenų apsaugos pareigūnų. Nuorodos į duomenų perdavimą tam tikrais atvejais remiantis nukrypti leidžiančiomis nuostatomis, kaip Reglamente (ES) 2016/679, nepateiktos, nes šiame reglamente šio pobūdžio duomenų perdavimo nenumatyta. Pareiga registruoti duomenų tvarkymo veiklą gali būti centralizuota Sąjungos institucijos ar įstaigos lygmeniu. Tokiu atveju Sąjungos institucijos ir įstaigos gali saugoti registruotą savo duomenų tvarkymo veiklos informaciją viešai prieinamame registre.

32 straipsnyje, remiantis Reglamento (ES) 2016/679 31 straipsniu, paaiškinamos Sąjungos institucijų ir įstaigų bendradarbiavimo su EDAPP pareigos.

2 skirsnis. Asmens duomenų saugumas ir elektroninių ryšių saugumas

33 straipsnyje, remiantis Reglamento (ES) 2016/679 32 straipsniu ir papildomai išplėtojant Reglamento (EB) Nr. 45/2001 22 straipsnį, duomenų valdytojas įpareigojamas įgyvendinti atitinkamas duomenų tvarkymo saugumo užtikrinimo priemones, taikant šį įpareigojimą ir duomenų tvarkytojams, neatsižvelgiant į tai, ar jie yra sudarę sutartį su duomenų valdytoju.

34 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 36 straipsniu ir juo užtikrinamas elektroninių ryšių saugumas Sąjungos institucijose ir įstaigose.

35 straipsnis grindžiamas esama Sąjungos institucijų ir įstaigų praktika ir juo apsaugoma informacija, susijusi su galutinių naudotojų, kurie naudojasi viešai prieinamomis interneto svetainėmis ir Sąjungos institucijų ir įstaigų siūlomomis mobiliosiomis programėlėmis, galiniais įrenginiais, laikantis Reglamento (ES) XXXX/XX [naujasis E. privatumo reglamentas], visų pirma jo 8 straipsnio.

36 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 38 straipsniu ir juo apsaugomi asmens duomenys, laikomi Sąjungos institucijų ir įstaigų viešuosiuose ir privačiuosiuose sąrašuose.

37 ir 38 straipsniais pagal Reglamento (ES) 2016/679 33 ir 34 straipsnius nustatomas įpareigojimas pranešti apie asmens duomenų pažeidimus.

3 skirsnis. Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

39 straipsnis grindžiamas Reglamento (ES) 2016/679 35 straipsniu ir juo nustatoma duomenų valdytojų ir tvarkytojų pareiga atlikti duomenų apsaugos poveikio vertinimą prieš atliekant duomenų tvarkymo operacijas, dėl kurių gali kilti didelė grėsmė fizinių asmenų teisėms ir laisvėms. Ši pareiga visų pirma bus taikoma atliekant sistemingą ir plataus masto asmeninių aspektų, susijusių su fiziniais asmenimis, vertinimą, grindžiamą automatizuotu tvarkymu, įskaitant profiliavimą, specialių kategorijų asmens duomenų tvarkymą dideliu mastu arba sistemingą viešų vietų stebėjimą dideliu mastu.

40 straipsnis grindžiamas Reglamento (ES) 2016/679 36 straipsniu ir susijęs su atvejais, kai prieš pradedant tvarkyti duomenis privaloma gauti EDAPP leidimą ir konsultuotis su juo. Tačiau 40 straipsnio pirmoje pastraipoje pakartojama Reglamento (ES) 2016/679 94 konstatuojamoji dalis ir ja siekiama paaiškinti pareigos konsultuotis taikymo sritį.

4 skirsnis. Informavimas ir konsultacijos teisėkūros klausimais

41 straipsnyje Sąjungos institucijoms ir įstaigoms nustatoma pareiga pranešti EDAPP apie rengiamas administracines priemones ir vidaus taisykles, susijusias su asmens duomenų tvarkymu.

42 straipsnyje numatyta Komisijos pareiga konsultuotis su EDAPP priėmus teisėkūros procedūra priimto akto pasiūlymus ir rekomendacijas ar pasiūlymus Tarybai pagal SESV 218 straipsnį, taip pat rengiant deleguotuosius ar įgyvendinimo aktus, turinčius poveikį asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis. Jei šie aktai yra ypač svarbūs asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat gali konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais abu subjektai turėtų koordinuoti savo darbą siekdami pateikti bendrą nuomonę. Konsultacijoms minėtais atvejais nustatomas 8 savaičių laikotarpis, tačiau skubiais atvejais ir kitais atvejais, kai to reikia, nuo šio reikalavimo galima nukrypti, pavyzdžiui, kai Komisija rengia deleguotuosius ir įgyvendinimo aktus.

5 skirsnis. Pareiga reaguoti į įtarimus

43 straipsnyje nustatyta duomenų valdytojų ir duomenų tvarkytojų pareiga reaguoti į įtarimus po to, kai EDAPP nusprendžia perduoti jiems nagrinėti tam tikrą klausimą.

6 skirsnis. Duomenų apsaugos pareigūnas

44 straipsnis grindžiamas Reglamento (ES) 2016/679 37 straipsnio 1 dalimi ir Reglamento (EB) Nr. 45/2001 24 straipsniu ir juo nustatoma pareiga Sąjungos institucijoms ir įstaigoms numatyti privalomą DAP.

45 straipsnis grindžiamas Reglamento (ES) 2016/679 38 straipsniu ir Reglamento (EB) Nr. 45/2001 24 straipsniu ir jame nurodomos DAP pareigos.

46 straipsnis grindžiamas Reglamento (ES) 2016/679 39 straipsniu ir Reglamento (EB) NR. 45/2001 antra ir trečia pastraipomis ir jame numatomos svarbiausios DAP užduotys.

V SKYRIUS. ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES ARBA TARPTAUTINĖMS ORGANIZACIJOMS

47 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 9 straipsniu ir jame pagal Reglamento (EB) 2016/679 44 straipsnį nustatomas bendrasis principas, kad šio reglamento nuostatų ir V skyriaus sąlygų būtina laikytis perduodant asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms, įskaitant atvejus, kai asmens duomenys toliau perduodami iš trečiosios valstybės tarptautinei organizacijai arba kitai trečiajai valstybei ar kitai tarptautinei organizacijai.

48 straipsnyje nurodyta, kad asmens duomenys gali būti perduodami trečiajai valstybei ar tarptautinei organizacijai, jei Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį nusprendė, kad trečiojoje valstybėje, teritorijoje ar viename ar keliuose tos trečiosios valstybės sektoriuose arba tarptautinėje organizacijoje užtikrinamas tinkamas apsaugos lygis ir asmens duomenys perduodami tik tam, kad būtų galima atlikti duomenų valdytojo kompetencijai priklausančias užduotis. Šio straipsnio 2 ir 3 dalys paimtos iš Reglamento (EB) Nr. 45/2001 9 straipsnio, nes jos yra naudingos stebint trečiosios valstybėse ir tarptautinėse organizacijose taikomą apsaugos lygį.

49 straipsnis grindžiamas Reglamento (ES) 2016/679 46 straipsniu ir juo reikalaujama, kad jei duomenys perduodami į trečiąsias valstybes, o Komisija nėra priėmusi sprendimo dėl tinkamumo, turi būti užtikrinamos atitinkamos apsaugos priemonės, visų pirma standartinės duomenų apsaugos sąlygos ir sutarčių sąlygos. Duomenų tvarkytojai, kurie nėra Sąjungos institucijos ir įstaigos, galėtų taikyti įmonėms privalomas taisykles, elgesio kodeksus ir sertifikavimo mechanizmus. Šio straipsnio ketvirta pastraipa, susijusi su Sąjungos institucijų ir įstaigų pareiga pranešti EDAPP apie šio straipsnio taikymo atvejus, atitinka Reglamento (EB) Nr. 45/2001 9 straipsnio 8 dalį ir yra palikta dėl savo specifiškumo. Penkta pastraipa grindžiama Reglamento (ES) 2016/679 46 straipsnio 5 dalyje nustatytų esamų leidimų papildomu patvirtinimu.

50 straipsnyje pagal Reglamento (ES) 2016/679 48 straipsnį paaiškinama, kad teismų sprendimai arba trečiųjų valstybių administracinių institucijų sprendimai, kuriais reikalaujama perduoti ar atskleisti asmens duomenis, gali būti bet kuriuo būdu pripažįstami arba vykdytini, tik jei jie grindžiami tarptautiniu susitarimu, pavyzdžiui, galiojančia prašymą pateikusios trečiosios valstybės ir Sąjungos savitarpio teisinės pagalbos sutartimi, nedarant poveikio kitiems duomenų perdavimo pagrindams pagal šį skyrių.

51 straipsnis grindžiamas Reglamento (ES) 2016/679 49 straipsniu ir jame nustatomos bei patikslinamos duomenų perdavimui taikomos nukrypti leidžiančios nuostatos. Jos visų pirma taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant apsaugoti svarbų viešąjį interesą, pavyzdžiui, tarptautinio duomenų keitimosi tarp konkurencijos, mokesčių ar muitų institucijų arba kompetentingų socialinės apsaugos ar žuvininkystės tarnybų atvejais. Penkta pastraipa dėl pareigos pranešti EDAPP apie atvejus, kai perduodant duomenis taikytos nukrypti leidžiančios nuostatos, atitinka esamą Reglamento (EB) Nr. 45/2001 9 straipsnio 8 dalį.

52 straipsnis grindžiamas Reglamento (ES) 2016/679 50 straipsniu ir jame aiškiai numatyti tarptautinio bendradarbiavimo siekiant apsaugoti asmens duomenis mechanizmai, taikomi tarp EDAPP, bendradarbiaujant su Komisija, ir Europos duomenų apsaugos valdybos bei trečiųjų šalių priežiūros institucijų.

IV SKYRIUS. EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS

53 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 41 straipsniu ir yra susijęs su EDAPP įsteigimu.

54 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 42 straipsniu ir Sprendimo 1247/2002/EB 3 straipsniu ir jame nustatomos taisyklės, pagal kurias Europos Parlamentas ir Taryba skiria EDAPP. Jame taip pat nurodyta EDAPP kadencijos trukmė – 5 metai.

55 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 43 straipsniu ir Sprendimo 1247/2002/EB 1 straipsniu ir jame numatomos su EDAPP ir jo darbuotojų vykdomomis pareigomis, taip pat su finansiniais ištekliais susijusios taisyklės ir bendrosios sąlygos.

56 straipsnis grindžiamas Reglamento (ES) 2016/679 52 straipsniu ir Reglamento (EB) Nr. 45/2001 44 straipsniu, jame paaiškinamos EDAPP nepriklausomumo sąlygos, atsižvelgiant į Europos Sąjungos Teisingumo Teismo praktiką.

57 straipsnyje, remiantis Reglamento (EB) Nr. 45/2001 45 straipsniu, nustatoma EDAPP pareiga užtikrinti slaptumą einant pareigas ir pasibaigus kadencijai, kiek tai susiję su konfidencialia informacija, kurią jis sužinojo eidamas oficialias pareigas.

58 straipsnyje, grindžiamame Reglamento (ES) 2016/679 57 straipsniu ir Reglamento (EB) Nr. 45/2001 46 straipsniu, nustatomos EDAPP užduotys, įskaitant skundų nagrinėjimą ir tyrimą, taip pat didesnio visuomenės informuotumo apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises skatinimą.

59 straipsnyje, grindžiamame Reglamento (ES) 2016/679 58 straipsniu ir Reglamento (EB) Nr. 45/2001 47 straipsniu, nustatomi EDAPP įgaliojimai.

60 straipsnyje, grindžiamame Reglamento (ES) 2016/679 59 straipsniu ir Reglamento (EB) Nr. 45/2001 48 straipsniu, nustatoma EDAPP pareiga parengti metinę veiklos ataskaitą.

VII SKYRIUS. BENDRADARBIAVIMAS IR NUOSEKLUMAS

61 straipsnyje, grindžiamame Reglamento (ES) 2016/679 61 straipsniu ir Reglamento (EB) Nr. 45/2001 46 straipsnio f punktu, nustatomos aiškios EDAPP bendradarbiavimo su nacionalinėmis priežiūros institucijomis taisyklės.

62 straipsnyje numatyti EDAPP įpareigojimai, jei koordinuotos priežiūros kartu su nacionalinėmis priežiūros institucijomis srityje nuoroda į šį straipsnį daroma kituose Sąjungos aktuose. Juo siekiama įdiegti vieną bendrą koordinuotos priežiūros modelį. Šis modelis galėtų būti naudojamas koordinuotai didelių IT sistemų, pavyzdžiui, sistemos EURODAC, antrosios kartos Šengeno informacinės sistemos, Vizų informacinės sistemos, Muitinės informacinės sistemos ar Vidaus rinkos informacinės sistemos priežiūrai, taip pat kai kurių Sąjungos agentūrų priežiūrai, kai nustatomas specialusis EDAPP ir nacionalinių valdžios institucijų bendradarbiavimo modelis, pvz., Europolas. Europos duomenų apsaugos valdyba turėtų veikti kaip vienas bendras forumas, kuriuo valdyboje būtų užtikrinama veiksminga koordinuota priežiūra.

VIII SKYRIUS. TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

63 straipsnyje, grindžiamame Reglamento (ES) 2016/679 77 straipsniu ir Reglamento (EB) Nr. 45/2001 32 straipsniu, numatyta bet kurio duomenų subjekto teisė pateikti skundą EDAPP. Jame taip pat nustatyta EDAPP pareiga informuoti duomenų subjektą apie skundo nagrinėjimo eigą ir rezultatą per tris mėnesius, o praėjus šiam laikotarpiui skundas laikomas atmestu.

64 straipsnyje išlaikoma Reglamento (EB) Nr. 45/2001 32 straipsnio 1 dalis ir nustatoma Europos Sąjungos Teisingumo Teismo jurisdikcija nagrinėti visus ginčus, susijusius su šio reglamento nuostatomis, įskaitant reikalavimus atlyginti žalą.

65 straipsnyje nustatoma teisė į turtinės ir neturtinės žalos atlyginimą taikant tam tikras Sutartyse numatytas sąlygas, susijusias, be kita ko, su atsakomybe.

66 straipsnyje, grindžiamame Reglamento (ES) 2016/679 83 straipsniu, EDAPP suteikiami įgaliojimai skirti administracines baudas Sąjungos institucijoms ir įstaigoms kaip kraštutinę sankciją ir tik jei Sąjungos institucijos ar įstaigos nesilaiko 59 straipsnio 2 dalies a–h ir j punktuose nustatytų EDAPP nurodymų. Šiame straipsnyje taip pat nustatyti kriterijai, taikomi kiekvienu konkrečiu atveju priimant sprendimą dėl administracinės baudos dydžio, o maksimalios metinės ribos grindžiamos kai kuriose valstybėse narėse taikomų baudų dydžiais.

67 straipsnyje, remiantis Reglamento (ES) 2016/679 80 straipsnio 1 dalimi, tam tikroms įstaigoms, organizacijoms ar asociacijoms leidžiama pateikti skundą duomenų subjekto vardu.

68 straipsnyje, laikantis Reglamento (EB) Nr. 45/2001 33 straipsnio, nustatytos specialios taisyklės, kuriomis siekiama apsaugoti Sąjungos darbuotojus, pateikusius skundą EDAPP dėl įtariamo šio reglamento nuostatų pažeidimo, nesiimant oficialių veiksmų.

69 straipsnis grindžiamas Reglamento (EB) Nr. 45/2001 49 straipsniu ir jame numatytos sankcijos, taikytinos, jei Europos Sąjungos pareigūnai ar kiti valstybės tarnautojai nesilaiko šio reglamento įpareigojimų.

IX SKYRIUS. ĮGYVENDINIMO AKTAI

70 straipsnyje įtvirtinta nuostata dėl Komiteto procedūros, kad Komisijai būtų suteikti įgyvendinimo įgaliojimai, tais atvejais, kai pagal SESV 291 straipsnį reikalingos vienodos teisiškai privalomų Sąjungos aktų įgyvendinimo sąlygos. Taikoma nagrinėjimo procedūra.

X SKYRIUS. BAIGIAMOSIOS NUOSTATOS

71 straipsniu panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB ir nustatyta, kad nuorodas į abu panaikintus dokumentus reikia aiškinti kaip nuorodas į šį reglamentą.

72 straipsnyje patikslinama, kad šis reglamentas neturi įtakos dabartinei Europos duomenų apsaugos priežiūros pareigūno ir jo pavaduotojo kadencijai ir kad reglamento 54 straipsnio 4, 5 ir 7 dalys ir 56 bei 57 straipsniai taikomi esamam Europos duomenų apsaugos priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos, t. y. iki 2019 m. gruodžio 5 d.

73 straipsnyje nustatoma šio reglamento įsigaliojimo data – 2018 m. gegužės 25 d., siekiant užtikrinti, kad ji atitiktų Reglamento (ES) 2016/679 taikymo pradžios datą.2017/0002 (COD)

Pasiūlymas

EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS

dėl asmenų apsaugos Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę 10 ,

laikydamiesi įprastos teisėkūros procedūros,

kadangi:

1)fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

2)Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001 11 fiziniams asmenims nustatytos teisės, kurias jie gali teisiškai įgyvendinti, Bendrijos institucijų ir įstaigų duomenų valdytojams nustatomi duomenų tvarkymo įpareigojimai ir įsteigiama nepriklausoma priežiūros institucija – Europos duomenų apsaugos priežiūros pareigūnas, atsakingas už Sąjungos institucijose ir įstaigose atliekamą asmens duomenų tvarkymą. Tačiau jis netaikomas duomenų tvarkymui Sąjungos institucijoms ir įstaigoms vykdant veiklą, kuriai netaikoma Sąjungos teisė;

3)Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 12 ir Europos Parlamento ir Tarybos direktyva (ES) 2016/68 13 buvo priimti 2016 m. balandžio 27 d. Nors reglamente nustatomos bendrosios fizinių asmenų apsaugos taisyklės, susijusios su asmens duomenų tvarkymu ir siekiant užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, direktyva nustatomos konkrečios fizinių asmenų apsaugos taisyklės tvarkant asmens duomenis ir užtikrinant laisvą asmens duomenų judėjimą Sąjungoje teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

4)Reglamente (ES) 2016/679 pabrėžiamas poreikis pritaikyti Reglamentą (EB) Nr. 45/2001 siekiant nustatyti patikimą ir nuoseklią duomenų apsaugos sistemą Sąjungoje ir siekiant užtikrinti, kad jis būtų taikomas kartu su Reglamentu (ES) 2016/679;

5)siekiant laikytis suderinto požiūrio į asmens duomenų apsaugą visoje Sąjungoje ir į laisvą asmens duomenų judėjimą Sąjungoje reikėtų kuo labiau suderinti Sąjungos institucijoms ir įstaigoms taikomas duomenų apsaugos taisykles, patvirtintas valstybių narių viešajame sektoriuje. Jei šio reglamento nuostatos grindžiamos tomis pačiomis sąvokomis kaip ir tos, kurios vartojamos Reglamente (ES) 2016/679, abi nuostatas reikėtų aiškinti vienodai, visų pirma todėl, kad šio reglamento sistemą reikėtų laikyti lygiaverte Reglamento (ES) 2016/679 sistemai;

6)turėtų būti ginami asmenys, kurių asmens duomenis Sąjungos institucijos ir įstaigos, nesvarbu, kokiomis aplinkybėmis jie būtų tvarkomi, pavyzdžiui, todėl, kad jie dirba šiose institucijose ir įstaigose. Šis reglamentas neturėtų būti taikomas mirusių asmenų asmens duomenų tvarkymui. Šis reglamentas neapima juridinių asmenų ir visų pirma juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo;

7)siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų; Fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje; Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

8)Deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo. Todėl šis reglamentas turėtų būti taikomas Sąjungos agentūroms, vykdančioms veiklą teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje, tik tiek, kiek šioms agentūroms taikytinoje Sąjungos teisėje nenustatytos specialios asmens duomenų tvarkymo taisyklės;

9)Direktyvoje (ES) 2016/680 numatytos suderintos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir laisvo tokių duomenų judėjimo, įskaitant apsaugos priemones ir grėsmių visuomenės saugumui prevenciją. Siekiant skatinti vienodą fizinių asmenų apsaugos lygį, suteikiant jiems teisiškai įgyvendinamas teises visoje Sąjungoje, ir siekiant užkirsti kelią skirtumams, dėl kurių Sąjungos institucijoms ir įstaigoms, vykdančioms veiklą teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, ir valstybių narių kompetentingoms valdžios institucijoms trukdoma keistis asmens duomenimis, šių Sąjungos agentūrų tvarkomų operatyvinių asmens duomenų apsauga ir laisvas jų judėjimas turėtų būti grindžiamas šio reglamento principais ir atitikti Direktyvą (ES) 2016/680;

10)jei Sąjungos agentūros, vykdančios veiklą, kuriai taikomi Sutarties V antraštinės dalies 4 ir 5 skyriai, steigimo akte nustatyta atskira duomenų apsaugos sistema, taikoma tvarkant operatyvinius asmens duomenis, šis reglamentas neturėtų būti taikomas tokioms sistemoms. Tačiau Komisija, vadovaudamasi Direktyvos (ES) 2016/680 62 straipsniu, iki 2019 m. gegužės 6 d. turėtų peržiūrėti Sąjungos aktus, kuriais reglamentuojami atvejai, kai kompetentingos institucijos tvarko duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir šių grėsmių prevenciją ir, jei taikytina, pateikti būtinus pasiūlymus šiems aktams pakeisti, siekdama užtikrinti, kad būtų laikomasi nuoseklaus požiūrio į asmens duomenų apsaugą teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

11)duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

12)pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

13)fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais, slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie visų pirma kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

14)sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis,, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

15)bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi. Tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui;

16)pagal atskaitomybės principą, jei Sąjungos institucijos ir įstaigos perduoda asmens duomenis savo viduje ar kitoms Sąjungos institucijoms ar įstaigoms, jos turėtų patikrinti, ar šie asmens duomenys yra reikalingi siekiant teisėtai atlikti gavėjo kompetencijai priklausančias užduotis, jei gavėjas nėra duomenų valdytojo dalis. Visų pirma, gavęs gavėjo prašymą perduoti asmens duomenis, duomenų valdytojas turėtų patikrinti, ar yra atitinkamas pagrindas teisėtai tvarkyti asmens duomenis, gavėjo kompetenciją, ir turėtų preliminariai įvertinti būtinybę perduoti duomenis. Kilus abejonėms dėl tokios būtinybės, duomenų valdytojas prašo duomenų gavėją perduoti papildomos informacijos. Duomenų gavėjas turėtų užtikrinti, kad vėliau gali būti patikrinta būtinybė perduoti duomenis;

17)kad asmens duomenys būtų tvarkomi teisėtai, jie turėtų būti tvarkomi remiantis Sąjungos institucijų ar įstaigų būtinybe atlikti užduotį, kurią jos atlieka siekdamos viešojo intereso arba įgyvendinamos viešosios valdžios įgaliojimus, būtinybe laikytis duomenų valdytojui taikomos teisinės prievolės ar kurio nors kito šiame reglamente nurodyto teisėto pagrindo, įskaitant atitinkamo duomenų subjekto sutikimą ar būtinybę įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Visuomenės labui atliekamas Sąjungos institucijų ir įstaigų asmens duomenų tvarkymas apima asmens duomenų, būtinų šioms institucijoms ir įstaigoms valdyti bei joms dirbti, tvarkymą. asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

18)Sąjungos teisė, apimanti šiame reglamente nurodytas vidaus taisykles, turėtų būti aiški ir tiksli, o jos taikymas turėtų būti numatomas tiems asmenims, kuriems jie turi būti taikomi, pagal Europos Sąjungos Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką;

19)asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu; Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į: sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų; aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius dėl tolesnio duomenų naudojimo, pagrįstus jų santykiais su duomenų valdytoju; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams; tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose;

20)kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Laikantis Tarybos direktyvos 93/13/EEB 14 , duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

21)vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti taikoma virtualios asmenybės profilio kūrimui ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis, siūlomomis Sąjungos institucijų ir įstaigų interneto svetainėse, pavyzdžiui, asmenų tarpusavio susirašinėjimo ar elektroninės bilietų prekybos paslaugomis ir tais atvejais, kai asmens duomenų tvarkymas grindžiamas sutikimu;

22)kai Sąjungoje įsteigti gavėjai, kuriems taikomas Reglamentas (ES) 2016/679 ar Direktyva (ES) 2016/680, norėtų, kad Sąjungos institucijos ar įstaigos perduotų jiems asmens duomenis, šie gavėjai turėtų įrodyti, kad asmens duomenis būtina perduoti, kad būtų pasiektas jų numatytas tikslas, kad šis duomenų perdavimas yra proporcingas ir neviršija to, kas yra būtina šiam tikslui pasiekti. Laikydamosi skaidrumo principo, Sąjungos institucijos ir įstaigos turėtų įrodyti šią būtinybę, jei pačios inicijuoja duomenų perdavimą;

23)asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą. Nuotraukų tvarkymas neturėtų būti laikomas sisteminiu specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą. Kartu su konkrečiais neskelbtinų duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis. Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

24)visuomenės sveikatos srityje gali reikėti specialių kategorijų asmens duomenis dėl viešojo intereso priežasčių tvarkyti be duomenų subjekto sutikimo. Tokie duomenys turėtų būti tvarkomi taikant tinkamas ir specialias priemones, kad būtų apsaugotos fizinių asmenų teisės ir laisvės. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 15 , ir reikšti visus elementus, susijusius su sveikata, t. y. sveikatos būklę, įskaitant sergamumą ir neįgalumą, veiksnius, darančius poveikį tai sveikatos būklei, sveikatos priežiūros poreikius, sveikatos priežiūrai skirtus išteklius, sveikatos priežiūros paslaugų teikimą ir jų visuotinį prieinamumą, taip pat sveikatos priežiūros išlaidos ir finansavimą, taip pat mirtingumo priežastis. Dėl to, kad sveikatos duomenys tvarkomi dėl viešojo intereso priežasčių, trečiosios šalys, pavyzdžiui, darbdaviai ar draudimo bendrovės ir bankai, neturėtų tvarkyti asmens duomenų kitais tikslais;

25)jeigu asmens duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, duomenų valdytojas neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Tačiau duomenų valdytojas neturėtų atsisakyti priimti papildomos informacijos, kurią duomenų subjektas pateikia, kad pagrįstų naudojimąsi savo teisėmis. Tapatybės nustatymas turėtų apimti duomenų subjekto tapatybės nustatymą skaitmeninėmis priemonėmis, pavyzdžiui, pasitelkiant tokį tapatumo nustatymo mechanizmą kaip tie patys kredencialai, kuriuos duomenų subjektas naudoja, kad prisijungtų prie internetinės paslaugos, kurią siūlo duomenų valdytojas;

26)tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, turėtų būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal šį reglamentą. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų įgyvendintos techninės ir organizacinės priemonės siekiant užtikrinti visų pirma duomenų kiekio mažinimo principą. Asmens duomenys archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti toliau tvarkomi po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip pavyzdžiui pseudonimų suteikimas asmens duomenims). Sąjungos institucijos ir įstaigos turėtų numatyti tinkamas apsaugos priemones Sąjungos teisėje, taikomas tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais, ir jos gali apimti vidaus taisykles.

27)turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais visų pirma nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti. Duomenų valdytojas taip pat turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų;

28)pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. Be to, duomenų subjektas turėtų būti informuotas apie tai, kad vykdomas profiliavimas, ir apie tokio profiliavimo pasekmes. Kai asmens duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti asmens duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ta informacija gali būti pateikiama kartu su standartizuotomis piktogramomis, siekiant lengvai matomai, suprantamai ir aiškiai įskaitomai pateikti prasmingą numatomo tvarkymo apžvalgą. Jei piktogramos pateikiamos elektronine forma, jos turėtų būti kompiuterio skaitomos;

29)informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti jam suteikta duomenis renkant arba, kai asmens duomenys gaunami ne iš duomenų subjekto, o iš kito šaltinio, per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai asmens duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo asmens duomenų atskleidimo jų gavėjui metu. Jeigu asmens duomenų valdytojas ketina tvarkyti duomenis kitu tikslu nei tikslas, kuriuo jie buvo renkami, prieš taip toliau tvarkydamas duomenis, duomenų valdytojas turėtų pateikti duomenų subjektui informaciją apie tą kitą tikslą ir kitą būtiną informaciją. Tais atvejais, kai asmens duomenų kilmė duomenų subjektui negali būti nurodyta dėl to, kad buvo naudoti įvairūs šaltiniai, turėtų būti pateikta bendro pobūdžio informacija;

30)duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

31)duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos teisę, kuri taikoma duomenų valdytojui. Duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento. Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

32)siekiant sustiprinti teisę būti pamirštam internetinėje aplinkoje, teisė prašyti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius asmens duomenis, tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus. Tai darydamas, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir jam prieinamas priemones, įskaitant technines priemones, turėtų imtis pagrįstų veiksmų, kad apie duomenų subjekto prašymą informuotų duomenis tvarkančius asmens duomenų valdytojus;

33)būdai, kuriais ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: laikinai perkelti atrinktus duomenis į kitą tvarkymo sistemą, padaryti atrinktus asmens duomenis neprieinamus naudotojams arba laikinai išimti paskelbtus duomenis iš interneto svetainės. Automatiniuose susistemintuose rinkiniuose duomenų tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebebūtų galima pakeisti. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje turėtų būti aiškiai nurodyta;

34)kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį. Todėl ši teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos. Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą. Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini. Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

35)kai asmens duomenys galėtų būti teisėtai tvarkomi, kadangi duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

36)duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas, kuriame gali būti numatyta priemonė, kuria vertinami su juo susiję asmeniniai aspektai, kuri grindžiama tik automatizuotu duomenų tvarkymu, ir kuri jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, tokį kaip elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima „profiliavimą“, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos teisėje. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku. Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas visų pirma užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir būtų išvengta, inter alia, diskriminacinio poveikio fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba tokį poveikį turinčių priemonių atsiradimo. Automatizuotas sprendimų priėmimas ir tam tikromis asmens duomenų kategorijomis grindžiamas profiliavimas turėtų būti leidžiamas tik konkrečiomis sąlygomis;

37)teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ir įstaigų vidaus taisyklėse gali būti nustatyti apribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištaisyti ar ištrinti asmens duomenis, teisė į duomenų perkeliamumą, elektroninių pranešimų konfidencialumas ir duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės, jeigu toks ribojimas būtinas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais, taip pat apsaugą nuo grėsmių visuomenės saugumui ir šių grėsmių prevenciją, įskaitant žmonių gyvybių apsaugą, ypač reaguojant į gaivalines ar žmogaus sukeltas nelaimes, Sąjungos institucijų ir įstaigų vidaus saugumą, kitus Sąjungos arba valstybės narės svarbius bendruoju viešuoju interesu grindžiamus tikslus, visų pirma svarbų Sąjungos arba valstybės narės ekonominį arba finansinį interesą, teisę turėti viešus registrus bendrojo viešojo intereso tikslais arba duomenų apsaugą paisant kitų asmenų teisių ir laisvių, įskaitant socialinę apsaugą, visuomenės sveikatą ir humanitarinius tikslus. Jei apribojimas nėra numatytas teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ir įstaigų vidaus taisyklėse, Sąjungos institucijos ar įstaigos konkrečiu atveju gali nustatyti ad hoc apribojimą, susijusį su konkrečiais principais ir duomenų subjekto teisėmis, jei šiuo apribojimu nepažeidžiama pagrindinių teisių ir laisvių esmė, o kalbant apie konkrečią duomenų tvarkymo operaciją, šis apribojimas yra būtinas ir proporcingas demokratinėje visuomenėje siekiant apsaugoti vieną ar kelis 1 dalyje nurodytus tikslus. Apie apribojimą reikėtų pranešti duomenų apsaugos pareigūnui. Visi apribojimai turėtų atitikti Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytus reikalavimus;

38)turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms. Įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma: kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine būkle, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų. Pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;

39)siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių, kad būtų laikomasi šio reglamento reikalavimų. Tam, kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų. Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui. Vykdant viešuosius konkursus turėtų būti taip pat atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

40)atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

41)siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo. Tuo, kad duomenų tvarkytojai, išskyrus Sąjungos institucijas ir įstaigas, laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš aspektų siekiant įrodyti, kad duomenų valdytojas vykdo prievoles. Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms. Duomenų valdytojas ir duomenų tvarkytojas turėtų galėti pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba Europos duomenų apsaugos priežiūros pareigūnas, o vėliau patvirtina Komisija. Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

42)kad įrodytų, jog laikosi šio reglamento, duomenų valdytojai turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingi, įrašus, o duomenų tvarkytojai turėtų tvarkyti duomenų tvarkymo veiklos kategorijų, už kurias jie yra atsakingi, įrašus. Sąjungos institucijos ir įstaigos turėtų būti įpareigotos bendradarbiauti su Europos duomenų apsaugos priežiūros pareigūnu ir jo prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas; Sąjungos institucijos ir įstaigos turėtų turėti galimybę sukurti centrinį jų duomenų tvarkymo veiklos įrašų registrą. Skaidrumo sumetimais jie turėtų turėti galimybę padaryti šį registrą viešą;

43)siekiant užtikrinti saugumą ir užkirsti kelią šį reglamentą pažeidžiančiam duomenų tvarkymui, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir įgyvendinti jo mažinimo priemones, pavyzdžiui, šifravimą. Šiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, atsižvelgiant į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas pavojų ir saugotinų asmens duomenų pobūdžio atžvilgiu. Vertinant pavojų duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant asmens duomenis, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to visų pirma gali būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala;

44)Sąjungos institucijos ir įstaigos turėtų užtikrinti elektroninių ryšių konfidencialumą, kaip numatyta Chartijos 7 straipsnyje. Visų pirma Sąjungos institucijos ir įstaigos turėtų užtikrinti savo elektroninių ryšių tinklų saugumą, apsaugoti informaciją, susijusią su galutinių naudotojų galiniais įrenginiais, kurie turi prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių pagal Reglamentą (ES) XXXX/XX [naujasis E. privatumo reglamentas] ir apsaugoti naudotojų sąrašuose esančius asmens duomenis;

45)jei į asmens duomenų pažeidimą tinkamai ir laiku nesureaguojama, fiziniai asmenys gali patirti fizinę, turtinę arba neturtinę žalą. Todėl, vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, apie asmens duomenų saugumo pažeidimą, nebent duomenų valdytojas gali pagal atskaitomybės principą įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Kai to neįmanoma pranešti per 72 valandas, pranešant turėtų būti pateiktos vėlavimo priežastys ir informacija gali būti pateikiama etapais daugiau nepagrįstai nedelsiant. Jei vėluojama pranešti pagrįstai, mažiau konfidenciali ar mažiau specifinė informacija apie pažeidimą turėtų būti pateikta kuo anksčiau, užuot prieš pranešant išsamiai išnagrinėjus pagrindinį incidentą;

46)duomenų valdytojas nepagrįstai nedelsdamas turėtų pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai dėl to asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, kad jis galėtų imtis reikiamų priemonių užkirsti tam kelią. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Tokie pranešimai duomenų subjektams turėtų būti pateikti kuo greičiau ir glaudžiai bendradarbiaujant su Europos duomenų apsaugos priežiūros pareigūnu, laikantis jo ar kitų atitinkamų valdžios institucijų, tokių kaip teisėsaugos institucijos, pateiktų nurodymų;

47)Reglamente (EB) Nr. 45/2001 numatyta bendra duomenų valdytojo pareiga pranešti apie asmens duomenų tvarkymą duomenų apsaugos pareigūnui, kuris atitinkamai tvarkytų praneštų duomenų tvarkymo operacijų registrą. Ta prievolė susijusi su administracine ir finansine našta, tačiau ji ne visada padėdavo gerinti asmens duomenų apsaugą. Todėl tokias bendras visuotines pranešimo prievoles reikėtų panaikinti ir jas pakeisti veiksmingomis procedūromis ir mechanizmais, kurie būtų labiau orientuoti į tų rūšių duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Tokios duomenų tvarkymo operacijų rūšys gali būti tos rūšys, kurios visų pirma apima naujų technologijų naudojimą arba yra naujos rūšies operacijos ir kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo, arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką; tokiais atvejais duomenų valdytojas, kad įvertintų didelio pavojaus konkrečią tikimybę ir rimtumą, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus bei pavojaus šaltinius, prieš pradėdamas tvarkyti duomenis, turėtų atlikti poveikio duomenų apsaugai vertinimą. Tame poveikio įvertinime visų pirma turėtų būti nurodytos numatomos priemonės, apsaugos priemonės ir mechanizmai, kuriais tas pavojus būtų sumažinamas, užtikrinama asmens duomenų apsauga ir parodoma, kad laikomasi šio reglamento;

48)kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu. Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms. Europos duomenų apsaugos priežiūros pareigūnas į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį. Tačiau tai, kad Europos duomenų apsaugos priežiūros pareigūnas nesureagavo per tą laikotarpį, neturėtų turėti poveikio Europos duomenų apsaugos priežiūros pareigūno intervenciniams veiksmams jam vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitanti įgaliojimą uždrausti duomenų tvarkymo operacijas. Vykdant tą konsultavimosi procesą, Europos duomenų apsaugos priežiūros pareigūnui gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

49)Europos duomenų apsaugos pareigūnui turėtų būti pranešta apie Sąjungos institucijų ir įstaigų administracines priemones ir vidaus taisykles, kuriomis numatytas asmens duomenų tvarkymas, nustatomos duomenų subjektų teisių apribojimų sąlygos arba numatomos atitinkamos duomenų subjektų teisių garantijos siekiant užtikrinti, kad numatomas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma kad būtų sumažinta duomenų subjektui kylanti rizika;

50)Reglamentu (ES) 2016/679 Europos duomenų apsaugos valdyba nustatyta kaip nepriklausoma Sąjungos įstaiga, turinti juridinio asmens statusą. Valdyba turėtų padėti nuosekliai taikyti Reglamentą (ES) 2016/679 ir Direktyvą 2016/680 visoje Sąjungoje, taip pat teikti Komisijai rekomendacijas. Kartu Europos duomenų apsaugos priežiūros pareigūnas turėtų ir toliau vykdyti priežiūros ir patariamąsias funkcijas visų Sąjungos institucijų ir įstaigų atžvilgiu, taip pat ir savo iniciatyva ar pagal prašymą. Siekiant užtikrinti duomenų apsaugos taisyklių nuoseklumą visoje Sąjungoje, priėmus teisėkūros procedūra priimtus teisės aktus arba rengiant deleguotuosius aktus ir įgyvendinimo aktus, kaip jie apibrėžti SESV 289, 290 ir 291 straipsniuose, taip pat priėmus rekomendacijas ir pasiūlymus dėl susitarimų su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis, kaip numatyta SESV 218 straipsnyje, turinčius poveikį teisei į asmens duomenų apsauga, Komisijai turėtų būti privaloma konsultuotis. Tokiais atvejais Komisija turėtų privalėti konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, išskyrus atvejus, kai Reglamente (ES) 2016/679 numatyta privalomai konsultuotis su Europos duomenų apsaugos valdyba, pavyzdžiui, dėl sprendimų dėl tinkamumo ar deleguotųjų aktų dėl standartizuotų piktogramų ir sertifikavimo mechanizmams taikomų reikalavimų. Jei atitinkamas aktas yra ypač svarbus asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat turėtų turėti galimybę konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos priežiūros pareigūnas, kaip Europos duomenų apsaugos valdybos narys, turėtų koordinuoti savo darbą su šia valdyba, kad priimtų bendrą nuomonę. Europos duomenų apsaugos priežiūros pareigūnas ir, jei taikytina, Europos duomenų apsaugos valdyba rašytinę rekomendaciją turėtų pateikti per aštuonias savaites. Skubiais atvejais arba, pavyzdžiui, kai Komisija rengia deleguotuosius ir įgyvendinimo aktus, šis laikotarpis turėtų būti trumpesnis;

51)kiekvienos Sąjungos institucijos ar įstaigos duomenų apsaugos pareigūnas turėtų užtikrinti, kad būtų taikomos šio reglamento nuostatos, ir dėl įsipareigojimų vykdymo konsultuoti duomenų valdytojus. Šis pareigūnas turėtų turėti ekspertinių žinių duomenų apsaugos teisės ir praktikos srityje, o jo žinių lygis turėtų būti nustatomas visų pirma atsižvelgiant į atliekamas duomenų tvarkymo operacijas ir duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų reikiamą apsaugą. Tokie duomenų apsaugos pareigūnai savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;

52)jei asmens duomenys iš Sąjungos institucijų ir įstaigų duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis, be kita ko, tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai. Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento. Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

53)Komisija taip pat turėtų galėti pripažinti, kad trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo duomenų apsaugos lygio. Šiais atvejais asmens duomenys į tokią trečią valstybę gali būti perduodami be papildomo leidimo;

54)jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti. Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis arba priežiūros institucijos pripažintomis sutarties sąlygomis. Jei duomenų tvarkytojas yra ne Sąjungos institucija ar įstaiga, atitinkamos garantijos taip pat gali būti įmonėms privalomos taisyklės, elgesio kodeksai ir sertifikavimo mechanizmai, taikomi tarptautiniam asmens duomenų perdavimui pagal Reglamentą (ES) 2016/679. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje. Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi. Sąjungos institucijos ar įstaigos taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės. Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas Europos duomenų apsaugos priežiūros pareigūno leidimas;

55)galimybė duomenų valdytojui arba duomenų tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba duomenų tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis, tokias kaip duomenų tvarkytojo sutartis su kitais duomenų tvarkytojais, ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ar nedaro poveikio duomenų subjektų pagrindinėms teisėms ir laisvėms. Duomenų valdytojai ir duomenų tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

56)kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą. Asmens duomenis turėtų būti leidžiama tik jeigu yra tenkinamos šiame reglamente nustatytos duomenų perdavimo į trečiąją valstybę sąlygos. Taip gali būti, be kita ko, kai duomenis būtina atskleisti dėl Sąjungos teisėje pripažįstamos svarbios viešojo intereso priežasties;

57)turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenų perdavimas atliekamas nereguliariai ir yra būtinas dėl sutarties ar ieškinio, nepaisant to, ar jis pareikštas teisminėje ar administracinėje, ar bet kokioje kitoje neteisminėje procedūroje, įskaitant procedūras reguliavimo organuose. Taip pat turėtų būti numatyta galimybė perduoti duomenis, kai tai reikalinga dėl svarbių Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso priežasčių, arba kai duomenys perduodami iš teisės aktu įsteigto registro, kuris skirtas naudoti visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų asmens duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;

58)šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp Sąjungos institucijų ir įstaigų ir konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamąsias ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;

59)bet kuriuo atveju, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje valstybėje, duomenų valdytojas arba duomenų tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinamos vykdytinos ir veiksmingos teisės jų duomenų tvarkymo Sąjungoje atžvilgiu, kai tie duomenys yra perduoti, kad jie ir toliau galėtų naudotis pagrindinėmis teisėmis ir apsaugos priemonėmis;

60)kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį Europos duomenų apsaugos priežiūros pareigūno ir kitų duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti keistis informacija su užsienio kolegomis;

61)Europos duomenų apsaugos priežiūros pareigūno, įgalioto visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas valstybėse narėse yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių. Šiuo reglamentu turėtų būti papildomai sustiprinamas ir patikslinamas jo vaidmuo ir nepriklausomumas;

62)siekiant užtikrinti nuoseklų duomenų apsaugos taisyklių stebėjimą ir įgyvendinimo užtikrinimą visoje Sąjungoje, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti tas pačias užduotis ir veiksmingus įgaliojimus kaip ir valstybių narių priežiūros institucijos, įskaitant įgaliojimus atlikti tyrimus, taisomuosius įgaliojimus ir įgaliojimus skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma kai skundus pateikia fiziniai asmenys, ir atkreipti Europos Sąjungos Teisingumo Teismo dėmesį į šio reglamento pažeidimus bei dalyvauti teismo procesuose pagal pirminę teisę. Tokie įgaliojimai turėtų apimti ir įgaliojimą nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant jo draudimą. Kad atitinkami asmenys, kuriems gali būti padarytas neigiamas poveikis, nepatirtų nereikalingų išlaidų ir pernelyg didelių nepatogumų, kiekviena Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti, kad būtų laikomasi šio reglamento, ja, prieš imantis bet kokios individualios priemonės, turėtų būti atsižvelgiama į kiekvieno konkretaus atvejo aplinkybes ir paisoma kiekvieno asmens teisės būti išklausytam. Kiekviena teisiškai privaloma Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonės paskelbimo data, ją turėtų būti pasirašęs Europos duomenų apsaugos priežiūros pareigūnas, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę;

63)kaip apibrėžta šiame reglamente, Europos duomenų apsaugos priežiūros pareigūno veiklos ataskaitoje turėtų būti paskelbti su duomenų tvarkymo veiksmais susiję jos sprendimai dėl išimčių, garantijų, leidimų ir sąlygų. Be skelbiamos metinės veiklos ataskaitos, Europos duomenų apsaugos priežiūros pareigūnas gali paskelbti konkrečių klausimų ataskaitas;

64)nacionalinės priežiūros institucijos stebi, kaip taikomos nuostatos pagal šį reglamentą, ir padeda jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui vidaus rinkoje. Siekiant didinti valstybėse narėse duomenų apsaugos taisyklių ir Sąjungos institucijoms ir įstaigoms taikytinų duomenų apsaugos taisyklių taikymo nuoseklumą, Europos duomenų apsaugos priežiūros pareigūnas turėtų veiksmingai bendradarbiauti su nacionalinėmis priežiūros institucijomis;

65)tam tikrais atvejais Sąjungos teisėje numatytas koordinuotosios priežiūros modelis, bendrai taikomas Europos duomenų apsaugos priežiūros pareigūnui ir nacionalinėms priežiūros institucijoms. Be to, Europos duomenų apsaugos priežiūros pareigūnas yra Europolo priežiūros institucija, o specialusis bendradarbiavimo su nacionalinėmis priežiūros institucijomis modelis nustatomas įsteigiant bendradarbiavimo valdybą, kuri atlieka patariamąją funkciją. Siekiant gerinti veiksmingą esminių duomenų apsaugos taisyklių priežiūrą ir įgyvendinimo užtikrinimą, Sąjungoje reikėtų nustatyti vieną bendrą, suderintą koordinuotos priežiūros modelį. Todėl Komisija prireikus turėtų teikti pasiūlymus dėl teisės aktų, siekdama iš dalies pakeisti Sąjungos teisės aktus, kuriais numatomas koordinuotos priežiūros modelis, kad suderintų juos su šiame reglamente nustatytu koordinuotos priežiūros modeliu. Europos duomenų apsaugos valdyba turėtų veikti kaip vienas bendras forumas, kuriuo valdyboje būtų užtikrinama veiksminga koordinuota priežiūra;

66)kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui, ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę Europos Sąjungos Teisingumo Teisme pagal Sutartis, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos arba jeigu Europos duomenų apsaugos priežiūros pareigūnas nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Europos duomenų apsaugos priežiūros pareigūnas turėtų per pagrįstą laikotarpį informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatus. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su nacionaline priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, Europos duomenų apsaugos priežiūros pareigūnas turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima taip pat užpildyti elektroniniu būdu, neatmesdama galimybių naudotis ir kitomis ryšio priemonėmis;

67)bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turėtų turėti teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą laikantis Sutartyje numatytų sąlygų;

68)siekiant stiprinti Europos duomenų apsaugos priežiūros pareigūno atliekamą priežiūros funkciją ir veiksmingiau įgyvendinti šį reglamentą, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti įgaliojimus kaip kraštutinę sankciją taikyti administracines baudas. Baudomis turėtų būti siekiama nubausti instituciją ar įstaigą, o ne fizinius asmenis, už šio reglamento nesilaikymą, atgrasyti nuo būsimų šio reglamento pažeidimų ir paskatinti asmens duomenų apsaugos kultūrą Sąjungos institucijose ir įstaigose. Šiame reglamente reikėtų nurodyti pažeidimus ir su jais susijusių administracinių baudų viršutines ribas bei jų nustatymo kriterijus. Baudas kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. Skirdamas administracinę baudą Sąjungos įstaigai, Europos duomenų apsaugos priežiūros pareigūnas turėtų apsvarstyti baudos dydžio proporcingumą. Per administracinę baudų skyrimo Sąjungos institucijoms ir įstaigoms procedūrą reikėtų paisyti bendrųjų Sąjungos teisės principų, kaip juos yra išaiškinęs Europos Sąjungos Teisingumo Teismas;

69)jei duomenų subjektas mano, kad pažeidžiamos šiuo reglamentu numatytos jo teisės, jis turėtų teisę įgalioti pagal Sąjungos teisę ar valstybės narės teisę įsteigtą ne pelno įstaigą, organizaciją ar asociaciją, kurios įstatuose numatytais tikslais siekiama viešojo intereso ir kuri veikia asmens duomenų apsaugos srityje, šio asmens vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui. Tokia įstaiga, organizacija ar asociacija taip pat turėtų galėti įgyvendinti teisę į teisminę teisių gynimo priemonę duomenų subjektų vardu arba įgyvendinti teisę duomenų subjektų vardu gauti kompensaciją;

70)jei Sąjungos pareigūnas ar kitas tarnautojas nesilaiko šio reglamento įpareigojimų, Europos Sąjungos pareigūnų tarnybos nuostatuose arba kitų tarnautojų įdarbinimo sąlygose nustatyta tvarka jam turėtų būti taikomos drausminės ar kitos priemonės;

71)siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, kai tai numatyta šiuo reglamentu. Šiais įgaliojimais turėtų būti naudojamasi pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 182/2011 16 . Nagrinėjimo procedūra turėtų būti taikoma siekiant priimti standartines sutarčių sąlygas, taikomas tarp duomenų valdytojų ir duomenų tvarkytojų ir tarp duomenų tvarkytojų, siekiant patvirtinti duomenų tvarkymo operacijų, kurias atliekant duomenų valdytojams privaloma konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, sąrašą, kai jie tvarko duomenis siekdami atlikti užduotį, kuria siekiama viešojo intereso, taip pat priimant standartines sutarčių sąlygas, kuriose numatytos atitinkamos apsaugos priemonės, taikomos tarptautiniam duomenų perdavimui;

72)konfidenciali informacija, kurią Sąjungos ir nacionalinės statistikos institucijos renka oficialiai Europos ir oficialiai nacionalinei statistikai rengti, turėtų būti apsaugota. Europos statistika turėtų būti plėtojama, rengiama ir skleidžiama laikantis statistikos principų, nustatytų SESV 338 straipsnio 2 dalyje, o nacionalinė statistika taip pat turėtų atitikti valstybės narės teisę. Europos Parlamento ir Tarybos reglamente (EB) Nr. 223/2009 17 pateikiama papildoma patikslinta informacija apie Europos statistikos konfidencialumą;

73)Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB turėtų būti panaikinti. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą;

74)siekiant apsaugoti visišką nepriklausomos priežiūros institucijos narių nepriklausomumą, šis reglamentas neturėtų turėti įtakos esamo Europos duomenų apsaugos priežiūros pareigūno ir esamo jo pavaduotojo kadencijai. Esamas Europos duomenų apsaugos priežiūros pareigūno pavaduotojas turėtų eiti savo pareigas iki savo kadencijos pabaigos, nebent yra įvykdoma viena iš šiame reglamente nustatytų išankstinio Europos duomenų apsaugos priežiūros pareigūno kadencijos pasibaigimo sąlygų. Atitinkamos šio reglamento nuostatos turėtų būti taikomos Europos duomenų apsaugos priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos;

75)laikantis proporcingumo principo, kad būtų pasiektas pagrindinis tikslas užtikrinti lygiavertį fizinių asmenų apsaugos lygį ir laisvą asmens duomenų judėjimą visoje Sąjungoje, būtina ir reikalinga nustatyti asmens duomenų tvarkymo Sąjungos institucijose ir įstaigose taisykles. Pagal Europos Sąjungos sutarties 5 straipsnio 4 dalį šiuo reglamentu neviršijama to, kas būtina nurodytiems tikslams pasiekti;

76)vadovaujantis Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris pateikė nuomonę XX/XX/XXXX,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir tikslai

1.Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga, Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant asmens duomenis ir taisyklės, susijusios su laisvu asmens duomenų judėjimu tarp šių institucijų arba Sąjungoje įsteigtiems gavėjams, laikantis Reglamento (ES) 2016/679 18 arba nacionalinės teisės nuostatų, priimtų pagal Direktyvą (ES) 2016/680 19 .

2.Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3.Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) stebi šio reglamento nuostatų taikymą visoms Sąjungos institucijos ar įstaigos atliekamoms duomenų tvarkymo operacijoms.

2 straipsnis

Taikymo sritis

1.Šis reglamentas taikomas visų Sąjungos institucijų ir įstaigų atliekamam asmens duomenų tvarkymui, jei asmens duomenys tvarkomi vykdant veiklą, kuri visiškai ar iš dalies patenka į Sąjungos teisės taikymo sritį.

2.Šis reglamentas taikomas asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis, ir asmens duomenų tvarkymui neautomatizuotomis priemonėmis, kai šie duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje.

3 straipsnis

Sąvokų apibrėžtys

1.Šiame reglamente taikomos toliau nurodytų sąvokų apibrėžtys:

(a)Reglamente (ES) 2016/679 pateiktos sąvokų apibrėžtys, išskyrus jo 4 straipsnio 7 punkte vartojamą sąvoką „duomenų valdytojas“;

(b) sąvokos „elektroniniai ryšiai“ apibrėžtis, pateikta Reglamento (ES) XX/XXXX [E. privatumo reglamentas] 4 straipsnio 2 dalies a punkte;

(c) sąvokų „elektroninių ryšių tinklas“ ir „galutinis naudotojas“ apibrėžtys, atitinkamai pateiktos Direktyvos 00/0000/ES [Direktyva, kuria nustatomas Europos elektroninių ryšių kodeksas] 2 straipsnio 1 ir 14 punktuose;

(d) sąvokos „galinis įrenginys“ apibrėžtis, pateikta Komisijos direktyvos 2008/63/EB 20 . 1 straipsnio 1 punkte.

2.Be to, šiame reglamente taikomos toliau nurodytos sąvokų apibrėžtys:

(a)Sąjungos institucijos ir įstaigos – Sąjungos institucijos, įstaigos, tarnybos ir agentūros, įsteigtos Europos Sąjungos sutartimi, Sutartimi dėl Europos Sąjungos veikimo ar Euratomo sutartimi ar remiantis šiomis Sutartimis;

(b)duomenų valdytojas – Sąjungos institucija, įstaiga, tarnyba ar agentūra, generalinis direktoratas ar bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; jei tvarkymo tikslai ir priemonės nustatomi specialiu Sąjungos aktu, duomenų valdytojas ar konkretūs jo skyrimo kriterijai gali būti numatyti Sąjungos teisėje;

(c)naudotojas – bet kuris fizinis asmuo, naudojantis tinklą ar galinį įrenginį, eksploatuojamą kontroliuojant Sąjungos institucijai ar įstaigai;

(d)sąrašas – viešai prieinamas naudotojų sąrašas arba vidinis naudotojų sąrašas, prieinamas Sąjungos institucijoje ar įstaigoje arba kurio duomenimis dalijasi Sąjungos institucijos ir įstaigos, nesvarbu, ar jis būtų spausdintos, ar elektroninės formos.

II SKYRIUS.

PRINCIPAI

4 straipsnis

Su asmens duomenų tvarkymu susiję principai

1.Asmenys duomenys turi būti:

a)duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 13 straipsnį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs ar išsamūs, atsižvelgiant į jų rinkimo ar tolesnio tvarkymo, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

e)laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 13 straipsnį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

f)tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2.Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

5 straipsnis

Tvarkymo teisėtumas

1.Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant Sąjungos institucijai ar įstaigai pavestas viešosios valdžios funkcijas;

b)tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

c)tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

d)duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

e)tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

2.Šio straipsnio 1 dalies a punkte nurodytos užduotys turi būti nustatytos Sąjungos teisėje.

6 straipsnis

Tvarkymas siekiant kito suderinamo tikslo

Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 25 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 10 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 11 straipsnį;

d)numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

7 straipsnis

Sutikimo sąlygos

1.Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

2.Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Jokia tokio pareiškimo dalis, kuria pažeidžiamas šis reglamentas, nėra privaloma.

3.Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.

4.Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

8 straipsnis

Sąlygos, taikomos vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui

1.Kai taikomas 5 straipsnio 1 dalies d punktas, kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 13 metų amžiaus. Kai vaikas yra jaunesnis nei 13 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas.

2.Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda pagrįstas pastangas, kad tokiais atvejais patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas.

3.1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai taisyklėms dėl su vaiku sudaromos sutarties galiojimo, sudarymo arba poveikio.

9 straipsnis

Asmens duomenų perdavimas Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir įstaigos ir kuriems taikomi Reglamentas (ES) 2016/679 ar Direktyva (ES) 2016/680

1.Nepažeidžiant 4, 5, 6 ir 10 straipsnių, asmens duomenys perduodami Sąjungoje įsteigtiems gavėjams, kuriems taikomas Reglamentas (ES) 2016/679 arba nacionalinė teisė, priimta pagal Direktyvą (ES) 2016/680, jei gavėjas įrodo:

a)tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant viešosios valdžios funkcijas arba

b)kad duomenis būtina perduoti, jų perdavimas yra proporcingas duomenų perdavimo tikslams ir jei nėra pagrindo daryti prielaidos, kad gali būti pažeistos duomenų subjekto teisės ir laisvės bei teisėti interesai.

2.Jei duomenys pagal šį straipsnį perduodami duomenų valdytojo iniciatyva, jis turi įrodyti, kad asmens duomenų perdavimas yra būtinas ir proporcingas jų perdavimo tikslams, taikydamas šio straipsnio 1 dalies a arba b punktuose nustatytus kriterijus.

10 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

1.Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2.1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos arba valstybės narės teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

b)tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos teisėje, kurioje nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės arba

c)tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

d)duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekianti ne pelno organizacija, kuri yra į Sąjungos instituciją ar įstaigą integruotas subjektas, vykdydama teisėtą veiklą ir taikydama tinkamas apsaugos priemones, ir su sąlyga, kad tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su ja dėl jos siekiamų tikslų, duomenys ir kad asmens duomenys neatskleidžiami už organizacijos ribų be duomenų subjektų sutikimo;

e)tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai Europos Sąjungos Teisingumo Teismas vykdo savo teisminius įgaliojimus arba

g)tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis Sąjungos teise, ir tvarkymas būti proporcingas tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų, užtikrinant tinkamas ir konkrečias duomenų subjekto pagrindinių teisių ir interesų apsaugos priemones;

h)tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

i)tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis Sąjungos teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma profesinė paslaptis;

j)tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais remiantis Sąjungos teise, ir jų tvarkymas turi būti proporcingas tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

3.1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos teisę taikoma pareiga saugoti profesinę paslaptį.

11 straipsnis

Asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas

Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones remiantis 5 straipsnio 1 dalimi tvarkomi tik jei duomenų tvarkymas leidžiamas pagal Sąjungos teisę, kuri gali apimti vidaus taisykles, kuriose nustatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

12 straipsnis

Duomenų tvarkymas, kai asmens tapatybės nustatyti nereikia

1.Jeigu dėl tikslų, kuriais duomenų valdytojas tvarko asmens duomenis, duomenų valdytojui nebūtina ar nebėra būtina nustatyti duomenų subjekto tapatybės, duomenų valdytojas nėra įpareigojamas laikyti, gauti ar tvarkyti papildomą informaciją duomenų subjekto tapatybei nustatyti vien tam, kam būtų laikomasi šio reglamento.

2.Kai šio straipsnio 1 dalyje nurodytais atvejais duomenų valdytojas gali įrodyti, kad neturi galimybės nustatyti duomenų subjekto tapatybės, duomenų valdytojas, jei įmanoma, informuoja apie tai duomenų subjektą. Tokiais atvejais 17–22 straipsniai netaikomi, išskyrus atvejus, kai duomenų subjektas, siekdamas pasinaudoti pagal tuos straipsnius jam suteiktomis teisėmis, pateikia papildomos informacijos, leidžiančios nustatyti jo tapatybę.

13 straipsnis

Apsaugos priemonės, susijusios su duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais

Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal šį reglamentą taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Tomis apsaugos priemonėmis užtikrinama, kad būtų įdiegtos techninės ir organizacinės priemonės, visų pirma siekiant užtikrinti, kad būtų laikomasi duomenų kiekio mažinimo principo. Tos priemonės gali apimti pseudonimų suteikimą, jeigu tie tikslai gali būti pasiekti tuo būdu. Visais atvejais, kai tuos tikslus galima pasiekti toliau tvarkant duomenis, iš kurių negalima arba nebegalima nustatyti duomenų subjektų tapatybės, tų tikslų siekiama tuo būdu.

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

1 SKIRSNIS

SKAIDRUMAS IR SĄLYGOS

14 straipsnis

Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos

1.Duomenų valdytojas imasi tinkamų priemonių, kad visą 15 ir 16 straipsniuose nurodytą informaciją ir visus pranešimus pagal 17–24 ir 38 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.

2.Duomenų valdytojas sudaro palankesnes sąlygas naudotis 17–24 straipsniuose nustatytomis duomenų subjekto teisėmis. 12 straipsnio 2 dalyje nurodytais atvejais duomenų valdytojas neatsisako imtis veiksmų pagal duomenų subjekto prašymą pasinaudoti teisėmis pagal 17–24 straipsnius, nebent duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.

3.Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 17–24 straipsnius. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

4.Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui bei pasinaudoti teisių gynimo priemone.

5.Pagal 15 ir 16 straipsnius teikiama informacija ir visi pranešimai bei visi veiksmai pagal 17–24 ir 38 straipsnius yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali atsisakyti imtis veiksmų dėl prašymo.

Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

6.Nedarant poveikio 12 straipsniui, kai duomenų valdytojas turi pagrįstų abejonių dėl 17–23 straipsniuose nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

7.Informacija, kuri duomenų subjektams turi būti teikiama pagal 15 ir 16 straipsnius, gali būti teikiama su standartizuotomis piktogramomis siekiant, kad numatomas duomenų tvarkymas būtų prasmingai apibendrintas lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Kai piktogramos pateikiamos elektronine forma, jos turi būti kompiuterio skaitomos.

8.Jei Komisija priima deleguotuosius aktus pagal Reglamento (ES) 2016/679 12 straipsnio 8 dalį, kuriais nustatoma, kokia informacija turi būti pateikta piktogramomis, ir standartizuotų piktogramų pateikimo procedūros, Sąjungos institucijos ir įstaigos, jei taikytina, pateikia informaciją pagal 15 ir 16 straipsnius kartu su šiomis standartizuotomis piktogramomis.

2 SKIRSNIS

INFORMAVIMAS IR TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS

15 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto

1.Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

a)duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)duomenų apsaugos pareigūno kontaktinius duomenis;

c)duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas, jei jos yra;

e)kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba 49 straipsnyje nurodytų duomenų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

2.Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

a)asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, o tam tikrais atvejais teisę nesutikti, kad duomenys būtų tvarkomi, arba teisę į duomenų perkeliamumą;

c)kai duomenų tvarkymas grindžiamas 5 straipsnio 1 dalies d punktu arba 10 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

e)tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

f)tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3.Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

4.1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

16 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1.Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)duomenų apsaugos pareigūno kontaktinius duomenis;

c)duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)atitinkamų asmens duomenų kategorijos;

e)jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

f)kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 49 straipsnyje nurodytų duomenų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2.Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

d)teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

e)koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

3.Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

(a)per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

(b)jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

(c)jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4.Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5.1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)duomenų subjektas jau turi informacijos;

b)tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus;

c)duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos teisėje; arba

d)kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos teise reglamentuojamos profesinės paslapties prievolės.

17 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1.Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)duomenų tvarkymo tikslai;

b)atitinkamų asmens duomenų kategorijos;

c)duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

g)kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2.Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 49 straipsnį.

3.Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4.3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

3 SKIRSNIS

DUOMENŲ IŠTAISYMAS IR IŠTRYNIMAS

18 straipsnis

Teisė reikalauti ištaisyti duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

19 straipsnis

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

1.Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

b)asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 5 straipsnio 1 dalies d punktą arba 10 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)duomenų subjektas nesutinka su duomenų tvarkymu pagal 23 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

d)asmens duomenys buvo tvarkomi neteisėtai;

e)asmens duomenys turi būti ištrinti laikantis Sąjungos teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;

f)asmens duomenys buvo surinkti 8 straipsnio 1 dalyje nurodyto informacinės visuomenės paslaugų siūlymo kontekste.

2.Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

3.1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

a)siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

b)siekiant laikytis Sąjungos teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

c)dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 10 straipsnio 2 dalies h bei i punktus ir 10 straipsnio 3 dalį;

d)archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba

e)siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

20 straipsnis

Teisė apriboti duomenų tvarkymą

1.Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:

a)asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą, įskaitant jų išsamumą;

b)asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c)duomenų valdytojui asmens duomenų nebereikia duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

d)duomenų subjektas pagal 23 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

2.Kai duomenų tvarkymas yra apribotas pagal 1 dalį, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

3.Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal 1 dalį, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

4.Automatizuotuose susistemintuose rinkiniuose tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis. Apie asmens duomenų susistemintoje rinkmenoje tvarkymo veiksmų ribojimą yra nurodoma taip, kad būtų aišku, jog yra draudžiama naudoti asmens duomenis.

21 straipsnis

Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal 18 straipsnį, 19 straipsnio 1 dalį ir 20 straipsnį, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.

22 straipsnis

Teisė į duomenų perkeliamumą

1.Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

a)duomenų tvarkymas yra grindžiamas sutikimu pagal 5 straipsnio 1 dalies d punktą arba 10 straipsnio 2 dalies a punktą arba sutartimi pagal 5 straipsnio 1 dalies c punktą; ir

b)duomenys yra tvarkomi automatizuotomis priemonėmis.

2.Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

3.Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 19 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

4.1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

4 SKIRSNIS

TEISĖ NESUTIKTI IR AUTOMATIZUOTAS ATSKIRŲ SPRENDIMŲ PRIĖMIMAS

23 straipsnis

Teisė nesutikti

1.Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 5 straipsnio 1 dalies a punktą, įskaitant profiliavimą remiantis ta nuostata. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2.Duomenų subjektas apie 1 dalyje nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

3.Naudojimosi informacinės visuomenės paslaugomis atveju, nepažeidžiant 34 ir 35 straipsnių, duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis, kurioms naudojamos techninės specifikacijos.

4.Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

24 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1.Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

2.1 dalis netaikoma, jeigu sprendimas:

a)yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

b)yra leidžiamas Sąjungos teisėje, kurioje taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba

c)yra pagrįstas aiškiu duomenų subjekto sutikimu.

3.2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4.2 dalyje nurodyti sprendimai negrindžiami 10 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 10 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

5 SKIRSNIS

APRIBOJIMAI

25 straipsnis

Apribojimai

1.Teisės aktais, priimtais remiantis Sutartimis, arba klausimais, susijusiais su Sąjungos institucijų ir įstaigų veikla, šių institucijų ir įstaigų nustatytomis vidaus taisyklėmis 14–22, 34 ir 38 straipsnių, taip pat 4 straipsnio taikymas gali būti apribotas, tiek, kiek jo nuostatos atitinka 14–22 straipsniuose numatytas teises ir prievoles, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

(a)valstybių narių valstybės, visuomenės saugumą ar krašto apsaugą;

(b)nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

(c)kitus Sąjungos tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

(d)Sąjungos institucijų ir įstaigų vidaus saugumą, įskaitant jų elektroninių ryšių tinklų saugumą;

(e)teismų nepriklausomumo ir teismo proceso apsaugą;

(f)reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos;

(g)stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a–c punktuose nurodytais atvejais;

(h)duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;

(i)civilinių ieškinių vykdymo užtikrinimą.

2.Jei apribojimas nenustatytas teisės aktu, priimtu remiantis Sutartimis, arba vidaus taisykle pagal šio straipsnio 1 dalį, Sąjungos institucijos ir įstaigos gali apriboti 14–22, 34 ir 38 straipsnių, taip pat 4 straipsnio taikymą, tiek, kiek jo nuostatos atitinka 14–22 straipsniuose numatytas teises ir prievoles, kai tokiu apribojimu konkrečios duomenų tvarkymo operacijos atžvilgiu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė vienam ar keliems 1 dalyje nurodytiems tikslams užtikrinti. Apie apribojimą pranešama kompetentingam duomenų apsaugos pareigūnui.

3.Kai asmens duomenys tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, Sąjungos teisės aktais, kurie gali apimti vidaus taisykles, gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 17, 18, 20 ir 23 straipsniuose nurodytomis teisėmis, jei taikomos 13 straipsnyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

4.Kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, Sąjungos teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 17, 18, 20, 21, 22 ir 23 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 13 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

5.1, 3 ir 4 dalyse nurodytos vidaus taisyklės turi būti pakankamai aiškios ir tikslios, be to, jos turi būti tinkamai skelbiamos.

6.Jeigu yra nustatytas šio straipsnio 1 ar 2 dalyje numatytas apribojimas, duomenų subjektas pagal Sąjungos teisę yra informuojamas apie pagrindines tokio apribojimo taikymo priežastis ir savo teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui.

7.Jeigu šio straipsnio 1 ar 2 dalyje numatytas apribojimas yra nustatytas tam, kad nebūtų leista duomenų subjektui susipažinti su savo asmens duomenimis, Europos duomenų apsaugos priežiūros pareigūnas tirdamas skundą tik informuoja jį, ar duomenys buvo tvarkomi tinkamai, o jeigu ne, ar tai buvo ištaisyta.

8.Šio straipsnio 6 ir 7 dalyse, taip pat 46 straipsnio 2 dalyje nurodytos informacijos pateikimas gal būti atidėtas, ji gali būti nepateikiama arba gali būti atsisakyta ją pateikti, jei dėl jos pateikimo nebeveiktų pagal šio straipsnio 1 ar 2 dalį nustatytas apribojimas.

IV SKYRIUS

DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 SKIRSNIS

BENDROSIOS PAREIGOS

26 straipsnis

Duomenų valdytojo atsakomybė

1.Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2.Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

27 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2.Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

28 straipsnis

Bendri duomenų valdytojai

1.Kai Sąjungos institucija ar įstaiga kartu su vienu ar keliais duomenų valdytojais, kurie gali būti Sąjungos institucijos ar įstaigos, arba ne Sąjungos institucijos ar įstaigos, bendrai nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 15 ir 16 straipsniuose nurodytą informaciją, vykdymą remiantis tarpusavio susitarimu, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2.1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3.Duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą vieno ar kelių bendrų duomenų valdytojų atžvilgiu, atsižvelgiant į jų vaidmenis, kurie yra nustatyti šio straipsnio 1 dalyje nustatytų susitarimų sąlygose.

29 straipsnis

Duomenų tvarkytojas

1.Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, taip suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3.Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:

a)tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

b)užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;

c)imasi visų priemonių, kurių reikalaujama pagal 33 straipsnį;

d)laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;

e)atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;

f)padeda duomenų valdytojui užtikrinti 33–40 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti;

h)pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.

Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

4.Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.

5.Jei duomenų tvarkytojas nėra Sąjungos institucija ar įstaiga, tuo, kad jis laikosi patvirtinto elgesio kodekso, nurodyto Reglamento (ES) 2016/679 40 straipsnio 5 dalyje, arba patvirtinto sertifikavimo mechanizmo, nurodyto Reglamento (ES) 2016/679 42 straipsnyje, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse.

6.Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant kai jos yra duomenų valdytojui, išskyrus Sąjungos instituciją ar įstaigą pagal Reglamento (ES) 2016/679 42 straipsnį, suteikiamo sertifikavimo dalis.

7.Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 70 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

8.Europos duomenų apsaugos priežiūros pareigūnas šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas.

9.Šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, įskaitant elektronine forma.

10.Nedarant poveikio 65 ir 66 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.

30 straipsnis

Duomenų valdytojui ir duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

31 straipsnis

Duomenų tvarkymo veiklos įrašai

1.Kiekvienas duomenų valdytojas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)duomenų valdytojo, duomenų apsaugos pareigūno ir, jei taikoma, duomenų tvarkytojo ir bendro duomenų valdytojo vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)duomenų tvarkymo tikslai;

c)duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus valstybėse narėse, trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e)kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir tinkamų apsaugos priemonių dokumentai;

f)kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)kai įmanoma, bendras 33 straipsnyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2.Kiekvienas duomenų tvarkytojas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)duomenų tvarkytojo arba duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir tinkamų apsaugos priemonių dokumentai;

d)kai įmanoma, bendras 33 straipsnyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3.1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4.Sąjungos institucijos ir įstaigos paprašius pateikia šiuos įrašus Europos duomenų apsaugos priežiūros pareigūnui.

5.Sąjungos institucijos ir įstaigos gali nuspręsti tvarkyti savo duomenų tvarkymo veiklos apskaitą centriniame registre. Tokiu atveju jos taip pat gali nuspręsti padaryti registrą viešai prieinamą.

32 straipsnis

Bendradarbiavimas su Europos duomenų apsaugos priežiūros pareigūnu

Sąjungos institucijos ir įstaigos paprašytos bendradarbiauja su Europos duomenų apsaugos priežiūros pareigūnu, jam atliekant savo užduotis.

2 SKIRSNIS

ASMENS DUOMENŲ SAUGUMAS IR ELEKTRONINIŲ PRANEŠIMŲ KONFICENCIALUMAS

33 straipsnis

Duomenų tvarkymo saugumas

1.Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

(a)pseudonimų suteikimą asmens duomenims ir jų šifravimą;

(b)gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

(c)gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

(d)reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

2.Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

3.Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos teisę.

34 straipsnis

Elektroninių pranešimų konfidencialumas

Sąjungos institucijos ir įstaigos užtikrina elektroninių pranešimų konfidencialumą, visų pirma apsaugodamos savo elektroninių ryšių tinklus.

35 straipsnis

Informacijos, susijusios su galutinių naudotojų galiniais įrenginiais, apsauga

Sąjungos institucijos ir įstaigos turi apsaugoti informaciją, susijusią su galutinių naudotojų galiniais įrenginiais, kurie turi prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių pagal Reglamentą (ES) XX/XXXX [naujasis E. privatumo reglamentas], visų pirma jo 8 straipsnį.

36 straipsnis

Naudotojų sąrašai

1.Naudotojų sąrašuose nurodyti asmens duomenys ir teisė pasinaudoti tokiais naudotojų sąrašais griežtai apribota tokia apimtimi, kuri būtina konkrečiais sąrašų tikslais.

2.Sąjungos institucijos ir įstaigos imasi visų priemonių, būtinų, kad tuose sąrašuose įtraukti asmens duomenys nebūtų naudojami tiesioginės rinkodaros tikslais, nepaisant to, ar jie yra viešai prieinami ar ne.

37 straipsnis

Pranešimas Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą

1.Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Europos duomenų apsaugos priežiūros pareigūnui, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

2.Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

3.1 dalyje nurodytame pranešime turi būti bent:

a)aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)kai taikoma, duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis;

c)aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

4.Kai ir jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

5.Duomenų valdytojas praneša duomenų apsaugos pareigūnui apie asmens duomenų pažeidimą.

6.Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasis tais dokumentais, Europos duomenų apsaugos priežiūros pareigūnas turi galėti patikrinti, ar laikomasi šio straipsnio.

38 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1.Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2.Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 37 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3.1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

a)duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4.Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Europos duomenų apsaugos priežiūros pareigūnas, apsvarstęs, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 SKIRSNIS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS IR IŠANKSTINĖS KONSULTACIJOS

39 straipsnis

Poveikio duomenų apsaugai vertinimas

1.Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2.Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu.

3.1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

a)sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)10 straipsnyje nurodytų specialių kategorijų duomenų arba 11 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c) sistemingas viešos vietos stebėjimas dideliu mastu.

4.Europos duomenų apsaugos priežiūros pareigūnas sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą.

5.Europos duomenų apsaugos priežiūros pareigūnas taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

6.Įvertinime pateikiama bent jau:

a)sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai;

b)duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir ir

d)pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

7.Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi Reglamento (ES) 2016/679 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

8.Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

9.Jeigu duomenų tvarkymas pagal 5 straipsnio 1 dalies a arba b punktą turi teisinį pagrindą pagal Sutartis priimtuose teisės aktuose ir šie teisės aktai reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas vykdant bendrą poveikio vertinimą prieš priimant tą teisės aktą, šio straipsnio 1–6 dalys netaikomos, išskyrus atvejus, kai Sąjungos teisėje numatyta kitaip.

10.Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

40 straipsnis

Išankstinės konsultacijos

1.Kai iš poveikio duomenų apsaugai vertinimo, atlikto pagal 39 straipsnį, paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą duomenų valdytojas turėtų konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu. Duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu dėl išankstinės konsultacijos poreikio.

2.Jeigu Europos duomenų apsaugos priežiūros pareigūnas laikosi nuomonės, kad 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, Europos duomenų apsaugos priežiūros pareigūnas ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais 59 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Europos duomenų apsaugos priežiūros pareigūnas informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratęsimą per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. Tie laikotarpiai gali būti sustabdyti iki Europos duomenų apsaugos priežiūros pareigūnui gavus informaciją, kurios jis buvo paprašęs konsultacijų tikslais.

3.Konsultuodamasis su Europos duomenų apsaugos priežiūros pareigūnu pagal 1 dalį, duomenų valdytojas Europos duomenų apsaugos priežiūros pareigūnui nurodo:

a)kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis;

b)numatyto duomenų tvarkymo tikslus ir priemones;

c)nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal šį reglamentą;

d)duomenų apsaugos pareigūno kontaktinius duomenis;

e)39 straipsnyje numatytą poveikio duomenų apsaugai vertinimą; ir

f)visą kitą Europos duomenų apsaugos priežiūros pareigūno prašomą informaciją.

4.Komisija gali įgyvendinimo aktu sudaryti sąrašą atvejų, kai duomenų valdytojai turi konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu ir gauti išankstinį jo leidimą dėl duomenų tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas atlieka siekdamas viešojo intereso, įskaitant tokių duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos tikslais.

4 SKIRSNIS

INFORMAVIMAS IR KONSULTAVIMASIS TEISĖKŪROS KLAUSIMAIS

41 straipsnis

Informavimas

Sąjungos institucijos ir įstaigos Europos duomenų apsaugos priežiūros pareigūną informuoja apie rengiamas administracines priemones ir vidaus taisykles, susijusias su atskiros Sąjungos institucijos ar įstaigos ar kartu su kitomis institucijomis tvarkomais asmens duomenimis.

42 straipsnis

Konsultacijos teisėkūros klausimais

1.Priėmusi pasiūlymus dėl teisėkūros procedūra priimamo akto ir rekomendacijų ar pasiūlymų Tarybai pagal SESV 218 straipsnį ir rengdama deleguotuosius ar įgyvendinimo aktus, turinčius poveikį asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

2.Jei šio straipsnio 1 dalyje nurodytas aktas yra labai svarbus asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat gali konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos valdyba ir Europos duomenų apsaugos priežiūros pareigūnas koordinuoja savo darbą siekdami pateikti bendrą nuomonę.

3.Šio straipsnio 1 ir 2 dalyse nurodyta konsultacija pateikiama raštu ne vėliau kaip per 8 savaites nuo 1 ir 2 dalyse nurodyto prašymo suteikti konsultaciją gavimo dienos. Skubiais atvejais ar kitais atvejais, kai to reikia, Komisija gali sutrumpinti šį terminą.

4.Šis straipsnis netaikomas, jei Komisija pagal Reglamentą (ES) 2016/679 privalo konsultuotis su Europos duomenų apsaugos valdyba.

5 SKIRSNIS

ĮSIPAREIGOJIMAS REAGUOTI Į KALTINIMUS

43 straipsnis

Įsipareigojimas reaguoti į pareiškimus

Jei Europos duomenų apsaugos priežiūros pareigūnas įgyvendina 59 straipsnio 2 dalies a, b ir c punktuose numatytus įgaliojimus, atitinkamas duomenų valdytojas arba duomenų tvarkytojas per pagrįstą terminą, kurį nustato Europos duomenų apsaugos priežiūros pareigūnas, praneša Europos duomenų apsaugos priežiūros pareigūnui savo nuomonę, atsižvelgdamas į kiekvieno atvejo aplinkybes. Atsakydamas nurodo priemones, kurių, atsižvelgiant į Europos duomenų apsaugos priežiūros pareigūno pastabas, buvo imtasi, jeigu iš viso buvo imtasi.

6 SKIRSNIS

DUOMENŲ APSAUGOS PAREIGŪNAS

44 straipsnis

Duomenų apsaugos pareigūno skyrimas

1.Kiekviena Sąjungos institucija ar įstaiga paskiria duomenų apsaugos pareigūną.

2.Sąjungos institucijos ir įstaigos gali paskirti vieną duomenų apsaugos pareigūną kelioms iš jų, atsižvelgdamos į savo organizacinę struktūrą ir dydį.

3.Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 46 straipsnyje nurodytas užduotis.

4.Duomenų apsaugos pareigūnas gali būti Sąjungos institucijos ar įstaigos personalo narys arba atlikti užduotis pagal paslaugų teikimo sutartį.

5.Sąjungos institucijos ir įstaigos paskelbia duomenų apsaugos pareigūno kontaktinius duomenis ir praneša juos Europos duomenų apsaugos priežiūros pareigūnui.

45 straipsnis

Duomenų apsaugos pareigūno statusas

1.Sąjungos institucijos ir įstaigos užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2.Sąjungos institucijos ir įstaigos padeda duomenų apsaugos pareigūnui atlikti 46 straipsnyje nurodytas užduotis suteikdamos toms užduotims atlikti būtinus išteklius, taip pat suteikdamos galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

3.Sąjungos institucijos ir įstaigos užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl tų užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.

4.Duomenų subjektai gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais jų asmeninių duomenų tvarkymu ir naudojimusi savo teisėmis pagal šį reglamentą.

5.Duomenų apsaugos pareigūnas ir jo personalas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Sąjungos teisės.

6.Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

7.Bet kuriuo reglamento aiškinimo ar taikymo klausimu su duomenų apsaugos pareigūnu gali konsultuotis duomenų valdytojas ir duomenų tvarkytojas, atitinkamas Darbuotojų komitetas ir bet kuris asmuo, nesikreipdamas į oficialius kanalus. Nė vienas asmuo negali nukentėti dėl to, kad atkreipė kompetentingo duomenų apsaugos pareigūno dėmesį į klausimą tvirtindamas, jog buvo pažeistos šio reglamento nuostatos.

8.Duomenų apsaugos pareigūnas skiriamas 3–5 metų kadencijai ir gali būti paskirtas dar kartą. Jeigu duomenų apsaugos pareigūnas nebeatitinka jo pareigoms nustatytų sąlygų, duomenų apsaugos pareigūną paskyrusi Sąjungos institucija ar įstaiga gali atleisti jį iš šių pareigų tik Europos duomenų apsaugos priežiūros pareigūno sutikimu.

9.Duomenų apsaugos pareigūną paskyrusi Sąjungos institucija ar įstaiga po jo paskyrimo jį užregistruoja Europos duomenų apsaugos priežiūros pareigūno institucijoje.

46 straipsnis

Duomenų apsaugos pareigūno užduotys

1.Duomenų apsaugos pareigūnas atlieka šias užduotis:

(a)informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šį reglamentą ir kitus Sąjungos apsaugos nuostatas ir konsultuoja juos šiais klausimais;

(b)nepriklausomai užtikrina vidinį šio reglamento taikymą ir stebi, kaip laikomasi šio reglamento, kitų taikytinų Sąjungos teisės aktų, kuriuose yra duomenų apsaugos nuostatų, ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

(c)užtikrina, kad duomenų valdytojai ir duomenų subjektai būtų informuoti apie reglamente nustatytas jų teises ir įsipareigojimus.

(d)paprašius teikia konsultacijas dėl būtinumo pateikti pranešimą apie asmens duomenų pažeidimą pagal 37 ir 38 straipsnius;

(e)paprašius teikia konsultacijas dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal 39 straipsnį, taip pat konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu, jei abejoja dėl poreikio atlikti poveikio duomenų apsaugai vertinimą;

(f)paprašius teikia konsultacijas dėl poreikio iš anksto konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu pagal 40 straipsnį ir konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu kilus abejonių dėl išankstinės konsultacijos poreikio;

(g)atsako į Europos duomenų apsaugos priežiūros pareigūno prašymus ir kiek leidžia jo kompetencija Europos duomenų apsaugos priežiūros pareigūno prašymu arba savo iniciatyva, bendradarbiauja ir konsultuojasi su juo.

2.Duomenų apsaugos pareigūnas gali teikti rekomendacijas dėl duomenų valdytojo ar duomenų tvarkytojo praktinio duomenų apsaugos gerinimo ir konsultuoti juos klausimais, susijusiais su duomenų apsaugos nuostatų taikymu. Be to, jis savo iniciatyva arba jį paskyrusios Sąjungos institucijos ar įstaigos, duomenų valdytojo arba duomenų tvarkytojo, atitinkamo darbuotojų komiteto ar bet kurio asmens prašymu gali ištirti klausimus ir tiesiogiai su jo darbu susijusius atvejus, apie kuriuos jis sužinojo, bei atsakyti tyrimą užsakiusiam asmeniui, duomenų valdytojui arba duomenų tvarkytojui.

3.Kiekviena Sąjungos institucija ar įstaiga priima papildomas įgyvendinimo taisykles, susijusias su duomenų apsaugos pareigūnu. Įgyvendinimo taisyklėse pirmiausia turi būti nustatyti duomenų apsaugos pareigūno uždaviniai, pareigos ir įgaliojimai.

V SKYRIUS

Asmens duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms

47 straipsnis

Bendras duomenų perdavimo principas

Asmens duomenys, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją valstybę arba tarptautinei organizacijai, perduodami tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, laikydamiesi kitų šio reglamento nuostatų, laikosi šiame skyriuje nustatytų sąlygų, be kita ko, susijusių su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai. Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nebūtų pakenkta šiuo reglamentu garantuojamam fizinių asmenų apsaugos lygiui.

48 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1.Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą ir asmens duomenys perduodami vien tam, kad būtų galima atlikti duomenų valdytojo kompetencijai priskiriamas užduotis.

2.Sąjungos institucijos ir įstaigos informuoja Komisiją ir Europos duomenų apsaugos priežiūros pareigūną apie atvejus, kai jos mano, kad minėta trečioji šalis arba tarptautinė organizacija neužtikrina, kaip apibrėžta 1 dalyje, adekvataus apsaugos lygio.

3.Sąjungos institucijos ir įstaigos imasi visų priemonių, būtinų laikytis Komisijos sprendimų, kai ji pagal Reglamento (ES) 2016/679 45 straipsnio 3 ir 5 dalis nustato, kad trečioji šalis arba tarptautinė organizacija užtikrina adekvatų apsaugos lygį arba jo nebeužtikrina.

49 straipsnis

Duomenų perdavimas taikant tinkamas apsaugos priemones

1.Jeigu nėra priimtas sprendimas pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

2.1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus Europos duomenų apsaugos priežiūros pareigūno leidimo, gali būti nustatomos:

(a)teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

(b)standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 70 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

(c)standartinėmis duomenų apsaugos sąlygomis, kurias priima Europos duomenų apsaugos priežiūros pareigūnas ir pagal 70 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

(d)įmonėms privalomomis taisyklėmis, elgesio kodeksu ir sertifikavmo mechanizmu pagal Reglamento (ES) 2016/679 46 straipsnio 6 dalies b, e ir f punktus, jei duomenų tvarkytojas nėra Sąjungos institucija ar įstaiga.

3.Gavus Europos duomenų apsaugos priežiūros pareigūno leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

(a)duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis; arba

(b)nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

4.Sąjungos institucijos ir įstaigos praneša Europos duomenų apsaugos priežiūros pareigūnui apie atvejus, kai buvo taikomas šis straipsnis.

5.Leidimai, kuriuos Europos duomenų apsaugos priežiūros pareigūnas suteikė remdamasi Reglamento (EB) Nr. 45/2001 9 straipsnio 7 dalimi, lieka galioti tol, kol Europos duomenų apsaugos priežiūros pareigūnas prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins.

50 straipsnis

Sąjungos teisėje neleidžiamas duomenų perdavimas ar atskleidimas

Bet kuris teismo sprendimas ir bet kuris trečiosios valstybės administracinės institucijos sprendimas, kuriuo reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, gali būti bet kuriuo būdu pripažįstamas arba vykdytinas, tik jei jis grindžiamas tarptautiniu susitarimu, pavyzdžiui, galiojančia prašymą pateikusios trečiosios valstybės ir Sąjungos savitarpio teisinės pagalbos sutartimi, nedarant poveikio kitiems duomenų perdavimo pagrindams pagal šį skyrių.

51 straipsnis

Nukrypti leidžiančios nuostatos konkrečiais atvejais

1.Jeigu nepriimtas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba nenustatytos tinkamos apsaugos priemonės pagal 49 straipsnį, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atliekami tik su viena iš šių sąlygų:

(a)duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

(b)duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;

(c)duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

(d)duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;

(e)duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus arba

(f)duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo; arba

(g)perdavimas yra iš registro, kuris pagal Sąjungos teisę yra skirtas teikti visuomenei informaciją ir kuriuo gali naudotis plačioji visuomenė arba bet kuris asmuo, galintis įrodyti savo teisėtą interesą, duomenys perduodami tiek, kiek kiekvienu konkrečiu atveju yra įvykdytos Sąjungos teisėje nustatytos sąlygos dėl susipažinimo su informacija.

2.Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys, nebent tai leidžiama pagal Sąjungos teisę. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai.

3.Šio straipsnio 1 dalies d punkte nurodytas viešasis interesas turi būti pripažįstamas Sąjungos teisėje.

4.Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų asmens duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos.

5.Sąjungos institucijos ir įstaigos praneša Europos duomenų apsaugos priežiūros pareigūnui apie atvejus, kai buvo taikomas šis straipsnis.

52 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Europos duomenų apsaugos priežiūros pareigūnas, bendradarbiaudamas su Komisija ir Europos duomenų apsaugos valdyba, imasi tinkamų veiksmų trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu, kuriais siekiama:

(a)sukurti tarptautinius bendradarbiavimo mechanizmus, kad būtų sudarytos palankesnės sąlygos veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

(b)teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų bei kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

(c)atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – prisidėti prie tarptautinio bendradarbiavimo užtikrinant asmens duomenų apsaugos teisės aktų vykdymą;

(d)skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais ir juos dokumentuoti, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis klausimais.

VI SKYRIUS

EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS

53 straipsnis

Europos duomenų apsaugos priežiūros pareigūnas

1.Šiuo straipsniu įsteigiamas Europos duomenų apsaugos priežiūros pareigūnas.

2.Europos duomenų apsaugos priežiūros pareigūnas atsako už tai, kad būtų užtikrinta, jog Sąjungos institucijos ir įstaigos, tvarkydamos asmens duomenis, gerbtų fizinių asmenų pagrindines teises ir laisves, svarbiausia - jų teisę į duomenų apsaugą.

3.Europos duomenų apsaugos priežiūros pareigūnas atsako už šio reglamento ir visų kitų Sąjungos aktų, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą Sąjungos institucijai ar įstaigai tvarkant asmens duomenis, nuostatų vykdymo priežiūrą ir užtikrina jų taikymą bei Sąjungos institucijų, įstaigų ir duomenų subjektų konsultavimą visais su asmens duomenų tvarkymu susijusiais klausimais. Šiuo tikslu Europos duomenų apsaugos priežiūros pareigūnas atlieka 58 straipsnyje nurodytas užduotis ir įgyvendina 59 straipsniu suteiktus įgaliojimus.

54 straipsnis

Europos duomenų apsaugos priežiūros pareigūno paskyrimas

1.Europos Parlamentas ir Taryba bendru sutarimu vadovaudamiesi Komisijos parengtu sąrašu paskiria Europos duomenų apsaugos priežiūros pareigūną penkerių metų kadencijai po šioms pareigoms eiti paskelbto viešo konkurso. Visos suinteresuotos šalys iš visos Sąjungos gali pateikti paraiškas dalyvauti konkurse eiti šias pareigas. Komisijos sudaromas kandidatų sąrašas turi būti skelbiamas viešai. Remdamasis Komisijos sudarytu sąrašu, kompetentingas Europos Parlamento komitetas gali nuspręsti surengti klausymą, kad galėtų nuspręsti, kurį kandidatą pasirinkti.

2.Komisijos sudarytą sąrašą, iš kurio turi būti renkamas Europos duomenų apsaugos priežiūros pareigūnas, turi sudaryti asmenys, kurių nepriklausomumas nekelia abejonių ir kurie pripažįstami turintys patirtį ir gebėjimus, reikalingus Europos duomenų apsaugos priežiūros pareigūno pareigoms atlikti, pavyzdžiui, nes jie priklauso ar priklausė pagal Reglamento (ES) 2016/679 41 straipsnį įsteigtoms priežiūros institucijoms.

3.Europos duomenų apsaugos priežiūros pareigūno kadencija gali būti pratęsiama vieną kartą.

4.Europos duomenų apsaugos priežiūros pareigūnas nustoja eiti pareigas toliau nurodytais atvejais:

(a)jei Europos duomenų apsaugos priežiūros pareigūnas pakeičiamas;

(b) jei Europos duomenų apsaugos priežiūros pareigūnas atsistatydina;

(c)jei Europos duomenų apsaugos priežiūros pareigūnas atleidžiamas iš pareigų arba privalo išeiti į pensiją.

5.Europos Sąjungos Teisingumo Teismas Europos Parlamento, Tarybos ar Komisijos prašymu gali Europos duomenų apsaugos priežiūros pareigūną atleisti iš pareigų arba atimti iš jo teisę į pensiją arba kitas išmokas, jeigu jis nebeatitinka jo pareigoms nustatytų sąlygų arba yra kaltas dėl rimto nusižengimo.

6.Jeigu Europos duomenų apsaugos priežiūros pareigūnas yra pakeičiamas įprasta tvarka arba savanoriškai atsistatydina iš pareigų, nepaisant to, jis ir toliau eina savo pareigas, kol yra pakeičiamas.

7.Europos duomenų apsaugos priežiūros pareigūnui taip pat yra taikomi Europos Sąjungos Privilegijų ir imunitetų protokolo 11–14 ir 17 straipsniai.

55 straipsnis

Nuostatai ir bendrosios sąlygos, reglamentuojančios Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą, darbuotojus ir finansinius išteklius

1.Europos duomenų apsaugos priežiūros pareigūnui nustatomas toks atlyginimas, priemokos, senatvės pensija ir kitos vietoje atlyginimo gaunamos išmokos, kokie nustatyti Europos Sąjungos Teisingumo Teismo teisėjui.

2.Už biudžetą atsakanti institucija užtikrina, kad Europos duomenų apsaugos priežiūros pareigūnui jo darbams atlikti būtų paskirti būtini darbuotojai ir skirtos atitinkamos lėšos.

3.Europos duomenų apsaugos priežiūros pareigūno biudžetas turi būti nurodytas Europos Sąjungos bendrojo biudžeto IX skirsnyje atskira biudžeto eilute.

4.Europos duomenų apsaugos priežiūros pareigūnui padeda sekretoriatas. Europos duomenų apsaugos priežiūros pareigūnas skiria sekretoriato pareigūnus ir kitus tarnautojus, kuriems vadovauja Europos duomenų apsaugos priežiūros pareigūnas. Šie pareigūnai ir tarnautojai vykdo tik Europos duomenų apsaugos priežiūros pareigūno nurodymus. Jų skaičius yra nustatomas kiekvienais metais planuojant biudžetą.

5.Europos duomenų apsaugos priežiūros sekretoriato pareigūnai ir kiti darbuotojai laikosi Europos Sąjungos pareigūnams ir kitiems tarnautojams taikomų taisyklių ir nuostatų.

6.Europos duomenų apsaugos priežiūros pareigūno būstinė yra Briuselyje.

56 straipsnis

Nepriklausomumas

1.Europos duomenų apsaugos priežiūros pareigūnas atlikdamas savo užduotis ir įgyvendinamas savo įgaliojimus pagal šį reglamentą veikia visiškai nepriklausomai.

2.Europos duomenų apsaugos priežiūros pareigūnas, atlikdamas savo užduotis ir naudodamasis savo įgaliojimais pagal šį reglamentą, nepatiria nei tiesioginės, nei netiesioginės išorės įtakos ir neprašo bei nepriima jokių nurodymų.

3.Europos duomenų apsaugos priežiūros pareigūnas nesiima jokių su jo pareigomis nesuderinamų veiksmų ir savo kadencijos metu neužsiima jokia kita veikla, nepaisant to, ar ji būtų pelninga ar ne.

4.Europos duomenų apsaugos priežiūros pareigūnas pasibaigus kadencijai elgiasi dorai ir protingai, sutikdamas dirbti kitose pareigose ir gauti atlyginimą.

57 straipsnis

Profesinė paslaptis

Europos duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

58 straipsnis

Užduotys

1.Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, Europos duomenų apsaugos priežiūros pareigūnas:

(a)prižiūri ir užtikrina, kad būtų taikomos šio reglamento ir visų kitų Sąjungos teisės aktų nuostatos dėl fizinių asmenų apsaugos, susijusios su Sąjungos institucijos ar įstaigos atliekamu asmens duomenų tvarkymu, išskyrus Europos Sąjungos Teisingumo Teismo atliekamą asmens duomenų tvarkymą, kai jis vykdo teismo funkcijas;

(b)skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

(c)skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

(d)bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

(e)nagrinėja skundus, kuriuos pagal 67 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

(f)atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

(g)konsultuoja Sąjungos institucijas ir įstaigas dėl teisinių ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

(h)stebi, kiek atitinkamų įvykių raida turi poveikį asmens duomenų apsaugai, pirmiausia informacijos ir ryšio technologijų raidą;

(i)priima standartines sutarčių sąlygas, nurodytas 29 straipsnio 8 dalyje ir 49 straipsnio 2 dalies c punkte;

(j)sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 39 straipsnio 4 dalį;

(k)dalyvauja Europos duomenų apsaugos valdybos, įsteigtos Reglamento (ES) 2016/679 68 straipsniu, veikloje;

(l)teikia sekretoriato paslaugas Europos duomenų apsaugos valdybai pagal Reglamento (ES) 2016/679 75 straipsnį;

(m)teikia konsultacijas dėl 40 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

(n)duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 49 straipsnio 3 dalyje;

(o)tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 59 straipsnio 2 dalį ir

(p)vykdo visas kitas su asmens duomenų apsauga susijusias užduotis, ir

(q)nustatyti savo darbo tvarkos taisykles.

2.Europos duomenų apsaugos priežiūros pareigūnas palengvina šio straipsnio 1 dalies e punkte nurodytų skundų pateikimą, pateikdamas skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdamas galimybę naudotis ir kitomis ryšio priemonėmis.

3.Europos duomenų apsaugos priežiūros pareigūno paslaugos duomenų subjektui teikiamos nemokamai.

4.Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Europos duomenų apsaugos priežiūros pareigūnas gali atsisakyti imtis veiksmų pagal prašymą. Europos duomenų apsaugos priežiūros pareigūnui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

59 straipsnis

Įgaliojimai

1.Europos duomenų apsaugos priežiūros pareigūnui suteikiami tokie tyrimo įgaliojimai:

(a)nurodyti duomenų valdytojui ir duomenų tvarkytojui pateikti visą jo užduotims atlikti reikalingą informaciją;

(b)atlikti tyrimus, kurie atliekami duomenų apsaugos audito forma;

(c)pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

(d)iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais asmens duomenimis ir visa informacija, kurie būtini jos užduotims atlikti;

(e)laikantis Sąjungos arba valstybės narės proceso teisės, gauti leidimą patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių.

2.Europos duomenų apsaugos priežiūros pareigūnui suteikiami tokie prievartos įgaliojimai:

(a)įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

(b)pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

(c)perduoti klausimą atitinkamam duomenų valdytojui ar duomenų tvarkytojui, o prireikus - Europos Parlamentui, Tarybai ir Komisijai;

(d)nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

(e)nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

(f)nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

(g)nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

(h)nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 18, 19 ir 20 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 19 straipsnio 2 dalį ir 21 straipsnį;

(i)skirti administracinę baudą pagal 66 straipsnį, jei Sąjungos institucija ar įstaiga nesilaiko vienos iš šioje dalyje nurodytų priemonių ir atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

(j)nurodyti sustabdyti duomenų srautus duomenų gavėjui valstybėje narėje, trečiojoje valstybėje arba tarptautinei organizacijai.

3.Europos duomenų apsaugos priežiūros pareigūnas turi tokius leidimų suteikimo ir konsultavimo įgaliojimus;

(a)konsultuoti duomenų subjektus jų teisių įgyvendinimo klausimais;

(b)konsultuoti duomenų valdytoją pagal 40 straipsnyje nurodytą išankstinės konsultacijos procedūrą;

(c)savo iniciatyva arba paprašytas pateikti nuomones Sąjungos institucijoms ar įstaigoms ir visuomenei bet kuriuo klausimu, susijusiu su asmens duomenų apsauga;

(d)priimti 29 straipsnio 8 dalyje ir 49 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas;

(e)leisti 49 straipsnio 3 dalies a punkte nurodytas sutarčių sąlygas;

(f)leisti 49 straipsnio 3 dalies b punkte nurodytus administracinius susitarimus.

4.Naudojimuisi pagal šį straipsnį Europos duomenų apsaugos priežiūros pareigūnui suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos teisėje.

5.Europos duomenų apsaugos priežiūros pareigūnui suteikiami įgaliojimai kreiptis į Europos Sąjungos Teisingumo Teismą Sutartyse numatytomis sąlygomis ir įstoti į bylą nagrinėjant Europos Sąjungos Teisingumo Teisme nagrinėjamus ieškinius.

60 straipsnis

Veiklos ataskaita

1.Europos duomenų apsaugos priežiūros pareigūnas Europos Parlamentui, Tarybai ir Komisijai pateikia savo veiklos metinę ataskaitą, tuo pačiu metu ją paskelbdamas viešai.

2.Europos duomenų apsaugos priežiūros pareigūnas siunčia veiklos ataskaitą Sąjungos institucijoms ir įstaigoms, kurios gali pateikti pastabas, kad ataskaitą galimai išnagrinėtų Europos Parlamentas.

VII SKYRIUS

BENDRADARBIAVIMAS IR NUOSEKLUMAS

61 straipsnis

Bendradarbiavimas su nacionalinėmis priežiūros institucijomis

Europos duomenų apsaugos priežiūros pareigūnas bendradarbiauja su priežiūros institucijomis, įsteigtomis pagal Reglamento (ES) 2016/679 41 straipsnį ir Direktyvos (ES) 2016/680 51 straipsnį (toliau – nacionalinės priežiūros institucijos) ir su jungtine priežiūros institucija, įsteigta Tarybos sprendimo 2009/917/TVR 21 25 straipsniu, kiek to reikia, kad jie galėtų įgyvendinti atitinkamas savo pareigas, visų pirma teikdami vieni kitiems reikalingą informaciją, prašydamas nacionalinių priežiūros institucijų įgyvendinti jų įgaliojimus arba atsakydamas į šių institucijų prašymą.

62 straipsnis

Koordinuota Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų priežiūra

1.Jei Sąjungos akte daroma nuoroda į šį straipsnį, Europos duomenų apsaugos priežiūros pareigūnas aktyviai bendradarbiauja su nacionalinėmis priežiūros institucijomis siekdamas užtikrinti veiksmingą didelių IT sistemų ar Sąjungos agentūrų priežiūrą.

2.Europos duomenų apsaugos priežiūros pareigūnas, veikdamas pagal savo atitinkamus įgaliojimus ir įgyvendindamas savo pareigas keičiasi reikalinga informacija, padeda atlikti auditą ir patikras, nagrinėja šio reglamento ir kitų taikytinų Sąjungos aktų aiškinimo ir taikymo sunkumus, tiria problemas, susijusias su nepriklausomos priežiūros įgyvendinimu arba duomenų subjektų teisių įgyvendinimu, rengia suderintus pasiūlymus dėl bet kokių problemų sprendimo ir skatina informuotumą apie duomenų apsaugos teises, prireikus – kartu su nacionalinėmis priežiūros institucijomis.

3.Šio straipsnio 2 dalyje išdėstytais tikslais Europos duomenų apsaugos priežiūros pareigūnas bent du kartus per metus susitinka su nacionalinėmis priežiūros institucijomis Europos duomenų apsaugos valdyboje. Šių posėdžių ir jų aptarnavimo išlaidas padengia Europos duomenų apsaugos valdyba. Darbo tvarkos taisyklės priimamos per pirmąjį posėdį. Prireikus kartu nustatomi kiti darbo metodai.

4.Europos duomenų apsaugos priežiūros pareigūnas kas dvejus metus Europos Parlamentui, Tarybai ir Komisijai siunčia bendrą veiklos ataskaitą, susijusią su koordinuotąja priežiūra.

VIII SKYRIUS

TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

63 straipsnis

Teisė pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui

1.Neapribojant galimybių imtis kitų teisminių, administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui, jei duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.Europos duomenų apsaugos priežiūros pareigūnas informuoja duomenų subjektą apie skundo nagrinėjimo eigą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 64 straipsnį.

3.Jei Europos duomenų apsaugos priežiūros pareigūnas neišnagrinėja skundo arba per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo eigą ar rezultatą, skundas laikomas atmestu.

64 straipsnis

Teisė į veiksmingą teisminę teisių gynimo priemonę

Europos Sąjungos Teisingumo Teismas turi jurisdikciją nagrinėti visus ginčus, susijusius su šio reglamento nuostatomis, įskaitant ieškinius atlyginti žalą.

65 straipsnis

Teisė į kompensaciją

Bet kuris asmuo, patyręs turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą laikantis Sutartyse nustatytų sąlygų.

66 straipsnis

Administracinės baudos

1.Europos duomenų apsaugos priežiūros pareigūnas gali skirti administracines baudas Sąjungos institucijoms ir įstaigoms, atsižvelgdamas į kiekvieno konkretaus atvejo aplinkybes, jei Sąjungos institucija ar įstaiga nesilaiko Europos duomenų apsaugos priežiūros pareigūno nurodymo pagal 59 straipsnio 2 dalies d–h ir j punktus. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

(a)pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

(b)bet kuriuos veiksmus, kurių Sąjungos institucija ar įstaiga ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

(c)Sąjungos institucijos ar įstaigos atsakomybės dydį, atsižvelgiant į jų pagal 27 ir 33 straipsnius įgyvendintas technines ir organizacines priemones;

(d)bet kuriuos anksčiau padarytusus panašius Sąjungos institucijos ar įstaigos pažeidimus;

(e)bendradarbiavimo su Europos duomenų apsaugos priežiūros pareigūnu siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

(f)asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

(g)tai, kokiu būdu Europos duomenų apsaugos priežiūros pareigūnas sužinojo apie pažeidimą, visų pirma tai, ar Sąjungos institucija ar įstaiga pranešė apie pažeidimą (jei taip – kokiu mastu);

(h)jei atitinkamai Sąjungos institucijai ar įstaigai dėl to paties dalyko anksčiau buvo taikytos 59 straipsnyje nurodytos priemonės – ar laikytasi tų priemonių.

Baudų skyrimo procedūros turėtų būti vykdomos per pagrįstą laikotarpį atsižvelgiant į bylos aplinkybes ir 69 straipsnyje nurodytas atitinkamas bylas ir procedūras.

2.Už Sąjungos institucijos ar įstaigai tenkančių įpareigojimų pažeidimus pagal 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 ir 46 straipsnius, laikantis šio straipsnio 1 dalies, skiriamos administracinės baudos iki 25 000 EUR už vieną pažeidimą ir iš viso ne daugiau kaip 250 000 EUR per metus.

3.Už toliau nurodytų nuostatų pažeidimus Sąjungos institucijai ar įstaigai laikantis šio straipsnio 1 dalies skiriamos administracinės baudos iki 50 000 EUR už vieną pažeidimą ir iš viso ne daugiau kaip 500 000 EUR per metus:

(a)pagrindinių duomenų tvarkymo principų, įskaitant sutikimo sąlygas, pagal 4, 5, 7 ir 10 straipsnius;

(b)duomenų subjekto teisių pagal 14–24 straipsnius;

(c)asmens duomenų perdavimo duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 47–51 straipsnius.

4.Jei Sąjungos institucija ar įstaiga, atlikdama tą pačią tvarkymo operaciją arba susijusias ar tęstines tvarkymo operacijas, pažeidžia kelias šio reglamento nuostatas arba tą pačią reglamento nuostatą kelis kartus, bendra administracinės baudos suma negali viršyti sumos, nustatytos už sunkiausią pažeidimą.

5.Prieš priimdamas sprendimus pagal šį straipsnį, Europos duomenų apsaugos priežiūros pareigūnas suteikia Sąjungos institucijai ar įstaigai, dėl kurios Europos duomenų apsaugos priežiūros pareigūnas pradėjo procedūrą, galimybę būti išklausytai klausimais, dėl kurių Europos duomenų apsaugos priežiūros pareigūnas pateikė prieštaravimus. Europos duomenų apsaugos priežiūros pareigūnas savo sprendimus grindžia tik tais prieštaravimais, dėl kurių atitinkamos šalys galėjo pateikti pastabas. Pareiškėjai turi būti įtraukti į bylos nagrinėjimą.

6.Proceso metu turi būti gerbiama šalių teisė į gynybą. Jiems turi būti suteikta teisė susipažinti su Europos duomenų apsaugos priežiūros pareigūno byla, atsižvelgiant į fizinių asmenų ar įmonių teisėtą interesą, kad būtų apsaugoti jų asmens duomenys ar verslo paslaptys.

7.Lėšos, surinktos paskyrus šiame straipsnyje numatytas baudas, laikomos Europos Sąjungos bendrojo biudžeto pajamomis.

67 straipsnis

Atstovavimas duomenų subjektams

Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal Sąjungos ar valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui ir jo vardu naudotis 63 straipsnyje nurodytomis teisėmis, jo vardu naudotis 65 straipsnyje nurodyta teise gauti kompensaciją.

68 straipsnis

Sąjungos tarnautojų skundai

Sąjungos institucijoje ar įstaigoje dirbantis asmuo gali neoficialiais kanalais pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui dėl įtariamo šio reglamento nuostatų pažeidimo. Niekas neturi nukentėti dėl Europos duomenų apsaugos priežiūros pareigūnui pateikto skundo, kuriuo įtariamas toks pažeidimas.

69 straipsnis

Sankcijos

Jeigu pareigūnas ar kitas Europos Sąjungos tarnautojas tyčia ar dėl aplaidumo nevykdo šiame reglamente nustatytų įsipareigojimų, pagal Europos Sąjungos pareigūnų tarnybos nuostatuose arba Kitų Europos Sąjungos tarnautojų įdarbinimo sąlygose nustatytas taisykles ir procedūras jam gali būti iškelta drausminė ar kita byla.

IX SKYRIUS

ĮGYVENDINIMO AKTAI

70 straipsnis

Komiteto procedūra

1.Komisijai padeda komitetas, įsteigtas pagal Reglamento (ES) 2016/679 93 straipsnį. Tas komitetas – tai komitetas, kaip tai suprantama pagal Reglamentą (ES) Nr. 182/2011.

2.Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

X SKYRIUS

BAIGIAMOSIOS NUOSTATOS

71 straipsnis

Reglamento (EB) Nr. 45/2001 ir Sprendimo Nr. 1247/2002/EB panaikinimas

Reglamentas (EB) Nr. 45/2001 22 ir Sprendimas Nr. 1247/2002/EB 23 nuo 2018 m. gegužės 25 d. panaikinami. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą.

72 straipsnis

Pereinamojo laikotarpio priemonės

1.Šis reglamentas neturi įtakos Europos Parlamento ir Tarybos sprendimui 2014/886/ES 24 ir dabartinei Europos duomenų apsaugos priežiūros pareigūno bei jo pavaduotojo kadencijai.

2.Europos duomenų apsaugo priežiūros pareigūno pavaduotojui nustatomas toks atlyginimas, priemokos, senatvės pensija ir kitos vietoje atlyginimo gaunamos išmokos, kokie nustatyti Europos Sąjungos Teisingumo Teismo kancleriui.

3.Šio reglamento 54 straipsnio 4, 5 ir 7 dalys ir 56 bei 57 straipsniai taikomi dabartiniam Europos duomenų apsaugo priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos 2019 m. gruodžio 5 d.

4.Europos duomenų apsaugos priežiūros pareigūno pavaduotojas padeda Europos duomenų apsaugos priežiūros pareigūnui atlikti pareigas ir pavaduoja jį, kai Europos duomenų apsaugos priežiūros pareigūno nėra ar kai jis negali eiti savo pareigų, iki Europos duomenų apsaugos priežiūros pareigūno pavaduotojo kadencijos pabaigos – 2019 m. gruodžio 5 d.

73 straipsnis

Įsigaliojimas ir taikymas

1.Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2.Jis taikomas nuo 2018 m. gegužės 25 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje

Europos Parlamento vardu Tarybos vardu

Pirmininkė Pirmininkė

FINANSINĖ TEISĖS AKTO PASIŪLYMO PAŽYMA

1.PASIŪLYMO (INICIATYVOS) STRUKTŪRA

1.1.Pasiūlymo (iniciatyvos) pavadinimas

1.2.Atitinkama (-os) politikos sritis (-ys) VGV / VGB sistemoje

1.3.Pasiūlymo (iniciatyvos) pobūdis

1.4.Tikslas (-ai)

1.5.Pasiūlymo (iniciatyvos) pagrindas

1.6.Trukmė ir finansinis poveikis

1.7.Numatytas (-i) valdymo būdas (-ai)

2.VALDYMO PRIEMONĖS

2.1.Stebėsenos ir atskaitomybės taisyklės

2.2.Valdymo ir kontrolės sistema

2.3.Sukčiavimo ir pažeidimų prevencijos priemonės

3.NUMATOMAS PASIŪLYMO (INICIATYVOS) FINANSINIS POVEIKIS

3.1.Atitinkama (-os) daugiametės finansinės programos išlaidų kategorija (-os) ir biudžeto išlaidų eilutė (-ės)

3.2.Numatomas poveikis išlaidoms

3.2.1.Numatomo poveikio išlaidoms santrauka

3.2.2.Numatomas poveikis veiklos asignavimams

3.2.3.Numatomas poveikis administracinio pobūdžio asignavimams

3.2.4.Suderinamumas su dabartine daugiamete finansine programa

3.2.5.Trečiųjų šalių įnašai

3.3.Numatomas poveikis įplaukoms

FINANSINĖ TEISĖS AKTO PASIŪLYMO PAŽYMA

1.PASIŪLYMO (INICIATYVOS) STRUKTŪRA

1.1.Pasiūlymo (iniciatyvos) pavadinimas

Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl asmenų apsaugos Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB.

1.2.Atitinkama (-os) politikos sritis (-ys) VGV / VGB sistemoje 25

Teisingumas – Asmens duomenų apsauga

1.3.Pasiūlymo (iniciatyvos) pobūdis

◻ Pasiūlymas (iniciatyva) susijęs (-usi) su nauja priemone

◻ Pasiūlymas (iniciatyva) susijęs (-usi) su nauja priemone, kuri bus priimta įgyvendinus bandomąjį projektą ir (arba) atlikus parengiamuosius veiksmus 26

–Pasiūlymas (iniciatyva) susijęs (-usi) su esamos priemonės galiojimo pratęsimu

◻ Pasiūlymas (iniciatyva) susijęs (-usi) su priemone, perorientuota į naują priemonę

1.4.Tikslas (-ai)

1.4.1.Komisijos daugiametis (-čiai) strateginis (-iai) tikslas (-ai), kurio (-ių) siekiama šiuo pasiūlymu (šia iniciatyva)

Įsigaliojus Lisabonos sutarčiai ir visų pirma nustačius naują teisinį pagrindą (SESV 16 straipsnį) atsirado galimybė nustatyti išsamią duomenų apsaugos sistemą, kuri apimtų visas sritis.

2016 m. balandžio 27 d. Sąjunga priėmė 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (Tekstas svarbus EEE) OL L 119, 2016 5 4, p. 1–88.

Tą pačią dieną Sąjunga priėmė 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvą (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR, OL L 119, 2016 5 4, p. 89–131.

Šiuo pasiūlymu siekiama Sąjungoje užbaigti kurti išsamią duomenų apsaugos sistemą, suderinant Sąjungos institucijoms ir įstaigoms taikytinas duomenų apsaugos taisykles su Reglamento (ES) 2016/679 duomenų apsaugos taisyklėmis. Nuoseklumo ir suderinamumo sumetimais Sąjungos institucijos ir įstaigos turėtų taikyti panašų duomenų apsaugos taisyklių rinkinį kaip tas, kuris taikomas valstybių narių viešajame sektoriuje.

1.4.2.Konkretus (-ūs) tikslas (-ai) ir atitinkama VGV / VGB veikla

1 konkretus tikslas –

užtikrinti nuoseklų duomenų apsaugos taisyklių taikymą visoje Sąjungoje.

2 konkretus tikslas –

racionalizuoti esamą duomenų apsaugos valdymo modelį Sąjungos institucijose ir įstaigose.

3 konkretus tikslas –

užtikrinti, kad Sąjungos institucijose ir įstaigose būtų griežčiau laikomasi duomenų apsaugos taisyklių ir kad būtų griežčiau užtikrinamas jų įgyvendinimas.

1.4.3.Numatomas (-i) rezultatas (-ai) ir poveikis

Nurodyti poveikį, kurį pasiūlymas (iniciatyva) turėtų padaryti tiksliniams gavėjams (tikslinėms grupėms).

Kalbant apie Sąjungos institucijas ir įstaigas kaip duomenų valdytojas, joms turėtų būti naudinga tai, kad nuo esamų administracinių procesų (ex ante požiūris), susijusių su duomenų apsauga, būtų pereita prie veiksmingo esminių duomenų apsaugos taisyklių vykdymo ir griežtesnio jų įgyvendinimo užtikrinimo, taip pat naujųjų duomenų apsaugos principų ir sąvokų, nustatytų Reglamente (ES) 2016/679 (ex post požiūris). Jos bus taikomos visoje Sąjungoje.

Asmenų, kurių asmens duomenis tvarko Sąjungos institucijos ir įstaigos, asmens duomenys bus geriau kontroliuojami ir jie galės labiau pasitikėti skaitmenine aplinka. Be to, Sąjungos institucijos ir įstaigos taps labiau atskaitingos.

Europos duomenų apsaugos priežiūros pareigūnas galės skirti daugiau dėmesio savo priežiūros funkcijai. Bus paaiškintas rekomendacijų teikimo Komisijai funkcijos pasiskirstymas tarp Europos duomenų apsaugos valdybos, įsteigtos Reglamentu (ES) 2016/679, ir Europos duomenų apsaugos priežiūros pareigūno ir bus išvengta dubliavimosi.

1.4.4.Rezultatų ir poveikio rodikliai

Nurodyti pasiūlymo (iniciatyvos) įgyvendinimo stebėjimo rodiklius.

Rodiklius sudaro:

Europos duomenų apsaugos valdybos ir Europos duomenų apsaugos priežiūros pareigūno pateiktų nuomonių skaičius;

duomenų apsaugos pareigūnų veiklos paskirstymas;

naudojimasis poveikio duomenų apsaugai vertinimais;

duomenų subjektų pateiktų skundų skaičius;

duomenų valdytojams, atsakingiems už duomenų apsaugos pažeidimus, paskirtos baudos.

1.5.Pasiūlymo (iniciatyvos) pagrindas

1.5.1.Trumpalaikiai arba ilgalaikiai poreikiai

Reglamente (ES) 2016/679 (2 straipsnio 3 dalis, 98 straipsnis, 17 konstatuojamoji dalis) Sąjungos teisėkūros institucijos ragino pritaikyti Reglamentą (EB) Nr. 45/2001 pagal Reglamente (ES) 2016/679 nustatytus principus ir taisykles, kad Sąjungoje būtų nustatyta patikima ir darni duomenų apsaugos sistema ir abu teisės aktai galėtų būti taikomi kartu, t. y. nuo 2018 m. gegužės 25 d.

1.5.2.Papildoma ES dalyvavimo nauda

Sąjungos institucijoms ir įstaigoms taikytinos duomenų apsaugos taisyklės gali būti nustatytos tik ES aktu.

1.5.3.Panašios patirties išvados

Šis pasiūlymas grindžiamas patirtimi, įgyta taikant Reglamentą (EB) Nr. 45/2001 ir vertinant jo taikymą vertinamajame tyrime (jį išorės rangovas atliko 2014 m. rugsėjo mėn.–2015 m. birželio mėn.) 27 .

1.5.4.Suderinamumas ir galima sąveika su kitomis atitinkamomis priemonėmis

Šis pasiūlymas grindžiamas Reglamentu (ES) 2016/679 ir juo užbaigiama kurti patikima, nuosekli ir šiuolaikiška Sąjungos duomenų apsaugos sistema, kuri yra neutrali technologijų atžvilgiu ir gali būti taikoma ateityje pasikeitus aplinkybėms.

1.6.Trukmė ir finansinis poveikis

◻ Pasiūlymo (iniciatyvos) trukmė ribota

–◻ pasiūlymas (iniciatyva) galioja nuo MMMM [MM DD] iki MMMM [MM DD]

–◻ finansinis poveikis nuo MMMM iki MMMM

Pasiūlymo (iniciatyvos) trukmė neribota

Įgyvendinimo pradinis laikotarpis nuo [2017] iki 2018 m. gegužės 25 d., po kurio prasidės visavertis taikymas.

1.7.Numatytas (-i) valdymo būdas (-ai) 28

Tiesioginis valdymas, vykdomas Komisijos:

–◻ padalinių, įskaitant Sąjungos delegacijų darbuotojus;

–◻ vykdomųjų įstaigų.

◻ Pasidalijamasis valdymas kartu su valstybėmis narėmis.

◻ Netiesioginis valdymas, biudžeto vykdymo užduotis perduodant:

–◻ trečiosioms valstybėms arba jų paskirtoms įstaigoms;

–◻ tarptautinėms organizacijoms ir jų agentūroms (nurodyti);

–◻EIB ir Europos investicijų fondui;

–◻ įstaigoms, nurodytoms Finansinio reglamento 208 ir 209 straipsniuose;

–◻ viešosios teisės įstaigoms;

–◻ įstaigoms, kurių veiklą reglamentuoja privatinė teisė, veikiančioms viešųjų paslaugų srityje, jeigu jos pateikia pakankamų finansinių garantijų;

–◻ įstaigoms, kurių veiklą reglamentuoja valstybės narės privatinė teisė, kurioms pavesta įgyvendinti viešojo ir privačiojo sektorių partnerystę ir kurios pateikia pakankamų finansinių garantijų;

–◻ asmenims, kuriems pavestas konkrečių BUSP veiksmų vykdymas pagal ES sutarties V antraštinę dalį ir kurie nurodyti atitinkamame pagrindiniame teisės akte.

–Jei nurodomas daugiau kaip vienas valdymo būdas, išsamią informaciją pateikti šio punkto pastabų skiltyje.

Pastabos

Šis pasiūlymas yra skirtas visoms Sąjungos institucijoms ir įstaigoms ir turi joms poveikį.

2.VALDYMO PRIEMONĖS

2.1.Stebėsenos ir atskaitomybės taisyklės

Nurodyti dažnumą ir sąlygas.

Šis pasiūlymas susijęs tik su duomenų apsaugos taisyklių taikymu, kurį atlieka Sąjungos institucijos ir įstaigos. Šių taisyklių priežiūros ir įgyvendinimo užtikrinimo užduotį atlieka Europos duomenų apsaugos priežiūros pareigūnas. Todėl stebėseną ir ataskaitų teikimą užtikrina Europos duomenų apsaugos priežiūros pareigūnas. Visų pirma pagal šio pasiūlymo 60 straipsnį Europos duomenų apsaugos priežiūros pareigūnas privalo pateikti metinę jo kompetencijai priskiriamos veiklos ataskaitą Europos Parlamentui, Tarybai ir Komisijai ir kartu viešai ją paskelbti.

2.2.Valdymo ir kontrolės sistema

2.2.1.Nustatyta rizika

2014 m. rugsėjo mėn.–2015 m. birželio mėn. išorės rangovas atliko Reglamento (EB) Nr. 45/2001 vertinamąjį tyrimą. Jame taip pat vertinamas svarbiausių Reglamento (ES) 2016/679 sąvokų ir principų nustatymo poveikis Sąjungos institucijose ir įstaigose.

Naujasis duomenų apsaugos modelis bus daugiausia susijęs su veiksmingu duomenų apsaugos taisyklių laikymusi ir veiksminga šių taisyklių priežiūra bei įgyvendinimo užtikrinimu. Tam reikės pakeisti Sąjungos institucijų ir įstaigų duomenų apsaugos kultūrą, nuo administracinio ex ante požiūrio pereinant prie veiksmingo ex post požiūrio.

2.2.2.Informacija apie įdiegtą vidaus kontrolės sistemą

Esami Sąjungos institucijų ir įstaigų taikomi kontrolės metodai.

2.2.3.Kontrolės sąnaudų ir naudos apskaičiavimas ir numatomo klaidų rizikos lygio vertinimas

Esami Sąjungos institucijų ir įstaigų taikomi kontrolės metodai.

2.3.Sukčiavimo ir pažeidimų prevencijos priemonės

Nurodyti dabartines arba numatytas prevencijos ir apsaugos priemones.

Esamos Sąjungos institucijų ir įstaigų taikomos sukčiavimo prevencijos priemonės.

3.NUMATOMAS PASIŪLYMO (INICIATYVOS) FINANSINIS POVEIKIS

3.1.Atitinkama (-os) daugiametės finansinės programos išlaidų kategorija (-os) ir biudžeto išlaidų eilutė (-ės)

Dabartinės biudžeto eilutės

Daugiametės finansinės programos išlaidų kategorijas ir biudžeto eilutes nurodyti eilės tvarka.

Daugiametės finansinės programos išlaidų kategorija

Biudžeto eilutė

Išlaidų
rūšis

Įnašas

Numeris
[Išlaidų kategorija………………………...……………]

DA / NDA 29 .

ELPA šalių 30

šalių kandidačių 31

trečiųjų šalių

pagal Finansinio reglamento 21 straipsnio 2 dalies b punktą

[XX.YY.YY.YY]

DA / NDA

TAIP / NE

Prašomos sukurti naujos biudžeto eilutės

Daugiametės finansinės programos išlaidų kategorijas ir biudžeto eilutes nurodyti eilės tvarka.

Daugiametės finansinės programos išlaidų kategorija

Biudžeto eilutė

Išlaidų
rūšis

Įnašas

Numeris
[Išlaidų kategorija………………………………………]

DA / NDA

ELPA šalių

šalių kandidačių

trečiųjų šalių

pagal Finansinio reglamento 21 straipsnio 2 dalies b punktą

[XX.YY.YY.YY]

TAIP / NE

3.2.Numatomas poveikis išlaidoms

Šis pasiūlymas turi poveikį tik Sąjungos institucijų ir įstaigų išlaidoms. Tačiau įvertinus su šiuo pasiūlymu susijusias išlaidas paaiškėjo, kad dėl jo Sąjungos institucijos ir įstaigos nepatirs esminių papildomų išlaidų.

Kalbant apie Sąjungos institucijų ir įstaigų duomenų valdytojus, iš Reglamento (EB) Nr. 45/2001 vertinamojo tyrimo matyti, kad jų duomenų apsaugos veikla atitinka maždaug 70 etato ekvivalentų, t. y. apie 9,3 mln. EUR per metus. Apie 20 proc. jų duomenų apsaugos veiklos dabar skiriama pranešimams apie duomenų tvarkymą. Šiuo reglamentu ši veikla panaikinama, todėl Sąjungos institucijų ir įstaigų duomenų valdytojai per metus sutaupytų 1 922 mln. EUR. Tikimasi, kad sutaupę šias lėšas duomenų valdytojai galės daugiau investuoti į šiuo reglamentu nustatytų naujų principų ir sąvokų įgyvendinimą.

Tiksliau atliekant vertinamąjį tyrimą surengtoje apklausoje buvo pažymėta, kad nustačius:

a) dėl duomenų kiekio mažinimo principo poveikis Sąjungos institucijoms ir įstaigoms būtų minimalus arba jo iš viso nebūtų;

b) skaidrumo principas neturėtų reikšmingo poveikio Sąjungos institucijoms ir įstaigoms;

c) dėl padidėjusių informavimo įpareigojimų padidėtų duomenų valdytojų ir duomenų apsaugos pareigūnų darbo krūvis;

d) teisė būti pamirštam neturėtų reikšmingo poveikio Sąjungos institucijoms ir įstaigoms;

e) dėl teisės į duomenų perkeliamumą poveikis Sąjungos institucijoms ir įstaigoms būtų minimalus arba jo iš viso nebūtų;

f) poveikio duomenų apsaugai vertinimai turėtų gana didelį poveikį duomenų valdytojų ir duomenų apsaugos pareigūnų darbo krūviui, nes kai kurios Sąjungos institucijos ir įstaigos jau atlieka poveikio duomenų apsaugai vertinimus, o atvejų, kai reikės atlikti šiuos poveikio duomenų apsaugai vertinimus, yra nedaug;

g) dėl pranešimų apie asmens duomenų pažeidimus padidėtų duomenų valdytojų darbo krūvis, tačiau šie pažeidimai nėra dažni;

h) pritaikytosios ir standartizuotosios duomenų apsaugos principai jau taikomi keliose Sąjungos institucijose ir įstaigose.

Be to, prieš priimant pasiūlymą dėl duomenų apsaugos reformos teisės aktų rinkinio atliktame poveikio vertinime padaryta išvada, kad „nei viešosios valdžios institucijos, nei duomenų valdytojai dėl pritaikytosios duomenų apsaugos principo taikymo nepatirs administracinės naštos.“ 32

Kalbant apie duomenų apsaugos pareigūnus, vertinamajame tyrime apskaičiuotos tokios esamo duomenų apsaugos pareigūnų ir duomenų apsaugos koordinatorių (DAP ir DAK) tinklo Sąjungos institucijose ir įstaigose išlaidos: 82,9 etato ekvivalentų, arba 10,9 mln. EUR per metus. 26 proc. su duomenų apsauga susijusio laiko jie skiria veiklai, kuri šiuo reglamentu panaikinama, t. y. pranešimų rengimui (vietoj duomenų valdytojų), gautų pranešimų vertinimui ir įrašų registravimui registre, taip pat išankstinių patikrų atlikimui. Taip Sąjungos institucijos ir įstaigos per metus papildomai sutaupytų 2,834 mln. EUR. Be to, šiuo reglamentu sudaromos galimybės sutaupyti dar daugiau išlaidų, leidžiant Sąjungos institucijoms ir įstaigoms užsakyti DAP paslaugas iš trečiųjų asmenų, užuot įdarbinus savo personalą.

Sutaupius išlaidų, susijusių su DAP veikla, jos galės skirti daugiau dėmesio sugriežtintiems informavimo įpareigojimams, poveikio duomenų apsaugai vertinimams (ribotomis aplinkybėmis, kai to reikės), iš anksto pasikonsultavus su Europos duomenų apsaugos priežiūros pareigūnu (šio įpareigojimo apimtis bus gerokai mažesnė nei esamo išankstinės patikros įpareigojimo).

Kalbant apie Europos duomenų apsaugos priežiūros pareigūną, jo metinis biudžetas nuo 2011 m. buvo gana pastovus ir sudaro apie 8 mln. EUR. Šiuo metu jo Priežiūros ir įgyvendinimo užtikrinimo skyriuje bei Politikos ir konsultacijų skyriuje dirba panašus darbuotojų skaičius, kuris nuo 2008 m. nesikeičia. Pagal šį reglamentą daugiau dėmesio skiriant Europos duomenų apsaugos priežiūros pareigūno atliekamam priežiūros vaidmeniui, bus galima tikslingiau įgyvendinti patariamąjį Europos duomenų apsaugos valdybos vaidmenį ir panaikinti užduočių dubliavimąsi. Todėl Europos duomenų apsaugos priežiūros pareigūno darbuotojai gali būti perskirstyti organizacijos viduje.

Šiuo pasiūlymu Europos duomenų apsaugos priežiūros pareigūnui numatyta galimybė skirti administracines baudas Sąjungos institucijoms ir įstaigoms. Kiekvienai Sąjungos institucijai ar įstaigai per metus gali būti paskirta iki 250 000 EUR baudų (25 000 EUR už vieną pažeidimą) arba iki 500 000 EUR baudų per metus (50 000 EUR už vieną pažeidimą) už sunkiausius šio reglamento pažeidimus. Tikimasi, kad šios baudos bus taikomos tik rimčiausiais atvejais, jei Sąjungos institucija ar įstaiga nevykdytų kitų Europos duomenų apsaugos priežiūros pareigūno taikomų prievartos priemonių. Todėl tikimasi, kad šių baudų finansinis poveikis bus ribotas.

3.2.1.Numatomo poveikio išlaidoms santrauka

mln. EUR (tūkstantųjų tikslumu)

Daugiametės finansinės programos išlaidų
kategorija

Numeris

[Išlaidų kategorija……………...……………………………………………………………….]

GD: <…….>			Metai N 33	Metai N+1	Metai N+2	Metai N+3	Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)	IŠ VISO
• Veiklos asignavimai
Biudžeto eilutės numeris	Įsipareigojimai	(1)
	Mokėjimai	(2)
Biudžeto eilutės numeris	Įsipareigojimai	(1a)
	Mokėjimai	(2a)
Administracinio pobūdžio asignavimai, finansuojami iš konkrečių programų rinkinio lėšų 34
Biudžeto eilutės numeris		(3)
IŠ VISO asignavimų <…….> GD	Įsipareigojimai	=1+1a +3
	Mokėjimai	=2+2a +3

• IŠ VISO veiklos asignavimų	Įsipareigojimai	(4)
	Mokėjimai	(5)
• IŠ VISO administracinio pobūdžio asignavimų, finansuojamų iš konkrečių programų rinkinio lėšų		(6)
IŠ VISO asignavimų pagal daugiametės finansinės programos <....> IŠLAIDŲ KATEGORIJĄ	Įsipareigojimai	=4+1a 6
	Mokėjimai	=5+1a 6

Jei pasiūlymas (iniciatyva) daro poveikį kelioms išlaidų kategorijoms:

• IŠ VISO veiklos asignavimų	Įsipareigojimai	(4)
	Mokėjimai	(5)
• IŠ VISO administracinio pobūdžio asignavimų, finansuojamų iš konkrečių programų rinkinio lėšų		(6)
IŠ VISO asignavimų pagal daugiametės finansinės programos 1–4 IŠLAIDŲ KATEGORIJAS (Orientacinė suma)	Įsipareigojimai	=4+1a 6
	Mokėjimai	=5+1a 6

Daugiametės finansinės programos išlaidų kategorija
kategorija

„Administracinės išlaidos“

mln. EUR (tūkstantųjų tikslumu)

		Metai N	Metai N+1	Metai N+2	Metai N+3	Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)	IŠ VISO
GD: <…….>
• Žmogiškieji ištekliai
• Kitos administracinės išlaidos
IŠ VISO <….> GD	Asignavimai

IŠ VISO asignavimų
pagal daugiametės finansinės programos
5 IŠLAIDŲ KATEGORIJĄ

(Iš viso įsipareigojimų = Iš viso mokėjimų)

mln. EUR (tūkstantųjų tikslumu)

		Metai N 35	Metai N+1	Metai N+2	Metai N+3	Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)	IŠ VISO
IŠ VISO asignavimų pagal daugiametės finansinės programos 1–5 IŠLAIDŲ KATEGORIJAS	Įsipareigojimai
	Mokėjimai

3.2.2.Numatomas poveikis veiklos asignavimams

Pasiūlymui (iniciatyvai) įgyvendinti veiklos asignavimai nenaudojami

◻ Pasiūlymui (iniciatyvai) įgyvendinti veiklos asignavimai naudojami taip:

Įsipareigojimų asignavimai mln. EUR (tūkstantųjų tikslumu)

Nurodyti tikslus ir rezultatus

⇩

Metai
N

Metai
N+1

Metai
N+2

Metai
N+3

Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)

IŠ VISO

REZULTATAI

Rūšis 36

Vidutinės sąnaudos

Nr.

Sąnaudos

Nr.

Sąnaudos

Nr.

Sąnaudos

Nr.

Sąnaudos

Nr.

Sąnaudos

Nr.

Sąnaudos

Nr.

Sąnaudos

Bendras skaičius

Iš viso sąnaudų

1 KONKRETUS TIKSLAS 37 …

- Rezultatas

1 konkretaus tikslo tarpinė suma

2 KONKRETUS TIKSLAS ...

- Rezultatas

2 konkretaus tikslo tarpinė suma

IŠ VISO SĄNAUDŲ

3.2.3.Numatomas poveikis administracinio pobūdžio asignavimams

3.2.3.1.Santrauka

Pasiūlymui (iniciatyvai) įgyvendinti administracinio pobūdžio asignavimų nenaudojama

◻ Pasiūlymui (iniciatyvai) įgyvendinti administracinio pobūdžio asignavimai naudojami taip:

mln. EUR (tūkstantųjų tikslumu)

Metai
N 38

Metai
N+1

Metai
N+2

Metai
N+3

Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)

IŠ VISO

Daugiametės finansinės programos 5 IŠLAIDŲ KATEGORIJA
Žmogiškieji ištekliai
Kitos administracinės išlaidos
Daugiametės finansinės programos tarpinė suma

neįtraukta į daugiametės finansinės programos 39 5 IŠLAIDŲ KATEGORIJĄ
Žmogiškieji ištekliai
Kitos administracinio pobūdžio išlaidos
Tarpinė suma neįtraukta į daugiametės finansinės programos5 IŠLAIDŲ KATEGORIJĄ

IŠ VISO

Žmogiškųjų išteklių ir kitų administracinio pobūdžio išlaidų asignavimų poreikiai bus tenkinami iš GD asignavimų, jau paskirtų priemonei valdyti ir (arba) perskirstytų generaliniame direktorate, ir prireikus finansuojami iš papildomų lėšų, kurios atsakingam GD gali būti skiriamos pagal metinę asignavimų skyrimo procedūrą ir atsižvelgiant į biudžeto apribojimus.

3.2.3.2.Numatomi žmogiškųjų išteklių poreikiai

Pasiūlymui (iniciatyvai) įgyvendinti žmogiškųjų išteklių nenaudojama.

◻ Pasiūlymui (iniciatyvai) įgyvendinti žmogiškieji ištekliai naudojami taip:

Sąmatą surašyti etatų vienetais

		Metai N	Metai N+1	N+2 metai	N+3 metai	Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)
• Etatų plano pareigybės (pareigūnai ir laikinieji darbuotojai)
XX 01 01 01 (Komisijos būstinė ir atstovybės)
XX 01 01 02 (Delegacijos)
XX 01 05 01 (Netiesioginiai moksliniai tyrimai)
10 01 05 01 (Tiesioginiai moksliniai tyrimai)
• Išorės darbuotojai (etato ekvivalentas: FTE) 40
XX 01 02 01 (CA, SNE, INT finansuojami iš bendrojo biudžeto)
XX 01 02 02 (CA, LA, SNE, INT ir JED delegacijose)
XX 01 04 yy 41	- būstinėje
	- delegacijose
XX 01 05 02 (CA, SNE, INT– netiesioginiai moksliniai tyrimai)
10 01 05 02 (CA, INT, SNE – tiesioginiai moksliniai tyrimai)
Kitos biudžeto eilutės (nurodyti)
IŠ VISO

XX yra atitinkama politikos sritis arba biudžeto antraštinė dalis.

Žmogiškųjų išteklių poreikiai bus tenkinami panaudojant GD darbuotojus, jau paskirtus priemonei valdyti ir (arba) perskirstytus generaliniame direktorate, ir prireikus finansuojami iš papildomų lėšų, kurios atsakingam GD gali būti skiriamos pagal metinę asignavimų skyrimo procedūrą ir atsižvelgiant į biudžeto apribojimus.

Vykdytinų užduočių aprašymas:

Pareigūnai ir laikinieji darbuotojai
Išorės darbuotojai

3.2.4.Suderinamumas su dabartine daugiamete finansine programa

Pasiūlymas (iniciatyva) atitinka dabartinę daugiametę finansinę programą.

◻ Atsižvelgiant į pasiūlymą (iniciatyvą), reikės pakeisti daugiametės finansinės programos atitinkamos išlaidų kategorijos programavimą.

Paaiškinti, kaip reikia pakeisti programavimą, ir nurodyti atitinkamas biudžeto eilutes bei sumas.

◻ Įgyvendinant pasiūlymą (iniciatyvą) būtina taikyti lankstumo priemonę arba patikslinti daugiametę finansinę programą.

Paaiškinti, ką reikia atlikti, ir nurodyti atitinkamas išlaidų kategorijas, biudžeto eilutes ir sumas.

3.2.5.Trečiųjų šalių įnašai

Pasiūlyme (iniciatyvoje) nenumatyta bendro su trečiosiomis šalimis finansavimo.

Pasiūlyme (iniciatyvoje) numatytas bendras finansavimas apskaičiuojamas taip:

Asignavimai mln. EUR (tūkstantųjų tikslumu)

	Metai N	Metai N+1	Metai N+2	Metai N+3	Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)	Iš viso
Nurodyti bendrą finansavimą teikiančią įstaigą
IŠ VISO bendrai finansuojamų asignavimų

3.3.Numatomas poveikis įplaukoms

Pasiūlymas (iniciatyva) neturi finansinio poveikio įplaukoms.

◻ Pasiūlymas (iniciatyva) turi finansinį poveikį:

–◻ nuosaviems ištekliams

–◻ įvairioms įplaukoms

mln. EUR (tūkstantųjų tikslumu)

Biudžeto įplaukų eilutė	Einamųjų finansinių metų asignavimai	Pasiūlymo (iniciatyvos) poveikis 42
		Metai N	Metai N+1	Metai N+2	Metai N+3	Atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą)
…………. straipsnis

Įvairių asignuotųjų įplaukų atveju nurodyti biudžeto išlaidų eilutę (-es), kuriai (-ioms) daromas poveikis.

Nurodyti poveikio įplaukoms apskaičiavimo metodą.

(1) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12).

(2) 2002 m. liepos 1 d. Sprendimas Nr. 1247/2002/EB dėl Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą reglamentuojančių nuostatų ir bendrųjų sąlygų’, OL L 183, 2002 7 12, p. 1.

(3) Žr. Reglamento (ES) 20016/679 98 straipsnį ir 17 konstatuojamąją dalį.

(4) Žr. 2010 m. kovo 9 d. ESTT sprendimo Komisija prieš Vokietiją, C-518/07, ECLI:EU:C:2010:125, 26 ir 28 punktus.

(5) Žr. http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Žr. Europos duomenų apsaugos pareigūno bendrąją ataskaitą „Vertinimas, kaip Reglamento (EB) Nr. 45/2001 laikomasi ES institucijose (2013 m. tyrimas)“ ir Nuomonė 3/2015 „Didžioji Europos galimybė: EDAPP rekomendacijos dėl ES duomenų apsaugos reformos galimybių“.

(7) JUST/2013/FRAC/FW/0157/A4 pagal preliminariąją sutartį su keliais tiekėjais JUST/2011/EVAL/01 (RS 2013/05) – „Ernst and Young“ atliktas Reglamento (EB) Nr. 45/2001 vertinamasis tyrimas, pateiktas adresu http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087.

(8) 2010 m. lapkričio 9 d. ESTT sprendimo Volker und Markus Schecke ir Eifert, sujungtos bylos C-92/09 ir C-93/09 ECLI:EU:C:2009:284, 48 punktas.

(9) Pagal Chartijos 52 straipsnio 1 dalį pripažįstama galimybė apriboti naudojimąsi teise į duomenų apsaugą, jei šie apribojimai numatyti įstatymo, nekeičia šių teisių ir laisvių esmės ir, remiantis proporcingumo principu, yra būtini bei tikrai atitinka Sąjungos pripažintus bendruosius interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.

(10) OL C , , p. .

(11) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(12) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (Tekstas svarbus EEE) (O L 119, 2016 5 4, p. 1–88).

(13) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89–131).

(14) 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

(15) 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe ( OL L 354, 2008 12 31, p. 70 ).

(16) 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(17) 2009 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 223/2009 dėl Europos statistikos, panaikinantis Europos Parlamento ir Tarybos reglamentą (EB, Euratomas) Nr. 1101/2008 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai, Tarybos reglamentą (EB) Nr. 322/97 dėl Bendrijos statistikos ir Tarybos sprendimą 89/382/EEB, Euratomas, įsteigiantį Europos Bendrijų statistikos programų komitetą ( OL L 87, 2009 3 31, p. 164 ).

(18) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (Tekstas svarbus EEE) (O L 119, 2016 5 4, p. 1–88).

(19) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89–131).

(20) 2008 m. birželio 20 d. Komisijos direktyva 2008/63/EB dėl konkurencijos telekomunikacijų galinių įrenginių rinkose (OL L 162, 2008 6 21, p. 20).

(21) 2009 m. lapkričio 30 d. Tarybos sprendimas 2009/917/TVR dėl informacinių technologijų naudojimo muitinės tikslais (OL L 323, 2009 12 10, p. 20–30).

(22) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12).

(23) 2002 m. liepos 1 d. Sprendimas Nr. 1247/2002/EB dėl Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą reglamentuojančių nuostatų ir bendrųjų sąlygų, OL L 183, 2002 7 12, p. 1.

(24) 2014 m. gruodžio 4 d. Europos Parlamento ir Tarybos sprendimas 2014/886/E, kuriuo skiriamas Europos duomenų apsaugos priežiūros pareigūnas ir priežiūros pareigūno pavaduotojas, OL L 351, 2014 12 9, p. 9.

(25) ABM: veikla grindžiamas valdymas, ABB: veikla grindžiamas biudžeto sudarymas.

(26) Kaip nurodyta Finansinio reglamento 54 straipsnio 2 dalies a arba b punkte.

(27) JUST/2013/FRAC/FW/0157/A4 pagal preliminariąją sutartį su keliais tiekėjais JUST/2011/EVAL/01 (RS 2013/05) – Reglamento (EB) Nr. 45/2001 vertinamasis tyrimas, kurį atliko „Ernst and Young“.

(28) Informacija apie valdymo būdus ir nuorodos į Finansinį reglamentą pateikiamos svetainėje „BudgWeb“ http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

(29) DA – diferencijuotieji asignavimai / NDA – nediferencijuotieji asignavimai.

(30) ELPA: Europos laisvosios prekybos asociacija.

(31) Šalių kandidačių ir, kai taikoma, Vakarų Balkanų potencialių šalių kandidačių.

(32) Komisijos tarnybų darbinis dokumentas, Poveikio vertinimas, SEC(2012) 72 final, p. 110.

(33) N metai yra pasiūlymo (iniciatyvos) įgyvendinimo pradžios metai.

(34) Techninė ir (arba) administracinė pagalba bei išlaidos ES programų ir (arba) veiksmų įgyvendinimui remti (buvusios BA eilutės), netiesioginiai moksliniai tyrimai, tiesioginiai moksliniai tyrimai.

(35) N metai yra pasiūlymo (iniciatyvos) įgyvendinimo pradžios metai.

(36) Rezultatai – tai būsimi produktai ir paslaugos (pvz., finansuota studentų mainų, nutiesta kelių kilometrų ir kt.).

(37) Kaip apibūdinta 1.4.2 skirsnyje „Konkretus (ūs) tikslas (-ai)...“

(38) N metai yra pasiūlymo (iniciatyvos) įgyvendinimo pradžios metai.

(39) Techninė ir (arba) administracinė pagalba bei išlaidos ES programų ir (arba) veiksmų įgyvendinimui remti (buvusios BA eilutės), netiesioginiai moksliniai tyrimai, tiesioginiai moksliniai tyrimai.

(40) CA – sutartininkas („Contract Agent“); LA – vietinis darbuotojas („Local Agent“); SNE – deleguotasis nacionalinis ekspertas („Seconded National Expert“); INT – per agentūrą įdarbintas darbuotojas („Intérimaire“); JED – jaunesnysis delegacijos ekspertas („Junior Expert in Delegations“).

(41) Neviršijant viršutinės ribos, nustatytos išorės darbuotojams, finansuojamiems iš veiklos asignavimų (buvusių BA eilučių).

(42) Tradiciniai nuosavi ištekliai (muitai, cukraus mokesčiai) turi būti nurodomi grynosiomis sumomis, t. y. iš bendros sumos atskaičius 25 % surinkimo sąnaudų.