ISSN 1977-0723

Europos Sąjungos

oficialusis leidinys

L 119

European flag  

Leidimas lietuvių kalba

Teisės aktai

59 tomas
2016m. gegužės 4d.


Turinys

 

I   Teisėkūros procedūra priimami aktai

Puslapis

 

 

REGLAMENTAI

 

*

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ( 1 )

1

 

 

DIREKTYVOS

 

*

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR

89

 

*

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais

132

 


 

(1)   Tekstas svarbus EEE

LT

Aktai, kurių pavadinimai spausdinami paprastu šriftu, yra susiję su kasdieniu žemės ūkio reikalų valdymu ir paprastai galioja ribotą laikotarpį.

Visų kitų aktų pavadinimai spausdinami ryškesniu šriftu ir prieš juos dedama žvaigždutė.


I Teisėkūros procedūra priimami aktai

REGLAMENTAI

4.5.2016   

LT

Europos Sąjungos oficialusis leidinys

L 119/1


EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2016/679

2016 m. balandžio 27 d.

dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)

(Tekstas svarbus EEE)

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę (1),

atsižvelgdami į Regionų komiteto nuomonę (2),

laikydamiesi įprastos teisėkūros procedūros (3),

kadangi:

(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

(2)

fizinių asmenų apsaugos tvarkant jų asmens duomenis principais ir taisyklėmis turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma jų teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Šiuo reglamentu siekiama padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą, skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką ir siekti jų ekonomikos konvergencijos vidaus rinkoje ir fizinių asmenų gerovės;

(3)

Europos Parlamento ir Tarybos direktyva 95/46/EB (4) siekiama suderinti fizinių asmenų pagrindinių teisių ir laisvių apsaugą vykdant duomenų tvarkymo veiklą ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių;

(4)

asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. Šiuo reglamentu paisoma visų Chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir laisvių bei principų, visų pirma teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, religijų ir kalbų įvairovės;

(5)

dėl ekonominės ir socialinės integracijos, kuri yra vidaus rinkos veikimo rezultatas, labai išaugo tarpvalstybinis asmens duomenų judėjimas. Sąjungoje daugiau keičiamasi asmens duomenimis tarp viešojo ir privačiojo sektoriaus subjektų, įskaitant fizinius asmenis, asociacijas ir įmones. Sąjungos teisėje valstybių narių nacionalinės institucijos raginamos bendradarbiauti ir keistis asmens duomenimis, kad galėtų atlikti savo pareigas arba vykdyti užduotis kitos valstybės narės valdžios institucijos vardu;

(6)

dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Žymiai išaugo asmens duomenų rinkimo ir keitimosi jais mastas. Technologijos leidžia privačioms bendrovėms ir valdžios institucijoms vykdant savo veiklą naudotis asmens duomenimis precedento neturinčiu mastu. Fiziniai asmenys vis dažniau viešina asmeninę informaciją pasaulio mastu. Technologijos pakeitė ekonominį ir socialinį gyvenimą ir turėtų sudaryti dar palankesnes sąlygas laisvam asmens duomenų judėjimui Sąjungoje ir jų perdavimui į trečiąsias valstybes bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį;

(7)

dėl tų pokyčių Sąjungoje reikia tvirtos ir geriau suderintos duomenų apsaugos sistemos, paremtos griežtu vykdymo užtikrinimu, kadangi svarbu sukurti pasitikėjimą, kuris sudarys sąlygas skaitmeninei ekonomikai vystytis vidaus rinkoje. Fiziniai asmenys turėtų kontroliuoti savo asmens duomenis ir turėtų būti užtikrintas didesnis teisinis ir praktinis tikrumas fiziniams asmenims, ekonominės veiklos vykdytojams ir valdžios institucijoms;

(8)

kai šiuo reglamentu numatoma galimybė valstybės narės teisėje konkrečiau apibrėžti reglamento taisykles ar numatyti jų apribojimus, valstybės narės, kiek tai būtina suderinamumui užtikrinti ir siekiant, kad nacionalinės nuostatos būtų suprantamos asmenims, kuriems jos taikomos, gali į savo nacionalinę teisę įtraukti šio reglamento elementus;

(9)

Direktyvos 95/46/EB tikslai ir principai tebėra pagrįsti, tačiau ji neužkirto kelio suskaidytam duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ar plačiai paplitusiai viešajai nuomonei, kad fizinių asmenų apsaugai kyla didelių pavojų, visų pirma dėl veiklos internete. Dėl skirtingo fizinių asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje. Todėl tokie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungos lygmeniu, iškreipti konkurenciją ir trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę. Tokią skirtingo lygio apsaugą lemia nevienodas Direktyvos 95/46/EB įgyvendinimas ir taikymas;

(10)

siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. Kalbant apie asmens duomenų tvarkymą siekiant laikytis teisinės prievolės, užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimui valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti nacionalines nuostatas, kuriomis konkrečiau apibrėžiamas šiame reglamente nustatytų taisyklių taikymas. Kartu su bendraisiais ir horizontaliaisiais teisės aktais dėl duomenų apsaugos, kuriais įgyvendinama Direktyva 95/46/EB, valstybės narės turi keletą konkretiems sektoriams skirtų teisės aktų srityse, kuriose reikia konkretesnių nuostatų. Šiuo reglamentu valstybėms narėms taip pat suteikiama tam tikra veiksmų laisvė nustatyti savo taisykles, be kita ko, dėl specialių kategorijų asmens duomenų (neskelbtini duomenys) tvarkymo. Todėl šiuo reglamentu neužkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo atvejų aplinkybės, be kita ko, tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas;

(11)

siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, bet ir valstybėse narėse suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir nustatyti lygiavertes sankcijas dėl pažeidimų;

(12)

SESV 16 straipsnio 2 dalimi Europos Parlamentas ir Taryba įgaliojami nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo asmens duomenų judėjimo taisykles;

(13)

siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas. Tam, kad vidaus rinka veiktų tinkamai, reikia užtikrinti, kad laisvas asmens duomenų judėjimas Sąjungoje nebūtų ribojamas ar draudžiamas dėl priežasčių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis. Kad būtų atsižvelgta į ypatingą labai mažų, mažųjų ir vidutinių įmonių padėtį, šiame reglamente įrašų laikymo atžvilgiu organizacijoms, kuriose dirba mažiau kaip 250 darbuotojų, numatyta nukrypti leidžianti nuostata. Be to, Sąjungos institucijos ir įstaigos, valstybės narės ir jų priežiūros institucijos raginamos taikant šį reglamentą atsižvelgti į specialius labai mažų, mažųjų ir vidutinių įmonių poreikius. Labai mažų, mažųjų ir vidutinių įmonių sąvoka turėtų būti grindžiama Komisijos rekomendacijos 2003/361/EB (5) priedo 2 straipsniu;

(14)

šiuo reglamentu užtikrinama apsauga turėtų būti taikoma fiziniams asmenims tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Šis reglamentas neapimama juridinių asmenų ir visų pirma su juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo;

(15)

siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų. Fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

(16)

šis reglamentas netaikomas nei pagrindinių teisių ir laisvių apsaugai ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, pavyzdžiui, su nacionaliniu saugumu susijusia veikla, judėjimo klausimams. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko valstybės narės, vykdydamos su Sąjungos bendra užsienio ir saugumo politika susijusią veiklą;

(17)

asmens duomenų tvarkymui Sąjungos institucijose, įstaigose, tarnybose ir agentūrose taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 (6). Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, turėtų būti pataisyti pagal šiame reglamente nustatytus principus ir taisykles ir taikomi atsižvelgiant į šį reglamentą. Siekiant užtikrinti tvirtą ir suderintą duomenų apsaugos sistemą Sąjungoje, priėmus šį reglamentą turėtų būti atitinkamai pataisytas Reglamentas (EB) Nr. 45/2001, kad jį būtų galima taikyti tuo pačiu metu, kaip ir šį reglamentą;

(18)

šis reglamentas netaikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko vykdydamas grynai asmeninę ar namų ūkio priežiūros veiklą ir nesusiedamas to su profesine ar komercine veikla. Asmeninę ar namų ūkio priežiūros veiklą gali sudaryti, be kita ko, susirašinėjimas ir adresų saugojimas arba naudojimasis socialiniais tinklais ir internetinė veikla, vykdoma atliekant tokią veiklą. Tačiau šis reglamentas taikomas duomenų valdytojams arba duomenų tvarkytojams, kurie suteikia priemones asmens duomenų tvarkymui vykdant tokią asmeninę ar namų ūkio priežiūros veiklą;

(19)

fizinių asmenų apsauga kompetentingoms valdžios institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu. Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymo veiklai tokiais tikslais. Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami tais tikslais, jų tvarkymas turėtų būti reglamentuojamas konkretesniu Sąjungos teisės aktu, tai yra Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (7). Valstybės narės gali kompetentingoms valdžios institucijoms, kaip apibrėžta Direktyvoje (ES) 2016/680, pavesti užduotis, kurios nebūtinai atliekamos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, kad tais kitais tikslais atliekamas asmens duomenų tvarkymas tiek, kiek jis patenka į Sąjungos teisės taikymo sritį, patektų į šio reglamento taikymo sritį.

Kalbant apie tų kompetentingų valdžios institucijų atliekamą asmens duomenų tvarkymą tikslais, patenkančiais į šio reglamento taikymo sritį, valstybės narės galėtų palikti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti. Tokiomis nuostatomis gali būti tiksliau apibrėžti konkretūs reikalavimai dėl tais kitais tikslais tų kompetentingų valdžios institucijų atliekamo asmens duomenų tvarkymo, atsižvelgiant į atitinkamos valstybės narės konstitucinę, organizacinę ir administracinę struktūrą. Kai šis reglamentas taikomas privačioms įstaigoms tvarkant asmens duomenis, šiame reglamente valstybėms narėms turėtų būti numatyta galimybė konkrečiomis sąlygomis teisės aktais apriboti tam tikras prievoles ir teises, kai toks apribojimas yra būtina ir proporcinga priemonė demokratinėje visuomenėje siekiant apsaugoti konkrečius svarbius interesus, įskaitant visuomenės saugumą ir nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją. Tai aktualu, pavyzdžiui, kovojant su pinigų plovimu ar vykdant kriminalinių tyrimų laboratorijų veiklą;

(20)

nors šis reglamentas, inter alia, taikomas ir teismų bei kitų teisminių institucijų veiklai, Sąjungos ar valstybės narės teisėje galėtų būti nurodytos duomenų tvarkymo operacijos ir duomenų tvarkymo procedūros tvarkant asmens duomenis teismuose bei kitose teisminėse institucijose. Siekiant apsaugoti teisminių institucijų nepriklausomumą vykdant jų teismines užduotis, įskaitant jų sprendimų priėmimo nepriklausomumą, priežiūros institucijų kompetencijai neturėtų priklausyti asmens duomenų tvarkymas teismams vykdant jų teismines funkcijas. Tokių duomenų tvarkymo operacijų priežiūrą turėtų būti galima pavesti konkrečioms valstybės narės teismų sistemos įstaigoms; visų pirma jos turėtų užtikrinti, kad būtų laikomasi šiame reglamente nustatytų taisyklių, skatinti teisminių institucijų narių informuotumą apie jų prievoles pagal šį reglamentą ir nagrinėti su tokiomis duomenų tvarkymo operacijomis susijusius skundus;

(21)

šiuo reglamentu nedaromas poveikis Europos Parlamento ir Tarybos direktyvos 2000/31/EB (8), visų pirma jos 12–15 straipsniuose įtvirtintų tarpinių paslaugų teikėjų atsakomybės nuostatų, taikymui. Ta direktyva siekiama prisidėti prie tinkamo vidaus rinkos veikimo užtikrinant laisvą informacinės visuomenės paslaugų judėjimą tarp valstybių narių;

(22)

bet koks asmens duomenų tvarkymas, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, turėtų vykti pagal šį reglamentą, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama Sąjungoje. Buveinė reiškia, kad per stabilias struktūras vykdoma veiksminga ir reali veikla. Teisinė tokių struktūrų forma, neatsižvelgiant į tai, ar tai filialas ar patronuojamoji bendrovė, turinti juridinio asmens statusą, tuo požiūriu nėra lemiamas veiksnys;

(23)

kad fiziniams asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal šį reglamentą, šis reglamentas turėtų būti taikomas Sąjungoje esančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, tvarkymui, kai duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu tokiems duomenų subjektams, neatsižvelgiant į tai, ar tai susiję su mokėjimu. Siekiant nustatyti, ar toks duomenų valdytojas arba duomenų tvarkytojas siūlo prekes ar paslaugas Sąjungoje esantiems duomenų subjektams, turėtų būti įsitikinta, ar akivaizdu, kad tas duomenų valdytojas arba duomenų tvarkytojas numato teikti paslaugas duomenų subjektams vienoje ar keliose valstybėse narėse Sąjungoje. Kadangi vien tik to, kad Sąjungoje yra prieinami duomenų valdytojo, duomenų tvarkytojo ar tarpininko interneto svetainė ar el. pašto adresas, ir kiti kontaktiniai duomenys arba kad vartojama kalba, kuri paprastai vartojama trečiojoje valstybėje, kurioje yra įsisteigęs duomenų valdytojas, nepakanka įsitikinti, kad esama tokio ketinimo, tokie veiksniai kaip kalbos ar valiutos, paprastai vartojamų (naudojamų) vienoje ar keliose valstybėse narėse, vartojimas (naudojimas) su galimybe užsisakyti prekes ir paslaugas ta kita kalba, arba Sąjungoje esančių vartotojų ar naudotojų minėjimas gali būti aspektai, iš kurių aišku, kad duomenų valdytojas numato siūlyti prekes ar paslaugas duomenų subjektams Sąjungoje;

(24)

šis reglamentas taip pat turėtų būti taikomas Sąjungoje esančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, tvarkymui, kai duomenų tvarkymas susijęs su tokių duomenų subjektų elgesio tiek, kiek jų elgesys vyksta Sąjungoje, stebėsena. Siekiant nustatyti, ar duomenų tvarkymo veikla gali būti laikoma duomenų subjektų elgesio stebėsena, reikėtų įsitikinti, ar fiziniai asmenys internete atsekami, be kita ko, vėliau galbūt taikant asmens duomenų tvarkymo metodus, kuriais fiziniam asmeniui suteikiamas profilis, ypač siekiant priimti su juo susijusius sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį ir požiūrius;

(25)

kai pagal tarptautinę viešąją teisę taikoma valstybės narės teisė, pavyzdžiui, valstybių narių diplomatinėse atstovybėse ar konsulinėse įstaigose, šis reglamentas taip pat turėtų būti taikomas Sąjungoje neįsisteigusiems duomenų valdytojams;

(26)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

(27)

šis reglamentas netaikomas mirusių asmenų asmens duomenims. Valstybės narės gali numatyti mirusių asmenų asmens duomenų tvarkymo taisykles;

(28)

pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

(29)

siekiant sukurti paskatas, kad tvarkant asmens duomenis būtų suteikiami pseudonimai, turėtų būti galima pas tą patį duomenų valdytoją taikyti pseudonimų suteikimo asmens duomenims priemones, tuo pat metu sudarant sąlygas atlikti bendrą analizę, kai tas duomenų valdytojas yra ėmęsis techninių ir organizacinių priemonių, būtinų užtikrinti, kad atitinkamo duomenų tvarkymo atžvilgiu būtų įgyvendinamas šis reglamentas, ir užtikrinant, kad papildoma informacija, naudojama priskiriant asmens duomenis konkrečiam duomenų subjektui, būtų laikoma atskirai. Asmens duomenis tvarkantis duomenų valdytojas turėtų nurodyti įgaliotus asmenis pas tą patį duomenų valdytoją;

(30)

fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais, slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie visų pirma kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

(31)

valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės, kad jos galėtų vykdyti oficialias savo funkcijas kaip, pavyzdžiui, mokesčių institucijos ar muitinės, finansinių tyrimų padaliniai, nepriklausomos administracinės valdžios institucijos ar finansų rinkų institucijos, atsakingos už vertybinių popierių rinkų reguliavimą ir priežiūrą, neturėtų būti laikomos asmens duomenų gavėjais, jei jos gauna duomenis, kurie yra būtini konkrečiam tyrimui atlikti pagal bendrą interesą, vadovaujantis Sąjungos arba valstybės narės teise. Valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje. Tos valdžios institucijos asmens duomenis turėtų tvarkyti laikydamosi taikomų duomenų apsaugos taisyklių, atsižvelgiant į duomenų tvarkymo tikslus;

(32)

sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis,, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

(33)

dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais. Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų. Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

(34)

genetiniai duomenys turėtų būti apibrėžiami kaip fizinio asmens duomenys, susiję su asmens paveldėtomis ar įgytomis genetinėmis savybėmis, kurios nustatytos išanalizavus biologinį atitinkamo fizinio asmens mėginį, ypač išanalizavus chromosomas ir dezoksiribonukleino rūgštį (DNR) arba ribonukleino rūgštį (RNR), arba kitus elementus, iš kurių galima gauti lygiavertę informaciją;

(35)

prie asmens sveikatos duomenų turėtų būti priskirti visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinę ar psichinę sveikatą. Tai apima informaciją apie fizinį asmenį, surinktą registruojantis sveikatos priežiūros paslaugoms gauti ar jas teikiant tam fiziniam asmeniui, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje 2011/24/ES (9); fiziniam asmeniui priskirtą numerį, simbolį ar žymę, pagal kurią galima konkrečiai nustatyti fizinio asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar medžiagos tyrimus ar analizę, įskaitant genetinius duomenis ir biologinius mėginius; ir bet kurią informaciją apie, pavyzdžiui, ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pavyzdžiui, ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos priemonės ar in vitro diagnostinio tyrimo;

(36)

duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje; tokiu atveju ta kita buveinė turėtų būti laikoma pagrindine buveine. Duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią valdymo veiklą, priimdama pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių. Pagal tą kriterijų neturėtų būti svarbu, ar asmens duomenys faktiškai tvarkomi toje vietoje. Asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra esminiai pagrindinės buveinės nustatymo kriterijai. Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungoje, o jeigu jis neturi centrinės administracijos Sąjungoje – vieta, kurioje Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla. Tais atvejais, kurie yra susiję tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujanti priežiūros institucija turėtų ir toliau būti valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija ir ta priežiūros institucija turėtų dalyvauti šiuo reglamentu numatytoje bendradarbiavimo procedūroje. Bet kuriuo atveju valstybės narės arba valstybių narių, kuriose yra viena ar kelios duomenų tvarkytojo buveinės, priežiūros institucijos neturėtų būti laikomos susijusiomis priežiūros institucijomis, kai sprendimo projektas yra susijęs tik su duomenų valdytoju. Kai duomenis tvarko įmonių grupė, tos įmonių grupės pagrindine buveine turėtų būti laikoma kontroliuojančiosios įmonės pagrindinė buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė;

(37)

įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės, finansinio dalyvavimo arba įmonės veiklą reglamentuojančių taisyklių, arba įgaliojimo įgyvendinti asmens duomenų apsaugos taisykles. Įmonė, kuri kontroliuoja asmens duomenų tvarkymą su ja susijusiose įmonėse, su tomis įmonėmis turėtų būtų laikoma „įmonių grupe“;

(38)

vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Tėvų pareigų turėtojo sutikimo neturėtų būti reikalaujama tiesiogiai vaikui teikiant prevencijos ar konsultavimo paslaugas;

(39)

bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui;

(40)

kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo duomenų subjekto sutikimą arba remiantis kitu teisėtu teisiniu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos teisės akte ar valstybės narės teisėje, įskaitant būtinybę, kad duomenų valdytojas vykdytų jam tenkančią teisinę prievolę, arba būtinybę vykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis priemonių duomenų subjekto prašymu prieš sudarant sutartį;

(41)

kai šiame reglamente nurodomas teisinis pagrindas arba teisėkūros priemonė, tai nebūtinai reiškia, kad parlamentas turi priimti teisėkūros procedūra priimamą aktą, nedarant poveikio reikalavimams, taikomiems pagal atitinkamos valstybės narės konstitucinę tvarką. Tačiau toks teisinis pagrindas ar teisėkūros priemonė turėtų būti aiškūs ir tikslūs, o jų taikymas turėtų būti numatomas tiems asmenims, kuriems jie turi būti taikomi, pagal Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) ir Europos Žmogaus Teisių Teismo praktiką;

(42)

kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Laikantis Tarybos direktyvos 93/13/EEB (10), duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

(43)

siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas, ypač kai duomenų valdytojas yra valdžios institucija ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais, arba jeigu sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nepaisant to, kad toks sutikimas nėra būtinas tokiam vykdymui;

(44)

duomenų tvarkymas turėtų būti laikomas teisėtu, kai jis būtinas siekiant vykdyti sutartį arba ketinant ją sudaryti;

(45)

kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės o Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas. Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos. Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija;

(46)

asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

(47)

teisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu. Toks teisėtas interesas galėtų būti, pavyzdžiui, kai egzistuoja susijęs ir atitinkamas santykis tarp duomenų subjekto ir duomenų valdytojo, pavyzdžiui, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje. Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. Atsižvelgiant į tai, kad teisinį asmens duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, tas teisinis pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas. Asmens duomenų tvarkymas tik tiek, kiek tai yra būtina sukčiavimo prevencijos tikslais, yra ir atitinkamo. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu;

(48)

duomenų valdytojai, priklausantys įmonių grupėms arba įstaigoms, susijusioms su pagrindine įstaiga, gali turėti teisėtą interesą vidaus administraciniais tikslais, įskaitant klientų ar darbuotojų asmens duomenų tvarkymą, įmonių grupėje persiųsti asmens duomenis. Tuo nedaromas poveikis bendriesiems principams, reglamentuojantiems asmens duomenų perdavimą įmonių grupės viduje trečiojoje valstybėje esančiai įmonei;

(49)

valdžios institucijų, kompiuterinių incidentų tyrimo tarnybų, kompiuterių saugumo incidentų tyrimo tarnybų, elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų atliekamas asmens duomenų tvarkymas tik tiek, kiek tai yra būtina ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar persiunčiamų asmens duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia tie tinklai ir sistemos arba kurios per juos prieinamos, saugumą, laikomas teisėtu atitinkamo duomenų valdytojo interesu. Tai galėtų, pavyzdžiui, užkirsti kelią neteisėtai prieigai prie elektroninių ryšių tinklų ir kenkimo programų kodų platinimui, taip pat sustabdyti atkirtimo nuo paslaugos atakas ir neleisti pakenkti kompiuterių bei elektroninių ryšių sistemoms;

(50)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos arba valstybės narės teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.

Jei duomenų subjektas yra davęs sutikimą arba duomenų tvarkymas yra grindžiamas Sąjungos arba valstybės narės teise, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendro viešojo intereso tikslus, asmens duomenų valdytojui turėtų būti leidžiama toliau tvarkyti duomenis neatsižvelgiant į tikslų suderinamumą. Bet kuriuo atveju turėtų būti užtikrinta, kad būtų taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas būtų informuotas apie tuos kitus tikslus ir apie savo teises, įskaitant teisę nesutikti. Kai duomenų valdytojas nurodo galimas nusikalstamas veikas arba grėsmes viešajam saugumui ir persiunčia susijusius atskirų atvejų arba kelių atvejų, susijusių su ta pačia nusikalstama veika arba grėsmėmis visuomenės saugumui, asmens duomenis kompetentingai institucijai, laikoma, kad tai atitinka duomenų valdytojo teisėtą interesą. Tačiau toks duomenų persiuntimas dėl duomenų valdytojo teisėto intereso arba tolesnis asmens duomenų tvarkymas turėtų būti draudžiamas, jei duomenų tvarkymas yra nesuderinamas su teisine, profesine ar kita įpareigojančia prievole saugoti paslaptį;

(51)

asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą. Nuotraukų tvarkymas neturėtų būti laikomas sisteminiu specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą. Tokie asmens duomenys neturėtų būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama šiame reglamente nurodytais konkrečiais atvejais, atsižvelgiant į tai, kad valstybių narių teisėje gali būti numatytos konkrečios nuostatos dėl duomenų apsaugos, siekiant pritaikyti šiame reglamente nustatytų taisyklių dėl teisinės prievolės įvykdymo arba užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimo taikymą. Kartu su konkrečiais tokio duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis. Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

(52)

nukrypti nuo draudimo tvarkyti neskelbtinų kategorijų asmens duomenis turėtų būti leidžiama ir tais atvejais, kai tai numatoma Sąjungos ar valstybėje narėje teisėje ir laikantis tinkamų apsaugos priemonių, kad būtų apsaugoti asmens duomenys ir kitos pagrindinės teisės, kai tai pateisinama viešuoju interesu, visų pirma tvarkant asmens duomenis darbo teisės, socialinės apsaugos teisės, įskaitant pensijas, srityje ir sveikatos saugumo, stebėsenos ir įspėjimo tikslais, užtikrinant užkrečiamųjų ligų ir kitų rimtų grėsmių sveikatai prevenciją ar kontrolę. Tokia nukrypti leidžianti nuostata gali būti taikoma sveikatos apsaugos tikslais, įskaitant visuomenės sveikatą ir sveikatos priežiūros paslaugų valdymą, ypač siekiant užtikrinti sveikatos draudimo sistemoje taikomų prašymų dėl išmokų ir paslaugų nagrinėjimo procedūrų kokybę ir sąnaudų efektyvumą, arba archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Pagal nukrypti leidžiančią nuostatą taip pat turėtų būti leidžiama tvarkyti tokius asmens duomenis, jei tai būtina siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus, nesvarbu, ar pagal teisminę, administracinę arba kitą neteisminę procedūrą;

(53)

specialių kategorijų asmens duomenys, kuriems taikytina aukštesnio lygio apsauga, galėtų būti tvarkomi tik su sveikata susijusiais tikslais, kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas, be kita ko, kai tokius duomenis tvarko valdymo ir centrinės nacionalinės sveikatos apsaugos institucijos kokybės kontrolės, valdymo informacijos ir sveikatos apsaugos arba socialinės rūpybos sistemos bendros priežiūros nacionaliniu ir vietos lygiu tikslais, ir užtikrinant sveikatos apsaugos arba socialinės rūpybos ir tarpvalstybinės sveikatos priežiūros tęstinumą arba sveikatos saugumo, stebėsenos ir įspėjimo tikslais, arba archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, remiantis Sąjungos arba valstybės narės teise, pagal kuriuos reikia pasiekti viešojo intereso tikslą, taip pat dėl viešojo intereso atliekant tyrimus visuomenės sveikatos srityje. Todėl šiame reglamente turėtų būti numatytos suderintos specialių kategorijų asmens sveikatos duomenų tvarkymo sąlygos, atsižvelgiant į specialius poreikius, visų pirma kai tokius duomenis tam tikrais su sveikata susijusiais tikslais tvarko asmenys, kuriems taikoma teisinė prievolė saugoti profesinę paslaptį. Sąjungos ar valstybės narės teisėje turėtų būti numatytos konkrečios ir tinkamos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti. Valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, taikomas genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymui. Tačiau šias sąlygas taikant tarpvalstybiniam tokių asmens duomenų tvarkymui neturėtų būti trikdomas laisvas duomenų judėjimas Sąjungoje;

(54)

visuomenės sveikatos srityje gali reikėti specialių kategorijų asmens duomenis dėl viešojo intereso priežasčių tvarkyti be duomenų subjekto sutikimo. Tokie duomenys turėtų būti tvarkomi taikant tinkamas ir specialias priemones, kad būtų apsaugotos fizinių asmenų teisės ir laisvės. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 (11) ir reikšti visus elementus, susijusius su sveikata, t. y. sveikatos būklę, įskaitant sergamumą ir neįgalumą, veiksnius, darančius poveikį tai sveikatos būklei, sveikatos priežiūros poreikius, sveikatos priežiūrai skirtus išteklius, sveikatos priežiūros paslaugų teikimą ir jų visuotinį prieinamumą, taip pat sveikatos priežiūros išlaidos ir finansavimą, taip pat mirtingumo priežastis. Dėl to, kad sveikatos duomenys tvarkomi dėl viešojo intereso priežasčių, trečiosios šalys, pavyzdžiui, darbdaviai ar draudimo bendrovės ir bankai, neturėtų tvarkyti asmens duomenų kitais tikslais;

(55)

be to, siekiant oficialiai pripažintų religinių asociacijų tikslų, nustatytus pagal konstitucinę teisę arba tarptautinę viešąją teisę, valdžios institucijos asmens duomenis tvarko viešojo intereso pagrindais;

(56)

kai, vykstant rinkimams, demokratinės sistemos veikimui valstybėje narėje užtikrinti būtina, kad politinės partijos surinktų asmens duomenis apie asmenų politines pažiūras, dėl viešojo intereso priežasčių gali būti leista tvarkyti tokius duomenis su sąlyga, kad yra nustatytos tinkamos apsaugos priemonės;

(57)

jeigu asmens duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, duomenų valdytojas neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Tačiau duomenų valdytojas neturėtų atsisakyti priimti papildomos informacijos, kurią duomenų subjektas pateikia, kad pagrįstų naudojimąsi savo teisėmis. Tapatybės nustatymas turėtų apimti duomenų subjekto tapatybės nustatymą skaitmeninėmis priemonėmis, pavyzdžiui, pasitelkiant tokį tapatumo nustatymo mechanizmą kaip tie patys kredencialai, kuriuos duomenų subjektas naudoja, kad prisijungtų prie internetinės paslaugos, kurią siūlo duomenų valdytojas;

(58)

pagal skaidrumo principą visuomenei arba duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba ir, be to, prireikus naudojamas vizualizavimas. Tokia informacija galėtų būti pateikta elektronine forma, pavyzdžiui, interneto svetainėje, kai ji skirta viešai paskelbti. Tai ypač svarbu tais atvejais, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu, kaip antai reklama internete. Atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, informacija ir pranešimai, kai duomenų tvarkymas orientuotas į vaiką, turėtų būti suformuluoti vaikui lengvai suprantama aiškia ir paprasta kalba;

(59)

turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais visų pirma nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti. Duomenų valdytojas taip pat turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų;

(60)

pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. Be to, duomenų subjektas turėtų būti informuotas apie tai, kad vykdomas profiliavimas, ir apie tokio profiliavimo pasekmes. Kai asmens duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti asmens duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ta informacija gali būti pateikiama kartu su standartizuotomis piktogramomis, siekiant lengvai matomai, suprantamai ir aiškiai įskaitomai pateikti prasmingą numatomo tvarkymo apžvalgą. Jei piktogramos pateikiamos elektronine forma, jos turėtų būti kompiuterio skaitomos;

(61)

informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti jam suteikta duomenis renkant arba, kai asmens duomenys gaunami ne iš duomenų subjekto, o iš kito šaltinio, per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai asmens duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo asmens duomenų atskleidimo jų gavėjui metu. Jeigu asmens duomenų valdytojas ketina tvarkyti duomenis kitu tikslu nei tikslas, kuriuo jie buvo renkami, prieš taip toliau tvarkydamas duomenis, duomenų valdytojas turėtų pateikti duomenų subjektui informaciją apie tą kitą tikslą ir kitą būtiną informaciją. Tais atvejais, kai asmens duomenų kilmė duomenų subjektui negali būti nurodyta dėl to, kad buvo naudoti įvairūs šaltiniai, turėtų būti pateikta bendro pobūdžio informacija;

(62)

tačiau prievolės suteikti informaciją nebūtina nustatyti tais atvejais, kai duomenų subjektas jau buvo apie tai informuotas arba kai asmens duomenų įrašymas ar atskleidimas aiškiai įtvirtintas įstatyme, arba kai pateikti informaciją duomenų subjektui pasirodo neįmanoma arba tai pareikalautų neproporcingai didelių pastangų. Pastarajam atvejui ypač būtų galima priskirti duomenų tvarkymą archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Tokioje situacijoje turėtų būti atsižvelgiama į duomenų subjektų skaičių, duomenų senumą ir bet kokias patvirtintas tinkamas apsaugos priemones;

(63)

duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Kai įmanoma, duomenų valdytojas turėtų galėti suteikti nuotolinę prieigą prie saugios sistemos, kurioje duomenų subjektas gali tiesiogiai prieiti prie savo asmens duomenų. Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

(64)

duomenų valdytojas turėtų naudotis visomis pagrįstomis priemonėmis, kad patikrintų prašančio leisti susipažinti su duomenimis duomenų subjekto tapatybę, ypač kai tai susiję su interneto paslaugomis ir interneto identifikatoriais. Duomenų valdytojas neturėtų saugoti asmens duomenų vien tam, kad galėtų atsakyti į galimus prašymus;

(65)

duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui. Visų pirma duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento. Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

(66)

siekiant sustiprinti teisę būti pamirštam internetinėje aplinkoje, teisė prašyti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius asmens duomenis, tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus. Tai darydamas, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir jam prieinamas priemones, įskaitant technines priemones, turėtų imtis pagrįstų veiksmų, kad apie duomenų subjekto prašymą informuotų duomenis tvarkančius asmens duomenų valdytojus;

(67)

būdai, kuriais ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: laikinai perkelti atrinktus duomenis į kitą tvarkymo sistemą, padaryti atrinktus asmens duomenis neprieinamus naudotojams arba laikinai išimti paskelbtus duomenis iš interneto svetainės. Automatiniuose susistemintuose rinkiniuose duomenų tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebebūtų galima pakeisti. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje turėtų būti aiškiai nurodyta;

(68)

kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį. Ji neturėtų būti taikoma, jeigu duomenų tvarkymas grindžiamas teisiniu pagrindu nei sutikimas ar sutartis. Dėl pačios tos teisės esmės ja neturėtų būti naudojamasi prieš duomenų valdytojus, kurie asmens duomenis tvarko vykdydami savo viešąsias pareigas. Todėl ši teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos. Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą. Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini. Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

(69)

kai asmens duomenys galėtų būti teisėtai tvarkomi, kadangi duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, arba vadovaujantis duomenų valdytojo arba trečiosios šalies teisėtais interesais, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

(70)

jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turėtų turėti teisę bet kada nemokamai nesutikti su tokiu duomenų tvarkymu, įskaitant profiliavimą tiek, kiek jis susijęs su tokia tiesiogine rinkodara, nesvarbu, ar tai yra pirminis ar tolesnis duomenų tvarkymas. Apie tą teisę turėtų būti aiškiai informuojamas duomenų subjektas ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos;

(71)

duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas, kuriame gali būti numatyta priemonė, kuria vertinami su juo susiję asmeniniai aspektai, kuri grindžiama tik automatizuotu duomenų tvarkymu, ir kuri jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, tokį kaip automatinio internetinės kredito paraiškos atmetimas ar elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima „profiliavimą“, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos ar valstybės narės teisėje, kuri taikoma duomenų valdytojui, be kita ko, sukčiavimo ir mokesčių slėpimo stebėsenos ir prevencijos tikslais, laikantis Sąjungos institucijų ar nacionalinių priežiūros įstaigų taisyklių, standartų ir rekomendacijų, ir siekiant užtikrinti duomenų valdytojo suteiktos paslaugos saugumą ir patikimumą, arba kai tai būtina sudarant arba vykdant duomenų subjekto ir duomenų valdytojo sutartį, arba tada, kai duomenų subjektas yra davęs aiškų sutikimą. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku.

Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas visų pirma užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir būtų išvengta, inter alia, diskriminacinio poveikio fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba tokį poveikį turinčių priemonių atsiradimo. Automatizuotas sprendimų priėmimas ir tam tikromis asmens duomenų kategorijomis grindžiamas profiliavimas turėtų būti leidžiamas tik konkrečiomis sąlygomis;

(72)

profiliavimui taikomos šio reglamento taisyklės, kuriomis reglamentuojamas asmens duomenų tvarkymas, kaip antai teisiniai duomenų tvarkymo pagrindai ar duomenų apsaugos principai. Šiuo reglamentu įkurta Europos duomenų apsaugos valdyba (toliau – Valdyba) turėtų galėti išleisti gaires ta tema;

(73)

Sąjungos arba valstybės narės teisėje gali būti nustatyti apribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištaisyti ar ištrinti asmens duomenis, teisė į duomenų perkeliamumą, teisė nesutikti, profiliavimu grindžiami sprendimai, taip pat duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės, jeigu toks ribojimas būtinas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, įskaitant žmonių gyvybių apsaugą, ypač reaguojant į gaivalines ar žmogaus sukeltas nelaimes, nusikalstamų veikų prevenciją, tyrimą ir patraukimą baudžiamojon atsakomybėn už jas ar baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui, reglamentuojamųjų profesijų etikos taisyklių pažeidimų, kitų Sąjungos arba valstybės narės svarbių bendrųjų viešųjų interesų, visų pirma svarbaus Sąjungos arba valstybės narės ekonominio arba finansinio intereso, pažeidimų ir jų prevenciją, teisę turėti viešus registrus bendrojo viešojo intereso tikslais, toliau tvarkyti suarchyvuotus asmens duomenis siekiant pateikti konkrečią informaciją, susijusią su politine elgsena buvusių totalitarinių valstybės režimų metu, arba užtikrinti duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą, įskaitant socialinę apsaugą, visuomenės sveikatą ir humanitarinius tikslus. Tie apribojimai turėtų atitikti Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytus reikalavimus;

(74)

turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms;

(75)

įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

(76)

pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;

(77)

duomenų valdytojo arba duomenų tvarkytojo atliekamo tinkamų priemonių įgyvendinimo ir šio reglamento laikymosi įrodymo gairės, ypač dėl su duomenų tvarkymu susijusio pavojaus nustatymo, kilmės, pobūdžio, tikimybės ir rimtumo įvertinimo, taip pat geriausios patirties mažinant tą pavojų nustatymo, galėtų būti pateiktos visų pirma patvirtintuose elgesio kodeksuose, patvirtintuose sertifikatuose, Valdybos pateiktose gairėse arba duomenų apsaugos pareigūno pateiktuose nurodymuose. Valdyba taip pat gali skelbti gaires dėl duomenų tvarkymo operacijų, kurias vykdant neturėtų kilti didelio pavojaus fizinių asmenų teisėms bei laisvėms, ir nurodyti, kokių priemonių gali pakakti norint tokiais atvejais panaikinti tokį pavojų;

(78)

siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų. Kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų. Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui. Plėtojant, kuriant, atrenkant ir naudojant taikomąsias programas, paslaugas ir produktus, kurie grindžiami asmens duomenų tvarkymu arba kurių atveju asmens duomenys yra tvarkomi siekiant įvykdyti tam tikrą užduotį, tokių produktų, paslaugų ir taikomųjų programų gamintojai, kurdami tokius produktus, paslaugas ir taikomąsias programas, turėtų būti skatinami atsižvelgti į teisę į duomenų apsaugą ir, tinkamai atsižvelgiant į techninių galimybių išsivystymo lygį, turėtų būti skatinami užtikrinti, kad duomenų valdytojai ir duomenų tvarkytojai galėtų vykdyti savo duomenų apsaugos prievoles. Vykdant viešuosius konkursus turėtų būti taip pat atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

(79)

atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, taip pat priežiūros institucijų vykdomos stebėsenos ir taikomų priemonių atžvilgiu, reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

(80)

kai Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kurio duomenų tvarkymo veikla susijusi su prekių ar paslaugų siūlymu, tokiems duomenų subjektams Sąjungoje, nepaisant to, ar reikalaujama, kad duomenų subjektas atliktų mokėjimą, arba jų elgesio, jei jie veikia Sąjungoje, stebėsenai vykdyti, duomenų valdytojas arba duomenų tvarkytojas turėtų paskirti atstovą, nebent duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų asmens duomenų tvarkymo dideliu mastu ar asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojaus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus arba jei duomenų valdytojas yra valdžios institucija ar įstaiga. Atstovas turėtų veikti duomenų valdytojo arba duomenų tvarkytojo vardu ir į jį gali kreiptis bet kuri priežiūros institucija. Atstovą duomenų valdytojas arba duomenų tvarkytojas turėtų aiškiai paskirti rašytiniu įgaliojimu veikti jo vardu vykdant jo prievoles pagal šį reglamentą. Paskiriant tokį atstovą nedaromas poveikis duomenų valdytojo ar duomenų tvarkytojo atsakomybei pagal šį reglamentą. Toks atstovas turėtų vykdyti užduotis pagal iš duomenų valdytojo ar duomenų tvarkytojo gautą įgaliojimą, be kita ko, bendradarbiauti su kompetentingomis priežiūros institucijomis imantis bet kokių veiksmų, kad būtų užtikrintas šio reglamento laikymasis. Paskirtam atstovui turėtų būti taikomi reikalavimų laikymosi užtikrinimo veiksmai tais atvejais, kai duomenų valdytojas ar duomenų tvarkytojas nesilaiko reikalavimų;

(81)

siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo. Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš aspektų siekiant įrodyti, kad duomenų valdytojas vykdo prievoles. Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms. Duomenų valdytojas ir duomenų tvarkytojas gali pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba priežiūros institucija pagal nuoseklumo užtikrinimo mechanizmą, o vėliau patvirtina Komisija. Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

(82)

kad įrodytų, jog laikosi šio reglamento, duomenų valdytojas arba duomenų tvarkytojas turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingas, įrašus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas;

(83)

siekiant užtikrinti saugumą ir užkirsti kelią šį reglamentą pažeidžiančiam duomenų tvarkymui, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir įgyvendinti jo mažinimo priemones, pavyzdžiui, šifravimą. Šiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, atsižvelgiant į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas pavojų ir saugotinų asmens duomenų pobūdžio atžvilgiu. Vertinant pavojų duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant asmens duomenis, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to visų pirma gali būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala;

(84)

siekiant užtikrinti, kad šio reglamento būtų geriau laikomasi, kai vykdant duomenų tvarkymo operacijas gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turėtų būti atsakingas už poveikio duomenų apsaugai vertinimo atlikimą, kad būtų įvertinta visų pirma to pavojaus kilmė, pobūdis, specifika ir rimtumas. Į šio vertinimo rezultatus turėtų būti atsižvelgta nustatant tinkamas priemones, kurių būtų imtasi siekiant įrodyti, kad asmens duomenų tvarkymas vykdomas laikantis šio reglamento. Kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su dideliu pavojumi, kurio duomenų valdytojas negali sumažinti tinkamomis priemonėmis, atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymą turėtų būti konsultuojamasi su priežiūros institucija;

(85)

dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. Todėl, vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, apie asmens duomenų saugumo pažeidimą, nebent duomenų valdytojas gali pagal atskaitomybės principą įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Kai to neįmanoma pranešti per 72 valandas, pranešant turėtų būti pateiktos vėlavimo priežastys ir informacija gali būti pateikiama etapais daugiau nepagrįstai nedelsiant;

(86)

duomenų valdytojas nepagrįstai nedelsdamas turėtų pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai dėl to asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, kad jis galėtų imtis reikiamų priemonių užkirsti tam kelią. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Tokie pranešimai duomenų subjektams turėtų būti pateikti kuo greičiau ir glaudžiai bendradarbiaujant su priežiūros institucija, laikantis jos ar kitų atitinkamų valdžios institucijų, tokių kaip teisėsaugos institucijos, pateiktų nurodymų. Pavyzdžiui, siekiant sumažinti tiesioginį žalos pavojų, reikėtų nedelsiant apie tai pranešti duomenų subjektams, o ilgesnį pranešimo terminą būtų galima pateisinti būtinybe įgyvendinti tinkamas priemones, kuriomis siekiama užkirsti kelią besikartojantiems ar panašiems asmens duomenų saugumo pažeidimams;

(87)

turėtų būti įsitikinta, ar įgyvendintos visos tinkamos technologinės apsaugos ir organizacinės priemonės, kad nedelsiant būtų nustatyta, ar buvo padarytas asmens duomenų saugumo pažeidimas, ir skubiai apie tai būtų informuoti priežiūros institucija ir duomenų subjektas. Turėtų būti nustatytas faktas, kad pranešimas buvo pateiktas nepagrįstai nedelsiant, atsižvelgiant visų pirma į asmens duomenų saugumo pažeidimo pobūdį ir sunkumą, jo pasekmes ir neigiamus padarinius duomenų subjektui. Dėl tokio pranešimo priežiūros institucija gali imtis intervencinių veiksmų vykdydama šiame reglamente nustatytas užduotis ir įgaliojimus;

(88)

nustatant išsamias pranešimo apie asmens duomenų saugumo pažeidimus formos ir tvarkos taisykles, turėtų būti tinkamai atsižvelgiama į to pažeidimo aplinkybes, įskaitant tai, ar asmens duomenys buvo apsaugoti tinkamomis techninėmis apsaugos priemonėmis, veiksmingai ribojančiomis tapatybės klastojimo arba kitokio neteisėto duomenų naudojimo tikimybę. Be to, nustatant tokias taisykles ir tvarką reikėtų atsižvelgti į teisėtus teisėsaugos institucijų interesus, kai ankstyvas informacijos atskleidimas galėtų bereikalingai pakenkti asmens duomenų pažeidimo aplinkybių tyrimui;

(89)

Direktyvoje 95/46/EB numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą. Ta prievolė susijusi su administracine ir finansine našta, tačiau ji ne visada padėdavo gerinti asmens duomenų apsaugą. Todėl tokias bendras visuotines pranešimo prievoles reikėtų panaikinti ir jas pakeisti veiksmingomis procedūromis ir mechanizmais, kurie būtų labiau orientuoti į tų rūšių duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Tokios duomenų tvarkymo operacijų rūšys gali būti tos rūšys, kurios visų pirma apima naujų technologijų naudojimą arba yra naujos rūšies operacijos ir kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo, arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką;

(90)

tokiais atvejais duomenų valdytojas, kad įvertintų didelio pavojaus konkrečią tikimybę ir rimtumą, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus bei pavojaus šaltinius, prieš pradėdamas tvarkyti duomenis, turėtų atlikti poveikio duomenų apsaugai vertinimą. Tame poveikio įvertinime visų pirma turėtų būti nurodytos numatomos priemonės, apsaugos priemonės ir mechanizmai, kuriais tas pavojus būtų sumažinamas, užtikrinama asmens duomenų apsauga ir parodoma, kad laikomasi šio reglamento;

(91)

tai visų pirma turėtų būti taikoma didelio masto duomenų tvarkymo operacijoms, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų, pavyzdžiui, dėl jų jautraus pobūdžio, kai atsižvelgiant į pasiektą technologinių žinių lygį nauja technologija yra naudojama dideliu mastu, taip pat taikoma kitoms duomenų tvarkymo operacijoms, kurios kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, visų pirma, kai duomenų subjektams dėl šių operacijų yra sunkiau naudotis savo teisėmis. Poveikio duomenų apsaugai vertinimas taip pat turėtų būti atliktas tais atvejais, kai asmens duomenys yra tvarkomi siekiant priimti sprendimus dėl konkrečių fizinių asmenų atlikus su fiziniais asmenimis susijusį sistemingą ir plataus masto asmeninių aspektų įvertinimą, remiantis tų duomenų profiliavimu, arba atlikus specialių kategorijų asmens duomenų, biometrinių duomenų ar duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas ar susijusias saugumo priemones tvarkymą. Poveikio duomenų apsaugai vertinimo taip pat reikalaujama siekiant vykdyti viešų vietų stebėjimą dideliu mastu, ypač naudojant optinius elektroninius prietaisus, arba vykdant kitas operacijas, kurių atveju kompetentinga priežiūros institucija laikosi nuomonės, kad tvarkant duomenis gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, visų pirma dėl to, kad jas vykdant duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis, arba dėl to, kad jos yra vykdomos sistemingai dideliu mastu. Asmens duomenų tvarkymas neturėtų būti laikomas didelio masto duomenų tvarkymu, jei tai yra atskirų gydytojų, kitų sveikatos priežiūros specialistų pacientų arba teisininko klientų asmens duomenų tvarkymas. Tokiais atvejais neturėtų būti privaloma atlikti poveikio duomenų apsaugai vertinimo;

(92)

tam tikromis aplinkybėmis gali būti protinga ir ekonomiška atlikti platesnio masto poveikio duomenų apsaugai vertinimą, o ne susieti jį su vienu konkrečiu projektu, pavyzdžiui, kai valdžios institucijos ar įstaigos siekia sukurti bendrą taikomąją programą ar duomenų tvarkymo platformą arba kai keli duomenų valdytojai ketina tam tikroje pramonės šakoje, jos sektoriuje arba plačiai paplitusioje horizontalioje veikloje pradėti taikyti bendrą taikomąją programą ar duomenų tvarkymo aplinką;

(93)

priimant valstybės narės įstatymą, kurio pagrindu valdžios institucija ar viešoji įstaiga vykdo savo užduotis ir kuriuo reglamentuojama atitinkama konkreti duomenų tvarkymo operacija ar jų seka, valstybės narės gali nuspręsti, kad prieš imantis duomenų tvarkymo veiklos būtina atlikti tokį vertinimą;

(94)

kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su priežiūros institucija. Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms. Priežiūros institucija į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį. Tačiau tai, kad priežiūros institucija nesureagavo per tą laikotarpį, neturėtų turėti poveikio priežiūros institucijos intervenciniams veiksmams jai vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitanti įgaliojimą uždrausti duomenų tvarkymo operacijas. Vykdant tą konsultavimosi procesą, priežiūros institucijai gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

(95)

duomenų tvarkytojas prireikus arba gavęs prašymą turėtų padėti duomenų valdytojui užtikrinti, kad būtų vykdomos prievolės, atsirandančios atliekant poveikio duomenų apsaugai vertinimus ir iš anksto konsultuojantis su priežiūros institucija;

(96)

konsultacijos su priežiūros institucija taip pat turėtų vykti rengiant teisėkūros arba reguliavimo priemones, kuriomis numatomas asmens duomenų tvarkymas, siekiant užtikrinti, kad numatytas duomenų tvarkymas atitiktų šį reglamentą, visų pirma būtų sumažintas duomenų subjektams kylantis pavojus;

(97)

kai duomenis tvarko valdžios institucija, išskyrus teismus ar nepriklausomas teismines institucijas, vykdančias savo teisminius įgaliojimus, kai privačiajame sektoriuje duomenis tvarko duomenų valdytojas, kurio pagrindinę veiklą sudaro duomenų tvarkymo operacijos, kurioms atlikti reikia reguliariai ir sistemingai stebėti duomenų subjektus dideliu mastu, arba kai duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu ir duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas, duomenų valdytojui ar duomenų tvarkytojui stebėti, kaip viduje laikomasi šio reglamento, turėtų padėti asmuo, turintis ekspertinių duomenų apsaugos teisės ir praktikos žinių. Privačiajame sektoriuje duomenų valdytojo pagrindinė veikla yra susijusi su jo svarbiausia veikla ir nesusijusi su asmens duomenų tvarkymu kaip papildoma veikla. Būtinas ekspertinių žinių lygis turėtų būti nustatomas visų pirma atsižvelgiant į atliekamas duomenų tvarkymo operacijas ir duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų reikiamą apsaugą. Tokie duomenų apsaugos pareigūnai, nepriklausomai nuo to, ar jie yra duomenų valdytojo darbuotojai, savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;

(98)

asociacijos ar kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, turėtų būti skatinamos neviršijant šio reglamento nuostatų parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus ir konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius. Tokiuose elgesio kodeksuose visų pirma galėtų būti nustatomos duomenų valdytojų ir duomenų tvarkytojų prievolės, atsižvelgiant į pavojų, kuris tvarkant duomenis gali kilti fizinių asmenų teisėms ir laisvėms;

(99)

rengdamos elgesio kodeksą arba jį iš dalies keisdamos ar išplėsdamos, asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, turėtų konsultuotis su atitinkamais suinteresuotaisiais subjektais, be kita ko, jei įmanoma – su duomenų subjektais, ir atsižvelgti į tokių konsultacijų metu gautus atsakymus ir pareikštas nuomones;

(100)

siekiant didesnio skaidrumo ir geresnio šio reglamento laikymosi, reikėtų skatinti nustatyti sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad duomenų subjektai galėtų greitai įvertinti konkretaus produkto ar paslaugos duomenų apsaugos lygį;

(101)

asmens duomenų judėjimas į Sąjungai nepriklausančias valstybes ir tarptautines organizacijas ir iš jų reikalingas tarptautinės prekybos plėtrai ir tarptautiniam bendradarbiavimui. Išaugus tokiam judėjimui, atsirado naujų asmens duomenų apsaugos sunkumų ir rūpesčių. Tačiau kai asmens duomenys iš Sąjungos perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis, be kita ko, tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai. Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento. Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

(102)

šiuo reglamentu nedaromas poveikis Sąjungos ir trečiųjų valstybių sudarytiems tarptautiniams susitarimams, kuriais reglamentuojamas asmens duomenų perdavimas, įskaitant tinkamas duomenų subjektų apsaugos priemones. Valstybės narės gali sudaryti tarptautinius susitarimus, apimančius asmens duomenų perdavimą į trečiąsias valstybes ar tarptautinėms organizacijoms, jeigu tokie susitarimai neturi poveikio šiam reglamentui arba kitoms Sąjungos teisės nuostatoms ir jais numatoma tinkamo lygio duomenų subjektų pagrindinių teisių apsauga;

(103)

Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiąja valstybe ar tarptautine organizacija, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Šiais atvejais asmens duomenys į tokią trečią valstybę gali būti perduodami be papildomo leidimo. Komisija, įspėjusi trečiąją valstybę ar tarptautinę organizaciją ir pateikusi jai išsamias priežastis, taip pat gali nuspręsti tokį sprendimą atšaukti;

(104)

atsižvelgdama į pagrindines vertybes, kuriomis grindžiama Sąjunga, visų pirma į žmogaus teisių apsaugą, Komisija, vertindama trečiąją šalį arba teritoriją, arba nurodytą sektorių trečiojoje šalyje, turėtų atsižvelgti į tai, kaip atitinkama trečioji šalis laikosi teisinės valstybės, teisės kreiptis į teismą principų, tarptautinių žmogaus teisių normų ir standartų, taip pat savo bendros ir sektorių teisės, įskaitant visuomenės saugumą, gynybą ir nacionalinį saugumą reglamentuojančius teisės aktus, ir viešosios tvarkos bei baudžiamosios teisės. Priimant teritorijai arba nurodytam sektoriui trečiojoje šalyje skirtą sprendimą dėl tinkamumo turėtų būti atsižvelgiama į aiškius ir objektyvius kriterijus, pavyzdžiui, konkrečią duomenų tvarkymo veiklą ir trečiojoje šalyje taikytinų teisinių standartų bei galiojančių teisės aktų taikymo sritį. Trečioji šalis turėtų suteikti garantijas, kuriomis būtų užtikrinama atitinkamo lygio apsauga, iš esmės lygiavertė Sąjungoje garantuojamai apsaugai, visų pirma tada, kai asmens duomenys tvarkomi viename ar keliuose nurodytuose sektoriuose. Visų pirma trečioji valstybė turėtų užtikrinti veiksmingą nepriklausomą duomenų apsaugos priežiūrą ir turėtų nustatyti bendradarbiavimo su valstybių narių duomenų apsaugos institucijomis mechanizmus, o duomenų subjektams turėtų būti užtikrintos veiksmingos bei įgyvendinamos teisės ir galimybė naudotis veiksmingomis administracinėmis ir teisminėmis teisių gynimo priemonėmis;

(105)

Komisija turėtų atsižvelgti ne tik į trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus, bet ir į įsipareigojimus, kylančius dėl trečiosios valstybės arba tarptautinės organizacijos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma susijusio su asmens duomenų apsauga, ir į tokių įsipareigojimų įgyvendinimą. Visų pirma reikėtų atsižvelgti į trečiosios valstybės prisijungimą prie 1981 m. sausio 28 d. Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu ir jos papildomo protokolo. Vertindama apsaugos lygį trečiosiose valstybėse ar tarptautinėse organizacijose, Komisija turėtų konsultuotis su Valdyba;

(106)

Komisija turėtų stebėti, kaip vykdomi sprendimai dėl apsaugos lygio trečiojoje valstybėje ar teritorijoje arba nurodytame sektoriuje trečiojoje valstybėje, arba tarptautinėje organizacijoje, ir stebėti sprendimų, priimtų remiantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi arba 26 straipsnio 4 dalimi, vykdymą. Komisija sprendimuose dėl tinkamumo turėtų numatyti jų vykdymo periodinės peržiūros mechanizmą. Ta periodinė peržiūra turėtų būti atliekama konsultuojantis su atitinkama trečiąja valstybe ar tarptautine organizacija ir atsižvelgiant į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje. Stebėsenos ir periodinių peržiūrų tikslais Komisija turėtų atsižvelgti į Europos Parlamento ir Tarybos, taip pat kitų svarbių įstaigų ir šaltinių nuomones ir išvadas. Komisija turėtų per pagrįstą laikotarpį įvertinti pastarųjų sprendimų vykdymą ir atitinkamas išvadas pateikti komitetui, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (ES) Nr. 182/2011 (12) ir kaip nustatyta šiuo reglamentu, Europos Parlamentui ir Tarybai;

(107)

Komisija gali pripažinti, kad trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio duomenų apsaugos. Todėl perduoti asmens duomenis tai trečiajai šaliai arba tarptautinei organizacijai turėtų būti draudžiama, išskyrus atvejus, kai įvykdomi šiame reglamente nustatyti reikalavimai, susiję su perdavimu taikant tinkamas apsaugos priemones, įskaitant įmonei privalomas taisykles ir nukrypti leidžiančias nuostatas konkrečiais atvejais. Tokiu atveju turėtų būti numatyta, kad Komisija konsultuojasi su tokiomis trečiosiomis valstybėmis arba tarptautinėmis organizacijomis. Komisija turėtų laiku informuoti trečiąją valstybę arba tarptautinę organizaciją apie priežastis ir pradėti su ja konsultacijas, kad ji galėtų ištaisyti padėtį;

(108)

jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti. Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis arba priežiūros institucijos pripažintomis sutarties sąlygomis. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje. Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi. Valdžios institucijos ar įstaigos taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės. Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas kompetentingos priežiūros institucijos leidimas;

(109)

galimybė duomenų valdytojui arba duomenų tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba duomenų tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis, tokias kaip duomenų tvarkytojo sutartis su kitais duomenų tvarkytojais, ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ar nedaro poveikio duomenų subjektų pagrindinėms teisėms ir laisvėms. Duomenų valdytojai ir duomenų tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

(110)

įmonių grupė arba bendrą ekonominę veiklą vykdanti įmonių grupė turėtų galėti remtis patvirtintomis įmonėms privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos organizacijoms toje pačioje įmonių grupėje arba bendrą ekonominę veiklą vykdančioje įmonių grupėje, jei tokiose įmonių taisyklėse įtvirtinti visi svarbiausi principai ir vykdytinos teisės, kuriais užtikrinamos tinkamos asmens duomenų perdavimo ar atskirų kategorijų duomenų perdavimo apsaugos priemonės;

(111)

turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenų perdavimas atliekamas nereguliariai ir yra būtinas dėl sutarties ar ieškinio, nepaisant to, ar jis pareikštas teisminėje ar administracinėje, ar bet kokioje kitoje neteisminėje procedūroje, įskaitant procedūras reguliavimo organuose. Taip pat turėtų būti numatyta galimybė perduoti duomenis, kai tai reikalinga dėl svarbių Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso priežasčių, arba kai duomenys perduodami iš teisės aktu įsteigto registro, kuris skirtas naudoti visuomenei ar teisėtų interesų turintiems asmenims. Šiuo pastaruoju atveju neturėtų būti perduodama registre sukauptų asmens duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;

(112)

šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamas ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Valstybės narės apie tokias nuostatas turėtų pranešti Komisijai. Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;

(113)

duomenų perdavimas, kurį galima laikyti nepasikartojančiu ir kuris yra susijęs tik su tam tikru duomenų subjektų skaičiumi, taip pat galėtų būti galimas, kai duomenų valdytojas vadovaujasi įtikinamais teisėtais interesais, jeigu tų interesų neviršija duomenų subjekto interesai ar teisės ir laisvės ir jeigu duomenų valdytojas įvertino visas su duomenų perdavimu susijusias aplinkybes. Duomenų valdytojas turėtų atsižvelgti visų pirma į asmens duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje valstybėje ir galutinės paskirties šalyje ir turėtų būti nustatytos su asmens duomenų tvarkymu susijusios tinkamos fizinių asmenų pagrindinių teisių ir laisvių apsaugos priemonės. Toks duomenų perdavimas turėtų būti galimas tik likusiais atvejais, kai nėra taikytinos jokios kitos duomenų perdavimo priežastys. Tai darant mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius, susijusius su žinių bazės didinimu. Duomenų valdytojas apie duomenų perdavimą turėtų informuoti priežiūros instituciją ir duomenų subjektą;

(114)

bet kuriuo atveju, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje valstybėje, duomenų valdytojas arba duomenų tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinamos vykdytinos ir veiksmingos teisės jų duomenų tvarkymo Sąjungoje atžvilgiu, kai tie duomenys yra perduoti, kad jie ir toliau galėtų naudotis pagrindinėmis teisėmis ir apsaugos priemonėmis;

(115)

kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą. Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias valstybes taikomos šiame reglamente nustatytos sąlygos. Taip gali būti, inter alia, jeigu atskleisti duomenis būtina dėl svarbios Sąjungos ar valstybės narės teisėje, taikytinoje duomenų valdytojui, pripažintos viešojo intereso priežasties;

(116)

kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis ir kartu su jais atlikti tyrimus. Siekiant sukurti tarptautinius bendradarbiavimo mechanizmus, kuriais būtų palengvinama ir teikiama tarptautinė savitarpio pagalba asmens duomenų apsaugai skirtų teisės aktų įgyvendinimo užtikrinimo srityje, Komisija ir priežiūros institucijos turėtų keistis informacija ir bendradarbiauti su kompetentingomis valdžios institucijomis trečiosiose valstybėse vykdant su jų įgaliojimų įgyvendinimu susijusią veiklą, remiantis abipusiškumo principu ir laikantis šio reglamento;

(117)

priežiūros institucijų, įgaliotų visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas valstybėse narėse yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių. Valstybės narės turėtų galėti įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą;

(118)

priežiūros institucijų nepriklausomumas neturėtų reikšti, kad toms priežiūros institucijoms negali būti taikomi jų finansinių išlaidų kontrolės ar stebėsenos mechanizmai arba vykdoma teisminė peržiūra;

(119)

jeigu valstybė narė įsteigia kelias priežiūros institucijas, ji teisės priemonėmis turėtų nustatyti tvarką, kuria būtų užtikrintas veiksmingas tų priežiūros institucijų dalyvavimas nuoseklumo užtikrinimo mechanizme. Ta valstybė narė turėtų visų pirma paskirti priežiūros instituciją, kuri vykdytų vieno bendro informacinio punkto funkciją, kad tos institucijos veiksmingai dalyvautų mechanizme, siekiant užtikrinti greitą ir sklandų bendradarbiavimą su kitomis priežiūros institucijomis, Valdyba ir Komisija;

(120)

kiekvienai priežiūros institucijai turėtų būti suteikta finansinių ir žmogiškųjų išteklių, patalpos ir infrastruktūra, kurie joms yra reikalingi siekiant veiksmingai vykdyti jų užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis. Kiekviena priežiūros institucija turėtų turėti atskirą metinį viešą biudžetą, kuris gali būti viso valstybės ar nacionalinio biudžeto dalis;

(121)

kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariui arba nariams ir visų pirma turėtų būti numatyta, kad tie nariai būtų skiriami, taikant skaidrią procedūrą, valstybės narės parlamento, vyriausybės arba valstybės vadovo, remiantis vyriausybės arba vyriausybės nario, parlamento, parlamento rūmų pasiūlymu, arba nepriklausoma įstaiga, paskirta pagal valstybės narės teisę Siekiant užtikrinti priežiūros institucijos nepriklausomumą, narys arba nariai turėtų veikti sąžiningai, nesiimti jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu neturėtų dirbti jokio nesuderinamo – mokamo ar nemokamo – darbo. Priežiūros institucija turėtų turėti savo darbuotojus, kuriuos parinktų priežiūros institucija arba pagal valstybės narės teisę įsteigta nepriklausoma įstaiga, ir kurie turėtų vadovautis tik priežiūros institucijos nario ar narių nurodymais;

(122)

kiekviena priežiūros institucija savo valstybės narės teritorijoje turėtų turėti kompetenciją naudotis pagal šį reglamentą jai suteiktais įgaliojimais ir vykdyti pagal šį reglamentą jai pavestas užduotis. Visų pirma tai turėtų apimti duomenų tvarkymą, kai duomenų valdytojo arba duomenų tvarkytojo buveinė vykdo veiklą jo valstybės narės teritorijoje, asmens duomenų tvarkymą, kurį atlieka viešajam interesui atstovaujančios valdžios institucijos arba privačios įstaigos, duomenų tvarkymą, darantį poveikį duomenų subjektams jos teritorijoje, arba duomenų tvarkymą, kurį atlieka Sąjungoje neįsisteigęs duomenų valdytojas ar duomenų tvarkytojas, kai imasi veiksmų jos teritorijoje gyvenančių duomenų subjektų atžvilgiu. Taip turėtų būti nagrinėjami duomenų subjekto pateikti skundai, atliekami tyrimai dėl šio reglamento taikymo, ir skatinamas visuomenės informuotumas apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises;

(123)

priežiūros institucijos turėtų stebėti, kaip taikomos nuostatos pagal šį reglamentą, ir padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui vidaus rinkoje. Šiuo tikslu priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija, nereikalaujant, kad valstybės narės sudarytų susitarimą dėl savitarpio pagalbos teikimo arba dėl tokio bendradarbiavimo;

(124)

jeigu asmens duomenys yra tvarkomi, kai duomenų valdytojo arba duomenų tvarkytojo buveinė vykdo veiklą Sąjungoje ir duomenų valdytojas ar duomenų tvarkytojas yra įsisteigęs daugiau nei vienoje valstybėje narėje, arba jeigu duomenų tvarkymas duomenų valdytojo arba duomenų tvarkytojo vienintelei buveinei vykdant veiklą Sąjungoje daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, duomenų valdytojo ar duomenų tvarkytojo pagrindinės buveinės arba duomenų valdytojo ar duomenų tvarkytojo vienintelės buveinės priežiūros institucija turėtų veikti kaip vadovaujanti institucija. Ji turėtų bendradarbiauti su kitomis susijusiomis institucijomis dėl to, kad jų valstybės narės teritorijoje yra duomenų valdytojo ar duomenų tvarkytojo buveinė, kad jų teritorijoje gyvenantiems duomenų subjektams daromas didelis poveikis arba kad joms buvo pateiktas skundas. Be to, jeigu skundą pateikė duomenų subjektas, kuris negyvena toje valstybėje narėje, priežiūros institucija, kuriai buvo pateiktas toks skundas, taip pat turėtų būti susijusi priežiūros institucija. Vykdydama savo užduotį skelbti gaires bet kuriuo klausimu, susijusiu su šio reglamento taikymu, Valdyba turėtų galėti paskelbti gaires visų pirma dėl kriterijų, į kuriuos turi būti atsižvelgta siekiant įsitikinti, ar atitinkamas duomenų tvarkymas daro didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, ir dėl to, kas laikoma tinkamu ir pagrįstu prieštaravimu;

(125)

vadovaujanti institucija turėtų būti kompetentinga priimti privalomus sprendimus dėl priemonių, taikydama pagal šį reglamentą jai suteiktus įgaliojimus. Vykdydama vadovaujančios institucijos funkcijas, priežiūros institucija turėtų į sprendimo priėmimo procesą aktyviai įtraukti susijusias priežiūros institucijas ir koordinuoti jų veiklą. Kai nusprendžiama visiškai arba iš dalies atmesti duomenų subjekto skundą, tą sprendimą turėtų priimti ta priežiūros institucija, kuriai skundas buvo pateiktas;

(126)

dėl sprendimo turėtų kartu susitarti vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos; jis turėtų būti taikomas duomenų valdytojo arba duomenų tvarkytojo pagrindinei arba vienintelei buveinei ir būti privalomas duomenų valdytojui ir duomenų tvarkytojui. Duomenų valdytojas arba duomenų tvarkytojas turėtų imtis būtinų priemonių siekdami užtikrinti, kad būtų laikomasi šio reglamento ir būtų įgyvendintas sprendimas dėl duomenų tvarkymo veiklos Sąjungoje, kurį vadovaujanti priežiūros institucija pranešė duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei;

(127)

kiekviena priežiūros institucija, kuri veikia ne kaip vadovaujanti priežiūros institucija, turėtų būti kompetentinga nagrinėti atvejus vietoje, kai duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, tačiau konkretaus duomenų tvarkymo atvejo dalykas yra susijęs su tik su vienoje valstybėje narėje atliekamu asmens duomenų tvarkymu ir su duomenų subjektais tik toje vienoje valstybėje narėje, pavyzdžiui, kai dalykas yra susijęs su darbuotojų duomenų tvarkymu konkrečiame su darbo santykiais susijusiame kontekste valstybėje narėje. Tokiais atvejais priežiūros institucija turėtų nedelsdama apie šį dalyką informuoti vadovaujančią priežiūros instituciją. Gavusi šią informaciją, vadovaujanti priežiūros institucija turėtų nuspręsti, ar atvejį ji nagrinės pagal nuostatą dėl vadovaujančios priežiūros institucijos bendradarbiavimo su kitomis susijusiomis priežiūros institucijomis, (vieno langelio mechanizmas) ar ją informavusi priežiūros institucija turėtų tą atvejį nagrinėti vietos lygiu. Priimdama sprendimą, ar ji nagrinės atvejį, vadovaujanti priežiūros institucija turėtų atsižvelgti į tai, ar ją informavusios priežiūros institucijos valstybėje narėje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, siekiant užtikrinti veiksmingą sprendimo vykdymą duomenų valdytojo arba duomenų tvarkytojo atžvilgiu. Tai atvejais, kai vadovaujanti priežiūros institucija nusprendžia atvejį nagrinėti, ją informavusi priežiūros institucija turėtų turėti galimybę pateikti sprendimo projektą, į kurį vadovaujanti priežiūros institucija turėtų kuo labiau atsižvelgti rengdama savo sprendimo projektą pagal tą vieno langelio mechanizmą;

(128)

taisyklės dėl vadovaujančios priežiūros institucijos ir vieno langelio mechanizmo neturėtų būti taikomos, jeigu duomenis tvarko viešajam interesui atstovaujančios valdžios institucijos arba privačios įstaigos. Tokiais atvejais vienintelė priežiūros institucija, kompetentinga naudotis jai pagal šį reglamentą suteiktais įgaliojimais, turėtų būti valstybės narės, kurioje yra įsisteigusi ta valdžios institucija arba privati įstaiga, priežiūros institucija;

(129)

siekiant užtikrinti nuoseklią šio reglamento taikymo stebėseną ir jo vykdymą visoje Sąjungoje, priežiūros institucijos kiekvienoje valstybėje narėje turėtų vykdyti tas pačias užduotis ir naudotis tais pačiais veiksmingais įgaliojimais, įskaitant tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų ir skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir, nedarant poveikio baudžiamojo persekiojimo institucijų įgaliojimams pagal valstybės narės teisę, atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir (arba) būti teismo proceso šalimi. Tokie įgaliojimai turėtų apimti ir įgaliojimą nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant jo draudimą. Valstybės narės gali nustatyti kitas užduotis, susijusias su asmens duomenų apsauga pagal šį reglamentą. Priežiūros institucijų įgaliojimais turėtų būti naudojamasi laikantis atitinkamų procedūrinių apsaugos priemonių, nustatytų Sąjungos ir valstybės narės teisėje, nešališkai, sąžiningai ir per pagrįstą laikotarpį. Visų pirma kiekviena priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti šio reglamento laikymąsi, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, ja turėtų būti gerbiama kiekvieno asmens teisė būti išklausytam prieš imantis konkrečios priemonės, kuri jam padarytų neigiamą poveikį, ir taikoma taip, kad atitinkami asmenys nepatirtų bereikalingų išlaidų ir pernelyg didelių nepatogumų. Tyrimo įgaliojimais, susijusiais su leidimu patekti į patalpas, turėtų būti naudojamasi laikantis valstybės narės proceso teisėje nustatytų konkrečių reikalavimų, pavyzdžiui, reikalavimo iš anksto gauti teismo leidimą. Kiekviena teisiškai privaloma priežiūros institucijos priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonę paskelbusi priežiūros institucija, priemonės paskelbimo data, ją turėtų būti pasirašęs priežiūros institucijos vadovas arba jo įgaliotas priežiūros institucijos narys, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę. Tai neturėtų kliudyti taikyti papildomų reikalavimų pagal valstybės narės proceso teisę. Tai, kad priimamas teisiškai privalomas sprendimas, reiškia, kad juo remiantis gali būti vykdoma teisminė peržiūra sprendimą priėmusios priežiūros institucijos valstybėje narėje;

(130)

jeigu priežiūros institucija, kuriai pateiktas skundas, nėra vadovaujanti priežiūros institucija, vadovaujanti priežiūros institucija turėtų glaudžiai bendradarbiauti su ta priežiūros institucija, kuriai buvo pateiktas skundas, laikantis šiame reglamente išdėstytų nuostatų dėl bendradarbiavimo ir nuoseklumo. Tokiais atvejais vadovaujanti priežiūros institucija, imdamasi priemonių, galinčių turėti teisinių padarinių, be kita ko, nustatydama administracines baudas, turėtų kuo labiau atsižvelgti į priežiūros institucijos, kuriai buvo pateiktas skundas ir kuri turėtų išlikti kompetentinga atlikti tyrimus jos valstybės narės teritorijoje bendradarbiaujant su vadovaujančia priežiūros institucija, nuomonę;

(131)

kai kita priežiūros institucija turėtų veikti kaip duomenų valdytojo arba duomenų tvarkytojo vykdomos duomenų tvarkymo veiklos vadovaujanti priežiūros institucija, tačiau konkretus skundo dalykas arba galimas pažeidimas yra susijęs tik su duomenų valdytojo arba duomenų tvarkytojo vykdoma duomenų tvarkymo veikla toje valstybėje narėje, kurioje buvo pateiktas skundas arba nustatytas galimas pažeidimas, ir tas dalykas nedaro arba negalėtų daryti didelio poveikio duomenų subjektams kitose valstybėse narėse, priežiūros institucija, kuri gauna skundą dėl situacijų, kurių atveju galbūt yra pažeistas šis reglamentas, arba nustato tokias situacijas, arba yra kitu būdu apie jas informuojama, turėtų siekti draugiško susitarimo su duomenų valdytoju, o jeigu tai nepavyktų – pasinaudoti visais savo įgaliojimais. Tai turėtų apimti: konkretų duomenų tvarkymą, atliekamą priežiūros institucijos valstybės narės teritorijoje arba tos valstybės narės teritorijoje esančių duomenų subjektų atžvilgiu; duomenų tvarkymą, kuris atliekamas, kai siūlomos prekės ar paslaugos, konkrečiai skirtos duomenų subjektams priežiūros institucijos valstybės narės teritorijoje; ar duomenų tvarkymą, kuris turi būti įvertintas atsižvelgiant į susijusias teisines prievoles pagal valstybės narės teisę;

(132)

priežiūros institucijų vykdoma visuomenės informuotumo didinimo veikla turėtų apimti konkrečias priemones, taikomas duomenų valdytojams ir duomenų tvarkytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, ir fiziniams asmenims, ypač švietimo kontekste;

(133)

priežiūros institucijos turėtų viena kitai padėti vykdyti savo užduotis ir teikti savitarpio pagalbą, siekiant užtikrinti, kad šis reglamentas būtų nuosekliai taikomas ir vykdomas vidaus rinkoje. Savitarpio pagalbos prašymą pateikusi priežiūros institucija gali patvirtinti laikinąją priemonę, jei ji negauna jokio atsakymo dėl savitarpio pagalbos prašymo per vieną mėnesį nuo to kitos priežiūros institucijos prašymo gavimo dienos;

(134)

kiekviena priežiūros institucija atitinkamais atvejais turėtų dalyvauti bendrose operacijose su kitomis priežiūros institucijomis. Prašymą gavusi priežiūros institucija turėtų būti įpareigota į prašymą atsakyti per nustatytą terminą;

(135)

siekiant užtikrinti, kad šis reglamentas būtų nuosekliai taikomas visoje Sąjungoje, turėtų būti sukurtas nuoseklumo užtikrinimo mechanizmas, pagal kurį priežiūros institucijos bendradarbiautų tarpusavyje. Tas mechanizmas visų pirma turėtų būti taikomas, kai priežiūros institucija siekia patvirtinti priemonę, galinčią turėti teisinių padarinių, susijusią su duomenų tvarkymo operacijomis, kuriomis daromas didelis poveikis daugeliui duomenų subjektų keliose valstybėse narėse. Be to, jis turėtų būti taikomas, kai kuri nors atitinkama priežiūros institucija arba Komisija prašo, kad toks klausimas būtų nagrinėjamas pagal nuoseklumo užtikrinimo mechanizmą. Tas mechanizmas neturėtų daryti poveikio priemonėms, kurių Komisija gali imtis naudodamasi savo įgaliojimais pagal Sutartis;

(136)

taikydama nuoseklumo užtikrinimo mechanizmą, Valdyba turėtų per nustatytą terminą pateikti nuomonę, jeigu taip nusprendžia jos narių dauguma arba to prašo bet kuri susijusi priežiūros institucija arba Komisija. Be to, Valdybai turėtų būti suteikti įgaliojimai priimti teisiškai privalomus sprendimus, jeigu tarp priežiūros institucijų kyla ginčų. Šiais tikslais ji turėtų iš esmės dviejų trečdalių jos narių dauguma priimti teisiškai privalomus sprendimus aiškiai apibrėžtais atvejais, kai priežiūros institucijų nuomonės dėl tam tikro atvejo esmės yra prieštaringos, visų pirma, kai taikomas vadovaujančios priežiūros institucijos ir susijusių priežiūros institucijų bendradarbiavimo mechanizmas, visų pirma sprendžiant klausimą, ar buvo pažeistas šis reglamentas;

(137)

gali kilti būtinybė veikti skubiai, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ypač kai kyla pavojus, kad galėtų būti labai apsunkintos duomenų subjekto galimybės naudotis savo teise. Todėl priežiūros institucija savo teritorijoje turėtų galėti priimti deramai pagrįstas laikinąsias priemones, galiojančias konkretų laikotarpį, kuris neturėtų viršyti trijų mėnesių;

(138)

tais atvejais, kai tokio mechanizmo taikymas yra privalomas, priežiūros institucijos priemonė, galinti turėti teisinių padarinių, laikoma teisėta tik tuo atveju, jeigu buvo taikytas šis mechanizmas. Kitais tarpvalstybinės svarbos atvejais turėtų būti taikomas vadovaujančios priežiūros institucijos ir susijusių priežiūros institucijų bendradarbiavimo mechanizmas, o susijusios priežiūros institucijos gali teikti savitarpio pagalbą ir vykdyti bendras operacijas dvišaliu arba daugiašaliu pagrindu, nesinaudodamos nuoseklumo užtikrinimo mechanizmu;

(139)

kad būtų skatinama nuosekliai taikyti šį reglamentą, Valdyba turėtų būti įsteigta kaip nepriklausoma Sąjungos įstaiga. Kad Valdyba galėtų įgyvendinti savo tikslus, ji turėtų turėti juridinio asmens statusą. Valdybai turėtų atstovauti jos pirmininkas. Ji turėtų pakeisti Direktyva 95/46/EB įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis. Ją turėtų sudaryti visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba atitinkami jų atstovai. Komisija turėtų dalyvauti Valdybos veikloje be balsavimo teisių, o Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti specialias balsavimo teises. Valdyba turėtų padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, be kita ko, patarti Komisijai, visų pirma dėl apsaugos lygio trečiosiose valstybėse arba tarptautinėse organizacijose, ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje. Vykdydama savo užduotis Valdyba turėtų veikti nepriklausomai;

(140)

Valdybai turėtų padėti Europos duomenų apsaugos priežiūros pareigūno sekretoriatas. Su šiuo reglamentu Valdybai pavestų užduočių vykdymu susiję Europos duomenų apsaugos priežiūros pareigūno darbuotojai savo užduotis turėtų atlikti laikydamiesi išmintinai tik Valdybos pirmininko nurodymų ir būdami jam atskaitingi;

(141)

kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo įprastinė gyvenamoji vieta, ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas, atliekant teisminę peržiūrą, tiek, kiek tai yra tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, kiekviena priežiūros institucija turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima taip pat užpildyti elektroniniu būdu, neatmesdama galimybių naudotis ir kitomis ryšio priemonėmis;

(142)

jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos, jis turėtų turėti teisę įgalioti ne pelno įstaigą, organizaciją arba asociaciją, kuri yra įsteigta pagal valstybės narės teisę, kurios įstatais nustatyti tikslai atitinka viešąjį interesą ir kuri veikia asmens duomenų apsaugos srityje, pateikti skundą priežiūros institucijai jo vardu, pasinaudoti teise į teisminę teisių gynimo priemonę duomenų subjektų vardu arba pasinaudoti teise gauti kompensaciją duomenų subjektų vardu, jei ši kompensacija numatyta valstybės narės teisėje Valstybė narė gali numatyti, kad tokia įstaiga, organizacija arba asociacija turi teisę, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje pateikti skundą ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę, kai ji turi priežasčių manyti, kad buvo pažeistos duomenų subjektų teisės, nes tvarkant asmens duomenis buvo pažeistas šis reglamentas. Tai įstaigai, organizacijai ar asociacijai gali būti neleidžiama duomenų subjekto vardu reikalauti kompensacijos nesiremiant duomenų subjekto suteiktais įgaliojimais;

(143)

bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Teisingumo Teisme pareikšti ieškinį dėl Valdybos sprendimų panaikinimo. Susijusios priežiūros institucijos, kurioms tokie sprendimai skirti ir kuriuos jos nori užginčyti, turi pareikšti ieškinį per du mėnesius nuo tada, kai joms pranešama apie tuos sprendimus, laikantis SESV 263 straipsnio. Tuo atveju, jei Valdybos sprendimai yra tiesiogiai ir konkrečiai susiję su duomenų valdytoju, duomenų tvarkytoju ar skundo pateikėju, pastarasis gali pateikti ieškinį dėl tų sprendimų panaikinimo per du mėnesius nuo jų paskelbimo Valdybos interneto svetainėje, laikantis SESV 263 straipsnio. Nedarant poveikio šiai teisei pagal SESV 263 straipsnį, kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu. Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų. Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės. Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi.

Jeigu priežiūros institucija atmetė skundą arba jo nepriėmė, skundo pateikėjas gali iškelti bylą tos pačios valstybės narės teismuose. Taikant su šio reglamento taikymu susijusias teismines teisių gynimo priemones, nacionaliniai teismai, manantys, kad sprendimui priimti reikia nutarimo šiuo klausimu, gali arba SESV 267 straipsnyje numatytu atveju privalo prašyti Teisingumo Teismo prejudicinio sprendimo dėl Sąjungos teisės, įskaitant šį reglamentą, aiškinimo. Be to, jeigu priežiūros institucijos sprendimas, kuriuo įgyvendinamas Valdybos sprendimas, užginčijamas nacionaliniame teisme ir sprendžiamas to Valdybos sprendimo galiojimo klausimas, tas nacionalinis teismas neturi įgaliojimų paskelbti Valdybos sprendimo negaliojančiu, bet privalo pateikti klausimą dėl galiojimo Teisingumo Teismui pagal SESV 267 straipsnį, kaip išaiškino Teisingumo Teismas, kiekvienu atveju, kai teismas mano, kad sprendimas negalioja. Tačiau nacionalinis teismas negali pateikti klausimo dėl Valdybos sprendimo galiojimo fizinio arba juridinio asmens, kuris turėjo galimybę pateikti ieškinį dėl to sprendimo panaikinimo, prašymu, ypač tuo atveju, kai tas sprendimas buvo su juo tiesiogiai ir konkrečiai susijęs, bet per SESV 263 straipsnyje nustatytą laikotarpį to nepadarė;

(144)

kai teismas, kuriame iškelta byla dėl priežiūros institucijos sprendimo, turi pagrindo manyti, kad kitos valstybės narės kompetentingame teisme yra iškelta byla dėl to paties duomenų tvarkymo atvejo, pavyzdžiui, esama to paties dalyko, susijusio su to paties duomenų valdytojo ar duomenų tvarkytojo, arba remiamasi tuo pačiu ieškinio pagrindu, jis turėtų susisiekti su tuo teismu, kad būtų patvirtintas tokios susijusios bylos egzistavimas. Jei susijusi byla nagrinėjama kitos valstybės narės teisme, bet kuris teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, gali sustabdyti bylos nagrinėjimą arba vienos iš šalių prašymu atsisakyti jurisdikcijos teismo, į kurį kreiptasi pirmiausia, naudai, jei tas teismas turi jurisdikciją atitinkamos bylos atžvilgiu ir pagal jo teisę leidžiama tokias susijusias bylas sujungti. Bylos laikomos susijusiomis, kai jos yra taip glaudžiai susijusios, kad jas tikslinga nagrinėti ir spręsti kartu, siekiant išvengti galimo atskirose bylose priimtų teismo sprendimų nesuderinamumo;

(145)

ieškinio duomenų valdytojui arba duomenų tvarkytojui atveju ieškovas turėtų turėti galimybę jį pareikšti valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas turi buveinę arba kurioje duomenų subjektas gyvena, teismuose, nebent duomenų valdytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus;

(146)

bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas. Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai. Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo. Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybėje narės teisėje nustatytas taisykles. Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją. Kai duomenų valdytojai ar duomenų tvarkytojai yra susiję su tuo pačiu duomenų tvarkymo atveju, turėtų būti laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingas už visą žalą. Tačiau kai jie yra įtraukti į tą pačią teismo bylą laikantis valstybės narės teisės, kompensacija gali būti proporcingai padalyta pagal kiekvieno duomenų valdytojo arba duomenų tvarkytojo atsakomybę už žalą, padarytą tvarkant asmens duomenis, su sąlyga, kad užtikrinama visa ir veiksminga kompensacija žalą patyrusiam duomenų subjektui. Bet kuris duomenų valdytojas ar duomenų tvarkytojas, kuris sumokėjo visą kompensaciją, gali vėliau pareikšti atgręžtinį reikalavimą kitiems su tuo pačiu duomenų tvarkymo atveju susijusiems duomenų valdytojams arba duomenų tvarkytojams;

(147)

kai šiame reglamente yra nustatytos konkrečios jurisdikcijos taisyklės, visų pirma dėl ieškinių duomenų valdytojui ar duomenų tvarkytojui, kuriais siekiama teisminės teisių gynimo priemonės, įskaitant kompensaciją, bendrąją jurisdikciją reglamentuojančios taisyklės, pavyzdžiui, nustatytos Europos Parlamento ir Tarybos reglamente (ES) Nr. 1215/2012 (13), neturėtų daryti poveikio tokių konkrečių taisyklių taikymui;

(148)

siekiant užtikrinti, kad šio reglamento taisyklės būtų geriau įgyvendinamos, už šio reglamento pažeidimus kartu su atitinkamomis priemonėmis, kurias priežiūros institucija nustatė pagal šį reglamentą, arba vietoj jų turėtų būti skiriamos sankcijos, įskaitant administracines baudas. Nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, vietoj baudos gali būti pareikštas papeikimas. Vis dėlto reikėtų tinkamai atsižvelgti į pažeidimo pobūdį, sunkumą ir trukmę, tai, ar pažeidimas buvo tyčinis, veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, ir visus kitus sunkinančius ar švelninančius veiksnius. Sankcijos, įskaitant administracines baudas, turėtų būti skiriamos atsižvelgiant į atitinkamas procedūrines apsaugos priemones ir laikantis Sąjungos teisės ir Chartijos bendrųjų principų, įskaitant veiksmingą teisminę apsaugą ir tinkamą procesą;

(149)

valstybės narės turėtų galėti nustatyti taisykles dėl baudžiamųjų sankcijų už šio reglamento pažeidimus, be kita ko, už nacionalinių taisyklių, priimtų pagal šį reglamentą ir neviršijant jo nuostatų, pažeidimus. Tomis baudžiamosiomis sankcijomis taip pat gali būti leidžiama konfiskuoti pelną, gautą pažeidus šį reglamentą. Tačiau nustatant baudžiamąsias sankcijas už tokių nacionalinių taisyklių pažeidimus ir nustatant administracines sankcijas neturėtų būti pažeistas ne bis in idem principas, kaip jį aiškina Teisingumo Teismas;

(150)

siekiant sugriežtinti ir suvienodinti administracines sankcijas už šio reglamento pažeidimus, kiekvienai priežiūros institucijai turėtų būti suteikti įgaliojimai skirti administracines baudas. Šiame reglamente turėtų būti nurodyti pažeidimai ir nustatyti didžiausi susijusių administracinių baudų dydžiai ir tų baudų nustatymo kriterijai; baudas kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. Jei administracinės baudos skiriamos įmonei, tais tikslais įmonė turėtų būti suprantama kaip įmonė, apibrėžta SESV 101 ir 102 straipsniuose. Jei administracinės baudos skiriamos asmenims, kurie nėra įmonė, svarstydama, koks būtų tinkamas baudos dydis, priežiūros institucija turėtų atsižvelgti į bendrą pajamų lygį valstybėje narėje ir į ekonominę to asmens padėtį. Siekiant skatinti nuoseklų administracinių baudų taikymą taip pat gali būti naudojamas nuoseklumo užtikrinimo mechanizmas. Ar administracinės baudos turėtų būti skiriamos valdžios institucijoms ir kokiu mastu, turėtų nustatyti valstybės narės. Skiriant administracinę baudą ar teikiant įspėjimą nedaromas poveikis priežiūros institucijų kitų įgaliojimų ar kitų sankcijų pagal šį reglamentą taikymui;

(151)

Danijos ir Estijos teisinėse sistemose neleidžiama skirti administracinių baudų, kaip nustatyta šiame reglamente. Administracines baudas reglamentuojančios taisyklės gali būti taikomos taip, kad Danijoje baudą, kaip baudžiamąją sankciją, skirtų kompetentingi nacionaliniai teismai, o Estijoje pagal nusižengimų procedūrą baudą skirtų priežiūros institucija su sąlyga, kad toks taisyklių taikymas tose valstybėse narėse turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį. Todėl kompetentingi nacionaliniai teismai turėtų atsižvelgti į baudą inicijuojančios priežiūros institucijos rekomendaciją. Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos;

(152)

kai šiuo reglamentu administracinės sankcijos nėra suderintos arba kai tai yra būtina kitais atvejais, pavyzdžiui, didelių šio reglamento pažeidimų atvejais, valstybės narės turėtų įgyvendinti sistemą, kuria numatomos veiksmingos, proporcingos ir atgrasomos sankcijos. Tokių sankcijų – baudžiamųjų ar administracinių – pobūdis turėtų būti nustatytas valstybės narės teisėje;

(153)

valstybių narių teisėje saviraiškos ir informacijos laisvę, įskaitant žurnalistinę, akademinę, meninę ir (arba) literatūrinę saviraišką, reglamentuojančios taisyklės turėtų būti suderintos su teise į asmens duomenų apsaugą pagal šį reglamentą. Asmens duomenų tvarkymui vien žurnalistiniais tikslais arba akademinės, meninės ar literatūrinės saviraiškos tikslais prireikus turėtų būti taikomos nuo tam tikrų šio reglamento nuostatų nukrypti leidžiančios nuostatos arba išimtys, kad teisė į asmens duomenų apsaugą būtų suderinta su teise į saviraiškos ir informacijos laisvę, kuri yra įtvirtinta Chartijos 11 straipsnyje. Tai visų pirma turėtų būti taikoma asmens duomenų tvarkymui audiovizualinėje srityje ir žinių bei spaudos archyvuose. Todėl valstybės narės turėtų priimti teisėkūros priemones, kuriomis būtų nustatytos išimtys ir nukrypti leidžiančios nuostatos, reikalingos toms pagrindinėms teisėms suderinti. Valstybės narės turėtų priimti tokias išimtis ir nukrypti leidžiančias nuostatas bendrųjų principų, duomenų subjekto teisių, duomenų valdytojų ir duomenų tvarkytojų, duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms, nepriklausomų priežiūros institucijų, bendradarbiavimo, nuoseklaus teisės taikymo atžvilgiu ir konkretiems asmens duomenų tvarkymo atvejams. Kai tokios išimtys ar nukrypti leidžiančios nuostatos valstybėse narėse yra skirtingos, turėtų būti taikoma duomenų valdytojui taikytina valstybės narės teisė. Kad būtų atsižvelgta į teisės į saviraiškos laisvę svarbą demokratinėje visuomenėje, su šia laisve susijusias sąvokas, kaip antai žurnalistika, būtina aiškinti plačiai;

(154)

šiuo reglamentu sudaroma galimybė taikant šį reglamentą atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą. Visuomenės teisė susipažinti su oficialiais dokumentais gali būti laikoma viešuoju interesu. Valdžios institucija ar viešoji įstaiga savo turimuose dokumentuose esančius asmens duomenis turėtų turėti galimybę viešai atskleisti tada, kai toks atskleidimas yra numatytas Sąjungos ar valstybės narės teisėje, kuri yra taikoma tai valdžios institucijai ar viešajai įstaigai. Tokiuose teisės aktuose visuomenės teisė susipažinti su oficialiais dokumentais ir viešojo sektoriaus informacijos pakartotinis naudojimas turėtų būti suderinti su teise į asmens duomenų apsaugą, taigi, jais gali būti užtikrintas būtinas suderinimas su asmens duomenų apsauga pagal šį reglamentą. Nuoroda į valdžios institucijas ir įstaigas tame kontekste turėtų apimti visas valdžios institucijas ar kitas įstaigas, kurioms taikomi valstybės narės teisės aktai dėl visuomenės teisės susipažinti su dokumentais. Europos Parlamento ir Tarybos direktyva 2003/98/EB (14) nekeičiama fizinių asmenų apsauga tvarkant asmens duomenis pagal Sąjungos ir valstybės narės teisės nuostatas ir ji neturi jokios įtakos tokiai apsaugai, visų pirma ja nekeičiamos šiame reglamente nustatytos prievolės ir teisės. Visų pirma ta direktyva neturėtų būti taikoma dokumentams, su kuriais susipažinti neleidžiama arba tokia galimybė ribojama dėl asmens duomenų apsaugos priežasčių pagal susipažinimo su dokumentais taisykles, taip pat dokumentų dalims, su kuriomis susipažinti galima pagal tas taisykles, kai jose yra asmens duomenų, kurių pakartotinis naudojimas pagal teisės aktus yra nesuderinamas su teisės aktu dėl fizinių asmenų apsaugos tvarkant asmens duomenis;

(155)

valstybės narės teisėje ar kolektyvinėse sutartyse, įskaitant darbo sutartis, gali būti numatytos specialios taisyklės, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiame kontekste, visų pirma sąlygos, kuriomis asmens duomenys su darbo santykiais susijusiame kontekste gali būti tvarkomi remiantis darbuotojo sutikimu, siekiant įdarbinti, vykdyti darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, taip pat siekiant naudotis su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius;

(156)

tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, turėtų būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal šį reglamentą. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų įgyvendintos techninės ir organizacinės priemonės siekiant užtikrinti visų pirma duomenų kiekio mažinimo principą. Asmens duomenys archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti toliau tvarkomi po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip pavyzdžiui pseudonimų suteikimas asmens duomenims). Valstybės narės turėtų numatyti tinkamas apsaugos priemones, taikomas tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais. Valstybėms narėms turėtų būti leidžiama konkrečiomis aplinkybėmis ir esant tinkamoms duomenų subjektų apsaugos priemonėms numatyti specifikacijas ir nukrypti leidžiančias nuostatas dėl informacijos reikalavimų ir teisių į asmens duomenų ištaisymą ar ištrynimą, būti pamirštam, į duomenų tvarkymo apribojimą, duomenų perkeliamumą ir nesutikti su asmens duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Dėl minėtų sąlygų ir apsaugos priemonių gali tekti nustatyti specialias procedūras duomenų subjektams, kad jie galėtų naudotis tomis teisėmis, jeigu tai tikslinga atsižvelgiant į konkretaus tvarkymo tikslus, ir technines bei organizacines priemones, kurių tikslas – kuo labiau sumažinti asmens duomenų tvarkymo apimtį, laikantis proporcingumo ir būtinumo principų. Tvarkant asmens duomenis moksliniais tikslais taip pat turėtų būti laikomasi kitų atitinkamų teisės aktų, pavyzdžiui, susijusių su klinikiniais tyrimais;

(157)

susiedami registrų informaciją, tyrėjai gali gauti naujų itin vertingų žinių, susijusių su tokiomis plačiai paplitusiomis ligomis, kaip širdies ir kraujagyslių ligos, vėžys ir depresija. Tyrimų rezultatai, gauti naudojant registrus, gali tapti dar vertingesni, kadangi jie remiasi didesnio gyventojų skaičiaus duomenimis. Socialinių mokslų srityje tyrėjai, atlikę tyrimą naudodami registrus, gali gauti esminių žinių apie ilgalaikę kai kurių socialinių sąlygų, tokių kaip nedarbas ir švietimas, atitiktį kitoms gyvenimo sąlygoms. Tyrimų rezultatai, gauti naudojant registrus, teikia patikimas, kokybiškas žinias, kuriomis galima remtis formuojant ir įgyvendinant žiniomis grįstą politiką, gerinant tam tikrų žmonių gyvenimo kokybę bei socialinių paslaugų veiksmingumą. Siekiant sudaryti palankesnes sąlygas moksliniams tyrimams, asmens duomenys gali būti tvarkomi mokslinių tyrimų tikslais, laikantis Sąjungos arba valstybės narės teisėje nustatytų atitinkamų sąlygų ir apsaugos priemonių;

(158)

kai asmens duomenys tvarkomi archyvavimo tikslais, šis reglamentas taip pat turėtų būti taikomas tokiam tvarkymui, atsižvelgiant į tai, kad šis reglamentas neturėtų būti taikomas mirusiems asmenims. Valdžios institucijos arba viešosios ar privačios įstaigos, kurios saugoja viešojo intereso įrašus, turėtų būti tarnybos, kurios pagal Sąjungos ar valstybės narės teisę turėti teisinę prievolę įgyti, saugoti, įvertinti, suorganizuoti, apibūdinti, pranešti, propaguoti, skleisti ir teikti prieigą prie ilgalaikę vertę turinčių bendrojo viešojo intereso įrašų. Be to, valstybėms narėms turėtų būti leidžiama numatyti, kad asmens duomenis galima toliau tvarkyti archyvavimo tikslais, pavyzdžiui, siekiant teikti konkrečią informaciją, susijusią su politine elgsena buvusių totalitarinių valstybės režimų metu, genocidu, nusikaltimais žmoniškumui, visų pirma holokaustu, ar karo nusikaltimais;

(159)

jei asmens duomenys tvarkomi mokslinių tyrimų tikslais, šis reglamentas taip pat turėtų būti taikomas tokiam tvarkymui. Šio reglamento tikslais asmens duomenų tvarkymas mokslinių tyrimų tikslais turėtų būti aiškinamas plačiai, įskaitant, pavyzdžiui, technologinę plėtrą ir demonstravimą, fundamentinius tyrimus, taikomuosius mokslinius tyrimus ir privačiojo sektoriaus lėšomis finansuojamus mokslinius tyrimus. Taip tvarkant duomenis taip pat turėtų būti atsižvelgta į SESV 179 straipsnio 1 dalyje nustatytą Sąjungos tikslą sukurti Europos mokslinių tyrimų erdvę. Mokslinių tyrimų tikslai taip pat turėtų apimti viešojo intereso labui atliekamus tyrimus visuomenės sveikatos srityje. Kad būtų įvykdyti asmens duomenų tvarkymo mokslinių tyrimų tikslais specifiniai reikalavimai, turėtų būti taikomos specialios sąlygos visų pirma dėl skelbimo arba, kitais atvejais, dėl asmens duomenų atskleidimo mokslinių tyrimų tikslų kontekste. Jeigu mokslinių tyrimų rezultatai, visų pirma sveikatos srityje, sudaro prielaidas imtis tolesnių priemonių duomenų subjekto interesų labui, tokių priemonių atžvilgiu turėtų būti taikomos šio reglamento bendros taisyklės;

(160)

jei asmens duomenys tvarkomi istorinių tyrimų tikslais, šis reglamentas taip pat turėtų būti taikomas tokiam tvarkymui. Tai taip pat turėtų apimti istorinius tyrimus ir geneologinius tyrimus, atsižvelgiant į tai, kad šis reglamentas neturėtų būti taikomas mirusiems asmenims;

(161)

sutikimo dalyvauti mokslinių tyrimų veikloje atliekant klinikinius tyrimus tikslais turėtų būti taikomos atitinkamos Europos Parlamento ir Tarybos reglamento (ES) Nr. 536/2014 (15) nuostatos;

(162)

jei asmens duomenys tvarkomi statistiniais tikslais, šis reglamentas turėtų būti taikomas tokiam tvarkymui. Sąjungos arba valstybės narės teisėje, neviršijant šio reglamento nuostatų, turėtų būti nustatytas statistikos turinys, prieigos kontrolė, asmens duomenų tvarkymo statistiniais tikslais specifikacijos ir tinkamos priemonės duomenų subjekto teisėms ir laisvėms apsaugoti ir statistinių duomenų konfidencialumui užtikrinti. Statistiniai tikslai reiškia bet kokią asmens duomenų, būtinų atliekant statistinius tyrimus arba rengiant statistinius rezultatus, rinkimo ir tvarkymo operaciją. Tie statistiniai rezultatai gali būti naudojami toliau įvairiais tikslais, įskaitant mokslinių tyrimų tikslą. Statistinis tikslas reiškia, kad duomenų tvarkymo statistiniais tikslais rezultatas nėra asmens duomenys, o agreguotieji asmens duomenys, ir kad tas rezultatas arba asmens duomenys nenaudojami priimant priemones ar sprendimus dėl fizinio asmens;

(163)

konfidenciali informacija, kurią Sąjungos ir nacionalinės statistikos institucijos renka oficialiai Europos ir oficialiai nacionalinei statistikai rengti, turėtų būti apsaugota. Europos statistika turėtų būti plėtojama, rengiama ir skleidžiama laikantis statistikos principų, nustatytų SESV 338 straipsnio 2 dalyje, o nacionalinė statistika taip pat turėtų atitikti valstybės narės teisę. Europos Parlamento ir Tarybos reglamente (EB) Nr. 223/2009 (16) pateikiama papildoma patikslinta informacija apie Europos statistikos konfidencialumą;

(164)

kiek tai susiję su priežiūros institucijų įgaliojimais reikalauti, kad duomenų valdytojai ar tvarkytojai leistų susipažinti su asmens duomenimis ir įsileistų į savo patalpas, valstybės narės, neviršydamos šio reglamento nuostatų, gali priimti teisės aktus, kuriuose įtvirtintų specialias profesinės paslapties ar kitų lygiaverčių prievolių saugoti paslaptį taisykles, jeigu to reikia teisei į asmens duomenų apsaugą ir prievolei saugoti profesinę paslaptį suderinti. Tai neturi poveikio esamoms valstybių narių prievolėms priimti taisykles dėl profesinės paslapties, jei to reikalaujama pagal Sąjungos teisę;

(165)

šiuo reglamentu gerbiamas ir nepažeidžiamas pagal galiojančią konstitucinę teisę nustatytas valstybių narių bažnyčių ir religinių asociacijų ar bendruomenių statusas, kaip pripažįstama SESV 17 straipsniu;

(166)

siekiant įgyvendinti šio reglamento tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus. Visų pirma deleguotieji aktai turėtų būti priimti dėl sertifikavimo mechanizmų kriterijų ir reikalavimų, standartizuotomis piktogramomis pateikiamos informacijos ir tokių piktogramų pateikimo tvarkos. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai;

(167)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, kai tai numatyta šiuo reglamentu. Tais įgaliojimais turėtų būti naudojamasi pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 182/2011. Tame kontekste Komisija turėtų svarstyti konkrečias labai mažoms, mažosioms ir vidutinėms įmonėms skirtas priemones;

(168)

nagrinėjimo procedūra turėtų būti taikoma siekiant priimti įgyvendinimo aktus dėl standartinių sutarčių sąlygų tarp duomenų valdytojų ir duomenų tvarkytojų ir tarp duomenų tvarkytojų; elgesio kodeksų; techninių standartų ir sertifikavimo mechanizmų; tinkamo apsaugos lygio, kurį užtikrina trečioji valstybė, teritorija arba nurodytas sektorius toje trečiojoje valstybėje, arba tarptautinė organizacija; standartinių duomenų apsaugos sąlygų; duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų; savitarpio pagalbos; ir keitimosi informacija tarp priežiūros institucijų, taip pat tarp priežiūros institucijų ir Valdybos elektroninėmis priemonėmis tvarkos;

(169)

Komisija turėtų priimti nedelsiant taikytinus įgyvendinimo aktus, kai iš turimų įrodymų matyti, kad trečioji valstybė, teritorija arba nurodytas sektorius toje trečiojoje valstybėje, arba tarptautinė organizacija neužtikrina tinkamo apsaugos lygio ir yra priežasčių, dėl kurių privaloma skubėti;

(170)

kadangi šio reglamento tikslo, t. y. užtikrinti lygiavertį fizinių asmenų apsaugos lygį ir laisvą asmens duomenų judėjimą Sąjungoje, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo masto arba poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties (toliau – ES sutartis) 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytam tikslui pasiekti;

(171)

Direktyva 95/46/EB turėtų būti panaikinta šiuo reglamentu. Šio reglamento taikymo pradžios dieną jau atliekamas duomenų tvarkymas turėtų būti suderintas su šiuo reglamentu per dvejų metų laikotarpį, po kurio šis reglamentas įsigalioja. Kai duomenų tvarkymas grindžiamas sutikimu pagal Direktyvą 95/46/EB, duomenų subjektui nebūtina dar kartą duoti savo susitikimo, jei sutikimas duotas šio reglamento sąlygas atitinkančiu būdu, kad duomenų valdytojas galėtų tęsti tokį duomenų tvarkymą po šio reglamento taikymo pradžios dienos. Remiantis Direktyva 95/46/EB priimti Komisijos sprendimai ir priežiūros institucijų suteikti leidimai toliau galioja tol, kol iš dalies pakeičiami, pakeičiami naujais arba panaikinami;

(172)

pagal Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalį buvo pasikonsultuota su Europos duomenų apsaugos priežiūros pareigūnu, kuris 2012 m. kovo 7 d. pateikė nuomonę (17);

(173)

šis reglamentas turėtų būti taikomas visiems su pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis susijusiems klausimams, kuriems negalioja Europos Parlamento ir Tarybos direktyvoje 2002/58/EB (18) nustatytos konkrečios prievolės, kuriomis siekiama to paties tikslo, įskaitant duomenų valdytojo prievoles ir fizinių asmenų teises. Siekiant aiškiai apibrėžti šio reglamento ir Direktyvos 2002/58/EB santykį, ta direktyva turėtų būti atitinkamai iš dalies pakeista. Kai šis reglamentas bus priimtas, turėtų būti atlikta Direktyvos 2002/58/EB peržiūra, visų pirma siekiant užtikrinti jos ir šio reglamento suderinamumą,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

Bendrosios nuostatos

1 straipsnis

Dalykas ir tikslai

1.   Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.

2.   Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3.   Laisvas asmens duomenų judėjimas Sąjungoje nėra nei ribojamas, nei draudžiamas dėl su fizinių asmenų apsauga tvarkant jų asmens duomenis susijusių priežasčių.

2 straipsnis

Materialinė taikymo sritis

1.   Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2.   Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)

duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

b)

duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius;

c)

duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla;

d)

duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.

3.   Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas Reglamentas (EB) Nr. 45/2001. Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, pagal 98 straipsnį pritaikomi pagal šio reglamento principus ir taisykles.

4.   Šis reglamentas nedaro poveikio Direktyvos 2000/31/EB, visų pirma tos direktyvos 12–15 straipsniuose nustatytų taisyklių dėl tarpininkavimo paslaugų teikėjų atsakomybės, taikymui.

3 straipsnis

Teritorinė taikymo sritis

1.   Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.

2.   Šis reglamentas taikomas asmens duomenų tvarkymui, kai Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla yra susijusi su:

a)

prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje, nepaisant to, ar už šias prekes arba paslaugas duomenų subjektui reikia mokėti; arba

b)

elgesio, kai jie veikia Sąjungoje, stebėsena.

3.   Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko duomenų valdytojas, įsisteigęs ne Sąjungoje, o vietoje, kurioje pagal viešąją tarptautinę teisę taikoma valstybės narės teisė.

4 straipsnis

Apibrėžtys

Šiame reglamente:

1)   asmens duomenys– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)   duomenų tvarkymas– bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

3)   duomenų tvarkymo apribojimas– saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

4)   profiliavimas– bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

5)   pseudonimų suteikimas– asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

6)   susistemintas rinkinys– bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

7)   duomenų valdytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

8)   duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

9)   duomenų gavėjas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

10)   trečioji šalis– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

11)   duomenų subjekto sutikimas– bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

12)   asmens duomenų saugumo pažeidimas– saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

13)   genetiniai duomenys– asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

14)   biometriniai duomenys– po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

15)   sveikatos duomenys– asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

16)   pagrindinė buveinė

a)

duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine;

b)

duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, arba jeigu duomenų tvarkytojas neturi centrinės administracijos Sąjungoje – duomenų tvarkytojo buveinė Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė vykdydama savo veiklą tvarko duomenis tiek, kiek duomenų tvarkytojui taikomos konkrečios prievolės pagal šį reglamentą;

17)   atstovas– Sąjungoje įsisteigęs, duomenų valdytojo arba duomenų tvarkytojo raštu pagal 27 straipsnį paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su jų atitinkamomis prievolėmis pagal šį reglamentą, atstovauja duomenų valdytojui arba duomenų tvarkytojui;

18)   įmonė– bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;

19)   įmonių grupė– kontroliuojančioji įmonė ir jos kontroliuojamos įmonės;

20)   įmonei privalomos taisyklės– asmens duomenų apsaugos politikos nuostatos, kurių valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas laikosi, perduodamas asmens duomenis arba atlikdamas perdavimų seką vienos ar daugiau trečiųjų valstybių duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei;

21)   priežiūros institucija– valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

22)   susijusi priežiūros institucija– priežiūros institucija, kuri yra susijusi su asmens duomenų tvarkymu dėl to, kad:

a)

duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs tos priežiūros institucijos valstybės narės teritorijoje,

b)

duomenų tvarkymas daro arba gali padaryti didelį poveikį tos priežiūros institucijos valstybėje narėje gyvenantiems duomenų subjektams; arba

c)

skundas buvo pateiktas tai priežiūros institucijai;

23)   tarpvalstybinis duomenų tvarkymas– vienas iš toliau nurodytų:

a)

asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

b)

asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

24)   tinkamas ir pagrįstas prieštaravimas– prieštaravimas sprendimo projektui dėl to, ar buvo padarytas šio reglamento pažeidimas, arba, ar numatomas veiksmas, susijęs su duomenų valdytoju arba duomenų tvarkytoju, atitinka šį reglamentą, kuris aiškiai parodo sprendimo projekto keliamų pavojų duomenų subjektų pagrindinėms teisėms ir laisvėms ir, kai taikoma, laisvam asmens duomenų judėjimui Sąjungoje, reikšmingumą;

25)   informacinės visuomenės paslauga– paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 (19) 1 straipsnio 1 dalies b punkte;

26)   tarptautinė organizacija– organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, ar bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

II SKYRIUS

Principai

5 straipsnis

Su asmens duomenų tvarkymu susiję principai

1.   Asmens duomenys turi būti:

a)

duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)

adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)

tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

e)

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

f)

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

6 straipsnis

Tvarkymo teisėtumas

1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)

duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)

tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)

tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)

tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)

tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)

tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

2.   Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3.   1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)

Sąjungos teisėje; arba

b)

duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4.   Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)

visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)

aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)

asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)

numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)

tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

7 straipsnis

Sutikimo sąlygos

1.   Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

2.   Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Jokia tokio pareiškimo dalis, kuria pažeidžiamas šis reglamentas, nėra privaloma.

3.   Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.

4.   Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

8 straipsnis

Sąlygos, taikomos vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui

1.   Kai taikomas 6 straipsnio 1 dalies a punktas, kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas.

Valstybės narės tais tikslais įstatymu gali numatyti jaunesnio amžiaus ribą su sąlyga, kad toks jaunesnis amžius reiškia ne mažiau nei 13 metų.

2.   Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda pagrįstas pastangas, kad tokiais atvejais patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas.

3.   1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai taisyklėms dėl su vaiku sudaromos sutarties galiojimo, sudarymo arba poveikio.

9 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

1.   Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2.   1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)

duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos arba valstybės narės teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

b)

tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos arba valstybės narės teisėje arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

c)

tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

d)

duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydama teisėtą veiklą ir taikydama tinkamas apsaugos priemones, ir su sąlyga, kad tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su ja dėl jos siekiamų tikslų, duomenys ir kad asmens duomenys neatskleidžiami už organizacijos ribų be duomenų subjektų sutikimo;

e)

tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)

tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai vykdo savo teisminius įgaliojimus;

g)

tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

h)

tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos arba valstybės narės teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

i)

tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis Sąjungos arba valstybės narės teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma profesinė paslaptis;

j)

tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

3.   1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį.

4.   Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.

10 straipsnis

Asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas

Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones remiantis 6 straipsnio 1 dalimi tvarkomi tik prižiūrint valdžios institucijai arba kai duomenų tvarkymas leidžiamas Sąjungos arba valstybės narės teise, kurioje nustatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės. Bet kuris išsamus apkaltinamųjų nuosprendžių duomenų registras tvarkomas tik prižiūrint valdžios institucijai.

11 straipsnis

Duomenų tvarkymas, kai asmens tapatybės nustatyti nereikia

1.   Jeigu dėl tikslų, kuriais duomenų valdytojas tvarko asmens duomenis, duomenų valdytojui nebūtina ar nebėra būtina nustatyti duomenų subjekto tapatybės, duomenų valdytojas nėra įpareigojamas laikyti, gauti ar tvarkyti papildomą informaciją duomenų subjekto tapatybei nustatyti vien tam, kam būtų laikomasi šio reglamento.

2.   Kai šio straipsnio 1 dalyje nurodytais atvejais duomenų valdytojas gali įrodyti, kad neturi galimybės nustatyti duomenų subjekto tapatybės, duomenų valdytojas, jei įmanoma, informuoja apie tai duomenų subjektą. Tokiais atvejais 15–20 straipsniai netaikomi, išskyrus atvejus, kai duomenų subjektas, siekdamas pasinaudoti pagal tuos straipsnius jam suteiktomis teisėmis, pateikia papildomos informacijos, leidžiančios nustatyti jo tapatybę.

III SKYRIUS

Duomenų subjekto teisės

1 skirsnis

Skaidrumas ir sąlygos

12 straipsnis

Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos

1.   Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.

2.   Duomenų valdytojas sudaro palankesnes sąlygas naudotis 15–22 straipsniuose nustatytomis duomenų subjekto teisėmis. 11 straipsnio 2 dalyje nurodytais atvejais duomenų valdytojas neatsisako imtis veiksmų pagal duomenų subjekto prašymą pasinaudoti teisėmis pagal 15–22 straipsnius, nebent duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.

3.   Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 15–22 straipsnius. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

4.   Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.

5.   Pagal 13 ir 14 straipsnius teikiama informacija ir visi pranešimai bei visi veiksmai pagal 15–22 ir 34 straipsnius yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali arba:

a)

imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba

b)

gali atsisakyti imtis veiksmų pagal prašymą.

Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

6.   Nedarant poveikio 11 straipsniui, kai duomenų valdytojas turi pagrįstų abejonių dėl 15–21 straipsniuose nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

7.   Informacija, kuri duomenų subjektams turi būti teikiama pagal 13 ir 14 straipsnius, gali būti teikiama su standartizuotomis piktogramomis siekiant, kad numatomas duomenų tvarkymas būtų prasmingai apibendrintas lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Kai piktogramos pateikiamos elektronine forma, jos turi būti kompiuterio skaitomos.

8.   Komisijai pagal 92 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, kuriais siekiama nustatyti, kokia informacija turi būti pateikta piktogramomis, ir nustatyti standartizuotų piktogramų pateikimo procedūras.

2 skirsnis

Informavimas ir teisė susipažinti su asmens duomenimis

13 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto

1.   Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

a)

duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis;

b)

duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;

c)

duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)

kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

e)

jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas

f)

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

a)

asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)

teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;

c)

kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)

teisę pateikti skundą priežiūros institucijai;

e)

tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

f)

tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3.   Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

4.   1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

14 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1.   Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)

duomenų valdytojo ir duomenų valdytojo atstovo, jei taikoma, tapatybę ir kontaktinius duomenis;

b)

duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;

c)

duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)

atitinkamų asmens duomenų kategorijas;

e)

jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

f)

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)

asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)

kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

c)

teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į į duomenų perkeliamumą;

d)

kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

e)

teisę pateikti skundą priežiūros institucijai;

f)

koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

g)

tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3.   Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)

per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)

jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

c)

jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4.   Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5.   1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)

duomenų subjektas jau turi informacijos;

b)

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalyje nurodytų sąlygų ir apsaugos priemonių arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;

c)

duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba

d)

kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.

15 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1.   Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslai;

b)

atitinkamų asmens duomenų kategorijos;

c)

duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)

kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)

teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)

teisė pateikti skundą priežiūros institucijai;

g)

kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)

tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2.   Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 46 straipsnį.

3.   Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4.   3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

3 skirsnis

Duomenų ištaisymas ir ištrynimas

16 straipsnis

Teisė reikalauti ištaisyti duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

17 straipsnis

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

1.   Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)

asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

b)

asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)

asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;

d)

asmens duomenys buvo tvarkomi neteisėtai;

e)

asmens duomenys turi būti ištrinti laikantis Sąjungos arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;

f)

asmens duomenys buvo surinkti 8 straipsnio 1 dalyje nurodyto informacinės visuomenės paslaugų siūlymo kontekste.

2.   Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

3.   1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

a)

siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

b)

siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

c)

dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 9 straipsnio 2 dalies h bei i punktus ir 9 straipsnio 3 dalį;

d)

archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalies, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba

e)

siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

18 straipsnis

Teisė apriboti duomenų tvarkymą

1.   Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:

a)

asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;

b)

asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c)

duomenų valdytojui nebereikia asmens duomenų duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba

d)

duomenų subjektas pagal 21 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

2.   Kai duomenų tvarkymas yra apribotas pagal 1 dalį, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

3.   Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal 1 dalį, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

19 straipsnis

Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal 16 straipsnį, 17 straipsnio 1 dalį ir 18 straipsnį, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.

20 straipsnis

Teisė į duomenų perkeliamumą

1.   Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

a)

duomenų tvarkymas yra grindžiamas sutikimu pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą; ir

b)

duomenys yra tvarkomi automatizuotomis priemonėmis.

2.   Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

3.   Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 17 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

4.   1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

4 skirsnis

Teisė nesutikti ir automatizuotas atskirų sprendimų priėmimas

21 straipsnis

Teisė nesutikti

1.   Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2.   Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.

3.   Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.

4.   Duomenų subjektas apie 1 ir 2 dalyse nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

5.   Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant Direktyvos 2002/58/EB, duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis, kurioms naudojamos techninės specifikacijos.

6.   Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 straipsnio 1 dalį, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

22 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1.   Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

2.   1 dalis netaikoma, jeigu sprendimas:

a)

yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

b)

yra leidžiamas Sąjungos arba valstybės narės teisėje, kurie taikomi duomenų valdytojui ir kuriais taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba

c)

yra pagrįstas aiškiu duomenų subjekto sutikimu.

3.   2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4.   2 dalyje nurodyti sprendimai negrindžiami 9 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 9 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

5 skirsnis

Apribojimai

23 straipsnis

Apribojimai

1.   Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

a)

nacionalinį saugumą;

b)

gynybą;

c)

visuomenės saugumą;

d)

nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

e)

kitus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

f)

teismų nepriklausomumo ir teismo proceso apsaugą;

g)

reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos;

h)

stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a- e ir g punktuose nurodytais atvejais;

i)

duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;

j)

civilinių ieškinių vykdymo užtikrinimą.

2.   Visų pirma visose 1 dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:

a)

duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis,

b)

asmens duomenų kategorijomis,

c)

nustatytų apribojimų apimtimi,

d)

apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui,

e)

duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimu,

f)

saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus,

g)

pavojais duomenų subjektų teisėms ir laisvėms, ir

h)

duomenų subjektų teise būti informuotiems apie apribojimą, nebent tai pakenktų apribojimo tikslui.

IV SKYRIUS

Duomenų valdytojas ir duomenų tvarkytojas

1 skirsnis

Bendrosios prievolės

24 straipsnis

Duomenų valdytojo atsakomybė

1.   Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2.   Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

3.   Tuo, kad laikomasi patvirtintų elgesio kodeksų, kaip nurodyta 40 straipsnyje, arba patvirtintų sertifikavimo mechanizmų, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad duomenų valdytojas vykdo prievoles.

25 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2.   Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3.   Patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

26 straipsnis

Bendri duomenų valdytojai

1.   Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 13 ir 14 straipsniuose nurodytą informaciją, vykdymą, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2.   1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3.   Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.

27 straipsnis

Sąjungoje neįsisteigusių duomenų valdytojų ar duomenų tvarkytojų atstovai

1.   Jeigu taikoma 3 straipsnio 2 dalis, duomenų valdytojas arba duomenų tvarkytojas raštu paskiria atstovą Sąjungoje.

2.   Šio straipsnio 1 dalyje nustatyta prievolė netaikoma:

a)

jei duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų duomenų tvarkymo, kaip nurodyta 9 straipsnio 1 dalyje, dideliu mastu ar 10 straipsnyje nurodyto asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus; arba

b)

valdžios institucijai arba įstaigai.

3.   Atstovas turi būti įsisteigęs vienoje iš tų valstybių narių, kuriose yra duomenų subjektai ir kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo jiems tikslais arba kurių elgesys yra stebimas.

4.   Duomenų valdytojas arba duomenų tvarkytojas įgalioja atstovą, kad visų pirma priežiūros institucijos ir duomenų subjektai galėtų kreiptis ne tik į duomenų valdytoją ar duomenų tvarkytoją, bet ir į atstovą, arba tik į atstovą visais klausimais, susijusiais su duomenų tvarkymu, siekiant užtikrinti, kad būtų laikomasi šio reglamento.

5.   Tai, kad duomenų valdytojas arba duomenų tvarkytojas paskiria atstovą, nedaro poveikio teisiniams veiksmams, kurių galėtų būti imtasi prieš patį duomenų valdytoją arba duomenų tvarkytoją.

28 straipsnis

Duomenų tvarkytojas

1.   Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.   Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3.   Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:

a)

tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

b)

užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;

c)

imasi visų priemonių, kurių reikalaujama pagal 32 straipsnį;

d)

laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;

e)

atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;

f)

padeda duomenų valdytojui užtikrinti 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)

pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti;

h)

pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.

Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

4.   Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.

5.   Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse.

6.   Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant kai jos yra pagal 42 ir 43 straipsnius duomenų valdytojui ar duomenų tvarkytojui suteikiamo sertifikavimo dalis.

7.   Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

8.   Priežiūros institucija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

9.   3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, įskaitant elektronine forma.

10.   Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.

29 straipsnis

Duomenų valdytojui ar duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

30 straipsnis

Duomenų tvarkymo veiklos įrašai

1.   Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)

duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

duomenų tvarkymo tikslai;

c)

duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)

duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e)

kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

f)

kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)

kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2.   Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)

duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)

kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

d)

kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3.   1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4.   Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

5.   1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.

31 straipsnis

Bendradarbiavimas su priežiūros institucija

Duomenų valdytojas ir duomenų tvarkytojas, taip pat, jei taikoma, jų atstovai, gavę prašymą bendradarbiauja su priežiūros institucija jai vykdant savo užduotis.

2 skirsnis

Asmens duomenų saugumas

32 straipsnis

Duomenų tvarkymo saugumas

1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

a)

pseudonimų suteikimą asmens duomenims ir jų šifravimą;

b)

gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

c)

gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

d)

reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

2.   Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

3.   Tuo, kad laikomasi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad laikomasi šio straipsnio 1 dalyje nustatytų reikalavimų.

4.   Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.

33 straipsnis

Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą

1.   Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

2.   Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

3.   1 dalyje nurodytame pranešime turi būti bent:

a)

aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)

nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

c)

aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)

aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

4.   Kai ir jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

5.   Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi tais dokumentais, priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio.

34 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1.   Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2.   Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3.   1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

a)

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)

duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)

tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4.   Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 skirsnis

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

35 straipsnis

Poveikio duomenų apsaugai vertinimas

1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2.   Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3.   1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

a)

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)

9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)

sistemingas viešos vietos stebėjimas dideliu mastu.

4.   Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5.   Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6.   Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7.   Įvertinime pateikiama bent jau:

a)

sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)

duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)

1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)

pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8.   Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9.   Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10.   Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11.   Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

36 straipsnis

Išankstinės konsultacijos

1.   Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, konsultuojasi su priežiūros institucija, jeigu pagal 35 straipsnį poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.

2.   Jeigu priežiūros institucija laikosi nuomonės, kad 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, priežiūros institucija ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratesimą per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. Tie laikotarpiai gali būti sustabdyti iki priežiūros institucija gavus informaciją, kurios ji buvo paprašiusi konsultacijų tikslais.

3.   Konsultuodamasis su priežiūros institucija pagal 1 dalį, duomenų valdytojas priežiūros institucijai nurodo:

a)

kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis, visų pirma, kai duomenys tvarkomi įmonių grupėje;

b)

numatyto duomenų tvarkymo tikslus ir priemones;

c)

nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal šį reglamentą;

d)

kai taikoma, duomenų apsaugos pareigūno kontaktinius duomenis;

e)

35 straipsnyje numatytą poveikio duomenų apsaugai vertinimą; ir

f)

bet kokią kitą priežiūros institucijos prašomą informaciją.

4.   Valstybės narės, rengdamos pasiūlymą dėl teisėkūros priemonės, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su duomenų tvarkymu, konsultuojasi su priežiūros institucija.

5.   Nepaisant 1 dalies, pagal valstybės narės teisę gali būti reikalaujama, kad duomenų valdytojai konsultuotųsi su priežiūros institucija ir gautų jos išankstinį leidimą dėl duomenų valdytojo atliekamo duomenų tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas vykdo dėl viešojo intereso, įskaitant duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos srityje.

4 skirsnis

Duomenų apsaugos pareigūnas

37 straipsnis

Duomenų apsaugos pareigūno skyrimas

1.   Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

a)

duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b)

duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba

c)

duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

2.   Įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną, jeigu su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos buveinės.

3.   Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms tokioms institucijoms arba įstaigoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4.   Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti arba, jei to reikalaujama Sąjungos ar valstybės narės teisėje, paskiria duomenų apsaugos pareigūną. Duomenų pareigūnas gali veikti tokių asociacijų ir kitų įstaigų, atstovaujančių duomenų valdytojams arba duomenų tvarkytojams, vardu.

5.   Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 39 straipsnyje nurodytas užduotis.

6.   Duomenų apsaugos pareigūnas gali būti duomenų valdytojo arba duomenų tvarkytojo personalo narys arba atlikti užduotis pagal paslaugų teikimo sutartį.

7.   Duomenų valdytojas arba duomenų tvarkytojas paskelbia duomenų apsaugos pareigūno kontaktinius duomenis ir praneša juos priežiūros institucijai.

38 straipsnis

Duomenų apsaugos pareigūno statusas

1.   Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2.   Duomenų valdytojas ir duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti 39 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinus išteklius, taip pat suteikdamas galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

3.   Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl tų užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.

4.   Duomenų subjektai gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais jų asmeninių duomenų tvarkymu ir naudojimusi savo teisėmis pagal šį reglamentą.

5.   Duomenų apsaugos pareigūnas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Sąjungos ar valstybės narės teisės.

6.   Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

39 straipsnis

Duomenų apsaugos pareigūno užduotys

1.   Duomenų apsaugos pareigūnas atlieka bent šias užduotis:

a)

informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šį reglamentą ir kitus Sąjungos arba valstybės narės apsaugos nuostatas ir konsultuoja juos šiais klausimais;

b)

stebi, kaip laikomasi šio reglamento, kitų Sąjungos arba nacionalinės duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

c)

paprašius konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal 35 straipsnį;

d)

bendradarbiauja su priežiūros institucija;

e)

atlieka kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoja visais kitais klausimais.

2.   Duomenų apsaugos pareigūnas, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.

5 skirsnis

Elgesio kodeksai ir sertifikavimas

40 straipsnis

Elgesio kodeksai

1.   Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2.   Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a)

sąžiningą ir skaidrų duomenų tvarkymą;

b)

teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c)

asmens duomenų rinkimą;

d)

pseudonimų suteikimą asmens duomenims;

e)

visuomenės ir duomenų subjektų informavimą;

f)

naudojimąsi duomenų subjektų teisėmis;

g)

vaikų informavimą ir apsaugą, taip pat būdą gauti vaikų tėvų pareigų turėtojų sutikimą;

h)

24 ir 25 straipsniuose nurodytas priemones bei procedūras ir priemones, kuriomis užtikrinamas 32 straipsnyje nurodytas duomenų tvarkymo saugumas;

i)

pranešimą apie asmens duomenų saugumo pažeidimus priežiūros institucijoms ir pranešima apie tokius asmens duomenų saugumo pažeidimus duomenų subjektams;

j)

asmens duomenų perdavimą į trečiąsias valstybes ir tarptautinėms organizacijoms; ar

k)

neteisminio ginčų nagrinėjimą ir kitų ginčų sprendimo procedūras, pagal kurias sprendžiami su duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nedarant poveikio duomenų subjektų teisėms pagal 77 ir 79 straipsnius.

3.   Pagal šio straipsnio 5 dalį patvirtintų ir pagal šio straipsnio 9 dalį visuotinai galiojančių elgesio kodeksų gali laikytis ne tik duomenų valdytojai arba duomenų tvarkytojai, kuriems taikomas šis reglamentas, bet ir duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, kad užtikrintų asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms tinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies e punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, duomenų subjektų teisių atžvilgiu, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

4.   Šio straipsnio 2 dalyje nurodytame elgesio kodekse numatomi mechanizmai, leidžiantys 41 straipsnio 1 dalyje nurodytai įstaigai vykdyti privalomą duomenų valdytojų arba duomenų tvarkytojų, kurie įsipareigoja taikyti kodeksą, šio kodekso nuostatų laikymosi stebėseną, nedarant poveikio priežiūros institucijoms, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotimis ir įgaliojimams.

5.   Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.

6.   Jeigu pagal 5 dalį patvirtinamas elgesio kodekso projektas ar pakeitimas arba išplėtimas, ir jei atitinkamas elgesio kodeksas nėra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija užregistruoja ir paskelbia kodeksą.

7.   Jeigu elgesio kodekso projektas yra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį, prieš patvirtindama kodekso projektą, pakeitimą ar išplėtimą, taikydama 63 straipsnyje nurodytą procedūrą, pateikia jį Valdybai, kuri pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant šio straipsnio 3 dalyje nurodytai situacijai, ar jame nustatytos tinkamos apsaugos priemonės.

8.   Jeigu 7 dalyje nurodytoje nuomonėje patvirtinama, kad kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant 3 dalyje nurodytai situacijai, jame nustatytos tinkamos apsaugos priemonės, Valdyba pateikia savo nuomonę Komisijai.

9.   Komisija įgyvendinimo aktais gali nuspręsti, kad pagal šio straipsnio 8 dalį jai pateiktas patvirtinti elgesio kodeksas, pakeitimas ar išplėtimas visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

10.   Komisija užtikrina, kad patvirtinti kodeksai, kurie sprendimu pagal 9 dalį pripažinti visuotinai galiojančiais, būtų tinkamai skelbiami viešai.

11.   Valdyba įtraukia į registrą visus patvirtintus elgesio kodeksus, pakeitimus ir išplėtimus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

41 straipsnis

Patvirtintų elgesio kodeksų stebėsena

1.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams pagal 57 ir 58 straipsnius, elgesio kodekso laikymosi stebėseną pagal 40 straipsnį gali atlikti įstaiga, turinti tinkamo lygio ekspertinių žinių kodekso dalyko srityje ir tuo tikslu akredituota kompetentingos priežiūros institucijos.

2.   Įstaiga, kaip nurodyta 1 dalyje, gali būti akredituota stebėti elgesio kodekso laikymąsi, jeigu ta įstaiga:

a)

kompetentingai priežiūros institucijai įtikinamai įrodė savo nepriklausomumą ir ekspertines žinias kodekso dalyko srityje;

b)

nustatė procedūras, kurios jai suteikia galimybę vertinti atitinkamų duomenų valdytojų ir duomenų tvarkytojų tinkamumą taikyti kodeksą, stebėti, kaip jie laikosi kodekso nuostatų, ir periodiškai peržiūrėti kodekso veikimą;

c)

nustatė procedūras ir struktūras, skirtas skundams dėl kodekso pažeidimų arba dėl to, kaip duomenų valdytojas arba duomenų tvarkytojas įgyvendino ar įgyvendina kodeksą, nagrinėti, užtikrindama, kad tos procedūros ir struktūros būtų skaidrios duomenų subjektams ir visuomenei; ir

d)

kompetentingai priežiūros institucijai įtikinamai įrodė, kad dėl jos užduočių ir pareigų nekyla interesų konfliktas.

3.   Kompetentinga priežiūros institucija pateikia įstaigos, kaip nurodyta šio straipsnio 1 dalyje, akreditavimo kriterijų projektą Valdybai, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

4.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams ir VIII skyriaus nuostatoms, įstaiga, kaip nurodyta šio straipsnio 1 dalyje, jeigu taikomos tinkamos apsaugos priemonės, imasi atitinkamų veiksmų tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas pažeidžia kodeksą, įskaitant atitinkamo duomenų valdytojo arba duomenų tvarkytojo teisės užsiimti su kodeksu susijusia veikla sustabdymą ar jų nušalinimą nuo su kodeksu susijusių pareigų. Apie tokius veiksmus ir jų vykdymo priežastis ji informuoja kompetentingą priežiūros instituciją.

5.   Kompetentinga priežiūros institucija panaikina įstaigos akreditaciją, kaip nurodyta 1 dalyje, jeigu akreditavimo sąlygos nevykdomos arba nebevykdomos, arba jeigu veiksmai, kurių imasi ta įstaiga, pažeidžia šį reglamentą.

6.   Šis straipsnis netaikomas valdžios institucijų ir įstaigų atliekamam duomenų tvarkymui.

42 straipsnis

Sertifikavimas

1.   Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina nustatyti – visų pirma Sąjungos lygmeniu – duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad būtų galima įrodyti, jog duomenų valdytojai ir duomenų tvarkytojai, vykdydami duomenų tvarkymo operacijas, laikosi šio reglamento. Atsižvelgiama į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2.   Pagal šio straipsnio 5 dalį patvirtintus duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis galima nustatyti ne tik siekiant įrodyti, kad duomenų valdytojai arba duomenų tvarkytojai laikosi jo nuostatų, bet ir siekiant įrodyti, kad duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, perduodant asmens duomenis į trečiąsias valstybes arba tarptautinėms organizacijoms užtikrina atitinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies f punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

3.   Sertifikavimas yra savanoriškas ir prieinamas taikant skaidrų procesą.

4.   Sertifikavimu pagal šį straipsnį nesumažinama duomenų valdytojo arba duomenų tvarkytojo atsakomybė už šio reglamento laikymąsi ir nedaromas poveikis priežiūros institucijos, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotims ir įgaliojimams.

5.   Sertifikatus pagal šį straipsnį išduoda 43 straipsnyje nurodytos sertifikavimo įstaigos arba kompetentinga priežiūros institucija, remdamosi kompetentingos priežiūros institucijos ar Valdybos patvirtintais kriterijais pagal 58 straipsnio 3 dalį arba, pagal 63 straipsnį. Jei kriterijai yra patvirtinti Valdybos, gali būti išduodamas bendras sertifikatas – Europos duomenų apsaugos ženklas.

6.   Duomenų valdytojas arba duomenų tvarkytojas, kuris kreipiasi, kad jo atliekamam duomenų tvarkymui būtų taikomas sertifikavimo mechanizmas, pateikia 43 straipsnyje nurodytai sertifikavimo įstaigai arba, kai taikoma, kompetentingai priežiūros institucijai, visą informaciją ir suteikia galimybę susipažinti su jo atliekama duomenų tvarkymo veikla, kad būtų galima atlikti sertifikavimo procedūrą.

7.   Duomenų valdytojui arba duomenų tvarkytojui sertifikatas išduodamas ne ilgesniam kaip 3 metų laikotarpiui ir gali būti atnaujintas tomis pačiomis sąlygomis, jei ir toliau vykdomi atitinkami reikalavimai. Jei sertifikavimo reikalavimai nevykdomi arba nebevykdomi, kai taikoma, 43 straipsnyje nurodytos sertifikavimo įstaigos arba kompetentinga priežiūros institucija sertifikavimą panaikina.

8.   Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

43 straipsnis

Sertifikavimo įstaigos

1.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams pagal 57 ir 58 straipsnius, sertifikavimo įstaigos, turinčios tinkamo lygio ekspertinių žinių duomenų apsaugos srityje, informavusios priežiūros instituciją, kad ji prireikus galėtų pasinaudoti savo įgaliojimais pagal 58 straipsnio 2 dalies h punktą, išduoda ir atnaujina sertifikatus. Valstybės narės užtikrina, kad tos sertifikavimo įstaigos yra akredituotos vienos ar abiejų toliau nurodytų subjektų:

a)

priežiūros institucijos, kompetentingos pagal 55 arba 56 straipsnį;

b)

nacionalinės akreditavimo įstaigos, paskelbtos pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (20), laikantis EN-ISO/IEC 17065/2012 ir papildomų reikalavimų, kuriuos nustatė priežiūros institucija, kompetentinga pagal 55 arba 56 straipsnį.

2.   1 dalyje nurodytos sertifikavimo įstaigos akredituojamos pagal tą dalį tik tuo atveju, jei:

a)

yra kompetentingai priežiūros institucijai įtikinamai įrodžiusios savo nepriklausomumą ir ekspertines žinias sertifikavimo dalyko srityje;

b)

įsipareigojo laikytis 42 straipsnio 5 dalyje nurodytų ir priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, laikantis 63 straipsnio, Valdybos patvirtintų kriterijų;

c)

yra nustačiusi duomenų apsaugos sertifikatų, ženklų ir žymenų išdavimo, periodinės peržiūros ir panaikinimo procedūras;

d)

yra nustačiusi procedūras ir struktūras, skirtas skundams dėl sertifikavimo pažeidimų arba dėl to, kaip duomenų valdytojas ar duomenų tvarkytojas įgyvendino ar įgyvendina sertifikavimą, nagrinėti, užtikrindama, kad tos procedūros ir struktūros būtų skaidrios duomenų subjektams ir visuomenei; ir

e)

kompetentingai priežiūros institucijai įtikinamai įrodė, kad dėl jų užduočių ir pareigų nekyla interesų konfliktas.

3.   Sertifikavimo įstaigų akreditavimas, kaip nurodyta šio straipsnio 1 ir 2 dalyse, vykdomas remiantis priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, Valdybos laikantis 63 straipsnyje patvirtintais kriterijais. Jei akreditavimas vykdomas pagal šio straipsnio 1 dalies b punktą, tais reikalavimais papildomi Reglamente (EB) Nr. 765/2008 numatyti reikalavimai ir techninės taisyklės, kuriomis apibūdinami sertifikavimo įstaigų metodai ir procedūros.

4.   1 dalyje nurodytos sertifikavimo įstaigos atsako už tai, kad būtų atliktas tinkamas vertinimas, kuriuo remiantis toks sertifikatas būtų išduodamas arba panaikinamas, nedarant poveikio duomenų valdytojo arba duomenų tvarkytojo atsakomybei už šio reglamento laikymąsi. Akreditacija suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei sertifikavimo įstaiga ir toliau vykdo šiame straipsnyje nustatytus reikalavimus.

5.   1 dalyje nurodytos sertifikavimo įstaigos kompetentingoms priežiūros institucijoms nurodo priežastis, kodėl prašomas sertifikavimas buvo suteiktas arba panaikintas.

6.   Priežiūros institucija šio straipsnio 3 dalyje nurodytus reikalavimus ir 42 straipsnio 5 dalyje nurodytus kriterijus padaro lengvai viešai prieinamus. Priežiūros institucijos tuos reikalavimus ir kriterijus taip pat pateikia Valdybai. Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

7.   Nedarant poveikio VIII skyriui, kompetentinga priežiūros institucija arba nacionalinė akreditavimo įstaiga panaikina pagal šio straipsnio 1 dalį sertifikavimo įstaigai suteiktą akreditaciją, jeigu akreditavimo sąlygos nevykdomos arba nebevykdomos, arba jeigu veiksmai, kurių imasi sertifikavimo įstaiga, pažeidžia šį reglamentą.

8.   Komisijai pagal 92 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus siekiant nustatyti reikalavimus, į kuriuos turi būti atsižvelgta 42 straipsnio 1 dalyje nurodytuose duomenų apsaugos sertifikavimo mechanizmuose.

9.   Komisija gali priimti įgyvendinimo aktus, kuriais nustatomi techniniai sertifikavimo mechanizmai ir duomenų apsaugos ženklų bei žymenų standartai, taip pat tų sertifikavimo mechanizmų, ženklų bei žymenų propagavimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

V SKYRIUS

Asmens duomenų perdavimai į trečiąsias valstybes arba tarptautinėms organizacijoms

44 straipsnis

Bendras duomenų perdavimo principas

Asmens duomenys, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją valstybę arba tarptautinei organizacijai, perduodami tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, laikydamiesi kitų šio reglamento nuostatų, laikosi šiame skyriuje nustatytų sąlygų, be kita ko, susijusių su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai. Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nebūtų pakenkta šiuo reglamentu garantuojamam fizinių asmenų apsaugos lygiui.

45 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1.   Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2.   Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

a)

teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu, baudžiamąja teise ir valdžios institucijų prieiga prie asmens duomenų, taip pat tokių teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo į kitą trečiąją valstybę ar kitai tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktikos precedentus, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

b)

tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje šalyje arba kurioms yra pavaldi tarptautinė organizacija ir kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių ir jos būtų vykdomos, įskaitant tinkamus vykdymo įgaliojimus padėti duomenų subjektams naudotis savo teisėmis ir patarti, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis; ir

c)

atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, taip pat dėl jų dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma kiek tai susiję su asmens duomenų apsauga.

3.   Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte numatomas periodinės peržiūros, atliekamos bent kas ketverius metus, kuria atsižvelgiama į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje, mechanizmas. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, kai taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4.   Komisija nuolat stebi pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų daryti poveikį pagal šio straipsnio 3 dalį priimtų sprendimų ir pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį priimtų sprendimų veikimui.

5.   Komisija nusprendžia, kad trečioji valstybė, teritorija arba nurodytas vienas ar keli sektoriai trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, jei tai paaiškėja iš turimos informacijos, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, reikiamu mastu įgyvendinimo aktais panaikina arba iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą, arba sustabdo jo galiojimą nustatydama, kad tai netaikoma atgaline data. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Ypatingos skubos atvejais Komisija priima iš karto taikomus įgyvendinimo aktus laikantis 93 straipsnio 3 dalyje nurodytos procedūros.

6.   Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, siekdama, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

7.   Sprendimas pagal šio straipsnio 5 dalį nedaro poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą sektorių toje trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 46–49 straipsnius.

8.   Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų valstybių, teritorijų ir nurodyto vieno ar kelių sektorių trečiojoje valstybėje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo nebeužtikrina, sąrašą.

9.   Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 3 ar 5 dalį, jie bus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

46 straipsnis

Duomenų perdavimas taikant tinkamas apsaugos priemones

1.   Jeigu nėra priimtas sprendimas pagal 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

2.   1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus priežiūros institucijos leidimo, gali būti nustatomos:

a)

teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

b)

įmonėms privalomomis taisyklėmis pagal 47 straipsnį;

c)

standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

d)

standartinėmis duomenų apsaugos sąlygomis, kurias priima priežiūros institucija ir pagal 93 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

e)

patvirtintu elgesio kodeksu pagal 40 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis; arba

f)

patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis.

3.   Gavus kompetentingos priežiūros institucijos leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

a)

duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis; arba

b)

nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

4.   Šio straipsnio 3 dalyje nurodytais atvejais priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.   Leidimai, kuriuos valstybė narė arba priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti tol, kol ta priežiūros institucija prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 26 straipsnio 4 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 2 dalį, jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

47 straipsnis

Įmonei privalomos taisyklės

1.   Kompetentinga priežiūros institucija patvirtina įmonei privalomas taisykles pagal 63 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą, jeigu:

a)

jos yra teisiškai privalomos ir taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, įskaitant jų darbuotojus, ir jie užtikrina jų vykdymą;

b)

jomis duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su jų asmens duomenų tvarkymu; ir

c)

jos atitinka 2 dalyje nustatytus reikalavimus.

2.   1 dalyje nurodytose įmonei privalomose taisyklėse nurodoma bent:

a)

įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės ir kiekvieno jos nario struktūra bei kontaktiniai duomenys;

b)

duomenų perdavimai arba duomenų perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę arba valstybes;

c)

tai, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu;

d)

tai, kad taikomi bendrieji duomenų apsaugos principai, visų pirma tikslų apribojimo, duomenų kiekio mažinimo, ribotų duomenų saugojimo laikotarpių, duomenų kokybės, pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų tvarkymo teisinio pagrindo, specialių kategorijų asmens duomenų tvarkymo principai, duomenų saugumo užtikrinimo priemonės ir reikalavimai dėl tolesnio duomenų perdavimo įstaigoms, kurios neprivalo laikytis įmonei privalomų taisyklių;

e)

duomenų subjektų teisės, susijusios su duomenų tvarkymu, ir naudojimosi tomis teisėmis priemonės, įskaitant teisę į tai, kad nebūtų taikomi tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai pagal 22 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai bei kompetentingiems valstybių narių teismams pagal 79 straipsnį ir teisę naudotis teisių gynimo priemonėmis ir, kai tinkama, reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

f)

tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio atitinkamo nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas visiškai ar iš dalies atleidžiamas nuo tos atsakomybės tik tuo atveju, jei jis įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)

kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams, be to, kas numatyta 13 ir 14 straipsniuose;

h)

pagal 37 straipsnį paskirto bet kurio duomenų apsaugos pareigūno arba bet kurio kito asmens ar subjekto, atsakingo už stebėseną, ar įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo ir skundų nagrinėjimo stebėseną, užduotys;

i)

skundų nagrinėjimo procedūros;

j)

įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje taikomi mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises. Tokio patikrinimo rezultatai turėtų būti perduoti asmeniui arba subjektui, kaip nurodyta h punkte, ir įmonių grupę kontroliuojančiosios įmonės arba bendrą ekonominę veiklą vykdančios įmonių grupės valdybai ir paprašius turėtų būti pateikti kompetentingai priežiūros institucijai;

k)

ataskaitų teikimo ir taisyklių pakeitimų registravimo, taip pat pranešimo apie tuos pakeitimus priežiūros institucijai mechanizmai;

l)

bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant j punkte nurodyto priemonių patikrinimo rezultatus;

m)

mechanizmas, pagal kurį kompetentingai priežiūros institucijai teikiamos ataskaitos apie visus teisinius reikalavimus, taikomus įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariui trečiojoje šalyje, galinčius turėti esminį neigiamą poveikį įmonei privalomomis taisyklėmis užtikrinamoms garantijoms; ir

n)

atitinkami mokymai duomenų apsaugos srityje darbuotojams, kurie turi teisę nuolat ar reguliariai susipažinti su asmens duomenimis.

3.   Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

48 straipsnis

Sąjungos teisėje neleidžiamas duomenų perdavimas ar atskleidimas

Bet kuris teismo sprendimas ir bet kuris trečiosios valstybės administracinės institucijos sprendimas, kuriuo reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, gali būti bet kuriuo būdu pripažįstamas arba vykdytinas, tik jei jis grindžiamas tarptautiniu susitarimu, pavyzdžiui, galiojančia prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės savitarpio teisinės pagalbos sutartimi, nedarant poveikio kitiems perdavimo pagrindams pagal šį skyrių.

49 straipsnis

Nukrypti leidžiančios nuostatos konkrečiais atvejais

1.   Jeigu nepriimtas sprendimas dėl tinkamumo pagal 45 straipsnio 3 dalį arba nenustatytos tinkamos apsaugos priemonės pagal 46 straipsnį, įskaitant įmonei privalomas taisykles, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atliekami tik su viena iš šių sąlygų:

a)

duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

b)

duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;

c)

duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

d)

duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;

e)

duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

f)

duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

g)

duomenys perduodami iš registro, pagal Sąjungos arba valstybės narės teisę skirto teikti informaciją visuomenei, su kuria gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, tačiau tik tiek, kiek konkrečiu atveju laikomasi pagal Sąjungos arba valstybės narės teisę nustatytų susipažinimo su tokiame registre esančia informacija sąlygų.

Kai perdavimas negali būti grindžiamas 45 arba 46 straipsnio nuostata, įskaitant nuostatas dėl įmonei privalomų taisyklių, ir netaikoma jokia pirmoje pastraipoje nurodyta konkrečioje situacijoje nukrypti leidžianti nuostata, perdavimas nėra kartojamas, yra susijęs tik su ribotu duomenų subjektų skaičiumi, yra būtinas įtikinamų duomenų valdytojo ginamų teisėtų interesų, kai nėra už juos viršesnių duomenų subjekto interesų ar teisių ir laisvių, tikslais, jeigu duomenų valdytojas yra įvertinęs visas su duomenų perdavimu susijusias aplinkybes ir, remdamasis tuo vertinimu, yra nustatęs tinkamas su asmens duomenų apsauga susijusias apsaugos priemones. Duomenų valdytojas praneša priežiūros institucijai apie duomenų perdavimą. Be 13 ir 14 straipsniuose nurodytos informacijos, duomenų valdytojas praneša duomenų subjektui apie duomenų perdavimą ir apie įtikinamus ginamus teisėtus interesus.

2.   Jeigu duomenys perduodami pagal 1 dalies pirmos pastraipos g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai.

3.   1 dalies pirmos pastraipos a, b ir c punktai bei jos antra pastraipa netaikomi veiklai, kurią valdžios institucijos atlieka vykdydamos savo viešuosius įgaliojimus.

4.   1 dalies pirmos pastraipos d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teise arba duomenų valdytojui taikomos valstybės narės teise.

5.   Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų asmens duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Valstybės narės tokias nuostatas praneša Komisijai.

6.   Duomenų valdytojas arba duomenų tvarkytojas 30 straipsnyje nurodytuose įrašuose dokumentais pagrindžia vertinimą ir šio straipsnio 1 dalies antroje pastraipoje nurodytas tinkamas apsaugos priemones.

50 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Komisija ir priežiūros institucijos imasi tinkamų veiksmų trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu, kuriais siekiama:

a)

sukurti tarptautinius bendradarbiavimo mechanizmus, kad būtų sudarytos palankesnės sąlygos veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

b)

teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų bei kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c)

atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – prisidėti prie tarptautinio bendradarbiavimo užtikrinant asmens duomenų apsaugos teisės aktų vykdymą;

d)

skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais ir juos dokumentuoti, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis klausimais.

VI SKYRIUS

Nepriklausomos priežiūros institucijos

1 skirsnis

Nepriklausomas statusas

51 straipsnis

Priežiūros institucija

1.   Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – priežiūros institucija).

2.   Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija vadovaudamosi VII skyriumi.

3.   Jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri turi atstovauti toms institucijoms Valdyboje, ir nustato mechanizmą, kuriuo būtų užtikrinta, kad kitos institucijos laikytųsi su 63 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusių taisyklių.

4.   Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal šį skyrių, ir nedelsdama praneša apie visus vėlesnius toms nuostatoms įtakos turinčius pakeitimus.

52 straipsnis

Nepriklausomumas

1.   Atlikdama savo užduotis pagal šį reglamentą ir naudodamasi savo įgaliojimais, kiekviena priežiūros institucija veikia visiškai nepriklausomai.

2.   Kiekvienos priežiūros institucijos narys arba nariai, atlikdami savo užduotis ir naudodamiesi savo įgaliojimais pagal šį reglamentą, nepatiria nei tiesioginės, nei netiesioginės išorės įtakos ir neprašo bei nepriima jokių nurodymų.

3.   Priežiūros institucijos narys ar nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu negali dirbti jokio nesuderinamo – mokamo ar nemokamo – darbo.

4.   Kiekviena valstybė narė užtikrina, kad kiekvienai priežiūros institucijai būtų suteikti žmogiškieji, techniniai ir finansiniai ištekliai, patalpos ir infrastruktūra, kurie yra būtini, kad ji veiksmingai atliktų savo užduotis ir naudotųsi savo įgaliojimais, įskaitant užduotis ir įgaliojimus, vykdytinus savitarpio pagalbos srityje, bendradarbiaujant ir dalyvaujant Valdybos veikloje.

5.   Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija rinktųsi ir turėtų savo darbuotojus, kuriems išimtinai vadovauja atitinkamos priežiūros institucijos narys ar nariai.

6.   Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui ir kad turėtų atskirą viešą metinį biudžetą, kuris gali būti viso valstybės ar nacionalinio biudžeto dalis.

53 straipsnis

Bendrieji reikalavimai priežiūros institucijos nariams

1.   Valstybės narės užtikrina, kad kiekvienas jų priežiūros institucijos narys turi būti skiriamas taikant skaidrią procedūrą; jį skiria:

jų parlamentas;

jų vyriausybė;

jų valstybės vadovas; arba

nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta skirti narius.

2.   Kiekvienas narys turi turėti kvalifikaciją, patirtį ir gebėjimus, visų pirma asmens duomenų apsaugos srityje, kurie yra būtini, kad jie galėtų atlikti savo pareigas ir naudotis savo įgaliojimais.

3.   Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis atitinkamos valstybės narės teisės.

4.   Narys gali būti atleistas iš pareigų tik sunkaus nusižengimo atveju arba jeigu narys nebeatitinka jo pareigoms atlikti keliamų reikalavimų.

54 straipsnis

Priežiūros institucijos įsteigimo taisyklės

1.   Kiekviena valstybė narė teisės aktais nustato visus šiuos elementus:

a)

kiekvienos priežiūros institucijos įsteigimą;

b)

kiekvienos priežiūros institucijos nario pareigoms užimti būtiną kvalifikaciją ir taikomus tinkamumo reikalavimus;

c)

kiekvienos priežiūros institucijos nario ar narių skyrimo taisykles ir procedūras;

d)

kiekvienos priežiūros institucijos nario arba narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus dalį pirmųjų narių, skiriamų po 2016 m. gegužės 24 d., kurių kadencija gali būti trumpesnė, jeigu siekiant išsaugoti priežiūros institucijos nepriklausomumą nariai turi būti skiriami keliais etapais;

e)

tai, ar kiekvienos priežiūros institucijos nario arba narių kadencija gali būti atnaujinama, ir jei taip – kelioms kadencijoms;

f)

sąlygas, reglamentuojančias kiekvienos priežiūros institucijos nario arba narių ir darbuotojų prievoles, draudimą kadencijos metu ir jai pasibaigus imtis su tomis prievolėmis nesuderinamų veiksmų, dirbti darbą ir gauti išmokas ir darbo nutraukimą reglamentuojančias taisykles.

2.   Kiekvienos priežiūros institucijos narys arba nariai ir darbuotojai įpareigojami kadencijos metu ir jai pasibaigus pagal Sąjungos ar valstybės narės teisę saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais. Jų kadencijos metu tas įpareigojimas saugoti profesinę paslaptį visų pirma taikomas fizinių asmenų teikiamiems parnešimams apie šio reglamento pažeidimus.

2 skirsnis

Kompetencija, užduotys ir įgaliojimai

55 straipsnis

Kompetencija

1.   Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

2.   Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.

3.   Priežiūros institucijos nėra kompetentingos prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami savo teismines funkcijas.

56 straipsnis

Vadovaujančios priežiūros institucijos kompetencija

1.   Nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą, vadovaujantis 60 straipsnyje nustatyta procedūra.

2.   Nukrypstant nuo 1 dalies, kiekviena priežiūros institucija turi kompetenciją nagrinėti jai pateiktą skundą arba galimą šio reglamento pažeidimą, jeigu dalykas yra susijęs tik su buveine jos valstybėje narėje arba daro didelį poveikį duomenų subjektams tik jos valstybėje narėje.

3.   Šio straipsnio 2 dalyje nurodytais atvejais priežiūros institucija tuo klausimu nedelsdama informuoja vadovaujančią priežiūros instituciją. Per tris savaites nuo informacijos gavimo vadovaujanti priežiūros institucija nusprendžia, ar ji nagrinės šį atvejį vadovaudamasi 60 straipsnyje numatyta procedūra, ar ne, atsižvelgdama į tai, ar ją informavusios priežiūros institucijos valstybėje narėje yra duomenų valdytojo arba duomenų tvarkytojo buveinė.

4.   Tuo atveju, jei vadovaujanti priežiūros institucija nusprendžia atvejį nagrinėti, taikoma 60 straipsnyje numatyta procedūra. Vadovaujančią priežiūros instituciją informavusi priežiūros institucija gali vadovaujančiai priežiūros institucijai pateikti sprendimo projektą. Rengdama 60 straipsnio 3 dalyje nurodytą sprendimo projektą vadovaujanti priežiūros institucija kuo labiau atsižvelgia į pirmiau minėtą projektą.

5.   Tuo atveju, jei vadovaujanti priežiūros institucija nusprendžia šio atvejo nenagrinėti, vadovaujančią priežiūros instituciją informavusi priežiūros institucija atvejį nagrinėja vadovaudamasi 61 ir 62 straipsniais.

6.   Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.

57 straipsnis

Užduotys

1.   Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a)

stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

b)

skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

c)

laikydamasi valstybės narės teisės, pataria nacionaliniam parlamentui, vyriausybei ir kitoms institucijoms bei įstaigoms teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis, klausimais;

d)

skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

e)

bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

f)

nagrinėja skundus, kuriuos pagal 80 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

g)

bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

h)

atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

i)

stebi susijusius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų, taip pat komercinės praktikos raidą;

j)

priima standartines sutarčių sąlygas, nurodytas 28 straipsnio 8 dalyje ir 46 straipsnio 2 dalies d punkte;

k)

sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 35 straipsnio 4 dalį;

l)

teikia konsultacijas dėl 36 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

m)

skatina rengti elgesio kodeksus pagal 40 straipsnio 1dalį, teikia nuomonę ir patvirtina tokius elgesio kodeksus, kuriais užtikrinama pakankamai apsaugos priemonių, pagal 40 straipsnio 5 dalį;

n)

skatina nustatyti duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis pagal 42 straipsnio 1 dalį ir patvirtina sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

o)

kai taikoma, periodiškai atlieka išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

p)

parengia ir paskelbia už elgesio kodeksų stebėseną atsakingos įstaigos akreditacijos pagal 41 straipsnį ir sertifikavimo įstaigos akreditacijos pagal 43 straipsnį kriterijus;

q)

vykdo už elgesio kodeksų stebėseną atsakingos įstaigos akreditaciją pagal 41 straipsnį ir sertifikavimo įstaigos akreditaciją pagal 43 straipsnį;

r)

duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 46 straipsnio 3 dalyje;

s)

tvirtina įmonei privalomas taisykles pagal 47 straipsnį;

t)

prisideda prie Valdybos veiklos;

u)

tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 58 straipsnio 2 dalį; ir

v)

vykdo visas kitas su asmens duomenų apsauga susijusias užduotis.

2.   Kiekviena priežiūros institucija palengvina 1 dalies f punkte nurodytų skundų pateikimą, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

3.   Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir, jei taikoma, duomenų apsaugos pareigūno atžvilgiu vykdo nemokamai.

4.   Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį, nustatomą atsižvelgiant į administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

58 straipsnis

Įgaliojimai

1.   Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

a)

nurodyti duomenų valdytojui ir duomenų tvarkytojui ir, kai taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovui pateikti visą jos užduotims atlikti reikalingą informaciją;

b)

atlikti tyrimus, kurie atliekami duomenų apsaugos audito forma;

c)

atlikti išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

d)

pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

e)

iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais asmens duomenimis ir visa informacija, kurie būtini jos užduotims atlikti;

f)

laikantis Sąjungos arba valstybės narės proceso teisės, gauti leidimą patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių.

2.   Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

a)

įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

b)

pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

c)

nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

d)

nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

e)

nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

f)

nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

g)

nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 17 straipsnio 2 dalį ir 19 straipsnį;

h)

atšaukti sertifikatą arba nurodyti sertifikavimo įstaigai atšaukti pagal 42 ir 43 straipsnius išduotą sertifikatą, arba nurodyti sertifikavimo įstaigai neišduoti sertifikato, jei nevykdomi arba nebevykdomi sertifikavimo reikalavimai;

i)

skirti administracinę baudą pagal 83 straipsnį, kartu taikydama šioje dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

j)

nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.

3.   Kiekviena priežiūros institucija turi visus šiuos leidimo išdavimo ir patariamuosius įgaliojimus:

a)

patarti duomenų valdytojui pagal 36 straipsnyje nurodytą išankstinių konsultacijų procedūrą;

b)

savo iniciatyva arba gavus prašymą teikti nuomones nacionaliniam parlamentui, valstybės narės vyriausybei arba, vadovaujantis valstybės narės teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais;

c)

suteikti leidimą atlikti 36 straipsnio 5 dalyje nurodytą duomenų tvarkymą, jei pagal valstybės narės teisės aktus reikalaujama tokio išankstinio leidimo;

d)

teikti nuomonę ir tvirtinti elgesio kodeksų projektus pagal 40 straipsnio 5 dalį;

e)

akredituoti sertifikavimo įstaigas pagal 43 straipsnį;

f)

išduoti sertifikatus ir patvirtinti sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

g)

patvirtinti 28 straipsnio 8 dalies ir 46 straipsnio 2 dalies d punkte nurodytas standartines duomenų apsaugos sąlygas;

h)

duoti leidimą taikyti 46 straipsnio 3 dalies a punkte nurodytas sutarčių sąlygas;

i)

duoti leidimą taikyti 46 straipsnio 3 dalies b punkte nurodytus administracinius susitarimus;

j)

patvirtinti įmonei privalomas taisykles pagal 47 straipsnį.

4.   Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje, laikantis Chartijos.

5.   Kiekviena valstybė narė teisės aktais nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti šio reglamento nuostatų vykdymą.

6.   Kiekviena valstybė narė teisės aktais gali nustatyti, kad jos priežiūros institucija be 1, 2 ir 3 dalyse nurodytų įgaliojimų turi papildomų įgaliojimų. Naudojimasis tais įgaliojimais neturi pakenkti veiksmingam VII skyriaus veikimui.

59 straipsnis

Veiklos ataskaitos

Kiekviena priežiūros institucija parengia metinę savo veiklos ataskaitą, į kurią gali būti įtrauktas pažeidimų, apie kuriuos pranešta, rūšių ir priemonių, kurių imtasi pagal 58 straipsnio 2 dalį, rūšių sąrašas. Tos ataskaitos perduodamos nacionaliniam parlamentui, vyriausybei ir kitoms institucijoms, kaip nurodyta valstybės narės teisės aktuose. Jos pateikiamos visuomenei, Komisijai ir Valdybai.

VII SKYRIUS

Bendradarbiavimas ir nuoseklumas

1 skirsnis

Bendradarbiavimas

60 straipsnis

Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas

1.   Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

2.   Vadovaujanti priežiūros institucija bet kuriuo metu gali paprašyti kitų susijusių priežiūros institucijų teikti savitarpio pagalbą pagal 61 straipsnį ir gali vykdyti bendras operacijas pagal 62 straipsnį, visų pirma atliekant tyrimus arba stebint su kitoje valstybėje narėje įsisteigusiu duomenų valdytoju ar duomenų tvarkytoju susijusios priemonės įgyvendinimą.

3.   Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

4.   Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.   Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

6.   Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

7.   Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

8.   Nukrypstant nuo 7 dalies, jeigu skundas nepriimamas arba atmetamas, priežiūros institucija, kuriai skundas buvo pateiktas, priima sprendimą, praneša jį skundo pateikėjui ir informuoja apie tai duomenų valdytoją.

9.   Jeigu vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos sutinka, kad tam tikros skundo dalys turi būti nepriimtos arba atmestos, o dėl kitų to skundo dalių reikia imtis veiksmų, dėl kiekvienos iš tų skundo dalių priimami atskiri sprendimai. Vadovaujanti priežiūros institucija priima sprendimą dėl skundo dalies dėl su duomenų valdytoju susijusių veiksmų, praneša jį duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei savo valstybės narės teritorijoje ir apie tai informuoja skundo pateikėją, o skundo pateikėjo priežiūros institucija priima sprendimą, susijusį su to skundo dalies nepriėmimu arba atmetimu, ir praneša jį tam skundo pateikėjui, taip pat apie tai informuoja duomenų valdytoją arba duomenų tvarkytoją.

10.   Duomenų valdytojas arba duomenų tvarkytojas, pagal 7 ir 9 dalis gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.

11.   Tais atvejais, kai, išimtinėmis aplinkybėmis, susijusi priežiūros institucija turi priežasčių manyti, kad reikia skubiai imtis veiksmų duomenų subjektų interesams apsaugoti, taikoma 66 straipsnyje nurodyta skubos procedūra.

12.   Vadovaujanti priežiūros institucija ir kitos susijusios priežiūros institucijos pagal šį straipsnį privalomą informaciją viena kitai teikia elektroninėmis priemonėmis, naudodamosi standartizuota forma.

61 straipsnis

Savitarpio pagalba

1.   Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir vykdyti konsultacijas, patikrinimus ir tyrimus.

2.   Kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad atsakytų į kitos priežiūros institucijos prašymą nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo jo gavimo. Tokios priemonės visų pirma gali būti reikšmingos informacijos apie tyrimo eigą persiuntimas.

3.   Pagalbos prašymuose nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Informacija, kuria pasikeista, naudojama tik tam tikslui, kuriam jos buvo prašoma.

4.   Prašymą gavusi priežiūros institucija negali atsisakyti prašymo patenkinti, išskyrus atvejus, kai:

a)

ji nėra kompetentinga prašymo dalyko arba priemonių, kurias jos prašoma vykdyti, srityje; arba

b)

prašymo patenkinimas pažeistų šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma prašymą gaunančiai priežiūros institucijai.

5.   Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie rezultatus arba, atitinkamai, pažangą arba priemones, kurių imtasi siekiant į jį atsakyti. Prašymą gavusi priežiūros institucija bet kurio atsisakymo pagal 4 dalį atveju pateikia atsisakymo patenkinti prašymą priežastis.

6.   Prašymą gavusi priežiūros institucijos paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamosi standartizuota forma.

7.   Prašymą gavusios priežiūros institucijos už veiksmus, kurių imamasi gavus savitarpio pagalbos prašymą, mokesčio neima. Priežiūros institucijos gali dėl taisyklių, reglamentuojančių viena kitai mokamą kompensaciją už konkrečias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

8.   Jeigu priežiūros institucija nepateikia šio straipsnio 5 dalyje nurodytos informacijos per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, prašymą pateikusi priežiūros institucija gali pagal 55 straipsnio 1 dalį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės imtis skubių veiksmų sąlygos ir reikalingas skubus privalomas Valdybos sprendimas pagal 66 straipsnio 2 dalį.

9.   Komisija gali įgyvendinimo aktais nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formą ir procedūras ir priežiūros institucijų tarpusavio, taip pat priežiūros institucijų ir Valdybos keitimosi informacija elektroninėmis priemonėmis tvarką, visų pirma šio straipsnio 6 dalyje nurodytą standartizuotą formą. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

62 straipsnis

Priežiūros institucijų bendros operacijos

1.   Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2.   Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. Priežiūros institucija, kuri yra kompetentinga pagal 56 straipsnio 1 dalį arba 4 dalį, pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo.

3.   Priežiūros institucija, laikydamasi valstybės narės teisės ir komandiruojančiajai priežiūros institucijai leidus, gali suteikti įgaliojimus, be kita ko, tyrimo įgaliojimus, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu tai leidžiama priimančiosios priežiūros institucijos valstybės narės teisės aktais, leisti komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo tyrimo įgaliojimais pagal komandiruojančiosios priežiūros institucijos valstybės narės teisės aktus. Tokiais tyrimo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos valstybės narės teisė.

4.   Tais atvejais, kai pagal 1 dalį komandiruojančiosios priežiūros institucijos darbuotojai vykdo veiklą kitoje valstybėje narėje, priimančiosios priežiūros institucijos valstybė narė prisiima atsakomybę už jų veiksmus, įskaitant atsakomybę už bet kokią jiems vykdant veiklą padarytą žalą, pagal valstybės narės, kurios teritorijoje jie vykdo veiklą, teisę.

5.   Valstybė narė, kurios teritorijoje buvo padaryta žala, ją atlygina tokiomis pačiomis sąlygomis, kuriomis atlygintų savo darbuotojų padarytą žalą. Komandiruojančiosios priežiūros institucijos, kurios darbuotojai kitos valstybės narės teritorijoje padarė žalą bet kuriam asmeniui, valstybė narė grąžina tai kitai valstybei narei visas sumas, jos sumokėtas jų vardu teisę jas gauti turintiems asmenims.

6.   Nedarant poveikio naudojimuisi savo teisėmis trečiųjų šalių atžvilgiu ir išskyrus 5 dalyje nurodytą atvejį, 1 dalyje numatytu atveju nė viena valstybė narė nereikalauja kitos valstybės narės atlyginti jos patirtą žalą, nurodytą 4 dalyje.

7.   Jeigu ketinama vykdyti bendrą operaciją ir priežiūros institucija per vieną mėnesį neįvykdo šio straipsnio 2 dalies antrame sakinyje nustatytos prievolės, kitos priežiūros institucijos gali pagal 55 straipsnį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės skubiai imtis veiksmų sąlygos ir reikalinga skubi Valdybos nuomonė arba skubus privalomas sprendimas pagal 66 straipsnio 2 dalį.

2 skirsnis

Nuoseklumas

63 straipsnis

Nuoseklumo užtikrinimo mechanizmas

Siekdamos padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, priežiūros institucijos bendradarbiauja tarpusavyje ir tam tikrais atvejais su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.

64 straipsnis

Valdybos nuomonė

1.   Valdyba pateikia nuomonę visais atvejais, kai kompetentinga priežiūros institucija ketina patvirtinti bet kurią iš toliau nurodytų priemonių. Tuo tikslu kompetentinga priežiūros institucija pateikia Valdybai sprendimo projektą, kai:

a)

juo siekiama priimti duomenų tvarkymo operacijų, kurioms pagal 35 straipsnio 4 dalį taikomas poveikio duomenų apsaugai vertinimo reikalavimas, sąrašą;

b)

jis yra susijęs su klausimu pagal 40 straipsnio 7 dalį dėl to, ar elgesio kodekso projektas arba elgesio kodekso keitimas ar išplėtimas atitinka šį reglamentą;

c)

juo siekiama patvirtinti įstaigos akreditacijos pagal 41 straipsnio 3 dalį arba sertifikavimo įstaigos akreditacijos pagal 43 straipsnio 3 dalį kriterijus;

d)

juo siekiama nustatyti 46 straipsnio 2 dalies d punkte ir 28 straipsnio 8 dalyje nurodytas standartines duomenų apsaugos sąlygas;

e)

juo siekiama duoti leidimą taikyti sutarčių sąlygas, nurodytas 46 straipsnio 3 dalies a punkte; arba

f)

juo siekiama patvirtinti įmonei privalomas taisykles, kaip apibrėžta 47 straipsnyje.

2.   Bet kuri priežiūros institucija, Valdybos pirmininkas arba Komisija gali prašyti, kad Valdyba išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, ir kad ji pateiktų nuomonę, visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių prievolių pagal 61 straipsnį arba su bendromis operacijomis susijusių prievolių pagal 62 straipsnį.

3.   1 ir 2 dalyse nurodytais atvejais Valdyba pateikia nuomonę dėl jai pateikto klausimo, išskyrus atvejus, kai ji tuo pačiu klausimu jau yra pateikusi nuomonę. Ta nuomonė priimama per aštuonias savaites Valdybos narių paprasta balsų dauguma. Tas laikotarpis gali būti pratęstas dar šešioms savaitėms atsižvelgiant į dalyko sudėtingumą. 1 dalyje nurodyto sprendimo projekto, išplatinto valdybos nariams pagal 5 dalį, atžvilgiu laikoma, kad narys, per pirmininko nurodytą pagrįstą laikotarpį nepareiškęs prieštaravimų, pritaria sprendimo projektui.

4.   Priežiūros institucijos ir Komisija nepagrįstai nedelsdamos, naudodamosi standartizuota forma, elektroninėmis priemonėmis Valdybai pateikia bet kokią reikšmingą informaciją, įskaitant, tam tikrais atvejais, faktų santrauką, sprendimo projektą, priežastis, dėl kurių būtina taikyti tokią priemonę, ir kitų susijusių priežiūros institucijų nuomones.

5.   Valdybos pirmininkas nepagrįstai nedelsdamas elektroninėmis priemonėmis:

a)

Valdybos nariams ir Komisijai pateikia bet kokią reikšmingą informaciją, kuri jam buvo pateikta naudojantis standartizuota forma. Valdybos sekretoriatas prireikus pateikia reikšmingos informacijos vertimą; ir

b)

tam tikrais atvejais 1 ir 2 dalyse nurodytai priežiūros institucijai ir Komisijai pateikia nuomonę ir ją paskelbia.

6.   Kompetentinga priežiūros institucija per 3 dalyje nurodytą laikotarpį nepriima savo sprendimo projekto, nurodyto 1 dalyje.

7.   1 dalyje nurodyta priežiūros institucija kuo labiau atsižvelgia į Valdybos nuomonę ir per dvi savaites nuo nuomonės gavimo elektroninėmis priemonėmis praneša Valdybos pirmininkui apie tai, ar ji nekeis sprendimo projekto, ar jį iš dalies pakeis, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą sprendimo projektą, naudodamasi standartizuota forma.

8.   Jeigu susijusi priežiūros institucija per šio straipsnio 7 dalyje nurodytą laikotarpį informuoja Valdybos pirmininką, kad ji neketina visiškai arba iš dalies atsižvelgti į valdybos nuomonę, pateikdama atitinkamas priežastis, taikoma 65 straipsnio 1 dalis.

65 straipsnis

Europos duomenų apsaugos valdybos sprendžiami ginčai

1.   Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

a)

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)

jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

c)

jeigu kompetentinga priežiūros institucija neprašo Valdybos pateikti nuomonę 64 straipsnio 1 dalyje nurodytais atvejais arba nesilaiko pagal 64 straipsnį pateiktos Valdybos nuomonės. Tuo atveju bet kuri susijusi priežiūros institucija arba Komisija gali pranešti apie šį klausimą Valdybai.

2.   1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma priimamas per vieną mėnesį nuo dalyko pateikimo. Dėl dalyko sudėtingumo tas laikotarpis gali būti pratęstas dar vienam mėnesiui. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

3.   Jei valdybai nepavyko priimti sprendimo per 2 dalyje nurodytus laikotarpius, ji sprendimą priima paprasta valdybos narių balsų dauguma per dvi savaites nuo 2 dalyje nurodyto antrojo mėnesio pabaigos. Jei valdybos narių balsai pasidalija po lygiai, sprendimą lemia jos pirmininko balsas.

4.   Per 2 ir 3 dalyse nurodytus laikotarpius susijusios priežiūros institucijos nepriima sprendimo dėl pagal 1 dalį valdybai pateikto dalyko.

5.   Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6.   Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, praneša Valdybai jos galutinio sprendimo pranešimo atitinkamai duomenų valdytojui arba duomenų tvarkytojui ir duomenų subjektui datą. Susijusių priežiūros institucijų galutinis sprendimas priimamas laikantis 60 straipsnio 7, 8 ir 9 dalyse išdėstytų sąlygų. Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.

66 straipsnis

Skubos procedūra

1.   Išimtinėmis aplinkybėmis, jeigu susijusi priežiūros institucija mano, jog būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ji, nukrypdama nuo 63, 64 ir 65 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo arba 60 straipsnyje nurodytos procedūros, gali nedelsdama priimti konkretų ne ilgiau kaip tris mėnesius trunkantį laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios valstybės narės teritorijoje. Priežiūros institucija tas priemones ir jų patvirtinimo priežastis nedelsdama pateikia kitoms susijusioms priežiūros institucijoms, Valdybai ir Komisijai.

2.   Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai patvirtinti galutines priemones, ji gali prašyti, kad Valdyba skubiai pateiktų nuomonę arba skubiai priimtų privalomą sprendimą, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis.

3.   Bet kuri priežiūros institucija gali prašyti Valdybos atitinkamai skubiai pateikti nuomonę arba skubiai priimti privalomą sprendimą, jeigu kompetentinga priežiūros institucija nesiėmė tinkamos priemonės tuo atveju, kai būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis, be kita ko, susijusias su būtinybe imtis skubių veiksmų.

4.   Nukrypstant nuo 64 straipsnio 3 dalies ir 65 straipsnio 2 dalies, šio straipsnio 2 ir 3 dalyse nurodyta skubi nuomonė arba skubus privalomas sprendimas per dvi savaites priimami Valdybos narių paprasta balsų dauguma.

67 straipsnis

Keitimasis informacija

Komisija gali priimti bendro pobūdžio įgyvendinimo aktus, tam kad būtų nustatyti priežiūros institucijų tarpusavio, taip pat priežiūros institucijų ir Valdybos keitimosi informacija elektroninėmis priemonėmis tvarka, visų pirma 64 straipsnyje nurodyta standartizuota forma.

Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

3 skirsnis

Europos duomenų apsaugos valdyba

68 straipsnis

Europos duomenų apsaugos valdyba

1.   Europos duomenų apsaugos valdyba (toliau – Valdyba) įsteigiama kaip Sąjungos įstaiga, turinti juridinio asmens statusą.

2.   Valdybai atstovauja jos pirmininkas.

3.   Valdybą sudaro kiekvienos valstybės narės vienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jų atitinkami atstovai.

4.   Jeigu valstybėje narėje už nuostatų taikymo stebėseną pagal šį reglamentą yra atsakinga daugiau kaip viena priežiūros institucija, pagal tos valstybės narės teisę paskiriamas bendras atstovas.

5.   Komisija turi teisę dalyvauti Valdybos veikloje bei posėdžiuose be balsavimo teisės. Komisija paskiria atstovą. Valdybos pirmininkas praneša Komisijai apie Valdybos veiklą.

6.   Su 65 straipsnyje nurodytais atvejais Europos duomenų apsaugos priežiūros pareigūnas balsavimo teisę turi priimant tik tuos sprendimus, kurie yra susiję su Sąjungos institucijoms, įstaigoms organams ir agentūroms taikomais principais ir taisyklėmis, kurie iš esmės atitinka šiame reglamente nustatytus principus ir taisykles.

69 straipsnis

Nepriklausomumas

1.   Atlikdama savo užduotis arba naudodamasi savo įgaliojimais pagal 70 ir 71 straipsnius Valdyba veikia nepriklausomai.

2.   Nedarant poveikio Komisijos galimybei teikti 70 straipsnio 1 dalies b punkte ir 70 straipsnio 2 dalyje nurodytus prašymus, Valdyba, atlikdama savo užduotis arba naudodamasi savo įgaliojimais, neprašo ir nepriima jokių nurodymų.

70 straipsnis

Valdybos užduotys

1.   Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

a)

stebi ir užtikrina tinkamą šio reglamento taikymą 64 ir 65 straipsniuose nurodytais atvejais, nedarant poveikio nacionalinių priežiūros institucijų užduotims;

b)

konsultuoja Komisiją visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, be kita ko, dėl siūlomų šio reglamento pakeitimų;

c)

konsultuoja Komisiją dėl duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų;

d)

teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, susijusius su procedūromis, kaip ištrinti asmens duomenų saitus, kopijas ar dublikatus iš viešai prieinamų ryšių paslaugų, kaip nurodyta 17 straipsnio 2 dalyje;

e)

savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šio reglamento taikymu, ir teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šį reglamentą taikyti nuosekliai;

f)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad labiau patikslintų profiliavimu grindžiamų sprendimų pagal 22 straipsnio 2 dalį kriterijus ir sąlygas;

g)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius dėl 33 straipsnio 1 ir 2 dalyse nurodyto asmens duomenų saugumo pažeidimo ir nepagrįsto delsimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą;

h)

pagal šios dalies b punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, susijusius su tokiomis aplinkybėmis, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 34 straipsnio 1 dalyje;

i)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų kriterijus ir reikalavimus, taikomus asmens duomenų perdavimams, kurie grindžiami įmonei privalomomis taisyklėmis, kurių laikosi duomenų valdytojai, ir įmonei privalomomis taisyklėmis, kurių laikosi duomenų tvarkytojai, ir kitais būtinais reikalavimais, kuriais siekiama užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą, kaip nurodyta 47 straipsnyje;

j)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų asmens duomenų perdavimo remiantis 49 straipsnio 1 dalimi kriterijus ir reikalavimus;

k)

rengia priežiūros institucijoms skirtas gaires dėl 58 straipsnio 1, 2 ir 3 dalyse nurodytų priemonių taikymo ir administracinių baudų pagal 83 straipsnį nustatymo;

l)

peržiūri e ir f punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių praktinį taikymą;

m)

pagal šios e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius siekiant nustatyti bendrą fizinių asmenų teikiamų pranešimų apie šio reglamento pažeidimus pagal 54 straipsnio 2 dalį tvarką;

n)

skatina rengti elgesio kodeksus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus bei duomenų apsaugos ženklus ir žymenis pagal 40 ir 42 straipsnius;

o)

vykdo sertifikavimo įstaigų akreditavimą ir jo periodinę peržiūrą pagal 43 straipsnį ir tvarko viešą akredituotų įstaigų registrą pagal 43 straipsnio 6 dalį ir viešą trečiosiose valstybėse įsisteigusių akredituotų duomenų valdytojų ar duomenų tvarkytojų registrą pagal 42 straipsnio 7 dalį;

p)

tiksliai apibūdina 43 straipsnio 3 dalyje nurodytus reikalavimus siekiant akredituoti sertifikavimo įstaigas pagal 42 straipsnį;

q)

pateikia Komisijai nuomonę dėl 43 straipsnio 8 dalyje nurodytų sertifikavimo reikalavimų;

r)

pateikia Komisijai nuomonę dėl 12 straipsnio 7 dalyje nurodytų piktogramų;

s)

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar trečioji valstybė, teritorija arba tarptautinė organizacija ar nurodytas vienas ar keli sektoriai toje trečiojoje valstybėje nebeužtikrina tinkamo apsaugos lygio. Tuo tikslu Komisija pateikia Valdybai visus būtinus dokumentus, įskaitant korespondenciją su trečiosios valstybės vyriausybe, dėl tos trečiosios šalies, teritorijos ar nurodyto sektoriaus, arba su tarptautine organizacija;

t)

teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 64 straipsnio 1 dalyje nurodytą nuoseklumo užtikrinimo mechanizmą ir dėl klausimų, pateiktų pagal 64 straipsnio 2 dalį, ir priima privalomus sprendimus pagal 65 straipsnį, įskaitant 66 straipsnyje nurodytus atvejus;

u)

skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

v)

skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, ir tam tikrais atvejais darbuotojų mainus su trečiųjų valstybių priežiūros institucijomis arba su tarptautinėmis organizacijomis;

w)

skatina keistis žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

x)

teikia nuomones dėl pagal 40 straipsnio 4 dalį Sąjungos lygmeniu parengtų elgesio kodeksų; ir

y)

tvarko viešai prieinamą priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroninį registrą.

2.   Jeigu Komisija prašo Valdybos konsultacijos, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3.   Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai bei 93 straipsnyje nurodytam komitetui ir skelbia juos viešai.

4.   Valdyba tam tikrais atvejais konsultuojasi su suinteresuotosiomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nedarant poveikio 76 straipsniui, Valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

71 straipsnis

Ataskaitos

1.   Valdyba parengia metinę ataskaitą dėl fizinių asmenų apsaugos tvarkant duomenis Sąjungoje ir tam tikrais atvejais trečiosiose valstybėse bei tarptautinėse organizacijose. Ataskaita skelbiama viešai ir perduodama Europos Parlamentui, Tarybai ir Komisijai.

2.   Toje metinėje ataskaitoje apžvelgiamas 70 straipsnio 1 dalies l punkte nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių, taip pat 65 straipsnyje nurodytų privalomų sprendimų praktinis taikymas.

72 straipsnis

Procedūra

1.   Valdyba sprendimus priima paprasta savo narių balsų dauguma, nebent šiame reglamente būtų nurodyta kitaip.

2.   Valdyba savo darbo tvarkos taisykles priima dviejų trečdalių savo narių balsų dauguma ir pati nustato savo darbo tvarką.

73 straipsnis

Pirmininkas

1.   Valdyba paprasta balsų dauguma iš savo narių renka pirmininką ir du jo pavaduotojus.

2.   Pirmininko ir jo pavaduotojų kadencija yra penkeri metai; ji gali būti atnaujinta vieną kartą.

74 straipsnis

Pirmininko užduotys

1.   Pirmininko užduotys yra šios:

a)

šaukti Valdybos posėdžius ir rengti jų darbotvarkę;

b)

pranešti pagal 65 straipsnį Valdybos priimtus sprendimus vadovaujančiai priežiūros institucijai ir susijusioms priežiūros institucijoms;

c)

užtikrinti, kad Valdyba laiku atliktų savo užduotis, visų pirma susijusias su 63 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu.

2.   Valdyba savo darbo tvarkos taisyklėse nustato, kaip paskirstomos pirmininko ir jo pavaduotojų užduotys.

75 straipsnis

Sekretoriatas

1.   Valdyba turi sekretoriatą, kurio paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno įstaiga.

2.   Sekretoriatas vykdo savo užduotis laikydamasis išmintinai Valdybos pirmininko nurodymų.

3.   Vykdant šiuo reglamentu Valdybai pavestas užduotis dalyvaujantys Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojai atsiskaito skirtingiems vadovams, nei darbuotojai, vykdantys Europos duomenų apsaugos priežiūros pareigūnui pavestas užduotis.

4.   Tam tikrais atvejais Valdyba ir Europos duomenų apsaugos priežiūros pareigūnas parengia ir paskelbia susitarimo memorandumą, kuriuo įgyvendinamas šis straipsnis; jame apibrėžiamos jų bendradarbiavimo sąlygos ir jis taikomas Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojams, dalyvaujantiems vykdant šiuo reglamentu Valdybai pavestas užduotis.

5.   Sekretoriatas Valdybai teikia analitinę, administracinę ir logistinę paramą.

6.   Sekretoriatas visų pirma atsako už:

a)

Valdybos kasdienę veiklą;

b)

Valdybos narių, jos pirmininko ir Komisijos tarpusavio ryšius;

c)

ryšius su kitomis institucijomis ir visuomene;

d)

elektroninių priemonių naudojimą vidaus ir išorės ryšiams palaikyti;

e)

reikšmingos informacijos vertimą;

f)

Valdybos posėdžių rengimą ir su jais susijusią tolesnę veiklą;

g)

su Valdybos priimamomis nuomonėmis, sprendimais dėl priežiūros institucijų ginčų išsprendimo ir kitais tekstais susijusį parengiamąjį darbą, jų rengimą ir paskelbimą.

76 straipsnis

Konfidencialumas

1.   Valdybos diskusijos yra konfidencialios, jei valdybos nuomone tai yra būtina, kaip nustatyta jos darbo tvarkos taisyklėse.

2.   Galimybė susipažinti su Valdybos nariams, ekspertams ir trečiųjų šalių atstovams pateiktais dokumentais reglamentuojama Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1049/2001 (21).

VIII SKYRIUS

Teisių gynimo priemonės, atsakomybė ir sankcijos

77 straipsnis

Teisė pateikti skundą priežiūros institucijai

1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.

78 straipsnis

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją

1.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

2.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį ir 56 straipsnius, skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 77 straipsnį pateikto skundo nagrinėjimo pažangą arba rezultatus.

3.   Byla priežiūros institucijai keliama valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose.

4.   Kai byla iškelta dėl priežiūros institucijos sprendimo, kuris buvo priimtas po to, kai Valdyba pateikė nuomonę ar priėmė sprendimą pagal nuoseklumo užtikrinimo mechanizmą, priežiūros institucija perduoda teismui tą nuomonę ar sprendimą.

79 straipsnis

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

1.   Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.

2.   Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, teismuose. Kitu atveju tokia byla gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus.

80 straipsnis

Atstovavimas duomenų subjektams

1.   Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 77, 78 bei 79 straipsniuose, jo vardu naudotis 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje.

2.   Valstybės narės gali nustatyti, kad bet kuri šio straipsnio 1 dalyje nurodyta įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai, kuri yra kompetentinga pagal 77 straipsnį, ir turi teisę naudotis 78 ir 79 straipsniuose nurodytomis teisėmis, jei mano, kad tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos.

81 straipsnis

Bylos nagrinėjimo sustabdymas

1.   Kai valstybės narės kompetentingas teismas turi informacijos apie kitos valstybės narės teisme nagrinėjamą bylą dėl to paties dalyko, susijusio su to paties duomenų valdytojo arba duomenų tvarkytojo vykdomu duomenų tvarkymu, jis susisiekia su tuo kitos valstybės narės teismu, kad būtų patvirtintas tokios bylos egzistavimas.

2.   Kai kitos valstybės narės teisme yra nagrinėjama byla dėl to paties dalyko, susijusio su to paties duomenų valdytojo arba duomenų tvarkytojo vykdomu duomenų tvarkymu, bet kuris kompetentingas teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, gali sustabdyti tos bylos nagrinėjimą.

3.   Kai ta byla nagrinėjama pirmosios instancijos teisme, bet kuris teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, taip pat gali vienos iš šalių prašymu atsisakyti jurisdikcijos, jei teismas, į kurį kreiptasi pirmiausia, turi jurisdikciją atitinkamų ieškinių atžvilgiu ir pagal jo teisės aktus leidžiama tuos ieškinius sujungti.

82 straipsnis

Teisė į kompensaciją ir atsakomybė

1.   Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

2.   Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. Duomenų tvarkytojas už dėl duomenų tvarkymo sukeltą žalą atsako tik tuo atveju, jei jis nesilaikė šiame reglamente konkrečiai duomenų tvarkytojams nustatytų prievolių arba jei jis veikė nepaisydamas teisėtų duomenų valdytojo nurodymų arba juos pažeisdamas.

3.   Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.

4.   Jei tame pačiame duomenų tvarkymo procese dalyvauja daugiau nei vienas duomenų valdytojas ar duomenų tvarkytojas arba dalyvauja abu – duomenų valdytojas ir duomenų tvarkytojas – ir kai jie pagal 2 ir 3 dalis yra atsakingi už bet kokią dėl tokio tvarkymo sukeltą žalą, laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingi už visą žalą, kad būtų užtikrinta veiksminga kompensacija duomenų subjektui.

5.   Kai duomenų valdytojas arba duomenų tvarkytojas pagal 4 dalį sumokėjo visą kompensaciją už patirtą žalą, tas duomenų valdytojas arba duomenų tvarkytojas turi teisę reikalauti iš kitų tame pačiame duomenų tvarkymo procese dalyvavusių duomenų valdytojų arba duomenų tvarkytojų, kad jie sugrąžintų jam kompensacijos dalį, atitinkančią jų atsakomybės dalį, laikantis 2 dalyje išdėstytų sąlygų.

6.   Bylos dėl naudojimosi teise gauti kompensaciją iškeliamos pagal valstybės narės valstybės narės teisės aktus kompetentinguose teismuose, kaip nurodyta 79 straipsnio 2 dalyje.

83 straipsnis

Bendrosios administracinių baudų skyrimo sąlygos

1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)

pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)

tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;

c)

bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

d)

duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;

e)

bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus;

f)

bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

g)

asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

h)

tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu);

i)

jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių;

j)

ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir

k)

kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

3.   Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

4.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)

duomenų valdytojo ir duomenų tvarkytojo prievoles 8, 11, 25-39 ir 42 bei 43 straipsnius;

b)

sertifikavimo įstaigos prievoles pagal 42 ir 43 straipsnius;

c)

stebėsenos įstaigos prievoles pagal 41 straipsnio 4 dalį;

5.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)

pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

b)

duomenų subjekto teises pagal 12–22 straipsnius;

c)

asmens duomenų perdavimą duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 44–49 straipsnius;

d)

prievoles pagal valstybės narės teisės aktus, priimtus pagal IX skyrių;

e)

jei nesilaikoma priežiūros institucijos nurodymo arba laikino ar nuolatinio duomenų tvarkymo apribojimo arba duomenų srautų sustabdymo pagal 58 straipsnio 2 dalį arba nesuteikiama prieigos galimybė pažeidžiant 58 straipsnio 1 dalį;

6.   Jei nesilaikoma 58 straipsnio 2 dalyje nurodyto priežiūros institucijos nurodymo, pagal šio straipsnio 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

7.   Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsisteigusioms toje valstybėje narėje.

8.   Priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

9.   Jei valstybės narės teisės sistemoje nenumatoma administracinių baudų, šis straipsnis gali būti taikomas taip, kad baudą inicijuotų kompetentinga priežiūros institucija, o ją skirtų kompetentingi nacionaliniai teismai, kartu užtikrinant, kad tos teisių gynimo priemonės būtų veiksmingos ir turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį. Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos. Tos valstybės narės ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias jos priima pagal šią dalį, ir nedelsdamos praneša vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

84 straipsnis

Sankcijos

1.   Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.

2.   Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

IX SKYRIUS

Nuostatos, susijusios su konkrečiais duomenų tvarkymo atvejais

85 straipsnis

Duomenų tvarkymas ir saviraiškos ir informacijos laisvė

1.   Valstybės narės teisėje teisė į asmens duomenų apsaugą pagal šį reglamentą turi būti suderinta su teise į saviraiškos ir informacijos laisvę, įskaitant duomenų tvarkymą žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais.

2.   Duomenų tvarkymui žurnalistikos arba akademinės, meninės ar literatūrinės saviraiškos tikslais valstybės narės numato II skyriaus (principai), III skyriaus (duomenų subjekto teisės), IV skyriaus (duomenų valdytojas ir duomenų tvarkytojas), V skyriaus (asmens duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms), VI skyriaus (nepriklausomos priežiūros institucijos), VII skyriaus (bendradarbiavimas ir nuoseklumas) ir IX skyriaus (specialūs duomenų tvarkymo atvejai) išimtis arba nuo jų nukrypti leidžiančias nuostatas, jei jos yra būtinos, kad teisė į asmens duomenų apsaugą būtų suderinta su saviraiškos ir informacijos laisve.

3.   Kiekviena valstybė narė praneša Komisijai savo teisės aktų nuostatas, kurias ji priėmė pagal 2 dalį, ir nedelsdama praneša visus vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

86 straipsnis

Duomenų tvarkymas ir visuomenės teisė susipažinti su oficialiais dokumentais

Valdžios institucijos arba viešosios įstaigos ar privačios įstaigos turimuose oficialiuose dokumentuose, reikalinguose užduočiai, vykdomai dėl viešojo intereso, atlikti, esantys asmens duomenys šios institucijos arba įstaigos gali būti atskleisti laikantis Sąjungos ar valstybės narės teisės, kuri taikoma tai valdžios institucijai arba įstaigai, siekiant visuomenės teisę susipažinti su oficialiais dokumentais suderinti su teise į asmens duomenų apsaugą pagal šį reglamentą.

87 straipsnis

Nacionalinio asmens identifikavimo numerio tvarkymas

Valstybės narės gali tiksliau apibrėžti konkrečias sąlygas, kuriomis tvarkomas nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius. Tuo atveju nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius naudojamas tik jei laikomasi tinkamų duomenų subjekto teisių ir laisvių apsaugos priemonių pagal šį reglamentą.

88 straipsnis

Duomenų tvarkymas su darbo santykiais susijusiame kontekste

1.   Valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius.

2.   Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje.

3.   Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

89 straipsnis

Apsaugos priemonės ir nukrypti leidžiančios nuostatos, susijusios su duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais

1.   Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal šį reglamentą taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Tomis apsaugos priemonėmis užtikrinama, kad būtų įdiegtos techninės ir organizacinės priemonės, visų pirma siekiant užtikrinti, kad būtų laikomasi duomenų kiekio mažinimo principo. Tos priemonės gali apimti pseudonimų suteikimą, jeigu tie tikslai gali būti pasiekti tuo būdu. Visais atvejais, kai tuos tikslus galima pasiekti toliau tvarkant duomenis, iš kurių negalima arba nebegalima nustatyti duomenų subjektų tapatybės, tų tikslų siekiama tuo būdu.

2.   Kai asmens duomenys tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, Sąjungos arba valstybės narės teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 15, 16, 18 ir 21 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 1 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

3.   Kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, Sąjungos arba valstybės narės teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 15, 16, 18, 19, 20 ir 21 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 1 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

4.   Kai 2 ir 3 dalyse nurodytas tvarkymas tuo pat metu padeda siekti kito tikslo, nukrypti leidžiančias nuostatas galima taikyti tik duomenų tvarkymui tose dalyse nurodytais tikslais.

90 straipsnis

Prievolės saugoti paslaptį

1.   Valstybės narės gali priimti specialias taisykles ir jose išdėstyti 58 straipsnio 1 dalies e ir f punktuose nustatytus priežiūros institucijų įgaliojimus dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma prievolė saugoti profesinę paslaptį arba kitos lygiavertės prievolės saugoti paslaptį, jeigu tai būtina ir proporcinga siekiant suderinti teisę į asmens duomenų apsaugą su prievole saugoti paslaptį. Tos taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma ta prievolė saugoti paslaptį.

2.   Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai taisykles, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis taisyklėmis susijusius pakeitimus.

91 straipsnis

Galiojančios bažnyčių ir religinių asociacijų duomenų apsaugos taisyklės

1.   Jeigu įsigaliojant šiam reglamentui valstybėje narėje bažnyčios ir religinės asociacijos arba bendruomenės taiko visapusiškas taisykles dėl asmenų apsaugos tvarkant duomenis, tokios taisyklės gali būti toliau taikomos, jeigu jos yra suderintos su šiuo reglamentu.

2.   Bažnyčias ir religines asociacijas, taikančias išsamias taisykles pagal šio straipsnio 1 dalį, prižiūri nepriklausoma priežiūros institucija, kuri gali būti specialaus pobūdžio, tačiau ji turi atitikti šio reglamento VI skyriuje nustatytas sąlygas.

X SKYRIUS

Deleguotieji aktai ir įgyvendinimo aktai

92 straipsnis

Įgaliojimų delegavimas

1.   Įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami šiame straipsnyje nustatytomis sąlygomis.

2.   12 straipsnio 8 dalyje ir 43 straipsnio 8 dalyje nurodyti įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami neribotam laikotarpiui nuo 2016 m. gegužės 24 d.

3.   Europos Parlamentas arba Taryba gali bet kada atšaukti 12 straipsnio 8 dalyje ir 43 straipsnio 8 dalyje nurodytus deleguotuosius įgaliojimus. Sprendimu dėl įgaliojimų atšaukimo nutraukiami tame sprendime nurodyti įgaliojimai priimti deleguotuosius aktus. Jis įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba vėlesnę jame nurodytą dieną. Jis nedaro poveikio jau galiojančių deleguotųjų aktų galiojimui.

4.   Apie priimtą deleguotąjį aktą Komisija nedelsdama vienu metu praneša Europos Parlamentui ir Tarybai.

5.   Pagal 12 straipsnio 8 dalį ir 43 straipsnio 8 dalį priimtas deleguotasis aktas įsigalioja tik tuo atveju, jeigu per tris mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie šį aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimų arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba praneša Komisijai, kad prieštaravimų nereikš. Europos Parlamento arba Tarybos iniciatyva šis laikotarpis pratęsiamas trim mėnesiais.

93 straipsnis

Komiteto procedūra

1.   Komisijai padeda komitetas. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

2.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

XI SKYRIUS

Baigiamosios nuostatos

94 straipsnis

Direktyvos 95/46/EB panaikinimas

1.   Direktyva 95/46//EB panaikinama nuo 2018 m. gegužės 25 d.

2.   Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. Nuorodos į Direktyvos 95/46/EB 29 straipsniu įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis laikomos nuorodomis į šiuo reglamentu įsteigtą Europos duomenų apsaugos valdybą.

95 straipsnis

Ryšys su Direktyva 2002/58/EB

Šiuo reglamentu fiziniams arba juridiniams asmenims nenustatoma papildomų prievolių, susijusių su duomenų tvarkymu Sąjungoje viešaisiais ryšių tinklais teikiant viešai prieinamas elektroninių ryšių paslaugas, kiek tai susiję su klausimais, kuriais jiems taikomos Direktyvoje 2002/58/EB nustatytos specialios prievolės, kuriomis siekiama to paties tikslo.

96 straipsnis

Ryšys su anksčiau sudarytais susitarimais

Tarptautiniai susitarimai, kuriuose numatomas asmens duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms, kuriuos valstybės narės sudarė prieš 2016 m. gegužės 24 d. ir kurie atitinka Sąjungos teisę, taikytiną prieš tą datą, lieka galioti tol, kol bus iš dalies pakeisti, pakeisti naujais susitarimais arba panaikinti.

97 straipsnis

Komisijos ataskaitos

1.   Ne vėliau kaip 2020 m. gegužės 25 d. ir vėliau kas ketverius metus Komisija teikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitas. Ataskaitos skelbiamos viešai.

2.   Atlikdama 1 dalyje nurodytus įvertinimus ir peržiūras, Komisija visų pirma išnagrinėja, kaip taikomos ir kaip veikia:

a)

V skyriaus nuostatos dėl asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms, ypatingą dėmesį skiriant sprendimams, priimtiems pagal šio reglamento 45 straipsnio 3 dalį, ir sprendimams, priimtiems remiantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi;

b)

VII skyriaus nuostatos dėl bendradarbiavimo ir nuoseklumo.

3.   1 dalies tikslu Komisija gali prašyti valstybių narių ir priežiūros institucijų pateikti informaciją.

4.   Atlikdama 1 ir 2 dalyse nurodytą vertinimą ir peržiūrą, Komisija atsižvelgia į Europos Parlamento, Tarybos, taip pat kitų svarbių įstaigų ar šaltinių nuomones ir išvadas.

5.   Prireikus Komisija pateikia tinkamus pasiūlymus iš dalies pakeisti šį reglamentą, visų pirma atsižvelgdama į informacinių technologijų raidą ir informacinės visuomenės pažangą.

98 straipsnis

Kitų Sąjungos duomenų apsaugos teisės aktų peržiūra

Prireikus Komisija teikia pasiūlymus dėl teisėkūros procedūra priimamų aktų, kuriais siekiama iš dalies pakeisti kitas Sąjungos teisės aktus asmens duomenų apsaugos srityje, siekiant užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant duomenis. Tai visų pirma taikoma taisyklėms, susijusioms su fizinių asmenų apsauga Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant duomenis, ir taisyklėms, susijusioms su laisvu tokių duomenų judėjimu.

99 straipsnis

Įsigaliojimas ir taikymas

1.   Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2.   Jis taikomas nuo 2018 m. gegužės 25 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2016 m. balandžio 27 d.

Europos Parlamento vardu

Pirmininkas

M. SCHULZ

Tarybos vardu

Pirmininkė

J.A. HENNIS-PLASSCHAERT


(1)  OL C 229, 2012 7 31, p. 90.

(2)  OL C 391, 2012 12 18, p. 127.

(3)  2014 m. kovo 12 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2016 m. balandžio 8 d. Tarybos pozicija, priimta per pirmąjį svarstymą (dar nepaskelbta Oficialiajame leidinyje). 2016 m. balandžio 14 d. Europos Parlamento pozicija.

(4)  1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

(5)  2003 m. gegužės 6 d. Komisijos rekomendacija dėl labai mažų, mažųjų ir vidutinių įmonių sampratos (C(2003) 1422) (OL L 124, 2003 5 20, p. 36).

(6)  2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(7)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (žr. šio Oficialiojo leidinio p. 89).

(8)  2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva) (OL L 178, 2000 7 17, p. 1).

(9)  2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45).

(10)  1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

(11)  2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70).

(12)  2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(13)  2012 m. gruodžio 12 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1215/2012 dėl jurisdikcijos ir teismo sprendimų civilinėse ir komercinėse bylose pripažinimo ir vykdymo (OL L 351, 2012 12 20, p. 1).

(14)  2003 m. lapkričio 17 d. Europos Parlamento ir Tarybos direktyva 2003/98/EB dėl viešojo sektoriaus informacijos pakartotinio naudojimo (OL L 345, 2003 12 31, p. 90).

(15)  2014 m. balandžio 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 536/2014 dėl žmonėms skirtų vaistų klinikinių tyrimų, kuriuo panaikinama Direktyva 2001/20/EB (OL L 158, 2014 5 27, p. 1).

(16)  2009 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 223/2009 dėl Europos statistikos, panaikinantis Europos Parlamento ir Tarybos reglamentą (EB, Euratomas) Nr. 1101/2008 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai, Tarybos reglamentą (EB) Nr. 322/97 dėl Bendrijos statistikos ir Tarybos sprendimą 89/382/EEB, Euratomas, įsteigiantį Europos Bendrijų statistikos programų komitetą (OL L 87, 2009 3 31, p. 164).

(17)  OL C 192, 2012 6 30, p. 7.

(18)  2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(19)  2015 m. rugsėjo 9 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/1535, kuria nustatoma informacijos apie techninius reglamentus ir informacinės visuomenės paslaugų taisykles teikimo tvarka (OL L 241, 2015 9 17, p. 1).

(20)  2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008 nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30).

(21)  2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).


DIREKTYVOS

4.5.2016   

LT

Europos Sąjungos oficialusis leidinys

L 119/89


EUROPOS PARLAMENTO IR TARYBOS DIREKTYVA (ES) 2016/680

2016 m. balandžio 27 d.

dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Regionų komiteto nuomonę (1),

laikydamiesi įprastos teisėkūros procedūros (2),

kadangi:

(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra viena iš pagrindinių teisių. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

(2)

fizinių asmenų apsaugos tvarkant jų asmens duomenis principais ir taisyklėmis turėtų būti gerbiamos asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą, nepriklausomai nuo jų pilietybės ar gyvenamosios vietos. Šia direktyva siekiama prisidėti užbaigiant kurti laisvės, saugumo ir teisingumo erdvę;

(3)

dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Žymiai išaugo asmens duomenų rinkimo ir keitimosi jais mastas. Vykdant veiklą, pavyzdžiui, nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba vykdant bausmes, technologijos leidžia precedento neturinčiu mastu tvarkyti asmens duomenis;

(4)

turėtų būti palengvintas laisvas asmens duomenų judėjimas tarp kompetentingų institucijų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais Sąjungoje ir tokių asmens duomenų perdavimas trečiosioms valstybėms bei tarptautinėms organizacijoms, kartu užtikrinant aukšto lygio asmens duomenų apsaugą. Dėl tų pokyčių Sąjungoje reikia sukurti tvirtą ir nuoseklesnę asmens duomenų apsaugos sistemą, paremtą veiksmingu įgyvendinimu;

(5)

Europos Parlamento ir Tarybos direktyva 95/46/EB (3) taikoma visai asmens duomenų tvarkymo veiklai valstybėse narėse tiek viešajame, tiek privačiajame sektoriuose. Tačiau ji netaikoma tvarkant asmens duomenis, kai yra užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, pavyzdžiui, veikla teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

(6)

Tarybos pamatinis sprendimas 2008/977/TVR (4) taikomas teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse. Tas pamatinis sprendimas taikomas tik tarp valstybių narių persiunčiamų asmens duomenų ar asmens duomenų, kuriais naudotis sudaryta galimybė tarp valstybių narių, tvarkymui;

(7)

siekiant užtikrinti veiksmingą teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą, labai svarbu užtikrinti nuoseklią fizinių asmenų asmens duomenų aukšto lygio apsaugą ir palengvinti valstybių narių kompetentingų institucijų keitimąsi asmens duomenimis. Tuo tikslu visose valstybėse narėse turėtų būti užtikrinta lygiavertė fizinių asmenų teisių ir laisvių apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais. Siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia stiprinti duomenų subjektų teises ir asmens duomenis tvarkančiųjų pareigas, taip pat atitinkamus stebėsenos, kaip laikomasi asmens duomenų apsaugos taisyklių, bei tokių taisyklių laikymosi užtikrinimo įgaliojimus valstybėse narėse;

(8)

SESV 16 straipsnio 2 dalimi Europos Parlamentas ir Taryba įpareigoti nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo asmens duomenų judėjimo taisykles;

(9)

tuo remiantis, Europos Parlamento ir Tarybos reglamente (ES) 2016/679 (5) nustatytos bendrosios taisyklės, kuriomis siekiama užtikrinti fizinių asmenų apsaugą tvarkant asmens duomenis ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje;

(10)

deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo;

(11)

todėl tikslinga tų sričių klausimus reglamentuoti direktyvoje, kurioje nustatytos specialios fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais taisyklės, atsižvelgiant į specifinį tokios veiklos pobūdį. Tokios kompetentingos institucijos gali būti ne tik valdžios institucijos, pavyzdžiui, teisminės institucijos, policija ar kitos teisėsaugos institucijos, bet ir bet kuri kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais šios direktyvos tikslais. Jei tokia įstaiga arba subjektas tvarko asmens duomenis kitais nei šios direktyvos tikslais, taikomas Reglamentas (ES) 2016/679. Todėl Reglamentas (ES) 2016/679 taikomas tais atvejais, kai įstaiga arba subjektas renka asmens duomenis kitais tikslais ir toliau tvarko tuos asmens duomenis siekdami laikytis teisinės prievolės, kuri jiems taikoma. Pavyzdžiui, nusikalstamų veikų tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais finansų įstaigos saugo tam tikrus savo tvarkomus asmens duomenis ir pateikia tuos asmens duomenis tik kompetentingoms nacionalinėms institucijoms konkrečiais atvejais ir laikydamosi valstybės narės teisės. Įstaiga arba subjektas, tvarkantys asmens duomenis tokių institucijų vardu šios direktyvos taikymo srityje, turėtų būti saistomi sutarties ar kito teisės akto ir nuostatų, taikytinų duomenų tvarkytojams pagal šią direktyvą, o Reglamento (ES) 2016/679 taikymas išlieka nepakitęs duomenų tvarkytojo vykdomos asmens duomenų tvarkymo veiklos, kuriai ši direktyva netaikoma, atžvilgiu;

(12)

policijos ar kitų teisėsaugos institucijų vykdoma veikla daugiausia yra sutelkta į nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas, įskaitant policijos veiklą iš anksto nežinant, ar tam tikras incidentas yra nusikalstama veika, ar ne. Tokia veikla taip pat gali apimti valdžios funkcijų vykdymą imantis prievartos priemonių, pavyzdžiui, policijos veiklą demonstracijose, svarbiuose sporto renginiuose ir riaušėse. Tai taip pat apima viešosios tvarkos palaikymą kaip policijai ar kitoms teisėsaugos institucijoms priskirtą užduotį prireikus užtikrinti apsaugą nuo grėsmių visuomenės saugumui ir teisės aktais saugomiems pagrindiniams visuomenės interesams, dėl kurių gali atsirasti sąlygos nusikalstamai veikai įvykdyti, ir užkirsti joms kelią. Valstybės narės gali kompetentingoms institucijoms pavesti kitas užduotis, kurios nebūtinai atliekamos nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, kad tais kitais tikslais atliekamas asmens duomenų tvarkymas tiek, kiek jam taikoma Sąjungos teisė, patektų į Reglamento (ES) 2016/679 taikymo sritį;

(13)

nusikalstama veika, kaip apibrėžta šioje direktyvoje, turėtų būti savarankiška Sąjungos teisės sąvoka, kaip ją aiškina Europos Sąjungos Teisingumo Teismas (toliau – Teisingumo Teismas);

(14)

kadangi ši direktyva neturėtų būti taikoma asmens duomenų tvarkymui vykdant Sąjungos teisės nereglamentuojamą veiklą, su nacionaliniu saugumu susijusi veikla, nacionalinio saugumo klausimus sprendžiančių agentūrų ar padalinių veikla ir asmens duomenų tvarkymas, kai asmens duomenis valstybės narės tvarko vykdydamos veiklą, kuriai taikomas Europos Sąjungos sutarties (toliau – ES sutartis) V antraštinės dalies 2 skyrius, neturėtų būti laikoma veikla, patenkančia į šios direktyvos taikymo sritį;

(15)

siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį visoje Sąjungoje nustačius teisiškai įgyvendinamas teises ir užkirsti kelią skirtumams, kurie trukdo kompetentingoms institucijoms keistis asmens duomenimis, šia direktyva turėtų būti nustatytos suderintos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, apsaugos ir laisvo judėjimo taisyklės. Dėl valstybių narių įstatymų suderinimo neturėtų susilpnėti asmens duomenų apsauga, kurią jie užtikrina, priešingai, suderinimu turėtų būti siekiama užtikrinti aukštą asmens duomenų apsaugos lygį Sąjungoje. Valstybėms narėms neturėtų būti trukdoma taikyti griežtesnes apsaugos priemones nei tos, kurios nustatytos šioje direktyvoje, siekiant užtikrinti duomenų subjekto teisių ir laisvių apsaugą kompetentingoms institucijoms tvarkant asmens duomenis;

(16)

šia direktyva nedaromas poveikis galimybės visuomenei susipažinti su oficialiais dokumentais principui. Reglamente (ES) 2016/679 numatyta, kad valdžios institucijos arba viešosios ar privačiosios įstaigos turimuose oficialiuose dokumentuose esantys asmens duomenys, reikalingi dėl viešojo intereso vykdomai užduočiai atlikti, tos institucijos arba įstaigos gali būti atskleidžiami laikantis Sąjungos ar valstybės narės teisės, kuri taikoma tai valdžios institucijai arba įstaigai, taip siekiant visuomenės teisę susipažinti su oficialiais dokumentais suderinti su teise į asmens duomenų apsaugą;

(17)

šia direktyva teikiama apsauga turėtų būti taikoma fiziniams asmenims nepriklausomai nuo jų pilietybės ar gyvenamosios vietos, tvarkant jų asmens duomenis;

(18)

siekiant išvengti rimtos teisės aktų vengimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų technikų. Fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Ši direktyva neturėtų būti taikoma pagal specialius kriterijus nesusistemintoms rinkmenoms ar jų grupėms, taip pat jų tituliniams lapams;

(19)

Sąjungos institucijų, įstaigų, organų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 (6). Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, turėtų būti pritaikyti pagal Reglamente (ES) 2016/679 nustatytus principus ir taisykles;

(20)

šia direktyva valstybėms narėms netrukdoma nacionalinėse baudžiamųjų procedūrų taisyklėse nurodyti tvarkymo operacijų ir tvarkymo procedūrų, susijusių su teismų ir kitų teisminių institucijų atliekamu asmens duomenų, visų pirma teismo sprendime arba su baudžiamuoju procesu susijusiuose įrašuose esančių asmens duomenų, tvarkymu;

(21)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias fizinio asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, gali naudoti duomenų valdytojas ar kitas asmuo, pavyzdžiui, atrankos metodą. Siekiant išsiaiškinti, ar tam tikros priemonės, pagrįstai tikėtina, gali būti naudojamos fizinio asmens tapatybei nustatyti, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, asmens tapatybei nustatyti reikalingas sąnaudas ir laiko trukmę, atsižvelgiant į duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi nuasmenintai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurie nuasmeninti taip, kad duomenų subjekto tapatybė nebegali būti nustatyta;

(22)

valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės jų oficialios misijos vykdymo tikslais, pavyzdžiui, mokesčių ir muitinės institucijos, finansinių tyrimų padaliniai, nepriklausomos administracinės institucijos arba už vertybinių popierių rinkų reguliavimą ir priežiūrą atsakingos finansų rinkų institucijos, neturėtų būti laikomos duomenų gavėjais, jei gauna asmens duomenis, kurie yra reikalingi konkrečiam visuotinės svarbos tyrimui atlikti pagal Sąjungos ar valstybės narės teisę. Valdžios institucijų siunčiami prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir teikiami nesistemingai ir neturėtų būti teikiami dėl viso susisteminto rinkinio, o dėl jų neturėtų būti sujungiami susisteminti rinkiniai. Tų valdžios institucijų atliekamas asmens duomenų tvarkymas turėtų atitikti taikytinas duomenų apsaugos taisykles, atsižvelgiant į duomenų tvarkymo tikslus;

(23)

genetiniai duomenys turėtų būti apibrėžiami kaip asmens duomenys, susiję su asmens paveldėtomis ar įgytomis genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurios gautos visų pirma atlikus atitinkamų fizinių asmenų biologinio mėginio analizę, visų pirma chromosomų, deoksiribonukleorūgšties (DNR) arba ribonukleorūgšties (RNR) analizę, arba kitų elementų, suteikiančių galimybę gauti lygiavertę informaciją, analizę. Atsižvelgiant į genetinės informacijos sudėtingumą ir konfidencialų pobūdį, egzistuoja didelė rizika, kad duomenų valdytojas tuos duomenis panaudos netinkamai ir panaudos pakartotinai įvairiais kitais tikslais. Bet kokia diskriminacija dėl genetinių savybių turėtų būti iš esmės draudžiama;

(24)

prie asmens sveikatos duomenų turėtų būti priskirti visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinės ar psichikos sveikatos būklę. Tai apima informaciją apie fizinį asmenį, surinktą jį registruojant sveikatos priežiūros paslaugoms gauti arba teikiant sveikatos priežiūros paslaugas, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje 2011/24/ES (7), tam fiziniam asmeniui: fiziniam asmeniui priskirtą asmens numerį, simbolį ar žymę, kad būtų galima unikaliai nustatyti to asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar kūno medžiagos, įskaitant genetinius duomenis ir biologinius ėminius, tyrimus ar analizę; taip pat bet kokią kitą informaciją, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, kuris, pavyzdžiui, gali būti gydytojas, kitas sveikatos priežiūros specialistas, ligoninė, medicinos priemonė ar in vitro diagnostinis tyrimas;

(25)

visos valstybės narės yra Tarptautinės kriminalinės policijos organizacijos (Interpolo) narės. Tam, kad Interpolas galėtų atlikti savo misiją, jis gauna, saugo ir platina asmens duomenis, taip padėdamas kompetentingoms institucijoms užkirsti kelią tarptautiniam nusikalstamumui ir su juo kovoti. Todėl tikslinga stiprinti Sąjungos ir Interpolo bendradarbiavimą skatinant veiksmingai keistis asmens duomenimis, kartu užtikrinant, kad automatizuoto asmens duomenų tvarkymo atveju būtų paisoma pagrindinių teisių ir laisvių. Jei asmens duomenys perduodami iš Sąjungos Interpolui ir šalims, kurios yra paskyrusios Interpolo narius, turėtų būti taikoma ši direktyva, visų pirma nuostatos dėl tarptautinio duomenų perdavimo. Šia direktyva neturėtų būti daromas poveikis specialioms taisyklėms, nustatytoms Tarybos bendrojoje pozicijoje 2005/69/TVR (8) ir Tarybos sprendime 2007/533/TVR (9);

(26)

bet koks asmens duomenų tvarkymas privalo būti teisėtas, sąžiningas ir skaidrus atitinkamų fizinių asmenų atžvilgiu, ir asmens duomenys gali būti tvarkomi tik teisės aktais nustatytais konkrečiais tikslais. Tai savaime neužkerta kelio teisėsaugos institucijoms vykdyti veiklos, pavyzdžiui, slaptųjų tyrimų ar stebėjimo vaizdo kameromis. Tokia veikla gali būti vykdoma nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, jei tik tokia veikla, tinkamai paisant teisėtų atitinkamo fizinio asmens interesų, yra nustatyta įstatymu ir yra laikoma būtina ir proporcinga demokratinės visuomenės priemone. Vienas iš duomenų apsaugos principų – sąžiningo duomenų tvarkymo principas – yra sąvoka, kuri skiriasi nuo teisės į teisingą bylos nagrinėjimą, kaip apibrėžta Chartijos 47 straipsnyje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos (EŽTK) 6 straipsnyje. Fiziniai asmenys turėtų būti informuoti apie su jų asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis duomenų tvarkymo atžvilgiu. Visų pirma, konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. Asmens duomenys turėtų būti adekvatūs ir susiję su tikslais, kuriais jie tvarkomi. Reikėtų visų pirma užtikrinti, kad būtų surinkta ne per daug asmens duomenų ir kad asmens duomenys būtų saugomi ne ilgiau nei būtina tuo tikslu, kuriuo jie tvarkomi. Asmens duomenys turėtų būti tvarkomi tik tuo atveju, jei duomenų tvarkymo tikslo pagrįstai nebuvo galima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys būtų saugomi ne ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Valstybės narės turėtų nustatyti tinkamas apsaugos priemones asmens duomenims, saugomiems ilgesniais laikotarpiais archyvavimo dėl viešojo intereso, panaudojimo moksliniais, statistiniais ar istorinių tyrimų tikslais;

(27)

nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo už jas tikslais kompetentingoms institucijoms būtina tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, tyrimą, jas nustatant ar traukiant baudžiamojon atsakomybėn už jas, neapsiribojant šiais tikslais, kad būtų galima geriau suprasti nusikalstamą veiklą ir nustatyti sąsajas tarp skirtingų nustatytų nusikalstamų veikų;

(28)

siekiant išlaikyti duomenų tvarkymo saugumą ir užkirsti kelią duomenų tvarkymui pažeidžiant šią direktyvą, asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas saugumo ir konfidencialumo lygis, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui naudojamos įrangos ar naudojimuisi jais, ir būtų atsižvelgta į turimų techninių galimybių išsivystymo lygį bei turimas technologijas, įgyvendinimo sąnaudas pavojų ir saugotinų asmens duomenų pobūdžio atžvilgiu;

(29)

asmens duomenys turėtų būti renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais šios direktyvos taikymo srityje ir neturėtų būti tvarkomi tikslais, kurie yra nesuderinami su nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais. Jeigu tas pats ar kitas duomenų valdytojas tvarko asmens duomenis tikslu, kuris patenka į šios direktyvos taikymo sritį, tačiau nėra tikslas, kuriuo jie buvo surinkti, toks duomenų tvarkymas turėtų būti leidžiamas su sąlyga, kad jis yra leidžiamas pagal taikytinas teisės nuostatas ir yra būtinas bei proporcingai atitinka tą kitą tikslą;

(30)

duomenų tikslumo principas turėtų būti taikomas atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį ir tikslą. Visų pirma vykstant teismo procesui daromi pareiškimai, kuriuose yra asmens duomenų, yra pagrįsti subjektyviu fizinių asmenų suvokimu ir jų neįmanoma visada patikrinti. Todėl tikslumo reikalavimas neturėtų būti siejamas su pareiškimo tikslumu, o tik su faktu, kad padarytas konkretus pareiškimas;

(31)

tvarkant asmens duomenis teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, paprastai tvarkomi su skirtingų kategorijų duomenų subjektais susiję asmens duomenys. Todėl, kai taikytina ir kiek įmanoma, reikėtų aiškiai atskirti skirtingų kategorijų duomenų subjektų, pavyzdžiui, įtariamųjų, asmenų, nuteistų už nusikalstamą veiką, aukų ir kitų asmenų, pavyzdžiui, liudytojų, atitinkamą informaciją tvarkančių asmenų arba įtariamųjų ir nuteistųjų bendrininkų bei su jais susijusių asmenų, asmens duomenis. Tai neturėtų kliudyti taikyti nekaltumo prezumpcijos teisę, kuri garantuojama Chartija ir EŽTK, kaip išaiškinta atitinkamai pagal Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką;

(32)

kompetentingos institucijos turėtų užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Siekiant užtikrinti fizinių asmenų apsaugą, persiunčiamų asmens duomenų bei asmens duomenų, kuriais suteikiama galimybė naudotis, tikslumą, išsamumą ar naujumą ir patikimumą, kompetentingos institucijos turėtų, kiek įmanoma, visus persiunčiamus asmens duomenis papildyti būtina informacija;

(33)

kai šioje direktyvoje daroma nuoroda į valstybės narės teisę, teisinį pagrindą arba teisėkūros priemonę, tai nebūtinai reiškia, kad parlamentas turi priimti teisės aktą, nedarant poveikio reikalavimams, taikomiems pagal atitinkamos valstybės narės konstitucinę tvarką. Tačiau tokia valstybės narės teisė, teisinis pagrindas ar teisėkūros priemonė turėtų būti aiškūs ir tikslūs, o jų taikymas numatomas tiems subjektams, kuriems jie turi būti taikomi, kaip reikalaujama pagal Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką. Valstybės narės teisėje, kuria reglamentuojamas asmens duomenų tvarkymas šios direktyvos taikymo srityje, turėtų būti konkrečiai nurodyti bent siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir procedūros asmens duomenų vientisumui bei konfidencialumui užtikrinti, taip pat jų sunaikinimo procedūros, tokiu būdu suteikiant pakankamų garantijų, kad nekiltų piktnaudžiavimo ir savivalės pavojus;

(34)

kompetentingų institucijų atliekamas asmens duomenų tvarkymas nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais turėtų apimti bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniais atliekamą operaciją ar operacijų seką minėtais tikslais, pavyzdžiui, rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, adaptavimą ar keitimą, išgavą, paiešką, naudojimą, sugretinimą ar sujungimą su kitais duomenimis, tvarkymo apribojimą, ištrynimą ar sunaikinimą. Visų pirma šios direktyvos taisyklės turėtų būti taikomos, kai asmens duomenys šios direktyvos tikslais persiunčiami duomenų gavėjui, kuriam ši direktyva nėra taikoma. Toks duomenų gavėjas turėtų būti fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuri kita įstaiga, kuriems kompetentinga institucija teisėtai atskleidžia asmens duomenis. Jeigu asmens duomenis vienu iš šios direktyvos tikslų iš pradžių buvo surinkusi kompetentinga institucija, Reglamentas (ES) 2016/679 turėtų būti taikomas tų duomenų tvarkymui kitais tikslais nei šios direktyvos tikslai, jeigu taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Visų pirma Reglamento (ES) 2016/679 taisyklės turėtų būti taikomos, kai asmens duomenys persiunčiami į šios direktyvos taikymo sritį nepatenkančiais tikslais. Tais atvejais, kai asmens duomenis tvarko duomenų gavėjas, kuris nėra kompetentinga institucija arba kuris neveikia kaip tokia, kaip apibrėžta šioje direktyvoje, ir kuriam kompetentinga institucija teisėtai atskleidžia asmens duomenis, turėtų būti taikomas Reglamentas (ES) 2016/679. Įgyvendindamos šią direktyvą, valstybės narės taip pat turėtų turėti galimybę išsamiau nurodyti, kaip turi būti taikomos Reglamento (ES) 2016/679 taisyklės, laikantis jame nustatytų sąlygų;

(35)

tam, kad asmens duomenų tvarkymas pagal šią direktyvą būtų teisėtas, jis turėtų būti būtinas kompetentingai institucijai įgyvendinant viešąjį interesą, grindžiamą Sąjungos arba valstybės narės teise nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais. Ta veikla turėtų apimti gyvybinių duomenų subjekto interesų apsaugą. Nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas užduočių vykdymas, instituciniu požiūriu teisės aktais priskirtas kompetentingoms institucijoms, suteikia joms galimybę prašyti ar reikalauti, kad fiziniai asmenys vykdytų pateiktus prašymus. Tokiu atveju duomenų subjekto sutikimas, kaip apibrėžta Reglamente (ES) 2016/679, neturėtų suteikti teisinio pagrindo kompetentingų institucijų vykdomam asmens duomenų tvarkymui. Tuo atveju, kai iš duomenų subjekto reikalaujama įvykdyti teisinę prievolę, duomenų subjektas faktiškai neturi laisvo pasirinkimo, taigi duomenų subjekto reakcija negalėtų būti laikoma laisvai išreikštais jo pageidavimais. Tuo valstybėms narėms neturėtų būti trukdoma teisės aktais nustatyti, kad duomenų subjektas gali sutikti su jo asmens duomenų tvarkymu šios direktyvos tikslais, pavyzdžiui, DNR tyrimų vykdant nusikalstamų veikų tyrimus tikslu arba duomenų subjekto buvimo vietos stebėsenos naudojant elektroninius žymenis, siekiant vykdyti baudžiamąsias sankcijas, tikslu;

(36)

valstybės narės turėtų nustatyti, kad tais atvejais, kai Sąjungos arba valstybės narės teisėje, taikytinoje duomenis persiunčiančiai kompetentingai institucijai, numatytos konkrečiomis aplinkybėmis asmens duomenų tvarkymui taikytinos konkrečios sąlygos, pavyzdžiui, duomenų tvarkymo kodeksų naudojimas, persiunčianti kompetentinga institucija turėtų informuoti tokių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis. Tokiomis sąlygomis galėtų būti, pavyzdžiui, draudimas persiųsti asmens duomenis kitiems subjektams arba juos naudoti kitais tikslais nei tie, kuriais jie buvo persiųsti gavėjui, arba reikalavimas pranešti duomenų subjektui teisės gauti informaciją apribojimo be išankstinio persiunčiančios kompetentingos institucijos sutikimo atveju. Tie įpareigojimai taip pat turėtų būti taikomi persiunčiančiai kompetentingai institucijai duomenis perduodant gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms. Valstybės narės turėtų užtikrinti, kad persiunčianti kompetentinga institucija gavėjams kitose valstybėse narėse arba agentūroms, organams ir įstaigoms, įsteigtiems pagal SESV V antraštinės dalies 4 ir 5 skyrius, netaikytų kitokių sąlygų nei tos, kurios taikytinos panašiems duomenų persiuntimams tos kompetentingos institucijos valstybėje narėje;

(37)

asmens duomenys, kurie yra itin opaus pobūdžio pagrindinių teisių ir laisvių atžvilgiu, turėtų būti ypač saugomi, kadangi dėl jų tvarkymo konteksto galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tiems asmens duomenims turėtų priklausyti ir asmens duomenys, kuriais atskleidžiama rasinė ar etninė kilmė; termino „rasinė kilmė“ vartojimas šioje direktyvoje nereiškia, kad Sąjunga pritaria teorijoms, kuriomis bandoma apibrėžti atskirų žmonių rasių egzistavimą. Tokie asmens duomenys neturėtų būti tvarkomi, nebent jų tvarkymui taikomos tinkamos teisės aktais nustatytos duomenų subjekto teisių ir laisvių apsaugos priemonės ir juos tvarkyti leidžiama teisės aktais leidžiamais atvejais; jeigu juos tvarkyti dar nėra leidžiama tokiu teisės aktu, jų tvarkymas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto arba kito asmens interesus; arba tvarkomi duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai. Tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės galėtų būti galimybė rinkti tuos duomenis tik tiek, jei jie susiję su kitais duomenimis apie atitinkamą fizinį asmenį, galimybė tinkamai apsaugoti surinktus duomenis, griežtesnės taisyklės, reglamentuojančios kompetentingos institucijos darbuotojų teisę susipažinti su tais duomenimis, ir draudimas tuos duomenis persiųsti. Tais atvejais, kai duomenų tvarkymas yra ypač invazinio pobūdžio jo atžvilgiu, teisės aktais taip pat turėtų būti leidžiama tvarkyti tokius duomenis, kai duomenų subjektas yra aiškiai su tuo sutikęs. Tačiau duomenų subjekto sutikimas pats savaime neturėtų suteikti teisinio pagrindo kompetentingoms institucijoms tvarkyti tokius neskelbtinus asmens duomenis;

(38)

duomenų subjektas turėtų turėti teisę reikalauti, kad jam nebūtų taikomas sprendimas dėl su juo susijusių asmeninių aspektų vertinimo, jeigu toks sprendimas grindžiamas tik automatizuotu duomenų tvarkymu, jo atžvilgiu turi neigiamų teisinių pasekmių arba jam daro didelį poveikį. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, visų pirma pareikšti savo požiūrį, gauti sprendimo, priimto atlikus tokį vertinimą, paaiškinimą, arba ginčyti tą sprendimą. Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis asmens duomenimis, kurie yra itin opaus pobūdžio pagrindinių teisių ir laisvių atžvilgiu, turėtų būti draudžiamas, laikantis Chartijos 21 ir 52 straipsniuose nustatytų sąlygų;

(39)

kad duomenų subjektas galėtų naudotis savo teisėmis, bet kokia informacija duomenų subjektui turėtų būti lengvai prieinama, be kita ko, pateikta duomenų valdytojo interneto svetainėje, ir turėtų būti lengvai suprantama, naudojant aiškią ir paprastą kalbą. Tokia informacija turėtų būti pritaikyta pažeidžiamų asmenų, pavyzdžiui, vaikų, poreikiams;

(40)

siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis remiantis pagal šią direktyvą priimtomis nuostatomis, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant prašymo suteikti teisę nemokamai visų pirma susipažinti su asmens duomenimis, ir juos ištaisyti ar ištrinti ir apriboti jų tvarkymą ir, jei taikoma, naudojimosi ta teise tvarką. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsiant, išskyrus atvejus, kai duomenų valdytojas taiko apribojimus duomenų subjekto teisėms pagal šią direktyvą. Be to, jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, pavyzdžiui, kai duomenų subjektas nepagrįstai ir pakartotinai prašo pateikti informaciją arba kai duomenų subjektas piktnaudžiauja savo teise gauti informaciją, pavyzdžiui, pateikdamas prašymą nurodo neteisingą ar klaidinančią informaciją, duomenų valdytojas turėtų galėti imti pagrįstą mokestį arba atsisakyti imtis veiksmų pagal prašymą;

(41)

kai duomenų valdytojas prašo pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę, ta informacija turėtų būti tvarkoma tik tuo konkrečiu tikslu ir neturėtų būti saugoma ilgiau nei būtina tuo tikslu;

(42)

duomenų subjektui turėtų būti padaryta prieinama bent ši informacija: duomenų valdytojo tapatybė, tai, kad vykdoma duomenų tvarkymo operacija, duomenų tvarkymo tikslai, teisė pateikti skundą ir tai, kad jis turi teisę reikalauti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, juos ištaisytų ar ištrintų arba apribotų jų tvarkymą. Tokia informacija galėtų būti pateikta kompetentingos institucijos interneto svetainėje. Be to, konkrečiais atvejais ir siekiant suteikti galimybę duomenų subjektui pasinaudoti savo teisėmis, jis turėtų būti informuojamas apie duomenų tvarkymo teisinį pagrindą ir apie tai, kaip ilgai duomenys bus saugomi, tiek, kiek tokia išsamesnė informacija yra būtina, atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes, kad būtų garantuotas sąžiningas duomenų tvarkymas duomenų subjekto atžvilgiu;

(43)

fizinis asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir gauti informaciją apie duomenų tvarkymo tikslus, duomenų tvarkymo laikotarpį ir duomenų gavėjus, įskaitant ir gavėjus trečiosiose valstybėse. Jei tokia informacija apima informaciją apie asmens duomenų kilmę, joje neturėtų būti atskleista asmenų, visų pirma konfidencialių šaltinių, tapatybė. Kad ta teisė būtų užtikrinta, pakanka duomenų subjektui pateikti išsamią tų duomenų santrauką suprantama forma, t. y. tokia forma, kuria tam duomenų subjektui būtų suteikta galimybė sužinoti apie tuos duomenis ir patikrinti, ar jie yra tikslūs ir tvarkomi laikantis šios direktyvos, tokiu būdu užtikrinant, kad jis galėtų pasinaudoti jam pagal šią direktyvą suteiktomis teisėmis. Tokia pateikiama santrauka galėtų būti tvarkomų asmens duomenų kopija;

(44)

valstybės narės turėtų turėti galimybę priimti teisėkūros priemones, kuriomis vadovaujantis informacijos teikimas duomenų subjektams galėtų būti atidėtas, apribotas arba kuriomis vadovaujantis tokios informacijos būtų galima neteikti, arba teisėkūros priemones, kuriomis duomenų subjektų teisė susipažinti su savo asmens duomenimis būtų visiškai arba iš dalies apribota, tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras, nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui, užtikrinti visuomenės saugumą arba nacionalinį saugumą arba apsaugoti kitų asmenų teises ir laisves. Duomenų valdytojas turėtų įvertinti, konkrečiai ir atskirai išnagrinėdamas kiekvieną atvejį, ar teisė susipažinti su duomenimis turėtų būti iš dalies arba visiškai apribota;

(45)

apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą duomenų subjektui iš principo turėtų būti pranešta raštu, kartu nurodant faktines arba teisines priežastis, kuriomis pagrįstas sprendimas;

(46)

bet kokie duomenų subjekto teisių apribojimai turi atitikti Chartiją ir EŽTK, kaip išaiškinta atitinkamai pagal Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką, ir visų pirma tokiais apribojimais negalima pažeisti tų teisių ir laisvių esmės;

(47)

fizinis asmuo turėtų turėti teisę reikalauti, kad su juo susiję netikslūs asmens duomenys būtų ištaisyti, visų pirma kalbant apie su faktais susijusius duomenis, ir teisę reikalauti juos ištrinti, jeigu tokių duomenų tvarkymas pažeidžia šią direktyvą. Tačiau teisė reikalauti ištaisyti duomenis neturėtų daryti poveikio, pavyzdžiui, liudytojų parodymų turiniui. Fizinis asmuo taip pat turėtų turėti teisę į tai, kad duomenų tvarkymas būtų apribotas, kai jis ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba kai asmens duomenys turi būti išsaugoti, nes jie bus naudojami kaip įrodymas. Visų pirma vietoj asmens duomenų ištrynimo turėtų būti apribojamas tvarkymas, jeigu konkrečiu atveju yra pagrįstų priežasčių manyti, kad jų ištrynimas galėtų padaryti poveikį teisėtiems duomenų subjekto interesams. Tokiu atveju duomenys, kurių tvarkymas yra apribotas, turėtų būti tvarkomi tik tuo tikslu, dėl kurio jie nebuvo ištrinti. Būdai, kuriais būtų ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: perkelti atrinktus duomenis į kitą duomenų tvarkymo sistemą, pavyzdžiui, archyvavimo tikslais, arba padaryti atrinktus duomenis neprieinamus naudotojams. Automatizuotuose susistemintuose rinkiniuose tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis. Tai, kad asmens duomenų tvarkymas yra apribotas, turėtų būti rinkinyje nurodyta taip, kad būtų aišku, kad asmens duomenų tvarkymas yra apribotas. Apie tokį asmens duomenų ištaisymą ar ištrynimą arba jų tvarkymo apribojimą turėtų būti informuojami gavėjai, kuriems tie duomenys buvo atskleisti, ir kompetentingos institucijos, iš kurių netikslūs duomenys buvo gauti. Duomenų valdytojai taip pat turėtų toliau tokių duomenų neplatinti;

(48)

jei duomenų valdytojas nesuteikia duomenų subjektui teisės gauti informaciją, susipažinti su duomenimis arba teisės reikalauti duomenis ištaisyti ar ištrinti arba apriboti jų tvarkymą, duomenų subjektas turėtų turėti teisę prašyti, kad nacionalinė priežiūros institucija patikrintų duomenų tvarkymo teisėtumą. Duomenų subjektas turėtų būti informuotas apie tokią teisę. Jei priežiūros institucija imasi veiksmų duomenų subjekto vardu, priežiūros institucija turėtų bent pranešti duomenų subjektui apie tai, kad priežiūros institucija yra atlikusi visus būtinus patikrinimus ar peržiūrą. Priežiūros institucija taip pat turėtų informuoti duomenų subjektą apie jo teisę siekti teisminės teisių gynimo priemonės;

(49)

jeigu asmens duomenys tvarkomi vykdant nusikalstamų veikų tyrimą ir teismo procesuose baudžiamosiose bylose, valstybės narės turėtų turėti galimybę numatyti, kad naudojimasis teise gauti informaciją, teise susipažinti su duomenimis bei teise reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą vykdomas pagal teismo procesą reglamentuojančias nacionalines taisykles;

(50)

turėtų būti nustatyta duomenų valdytojo atsakomybė ir teisinė atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir turėtų turėti galimybę įrodyti, kad duomenų tvarkymo veikla atitinka šią direktyvą. Tokiomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms. Priemonės, kurių imasi duomenų valdytojas, turėtų apimti konkrečių apsaugos priemonių pažeidžiamų fizinių asmenų, pavyzdžiui, vaikų, asmens duomenų tvarkymo atžvilgiu parengimą ir įgyvendinimą;

(51)

dėl duomenų tvarkymo gali kilti įvairios rizikos ir dydžio pavojus fizinių asmenų teisėms ir laisvėms, o dėl to galėtų būti padaryta fizinė, materialinė ar nematerialinė žala, visų pirma, kai dėl duomenų tvarkymo gali atsirasti diskriminacija, būti pavogta ar suklastota tapatybė, padaryta finansinių nuostolių, pakenkta reputacijai, prarastas duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala, arba kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar kontroliuoti savo asmens duomenis, kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms; kai tvarkomi genetiniai ar biometriniai duomenys siekiant vienareikšmiškai nustatyti asmens tapatybę, arba duomenys apie sveikatą ar duomenys apie lytinį gyvenimą ir seksualinę orientaciją, arba apkaltinamuosius nuosprendžius ir teisės pažeidimus, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma, nagrinėjami ir numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

(52)

pavojaus rizika ir dydis turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kuriuo būtų nustatyta, ar duomenų tvarkymo operacijos yra susijusios su dideliu pavojumi. Didelis pavojus yra konkretus pavojus, kad bus padarytas poveikis duomenų subjektų teisėms ir laisvėms;

(53)

kad būtų užtikrinta fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis, reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi šios direktyvos reikalavimų. Tokių priemonių įgyvendinimas neturėtų priklausyti vien tik nuo ekonominių aplinkybių. Kad duomenų valdytojas galėtų įrodyti, jog laikosi šios direktyvos, jis turėtų priimti nuostatas dėl vidaus politikos ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principų. Tais atvejais, kai duomenų valdytojas yra atlikęs poveikio duomenų apsaugai vertinimą pagal šią direktyvą, rengiant šias priemones ir procedūras turėtų būti atsižvelgiama į to vertinimo rezultatus. Tokios priemonės galėtų apimti, inter alia, pseudonimų suteikimo naudojimą, tai padarant kuo greičiau. Pseudonimų suteikimo naudojimas šios direktyvos tikslais gali būti priemonė, kuri galėtų visų pirma sudaryti palankesnes sąlygas laisvam asmens duomenų srautui laisvės, saugumo ir teisingumo erdvėje;

(54)

siekiant užtikrinti duomenų subjektų teisių bei laisvių apsaugą ir nustatyti duomenų valdytojų bei duomenų tvarkytojų atsakomybę bei teisinę atsakomybę, be kita ko, priežiūros institucijų vykdomos stebėsenos ir taikomų priemonių atžvilgiu, reikia aiškiai paskirstyti šioje direktyvoje nustatytus įpareigojimus, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir būdus arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

(55)

duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas teisės aktu, taip pat sutartimi, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui ir kuriuose visų pirma nurodoma, kad duomenų tvarkytojas turėtų veikti tik pagal duomenų valdytojo nurodymus. Duomenų tvarkytojas turėtų atsižvelgti į pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principus;

(56)

siekiant įrodyti, kad laikomasi šios direktyvos nuostatų, duomenų valdytojas ar tvarkytojas turėtų saugoti įrašus apie visų kategorijų duomenų tvarkymo veiklą, už kurią jis yra atsakingas. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu jai pateikti tuos įrašus, kad juos būtų galima panaudoti atliekant tų duomenų tvarkymo operacijų stebėseną. Asmens duomenis neautomatizuotose duomenų tvarkymo sistemose tvarkantis duomenų valdytojas arba duomenų tvarkytojas turėtų būti įdiegęs veiksmingus metodus, tokius kaip registracijos įrašai ar kitų formų įrašai, kuriais būtų įrodomas duomenų tvarkymo teisėtumas, suteikiama galimybė vykdyti savikontrolę ir užtikrinamas duomenų vientisumas bei duomenų saugumas;

(57)

turėtų būti saugomi registracijos įrašai bent apie operacijas automatizuotose duomenų tvarkymo sistemose, pavyzdžiui, rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimą, sujungimą arba ištrynimą. Turėtų būti registruojamas asmens, kuris susipažino su asmens duomenimis arba juos atskleidė, tapatybės nustatymas, o iš to tapatybės nustatymo turėtų būti galima nustatyti duomenų tvarkymo operacijų priežastis. Registracijos įrašai turėtų būti naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti duomenų vientisumą bei duomenų saugumą ir baudžiamojo proceso tikslais. Savikontrolė turėtų taip pat apimti kompetentingų institucijų vidaus drausmines procedūras;

(58)

jei duomenų tvarkymo operacijos dėl savo pobūdžio, apimties ar tikslų gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, duomenų valdytojas turėtų atlikti poveikio duomenų apsaugai vertinimą, kuris visų pirma turėtų apimti numatomas priemones, apsaugos priemones ir mechanizmus, kuriais būtų užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos. Poveikio vertinimai turėtų apimti atitinkamas duomenų tvarkymo operacijų sistemas ir procesus, bet ne atskirus atvejus;

(59)

siekiant užtikrinti veiksmingą duomenų subjektų teisių ir laisvių apsaugą, duomenų valdytojas arba duomenų tvarkytojas tam tikrais atvejais prieš duomenų tvarkymo veiksmus turėtų pasikonsultuoti su priežiūros institucija;

(60)

siekiant užtikrinti saugumą ir užkirsti kelią duomenų tvarkymui, kuriuo būtų pažeista ši direktyva, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir turėtų įgyvendinti tokių pavojų mažinimo priemones, pavyzdžiui, šifravimą. Tokiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, ir atsižvelgiama į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas pavojaus ir saugotinų asmens duomenų pobūdžio atžvilgiu. Vertinant pavojus duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant duomenis, pavyzdžiui, į tai, kad persiunčiami, saugomi ar kitaip tvarkomi asmens duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba prie jų be leidimo gauta prieiga, ir dėl to visų pirma galėtų būti padaryta fizinė, materialinė ar nematerialinė žala. Duomenų valdytojas ir duomenų tvarkytojas turėtų užtikrinti, kad asmens duomenų netvarkytų leidimo neturintys asmenys;

(61)

dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti fizinę, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota atitinkamo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kitokia didelė ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. Todėl, kai tik duomenų valdytojas sužino, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas nepagrįstai nedelsdamas ir, kai įmanoma, ne vėliau kaip per 72 valandas nuo to momento, kai sužinojo apie asmens duomenų saugumo pažeidimą, turėtų apie tai pranešti priežiūros institucijai, nebent duomenų valdytojas gali įrodyti, kad pagal atskaitomybės principą neatrodo, kad dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms. Kai pranešti per 72 valandas neįmanoma, pateikiant tokį pranešimą kartu turėtų būti pateikiamos vėlavimo priežastys, o informaciją galima teikti etapais, toliau nepagrįstai nedelsiant;

(62)

fiziniams asmenims turėtų būti nepagrįstai nedelsiant pranešama, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kad jie galėtų imtis būtinų atsargumo priemonių. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, siekiant sumažinti galimą neigiamą poveikį. Duomenų subjektams apie tai turėtų būti pranešta, kai tik tai tampa pagrįstai įmanoma, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos ar kitų atitinkamų institucijų pateiktų rekomendacijų. Pavyzdžiui, siekiant sumažinti tiesioginį žalos pavojų, reikėtų nedelsiant apie tai pranešti duomenų subjektams; tačiau būtinybe įgyvendinti tinkamas priemones, kuriomis siekiama užkirsti kelią besikartojantiems ar panašiems duomenų saugumo pažeidimams, galima pateisinti ilgesnio termino pranešimui pateikti numatymą. Pranešimas apie asmens duomenų saugumo pažeidimus gali būti neteikiamas tik išimtiniais atvejais, kai siekiama išvengti kliudymo oficialiems ar teisiniams nagrinėjimams, tyrimams ar procedūroms, siekiant nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui, traukimui baudžiamojon atsakomybėn ar bausmių vykdymui, siekiant užtikrinti visuomenės ar nacionalinį saugumą, bei siekiant apsaugoti kitų asmenų teises ir laisves, ir kai to neįmanoma užtikrinti atidedant arba apribojant informacijos apie asmens duomenų saugumo pažeidimą teikimą atitinkamam fiziniam asmeniui;

(63)

duomenų valdytojas turėtų paskirti asmenį, kuris padėtų jam stebėti atitiktį vidaus lygiu pagal šią direktyvą priimtoms nuostatoms, išskyrus atvejus, kai valstybė narė nusprendžia šio įpareigojimo netaikyti teismams ir kitoms nepriklausomoms teisminėms institucijoms, vykdančioms savo teismines funkcijas. Tas asmuo galėtų būti esamas duomenų valdytojo darbuotojas, kuriam buvo surengtas specialus mokymas duomenų apsaugos teisės ir praktikos klausimu, kad jis įgytų dalykinių žinių toje srityje. Būtinas dalykinių žinių lygis turėtų būti nustatomas visų pirma atsižvelgiant į atliekamą duomenų tvarkymą ir būtiną duomenų valdytojo tvarkomų asmens duomenų apsaugą. Jo užduotis galėtų būti atliekama ne visą darbo dieną arba visą darbo dieną. Duomenų apsaugos pareigūną gali kartu paskirti keli duomenų valdytojai, atsižvelgiant į jų organizacinę struktūrą ir dydį, pavyzdžiui, tuo atveju, kai centriniai padaliniai dalijasi ištekliais. Tas asmuo atitinkamų duomenų valdytojų struktūroje taip pat gali būti paskirtas į įvairias pareigas. Tas asmuo turėtų padėti duomenų valdytojui ir asmens duomenims tvarkantiems darbuotojams juos informuodamas ir konsultuodamas apie jų atitinkamų duomenų apsaugos prievolių laikymąsi. Tokie duomenų apsaugos pareigūnai turėtų turėti galimybę savo pareigas ir užduotis atlikti nepriklausomai pagal valstybės narės teisę;

(64)

valstybės narės turėtų užtikrinti, kad duomenys trečiajai valstybei arba tarptautinei organizacijai būtų perduodami tik tuo atveju, jeigu tai būtina nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, ir kad duomenų valdytojas trečiojoje valstybėje arba tarptautinėje organizacijoje būtų pagal šią direktyvą kompetentinga institucija. Perdavimą turėtų atlikti tik kompetentingos institucijos, veikiančios kaip duomenų valdytojai, išskyrus atvejus, kai duomenų tvarkytojams yra aiškiai nurodyta duomenis perduoti duomenų valdytojų vardu. Tokį duomenų perdavimą galima atlikti tais atvejais, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kai numatytos tinkamos apsaugos priemonės, arba jeigu konkrečioms situacijoms taikomos nukrypti leidžiančios nuostatos. Jei asmens duomenys perduodami iš Sąjungos duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šia direktyva fiziniams asmenims numatytos apsaugos lygis, be kita ko, atvejais, susijusiais su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams arba duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar tarptautinėje organizacijoje;

(65)

kai asmens duomenys yra perduodami iš valstybės narės trečiosioms valstybėms arba tarptautinėms organizacijoms, toks perdavimas iš esmės turėtų vykti tik po to, kai valstybė narė, iš kurios duomenys buvo gauti, duoda sutikimą juos perduoti. Siekiant veiksmingo bendradarbiavimo teisėsaugos srityje, tais atvejais, kai valstybės narės ar trečiosios valstybės visuomenės saugumui arba valstybės narės esminiams interesams kilusios grėsmės pobūdis yra toks tiesioginis, kad laiku gauti išankstinį leidimą yra neįmanoma, kompetentinga institucija turėtų turėti galimybę perduoti atitinkamus asmens duomenis susijusiai trečiajai valstybei arba tarptautinei organizacijai be tokio išankstinio leidimo. Valstybės narės turėtų nustatyti, kad trečiosioms valstybėms arba tarptautinėms organizacijoms turėtų būti pranešta apie visas konkrečias asmens duomenų perdavimo sąlygas. Asmens duomenys toliau perduodami turėtų būti tik gavus pirminį duomenų perdavimą atlikusios kompetentingos institucijos išankstinį leidimą. Priimdama sprendimą dėl prašymo leisti duomenis perduoti toliau, pirminį duomenų perdavimą atlikusi kompetentinga institucija turėtų tinkamai atsižvelgti į visus susijusius veiksnius, įskaitant nusikalstamos veikos sunkumą, su pirminiu duomenų perdavimu susijusias konkrečias sąlygas ir tikslą, kurių laikantis ir dėl kurio buvo atliktas pirminis duomenų perdavimas, baudžiamosios sankcijos pobūdį ir jos vykdymo sąlygas, taip pat asmens duomenų apsaugos trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai toliau perduodami asmens duomenys, lygį. Pirminį duomenų perdavimą atlikusi kompetentinga institucija taip pat turėtų turėti galimybę nustatyti konkrečias tolesnio duomenų perdavimo sąlygas. Tokios konkrečios sąlygos gali būti apibūdintos, pavyzdžiui, duomenų tvarkymo kodeksuose;

(66)

Komisija turėtų turėti galimybę nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios valstybės, teritorija, arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis valstybėmis ar tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Tokiais atvejais asmens duomenys į tas šalis galėtų būti perduodami be jokio specialaus leidimo, išskyrus tuos atvejus, kai kita valstybė narė, iš kurios duomenys buvo gauti, turi duoti leidimą tam perdavimui;

(67)

atsižvelgdama į pagrindines vertybes, kuriomis grindžiama Sąjunga, visų pirma žmogaus teisių apsaugą, Komisija, vertindama trečiąją valstybę arba teritoriją, arba nurodytą sektorių trečiojoje valstybėje, turėtų atsižvelgti į tai, kaip atitinkama trečioji valstybė laikosi teisinės valstybės, teisės kreiptis į teismą principų, tarptautinių žmogaus teisių normų ir standartų, taip pat į jos bendrą ir atskirų sektorių teisę, įskaitant visuomenės saugumą, gynybą ir nacionalinį saugumą reglamentuojančius teisės aktus, taip pat viešąją tvarką bei baudžiamąją teisę. Priimant su teritorija arba nurodytu sektoriumi trečiojoje valstybėje susijusį sprendimą dėl tinkamumo turėtų būti atsižvelgiama į aiškius ir objektyvius kriterijus, pavyzdžiui, konkrečią duomenų tvarkymo veiklą ir trečiojoje valstybėje taikytinų teisinių standartų bei galiojančių teisės aktų taikymo sritį. Trečioji valstybė turėtų suteikti garantijų, kuriomis būtų užtikrinta atitinkamo lygio apsauga, iš esmės lygiavertė Sąjungoje užtikrinamai apsaugai, visų pirma tada, kai duomenys tvarkomi viename ar keliuose konkrečiuose sektoriuose. Visų pirma, trečioji valstybė turėtų užtikrinti veiksmingą nepriklausomą duomenų apsaugos priežiūrą ir nustatyti bendradarbiavimo su valstybių narių duomenų apsaugos institucijomis mechanizmus, o duomenų subjektams turėtų būti užtikrintos veiksmingos bei įgyvendinamos teisės ir galimybė naudotis veiksmingomis administracinėmis ir teisminėmis teisių gynimo priemonėmis;

(68)

Komisija turėtų atsižvelgti ne tik į trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus, bet ir į įsipareigojimus, kylančius dėl trečiosios valstybės arba tarptautinės organizacijos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma susijusio su asmens duomenų apsauga, ir į tokių įsipareigojimų įgyvendinimą. Visų pirma reikėtų atsižvelgti į trečiosios valstybės prisijungimą prie 1981 m. sausio 28 d. Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu ir jos papildomo protokolo. Vertindama apsaugos lygį trečiosiose valstybėse ar tarptautinėse organizacijose, Komisija turėtų konsultuotis su Europos duomenų apsaugos valdyba, įsteigta Reglamentu (ES) 2016/679 (toliau – Valdyba). Komisija taip pat turėtų atsižvelgti į visus atitinkamus Komisijos sprendimus dėl tinkamumo, priimtus pagal Reglamento (ES) 2016/679 45 straipsnį;

(69)

Komisija turėtų stebėti, kaip vykdomi sprendimai dėl apsaugos lygio trečiojoje valstybėje, teritorijoje arba nurodytame sektoriuje trečiojoje valstybėje, arba tarptautinėje organizacijoje. Savo sprendimuose dėl tinkamumo Komisija turėtų numatyti periodinės jų vykdymo peržiūros mechanizmą. Ta periodinė peržiūra turėtų būti atliekama konsultuojantis su atitinkama trečiąja valstybe arba tarptautine organizacija ir ja turėtų būti atsižvelgta į visus svarbius pokyčius toje trečiojoje valstybėje arba tarptautinėje organizacijoje;

(70)

Komisija taip pat turėtų galėti pripažinti, kad trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo duomenų apsaugos lygio. Todėl perduoti asmens duomenis tai trečiajai valstybei arba tai tarptautinei organizacijai turėtų būti draudžiama, išskyrus atvejus, kai tenkinami šioje direktyvoje nustatyti reikalavimai, susiję su duomenų perdavimu, kuriam taikomos tinkamos apsaugos priemonės ir nukrypti leidžiančios nuostatos atskirais atvejais. Turėtų būti numatyta Komisijos konsultavimosi su tokiomis trečiosiomis valstybėmis arba tarptautinėmis organizacijomis tvarka. Komisija turėtų laiku informuoti trečiąją valstybę arba tarptautinę organizaciją apie priežastis ir pradėti su ja konsultacijas, kad padėtis būtų ištaisyta;

(71)

perduoti duomenis, kai tai nėra grindžiama tokiu sprendimu dėl tinkamumo, turėtų būti leidžiama tik tais atvejais, jeigu teisiškai privalomoje priemonėje yra nustatytos tinkamos apsaugos priemonės, užtikrinančios asmens duomenų apsaugą, arba jeigu duomenų valdytojas įvertino visas su duomenų perdavimu susijusias aplinkybes ir remdamasis tuo įvertinimu mano, kad esama tinkamų apsaugos priemonių, susijusių su asmens duomenų apsauga. Tokiomis teisiškai privalomomis priemonėmis galėtų būti, pavyzdžiui, teisiškai privalomi dvišaliai susitarimai, kuriuos valstybės narės yra sudariusios ir įgyvendinusios savo teisinėje sistemoje ir kuriuos galėtų įgyvendinti jų duomenų subjektai, užtikrinant, kad būtų laikomasi duomenų apsaugos reikalavimų ir būtų užtikrinamos duomenų subjektų teisės, įskaitant teisę naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis. Atlikdamas visų su duomenų perdavimu susijusių aplinkybių vertinimą, duomenų valdytojas turėtų turėti galimybę atsižvelgti į Europolo ar Eurojusto ir trečiųjų valstybių sudarytus bendradarbiavimo susitarimus, kuriais leidžiama keistis asmens duomenimis. Duomenų valdytojas turėtų taip pat turėti galimybę atsižvelgti į tai, kad asmens duomenų perdavimui bus taikomi konfidencialumo įpareigojimai ir savitumo principas, užtikrinant, kad duomenys būtų tvarkomi tik tais tikslais, kuriais jie yra perduodami. Be to, duomenų valdytojas turėtų atsižvelgti į tai, kad asmens duomenys nebus naudojami siekiant tikslo reikalauti paskelbti, paskelbti ar įvykdyti mirties bausmę arba kitą žiauraus ir nežmoniško elgesio bausmę. Nors tos sąlygos galėtų būti laikomos tinkamomis apsaugos priemonėmis, suteikiančiomis galimybę perduoti duomenis, tačiau duomenų valdytojas turėtų turėti galimybę pareikalauti, kad būtų nustatytos papildomos apsaugos priemonės;

(72)

kai nepriimtas joks sprendimas dėl tinkamumo arba nėra tinkamų apsaugos priemonių, perdavimą arba tam tikros kategorijos perdavimus būtų galima vykdyti tik konkrečiomis situacijomis, jei tai būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus arba teisėtus duomenų subjekto interesus, kai tai numatyta pagal asmens duomenis perduodančios valstybės narės teisę; siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui; atskiru atveju nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba atskiru atveju, siekiant nustatyti, vykdyti ar ginti teisinius reikalavimus. Tos nukrypti leidžiančios nuostatos turėtų būti aiškinamos siaurai ir jas taikant neturėtų būti leidžiama atlikti dažną, didelio masto ir struktūrinį asmens duomenų perdavimą, taip pat didelio masto duomenų perdavimus; jos turėtų būti taikomos tik tikrai būtinų duomenų perdavimui. Tokie duomenų perdavimai turėtų būti dokumentuojami ir priežiūros institucijos prašymu jai turėtų būti suteikta galimybė su jais susipažinti tam, kad būtų galima stebėti duomenų perdavimo teisėtumą;

(73)

valstybių narių kompetentingos institucijos taiko su trečiosiomis valstybėmis sudarytus galiojančius dvišalius ar daugiašalius tarptautinius susitarimus teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse keisdamosi atitinkama informacija, leidžiančia joms vykdyti joms teisiškai paskirtas užduotis. Iš principo tai vyksta per atitinkamas šios direktyvos tikslais kompetentingas institucijas trečiosiose valstybėse arba bent jau su jomis bendradarbiaujant, kartais net tuo atveju, jeigu dvišalių ar daugiašalių tarptautinių susitarimų nėra. Tačiau konkrečiais individualiais atvejais įprastos procedūros, pagal kurias numatyta, kad reikia susisiekti su tokia institucija trečiojoje valstybėje, gali būti neveiksmingos ar netinkamos, visų pirma dėl to, kad duomenų perdavimas negalėtų būti atliktas laiku, arba dėl to, kad ta institucija trečiojoje valstybėje nesilaiko teisinės valstybės principų arba tarptautinių žmogaus teisių normų ir standartų, todėl tokiu atveju valstybių narių institucijos galėtų nuspręsti perduoti asmens duomenis tiesiogiai duomenų gavėjams, įsteigtiems tose trečiosiose valstybėse. Taip gali būti tuo atveju, kai būtina nedelsiant perduoti asmens duomenis siekiant išgelbėti asmens, kuris gali tapti nusikalstamos veikos auka, gyvybę arba siekiant užkirsti kelią realiai gresiančiam nusikaltimui, įskaitant terorizmą. NET jeigu toks duomenų perdavimas tarp kompetentingų institucijų ir duomenų gavėjų, įsteigtų trečiosiose valstybėse, turėtų vykti tik konkrečiais individualiais atvejais, šioje direktyvoje turėtų būti numatytos tokių atvejų reglamentavimo sąlygos. Tos nuostatos neturėtų būti laikomos nukrypti nuo galiojančių dvišalių ar daugiašalių tarptautinių susitarimų teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse leidžiančiomis nuostatomis. Tos taisyklės turėtų būti taikomos kartu su kitomis šios direktyvos taisyklėmis, visų pirma su taisyklėmis dėl duomenų tvarkymo teisėtumo ir V skyriaus taisyklėmis;

(74)

kai asmens duomenys perduodami į kitas valstybes, fiziniams asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, kad apsisaugotų nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijoms gali paaiškėti, kad jos negali nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų ir nenuoseklus teisinis reglamentavimas. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis;

(75)

visiškai nepriklausomai savo funkcijas galinčių vykdyti priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Priežiūros institucijos turėtų stebėti, kaip taikomos pagal šią direktyvą priimtos nuostatos, ir turėtų padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis. Tuo tikslu priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija;

(76)

valstybės narės gali pagal Reglamentą (ES) 2016/679 jau įsteigtai priežiūros institucijai pavesti atlikti pagal šią direktyvą įsteigtinų nacionalinių priežiūros institucijų užduotis;

(77)

valstybėms narėms turėtų būti leidžiama įsteigti daugiau nei vieną priežiūros instituciją atsižvelgiant į jų konstitucinę, organizacinę ir administracinę sandarą. Kiekvienai priežiūros institucijai turėtų būti suteikta finansinių ir žmogiškųjų išteklių, taip pat patalpos ir infrastruktūra, kurie joms yra reikalingi jų užduotims veiksmingai vykdyti, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis. Kiekviena priežiūros institucija turėtų turėti atskirą viešą metinį biudžetą; jis gali būti viso valstybės ar nacionalinio biudžeto dalis;

(78)

priežiūros institucijoms turėtų būti taikomi jų finansinių išlaidų nepriklausomos kontrolės ar stebėsenos mechanizmai, tačiau tokia finansinė kontrolė neturi turėti poveikio jų nepriklausomumui;

(79)

bendrieji reikalavimai priežiūros institucijos nariui arba nariams turėtų būti nustatyti pagal valstybės narės teisę, ir visų pirma turėtų būti nustatyta, kad tuos narius turėtų skirti atitinkamos valstybės narės parlamentas arba Vyriausybė, arba valstybės vadovas, remiantis Vyriausybės ar Vyriausybės nario arba parlamento ar parlamento rūmų pasiūlymu, arba nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta skirti narius taikant skaidrią procedūrą. Siekiant užtikrinti priežiūros institucijos nepriklausomumą, narys arba nariai turėtų elgtis sąžiningai, neturėtų imtis jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu neturėtų dirbti jokio nesuderinamo – mokamo ar nemokamo – darbo. Siekiant užtikrinti priežiūros institucijos nepriklausomumą, darbuotojus turėtų parinkti priežiūros institucija, o šiame procese gali dalyvauti nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta ta funkcija;

(80)

nors ši direktyva taip pat taikoma nacionalinių teismų ir kitų teisminių institucijų veiklai, priežiūros institucijų kompetencija neturėtų apimti asmens duomenų tvarkymo, kai teismai vykdo savo teismines funkcijas, taip siekiant apsaugoti teisėjų nepriklausomumą jiems atliekant savo teismines užduotis. Ta išimtis turėtų būti taikoma tik teisminei veiklai teismo bylose ir netaikoma kitai veiklai, kurią teisėjai gali vykdyti pagal valstybės narės teisę. Valstybės narės taip pat turėtų turėti galimybę nustatyti, kad priežiūros institucijos kompetencija neapima asmens duomenų tvarkymo, kai duomenis tvarko kitos nepriklausomos teisminės institucijos vykdydamos savo teismines funkcijas, pavyzdžiui, prokuratūra. Bet kuriuo atveju tam, kaip teismai ir kitos nepriklausomos teisminės institucijos laikosi šios direktyvos taisyklių, visada taikoma nepriklausoma kontrolė pagal Chartijos 8 straipsnio 3 dalį;

(81)

kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas, ir turėtų juos tirti arba perduoti kompetentingai priežiūros institucijai. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai yra tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija;

(82)

siekiant užtikrinti veiksmingą, patikimą ir nuoseklią šios direktyvos laikymosi stebėseną ir jos vykdymą visoje Sąjungoje pagal SESV, kaip išaiškinta Teisingumo Teismo, kiekvienoje valstybėje narėje priežiūros institucijos turėtų vykdyti tas pačias užduotis ir naudotis tais pačiais veiksmingais įgaliojimais, įskaitant tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų ir patariamuosius įgaliojimus – šie įgaliojimai yra būtinos priemonės jų užduotims atlikti. Tačiau jų įgaliojimai neturėtų prieštarauti specialioms baudžiamojo proceso, įskaitant nusikalstamų veikų tyrimą ir baudžiamąjį persekiojimą už jas, taisyklėms ar teismų nepriklausomumui. Nedarant poveikio baudžiamojo persekiojimo institucijų įgaliojimams pagal valstybės narės teisę, priežiūros institucijoms taip pat turėtų būti suteikti įgaliojimai atkreipti teisminių institucijų dėmesį į šios direktyvos pažeidimus arba būti teisminio proceso šalimi. Priežiūros institucijų įgaliojimais turėtų būti naudojamasi laikantis atitinkamų procedūrinių apsaugos priemonių, nustatytų pagal Sąjungos ir valstybės narės teisę, nešališkai, sąžiningai ir per pagrįstą laikotarpį. Visų pirma kiekviena priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti šios direktyvos laikymąsi, atsižvelgiant į kiekvieno individualaus atvejo aplinkybes, ja turėtų būti gerbiama kiekvieno asmens teisė būti išklausytam prieš imantis konkrečios priemonės, kuri atitinkamam asmeniui padarytų neigiamą poveikį, ir vengiama, kad atitinkamas asmuo patirtų bereikalingų išlaidų ir pernelyg didelių nepatogumų. Tyrimo įgaliojimais, susijusiais su leidimu patekti į patalpas, turėtų būti naudojamasi laikantis valstybės narės teisėje nustatytų konkrečių reikalavimų, pavyzdžiui, reikalavimo iš anksto gauti teismo leidimą. Teisiškai privalomo sprendimo priėmimui turėtų būti taikoma teisminė peržiūra sprendimą priėmusios priežiūros institucijos valstybėje narėje;

(83)

priežiūros institucijos turėtų viena kitai padėti vykdyti savo užduotis ir teikti savitarpio pagalbą, siekiant užtikrinti, kad pagal šią direktyvą priimtos nuostatos būtų nuosekliai taikomos ir vykdomos;

(84)

Valdyba turėtų padėti nuosekliai taikyti šią direktyvą visoje Sąjungoje, be kita ko, patarti Komisijai ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje;

(85)

kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai ir teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį, jeigu duomenų subjektas mano, kad jo teisės remiantis pagal šią direktyvą priimtomis nuostatomis yra pažeistos, arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai yra tikslinga konkrečiu atveju. Kompetentinga priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, kiekviena priežiūros institucija turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima taip pat užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis;

(86)

kiekvienas fizinis ar juridinis asmuo turėtų turėti teisę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu. Tačiau ta teisė neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų. Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsteigta, teismuose ir turėtų vykti laikantis valstybės narės teisės. Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi;

(87)

jeigu duomenų subjektas mano, kad jo teisės pagal šią direktyvą yra pažeistos, jis turėtų turėti teisę įgalioti įstaigą, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų asmens duomenų apsauga, ir kuri įsteigta pagal valstybės narės teisę, jo vardu pateikti skundą priežiūros institucijai ir pasinaudoti teise į teisminę teisių gynimo priemonę. Teisė į atstovavimą duomenų subjektams neturėtų daryti poveikio valstybės narės proceso teisei, pagal kurią gali būti reikalaujama, kad nacionaliniuose teismuose duomenų subjektams privaloma tvarka atstovautų teisininkas, kaip apibrėžta Tarybos direktyvoje 77/249/EEB (10);

(88)

bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo nesilaikant pagal šią direktyvą priimtų nuostatų, turėtų atlyginti duomenų valdytojas arba bet kuri kita pagal valstybės narės teisę kompetentinga institucija. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šios direktyvos tikslai. Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo. Kai daroma nuoroda į duomenų tvarkymą, kuris yra neteisėtas arba atliekamas nesilaikant pagal šią direktyvą priimtų nuostatų, tai apima ir duomenų tvarkymą nesilaikant pagal šią direktyvą priimtų įgyvendinimo aktų. Duomenų subjektai turėtų gauti visą ir veiksmingą kompensaciją už jų patirtą žalą;

(89)

privatinės teisės arba viešosios teisės reglamentuojamam fiziniam ar juridiniam asmeniui, nesilaikančiam šios direktyvos, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir jos turėtų imtis visų priemonių sankcijoms vykdyti;

(90)

siekiant užtikrinti vienodas šios direktyvos įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai dėl tinkamo apsaugos lygio, kurį turi užtikrinti trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija, dėl savitarpio pagalbos formos ir procedūrų, bei dėl priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarkos. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (11);

(91)

priimant įgyvendinimo aktus dėl tinkamo apsaugos lygio, kurį turi užtikrinti trečioji valstybė, teritorija arba nurodytas sektorius trečiojoje valstybėje, arba tarptautinė organizacija, dėl savitarpio pagalbos formos ir procedūrų, bei dėl priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarkos turėtų būti taikoma nagrinėjimo procedūra, jeigu tie aktai yra bendro pobūdžio;

(92)

Komisija turėtų priimti nedelsiant taikytinus įgyvendinimo aktus, kai tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio nebeužtikrinančia trečiąja valstybe, teritorija arba nurodytu sektoriumi trečiojoje valstybėje, arba tarptautine organizacija, yra privalomų skubos priežasčių;

(93)

kadangi šios direktyvos tikslų, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje nebūtų varžomas, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi ES sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(94)

specialios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje priimtų Sąjungos aktų, kurie buvo priimti prieš priimant šią direktyvą ir kuriais reglamentuojamas tarp valstybių narių vykdomas asmens duomenų tvarkymas arba valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, nuostatos turėtų likti nepakitusios, pavyzdžiui, specialios nuostatos dėl asmens duomenų apsaugos, taikomos pagal Tarybos sprendimą 2008/615/TVR (12), arba Konvencijos dėl Europos Sąjungos valstybių narių savitarpio pagalbos baudžiamosiose bylose (13) 23 straipsnis. Kadangi Chartijos 8 straipsnyje ir SESV 16 straipsnyje nustatyta, kad pagrindinė teisė į asmens duomenų apsaugą visoje Sąjungoje turi būti užtikrinama nuosekliai, Komisija turėtų įvertinti šios direktyvos ir aktų, priimtų prieš priimant šią direktyvą, kuriais reglamentuojamas tarp valstybių narių vykdomas asmens duomenų tvarkymas arba valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, ryšį, kad nustatytų, ar reikia tas specialias nuostatas suderinti su šia direktyva. Prireikus Komisija turėtų pateikti pasiūlymus, siekdama užtikrinti nuoseklias teisės normas, susijusias su asmens duomenų tvarkymu;

(95)

siekiant užtikrinti visapusišką ir nuoseklią asmens duomenų apsaugą Sąjungoje, tarptautiniai susitarimai, kuriuos valstybės narės sudarė iki šios direktyvos įsigaliojimo dienos ir kurie atitinka atitinkamus Sąjungos teisės aktus, taikytinus iki tos dienos, turėtų likti galioti tol, kol jie nepakeičiami iš dalies, nepakeičiami naujais susitarimais arba nepanaikinami;

(96)

šiai direktyvai perkelti į nacionalinę teisę valstybėms narėms turėtų suteiktas ne ilgesnis kaip dvejų metų laikotarpis nuo jos įsigaliojimo dienos. Tą dieną jau vykdomas duomenų tvarkymas turėtų būti suderintas su šia direktyva per dvejus metus nuo šios direktyvos įsigaliojimo. Tačiau kai toks duomenų tvarkymas atitinka Sąjungos teisę, taikytiną iki šios direktyvos įsigaliojimo dienos, šios direktyvos reikalavimai, susiję su išankstinėmis konsultacijomis su priežiūros institucija, neturėtų būti taikomi duomenų tvarkymo operacijoms, kurios jau buvo atliekamos tą dieną, kadangi tie reikalavimai pagal savo pobūdį turi būti įvykdyti prieš duomenų tvarkymą. Kai valstybės narės, siekdamos įvykdyti iki šios direktyvos įsigaliojimo dienos sukurtų automatizuotų duomenų tvarkymo sistemų atveju taikomas registravimo prievoles, taiko ilgesnįjį įgyvendinimo laikotarpį, kuris baigiasi praėjus septyniems metams nuo tos dienos, duomenų valdytojas arba duomenų tvarkytojas turėtų būti įdiegęs veiksmingus metodus, kuriais būtų įrodomas duomenų tvarkymo teisėtumas, suteikiama galimybė vykdyti savikontrolę ir užtikrinamas duomenų vientisumas bei duomenų saugumas, tokius kaip registracijos įrašai ar kitų formų įrašai;

(97)

šia direktyva nedaromas poveikis taisyklėms, kuriomis reglamentuojama kova su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, nustatytoms Europos Parlamento ir Tarybos direktyvoje 2011/93/ES (14);

(98)

todėl Pamatinis sprendimas 2008/977/TVR turėtų būti panaikintas;

(99)

pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 21 dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės 6a straipsnį Jungtinei Karalystei ir Airijai nėra privalomos šioje direktyvoje nustatytos taisyklės, kurios yra susijusios su valstybių narių vykdomu asmens duomenų tvarkymu atliekant veiklą, kuriai taikomas SESV trečiosios dalies V antraštinės dalies 4 arba 5 skyrius, tais atvejais, kai Jungtinei Karalystei ir Airijai nėra privalomos taisyklės, kuriomis reglamentuojamos teisminio bendradarbiavimo baudžiamosiose bylose ar policijos bendradarbiavimo, kurį vykdant turi būti laikomasi pagal SESV 16 straipsnį nustatytų nuostatų, formos;

(100)

pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 22 dėl Danijos pozicijos 2 ir 2a straipsnius Danijai nėra privalomos ar taikomos šioje direktyvoje nustatytos taisyklės, kurios yra susijusios su valstybių narių vykdomu asmens duomenų tvarkymu atliekant veiklą, kuriai taikomas SESV trečiosios dalies V antraštinės dalies 4 arba 5 skyrius. Kadangi ši direktyva grindžiama Šengeno acquis, pagal SESV trečiosios dalies V antraštinę dalį Danija, remdamasi to protokolo 4 straipsniu, per šešis mėnesius po šios direktyvos priėmimo turi nuspręsti, ar ją įtrauks į savo nacionalinę teisę;

(101)

Islandijos ir Norvegijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės susitarime dėl pastarųjų asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (15);

(102)

Šveicarijos atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (16);

(103)

Lichtenšteino atžvilgiu šia direktyva plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis  (17);

(104)

šioje direktyvoje užtikrinamos pagrindinės teisės ir laikomasi principų, pripažintų Chartijoje ir įtvirtintų SESV, visų pirma teisės į privatų ir šeimos gyvenimą, teisės į asmens duomenų apsaugą, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą. Tų teisių apribojimai atitinka Chartijos 52 straipsnio 1 dalį, nes jie būtini siekiant atitikti Sąjungos pripažintus bendro intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti;

(105)

pagal 2011 m. rugsėjo 28 d. Bendrą valstybių narių ir Komisijos politinį pareiškimą dėl aiškinamųjų dokumentų valstybės narės įsipareigojo pagrįstais atvejais prie pranešimų apie perkėlimo į nacionalinę teisę priemones pridėti vieną ar daugiau dokumentų, kuriuose paaiškinamos direktyvos sudėtinių dalių ir nacionalinių perkėlimo į nacionalinę teisę priemonių atitinkamų dalių sąsajos. Šios direktyvos atveju teisės aktų leidėjas laikosi nuomonės, kad tokių dokumentų persiuntimas yra pagrįstas;

(106)

remiantis Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalimi, buvo pasikonsultuota su Europos duomenų apsaugos priežiūros pareigūnu ir jis 2012 m. kovo 7 d. pateikė nuomonę (18);

(107)

šia direktyva valstybėms narėms neturėtų būti trukdoma nacionalinėse taisyklėse, kuriomis reglamentuojamas baudžiamasis procesas, reglamentuoti naudojimąsi duomenų subjektų teisėmis gauti informaciją, susipažinti su asmens duomenimis, juos ištaisyti ar ištrinti bei apriboti duomenų tvarkymą baudžiamojo proceso metu, taip pat nustatyti galimus tų teisių apribojimus,

PRIĖMĖ ŠIĄ DIREKTYVĄ:

I SKYRIUS

Bendrosios nuostatos

1 straipsnis

Dalykas ir tikslai

1.   Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.

2.   Remdamosi šia direktyva, valstybės narės:

a)

saugo fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir

b)

užtikrina, kad kompetentingų institucijų keitimasis asmens duomenimis Sąjungoje, kai tokio keitimosi reikalaujama pagal Sąjungos arba valstybės narės teisę, nebūtų ribojamas ar draudžiamas dėl su fizinių asmenų apsauga tvarkant asmens duomenis susijusių priežasčių.

3.   Šia direktyva valstybėms narėms netrukdoma taikyti griežtesnes apsaugos priemones nei tos, kurios numatytos šioje direktyvoje, siekiant užtikrinti duomenų subjektų teisių ir laisvių apsaugą kompetentingoms institucijoms tvarkant asmens duomenis.

2 straipsnis

Taikymo sritis

1.   Ši direktyva taikoma kompetentingų institucijų vykdomam asmens duomenų tvarkymui 1 straipsnio 1 dalyje išdėstytais tikslais.

2.   Ši direktyva taikoma asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, tvarkymui neautomatizuotomis priemonėmis.

3.   Ši direktyva netaikoma asmens duomenų tvarkymui, kai:

a)

duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

b)

duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros.

3 straipsnis

Apibrėžtys

Šioje direktyvoje:

1.   asmens duomenys– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2.   duomenų tvarkymas– bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

3.   duomenų tvarkymo apribojimas– saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

4.   profiliavimas– bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti arba numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, vieta arba judėjimu;

5.   pseudonimų suteikimas– asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

6.   susistemintas rinkinys– bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

7.   kompetentinga institucija

a)

bet kokia valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba

b)

bet kokia kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais;

8.   duomenų valdytojas– kompetentinga institucija, kuri viena ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

9.   duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kurie duomenų valdytojo vardu tvarko asmens duomenis;

10.   duomenų gavėjas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne, išskyrus valdžios institucijas, kurios gali gauti asmens duomenis vykdant konkretų tyrimą pagal valstybės narės teisę, kai tvarkydamos tuos duomenis tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

11.   asmens duomenų saugumo pažeidimas– saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

12.   genetiniai duomenys– asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

13.   biometriniai duomenys– po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

14.   sveikatos duomenys– asmens duomenys, susiję su fizinio asmens fizine ar psichikos sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

15.   priežiūros institucija– valstybės narės pagal 41 straipsnį įsteigta nepriklausoma valdžios institucija;

16.   tarptautinė organizacija– organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, arba bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

II SKYRIUS

Principai

4 straipsnis

Su asmens duomenų tvarkymu susiję principai

1.   Valstybės narės numato, kad asmens duomenys turi būti:

a)

tvarkomi teisėtai ir sąžiningai;

b)

renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti tvarkomi tokiu būdu, kuris būtų nesuderinamas su tais tikslais;

c)

tinkami, aktualūs ir ne pernelyg išsamūs tikslų, kuriais jie yra tvarkomi, atžvilgiu;

d)

tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinti arba ištaisyti;

e)

saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie tvarkomi;

f)

tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo, taikant tinkamas technines ar organizacines priemones.

2.   Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu:

a)

duomenų valdytojui leidžiama tvarkyti tokius asmens duomenis tokiu tikslu vadovaujantis Sąjungos arba valstybės narės teise ir

b)

duomenų tvarkymas yra būtinas bei proporcingai atitinka tą kitą tikslą vadovaujantis Sąjungos arba valstybės narės teise.

3.   To paties ar kito duomenų valdytojo vykdomas duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimo mokslinio, statistinio ar istorinio tyrimo tikslu, siekiant 1 straipsnio 1 dalyje išdėstytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

4.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1, 2 ir 3 dalių, ir turi sugebėti tai įrodyti.

5 straipsnis

Saugojimo ir peržiūros terminai

Valstybės narės numato, kad turi būti nustatyti tinkami asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai. Tų terminų laikymasis užtikrinamas procedūrinėmis priemonėmis.

6 straipsnis

Skirtingų kategorijų duomenų subjektų atskyrimas

Valstybės narės numato, kad duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskirtų skirtingų kategorijų duomenų subjektų asmens duomenis, pavyzdžiui:

a)

asmenų, kurių atžvilgiu yra rimtų priežasčių manyti, kad jie įvykdė arba rengiasi įvykdyti nusikalstamą veiką;

b)

asmenų, nuteistų už nusikalstamą veiką;

c)

asmenų, kurie buvo nusikalstamos veikos aukomis arba kurių atžvilgiu, remiantis tam tikrais faktais, yra pagrindo manyti, kad jie galėtų būti nusikalstamos veikos aukomis, ir

d)

kitų su nusikalstama veika susijusių šalių, pavyzdžiui, asmenų, kurie galėtų būti kviečiami liudyti atliekant nusikalstamų veikų tyrimus arba paskesniu baudžiamojo proceso etapu, asmenų, kurie gali suteikti informacijos apie nusikalstamas veikas, arba asmenų, kurie yra pažįstami arba susiję su vienu iš a ir b punktuose nurodytų asmenų.

7 straipsnis

Asmens duomenų skirstymas ir asmens duomenų kokybės patikrinimas

1.   Valstybės narės numato, kad faktais pagrįsti asmens duomenys būtų atskiriami, kiek įmanoma, nuo asmeniniais vertinimais pagrįstų asmens duomenų.

2.   Valstybės narės numato, kad kompetentingos institucijos turi imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, tikrina asmens duomenų kokybę prieš juos persiunčiant arba prieš suteikiant galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę gaunančiajai kompetentingai institucijai įvertinti asmens duomenų tikslumo, išsamumo ir patikimumo laipsnį, taip pat jų naujumą.

3.   Paaiškėjus, kad buvo persiųsti neteisingi asmens duomenys arba asmens duomenys buvo persiųsti neteisėtai, duomenų gavėjas nedelsiant apie tai informuojamas. Tokiu atveju tie asmens duomenys pagal 16 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

8 straipsnis

Tvarkymo teisėtumas

1.   Valstybės narės numato, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai atlikti užduotį 1 straipsnio 1 dalyje išdėstytais tikslais, ir kad jis turi būti grindžiamas Sąjungos arba valstybės narės teise.

2.   Valstybės narės teisėje, kuria reglamentuojamas duomenų tvarkymas šios direktyvos taikymo srityje, konkrečiai nurodomi bent tvarkymo tikslai, tvarkytini asmens duomenys ir duomenų tvarkymo tikslai.

9 straipsnis

Konkrečios duomenų tvarkymo sąlygos

1.   Kompetentingų institucijų 1 straipsnio 1 dalyje išdėstytais tikslais renkami asmens duomenys negali būti tvarkomi kitais nei 1 straipsnio 1 dalyje išdėstytais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Jei asmens duomenys tvarkomi tais kitais tikslais, taikomas Reglamentas (ES) 2016/679, išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

2.   Kai kompetentingoms institucijoms pagal valstybės narės teisę yra pavesta atlikti kitas užduotis, nei tas, kurios vykdomos 1 straipsnio 1 dalyje išdėstytais tikslais, duomenų tvarkymui tokiais tikslais, be kita ko, archyvavimo dėl viešojo intereso, naudojimo mokslinių ar istorinių tyrimų tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679, išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

3.   Valstybės narės numato, kad tais atvejais, kai Sąjungos arba valstybės narės teisėje, taikytinoje duomenis persiunčiančiai kompetentingai institucijai, numatytos duomenų tvarkymui taikytinos specialios sąlygos, duomenis persiunčianti kompetentinga institucija turi informuoti tokių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

4.   Valstybės narės numato, kad duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose valstybėse narėse arba agentūroms, organams ir įstaigoms, įsteigtiems pagal SESV V antraštinės dalies 4 ir 5 skyrius, netaiko sąlygų pagal 3 dalį, išskyrus sąlygas, taikytinas panašiems duomenų persiuntimams duomenis persiunčiančios kompetentingos institucijos valstybėje narėje.

10 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

Asmens duomenų tvarkymas, kuriuo atskleidžiama rasinė arba etninė kilmė, politinės pažiūros, religiniai arba filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant vienareikšmiškai nustatyti fizinio asmens tapatybę, arba duomenų apie asmens sveikatą ar lytinį gyvenimą ir seksualinę orientaciją tvarkymas leidžiamas tik tada, jei tai tikrai būtina ir jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, ir jeigu:

a)

tai leidžiama pagal Sąjungos arba valstybės narės teisę;

b)

tai reikalinga duomenų subjekto ar kito fizinio asmens gyvybiniams interesams apsaugoti, arba

c)

toks tvarkymas susijęs su duomenimis, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai.

11 straipsnis

Automatizuotas individualių sprendimų priėmimas

1.   Valstybės narės numato draudimą priimti sprendimą remiantis tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris turi jam didelės įtakos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui ir kuria nustatytos tinkamos duomenų subjekto teisių ir laisvių, bent teisės reikalauti iš duomenų valdytojo žmogaus įsikišimo, apsaugos priemonės.

2.   Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami 10 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

3.   Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis 10 straipsnyje nurodytais specialių kategorijų asmens duomenimis, draudžiamas pagal Sąjungos teisę.

III SKYRIUS

Duomenų subjekto teisės

12 straipsnis

Pranešimas ir duomenų subjektų naudojimosi savo teisėmis sąlygos

1.   Valstybės narės numato, kad duomenų valdytojas turi imtis visų pagrįstų priemonių, kad visa 13 straipsnyje nurodyta informacija ir visi 11, 14–18 ir 31 straipsniuose nurodyti pranešimai, susiję su duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama bet kokiomis tinkamomis priemonėmis, taip pat ir elektroniniu būdu. Paprastai duomenų valdytojas pateikia informaciją tokia pačia forma kaip ir prašymą.

2.   Valstybės narės numato, kad duomenų valdytojas turi palengvinti naudojimąsi duomenų subjekto teisėmis pagal 11 ir 14–18 straipsnius.

3.   Valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi raštu informuoti duomenų subjektą apie su jo prašymu susijusius tolesnius veiksmus.

4.   Valstybės narės numato, kad pagal 13 straipsnį teikiama informacija ir visi pagal 11, 14–18 ir 31 straipsnius teikiami pranešimai ar atliekami veiksmai turi būti teikiami ir vykdomi nemokamai. Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali:

a)

imti pagrįstą mokestį, atsižvelgdamas į administracines išlaidas, už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą, arba

b)

atsisakyti imtis veiksmų pagal prašymą.

Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

5.   Jei duomenų valdytojas turi pagrįstų abejonių dėl 14 arba 16 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

13 straipsnis

Informacija, kuri padaroma prieinama duomenų subjektui arba kuri turi būti pateikta duomenų subjektui

1.   Valstybės narės numato, kad duomenų valdytojas duomenų subjektui padarytų prieinama bent šią informaciją:

a)

duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)

duomenų apsaugos pareigūno kontaktinius duomenis, kai taikoma;

c)

duomenų tvarkymo tikslus, kuriems asmens duomenys yra skirti;

d)

informaciją apie teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos kontaktinius duomenis;

e)

tai, kad duomenų subjektas turi teisę duomenų valdytojo reikalauti, kad pastarasis leistų susipažinti su duomenų subjekto asmens duomenimis, juos ištaisytų ar ištrintų ir apribotų asmens duomenų tvarkymą.

2.   Be 1 dalyje nurodytos informacijos, valstybės narės teisės aktuose numato, kad duomenų valdytojas konkrečiais atvejais duomenų subjektui pateikia toliau nurodytą informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

a)

duomenų tvarkymo teisinį pagrindą;

b)

asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

c)

kai taikoma, asmens duomenų gavėjų kategorijas, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;

d)

prireikus, papildomą informaciją, visų pirma tais atvejais, kai asmens duomenys renkami apie tai nežinant duomenų subjektui.

3.   Valstybės narės gali priimti teisėkūros priemones, kuriomis informacijos teikimas duomenų subjektui pagal 2 dalį būtų atidėtas, apribotas arba kuriomis jo būtų nepaisoma tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)

užtikrinti visuomenės saugumą;

d)

užtikrinti nacionalinį saugumą;

e)

apsaugoti kitų asmenų teises ir laisves.

4.   Valstybės narės gali priimti teisėkūros priemones, kuriomis būtų nustatyta, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomas bet kuris iš 3 dalies punktų.

14 straipsnis

Duomenų subjekto teisė susipažinti su asmens duomenimis

Atsižvelgiant į 15 straipsnį, valstybės narės numato, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie yra tvarkomi, kad jis turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslais ir teisiniu pagrindu;

b)

atitinkamų asmens duomenų kategorijomis;

c)

informacija apie duomenų gavėjus arba duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, visų pirma duomenų gavėjų trečiosiose valstybėse arba tarptautinėse organizacijose, kategorijas;

d)

jeigu įmanoma, numatomu asmens duomenų saugojimo laikotarpiu arba, jei tai neįmanoma, kriterijais, taikomais tam laikotarpiui nustatyti;

e)

tai, kad duomenų subjektas turi teisę duomenų valdytojo reikalauti, kad pastarasis ištaisytų ar ištrintų duomenų subjekto asmens duomenis arba apribotų jų tvarkymą;

f)

informacija apie teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos kontaktiniais duomenimis;

g)

pranešimu apie tai, kokie asmens duomenys yra tvarkomi, ir apie visą turimą informaciją apie jų kilmę.

15 straipsnis

Teisės susipažinti su asmens duomenimis apribojimai

1.   Valstybės narės gali priimti teisėkūros priemones, kuriomis visiškai arba iš dalies būtų apribota duomenų subjekto teisė susipažinti su duomenimis tiek, kiek ir kol toks dalinis arba visiškas apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)

užtikrinti visuomenės saugumą;

d)

užtikrinti nacionalinį saugumą;

e)

apsaugoti kitų asmenų teises ir laisves.

2.   Valstybės narės gali priimti teisėkūros priemones, kuriomis būtų nustatyta, kokioms duomenų tvarkymo kategorijoms gali būti visiškai arba iš dalies taikomi 1 dalies a–e punktai.

3.   1 ir 2 dalyse nurodytais atvejais valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą ir tokio atsisakymo ar apribojimo priežastis. Tokia informacija gali būti nesuteikta, jeigu jos pateikimas pakenktų tikslui, kurio siekiama 1 dalimi. Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai arba siekti teisminės teisių gynimo priemonės.

4.   Valstybės narės numato, kad duomenų valdytojas turi dokumentuoti faktines arba teisines priežastis, kuriomis pagrįstas sprendimas. Ta informacija pateikiama priežiūros institucijoms.

16 straipsnis

Teisė reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą

1.   Valstybės narės numato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius jo asmens duomenis. Atsižvelgiant į duomenų tvarkymo tikslus, valstybės narės numato, kad duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikiant papildomą pareiškimą.

2.   Valstybės narės įpareigoja duomenų valdytoją nepagrįstai nedelsiant ištrinti asmens duomenis ir nustato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų jo asmens duomenis, jeigu duomenų tvarkymu pažeidžiamos pagal 4, 8 ar 10 straipsnį priimtos nuostatos arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui.

3.   Duomenų valdytojas apriboja duomenų tvarkymą jų neištrindamas, jeigu:

a)

duomenų subjektas ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba

b)

asmens duomenys turi būti išsaugoti įrodymų tikslais.

Jeigu duomenų tvarkymas ribojamas pagal pirmos pastraipos a punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

4.   Valstybės narės numato, kad duomenų valdytojas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą bei apie tokio atsisakymo priežastis. Valstybės narės gali priimti teisėkūros priemones, kuriomis visiškai arba iš dalies būtų apribota prievolė pateikti tokią informaciją tiek, kiek toks apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra būtina ir proporcinga demokratinės visuomenės priemonė, siekiant:

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)

užtikrinti visuomenės saugumą;

d)

užtikrinti nacionalinį saugumą;

e)

apsaugoti kitų asmenų teises ir laisves.

Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai arba siekti teisminės teisių gynimo priemonės.

5.   Valstybės narės numato, kad duomenų valdytojas turi pranešti apie netikslių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs asmens duomenys buvo gauti.

6.   Valstybės narės tais atvejais, kai asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas pagal 1, 2 ir 3 dalis, numato, kad duomenų valdytojas turi informuoti duomenų gavėjus, o duomenų gavėjai turi ištaisyti ar ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą, kai asmens duomenų tvarkymas priklauso jų atsakomybei.

17 straipsnis

Duomenų subjekto naudojimasis teisėmis ir priežiūros institucijos atliekamas patikrinimas

1.   13 straipsnio 3 dalyje, 15 straipsnio 3 dalyje ir 16 straipsnio 4 dalyje nurodytais atvejais valstybės narės priima priemones, kuriomis būtų nustatyta, kad duomenų subjekto teisėmis taip pat gali būti naudojamasi per kompetentingą priežiūros instituciją.

2.   Valstybės narės numato, kad duomenų valdytojas turi informuoti duomenų subjektą apie galimybę naudotis jo teisėmis per priežiūros instituciją pagal 1 dalį.

3.   Jei naudojamasi 1 dalyje nurodyta teise, priežiūros institucija informuoja duomenų subjektą bent apie tai, kad priežiūros institucija atliko visus būtinus patikrinimus arba peržiūrą. Priežiūros institucija taip pat informuoja duomenų subjektą apie jo teisę siekti teisminės teisių gynimo priemonės.

18 straipsnis

Duomenų subjekto teisės vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą

Valstybės narės gali numatyti, kad atvejais, kai vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą asmens duomenys yra nurodomi teismo sprendime, nuosprendžių registre arba byloje, 13, 14 ir 16 straipsniuose nurodytomis teisėmis turi būti naudojamasi pagal valstybės narės teisę.

IV SKYRIUS

Duomenų valdytojas ir duomenų tvarkytojas

1 skirsnis

Bendrosios prievolės

19 straipsnis

Duomenų valdytojo prievolės

1.   Valstybės narės numato, kad duomenų valdytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, siekdamas užtikrinti, kad duomenų tvarkymas būtų atliekamas laikantis šios direktyvos, ir galėtų tai įrodyti. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2.   Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

20 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.   Valstybės narės numato, kad duomenų valdytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, kurį kelia duomenų tvarkymas, tiek duomenų tvarkymo priemonių nustatymo metu, tiek paties tvarkymo metu turi įgyvendinti tinkamas technines ir organizacines priemones, pavyzdžiui, pseudonimų suteikimą, skirtas tam, kad būtų veiksmingai įgyvendinami duomenų apsaugos principai, pavyzdžiui, duomenų kiekio mažinimas, ir kad į duomenų tvarkymo procesą būtų integruotos reikiamos apsaugos priemonės, siekiant įvykdyti šios direktyvos reikalavimus ir apsaugoti duomenų subjektų teises.

2.   Valstybės narės numato, kad duomenų valdytojas turi įgyvendinti tinkamas technines ir organizacines priemones, kuriomis būtų užtikrinta, kad pagal standartizuotą praktiką būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad pagal standartizuotą praktiką su asmens duomenimis be asmens įsikišimo negalėtų susipažinti neribotas fizinių asmenų skaičius.

21 straipsnis

Bendri duomenų valdytojai

1.   Valstybės narės tais atvejais, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, numato, kad jie turi būti laikomi bendrais duomenų valdytojais. Jie tarpusavio susitarimu skaidriai nustato savo atitinkamą atsakomybę už šios direktyvos nuostatų, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir su jų atitinkamomis pareigomis pateikti 13 straipsnyje nurodytą informaciją, vykdymą, išskyrus atvejus, kai, ir tiek, kiek atitinkama duomenų valdytojų atsakomybė nustatoma Sąjungos arba valstybės narės teise, kuri yra taikoma duomenų valdytojams. Tokiu susitarimu nustatomas informacinis punktas, skirtas duomenų subjektams. Valstybės narės gali nustatyti, kuris iš bendrų duomenų valdytojų gali atlikti vieno bendro informacinio punkto funkciją, kad duomenų subjektai galėtų pasinaudoti savo teisėmis.

2.   Nepaisant 1 dalyje nurodyto susitarimo sąlygų, valstybės narės gali numatyti, kad duomenų subjektas naudojasi savo teisėmis remiantis pagal šią direktyvą priimtomis nuostatomis kiekvieno iš duomenų valdytojų atžvilgiu ir prieš kiekvieną iš jų.

22 straipsnis

Duomenų tvarkytojas

1.   Valstybės narės, jeigu duomenys turi būti tvarkomi duomenų valdytojo vardu, numato, kad duomenų valdytojas turi pasitelkti tik tuos duomenų tvarkytojus, kurie suteikia pakankamų garantijų, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų šios direktyvos reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.   Valstybės narės numato, kad duomenų tvarkytojas be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo negali pasitelkti kito duomenų tvarkytojo. Bendro rašytinio leidimo atveju duomenų tvarkytojas turi informuoti duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikti duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3.   Valstybės narės numato, kad duomenų tvarkytojo atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui ir duomenų valdytojui, ir kuriuo nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos, bei duomenų valdytojo prievolės ir teisės. Ta sutartimi ar kitu teisės aktu visų pirma nustatoma, kad duomenų tvarkytojas:

a)

veikia tik pagal duomenų valdytojo nurodymus;

b)

užtikrina, kad asmenys, kuriems leidžiama tvarkyti asmens duomenis, būtų įsipareigoję laikytis konfidencialumo arba kad jiems būtų taikoma tinkama įstatais nustatyta konfidencialumo užtikrinimo prievolė;

c)

visomis tinkamomis priemonėmis padeda duomenų valdytojui užtikrinti, kad būtų laikomasi nuostatų dėl duomenų subjekto teisių;

d)

užbaigus teikti duomenų tvarkymo paslaugas, pagal duomenų valdytojo pasirinkimą pašalina arba grąžina visus asmens duomenis duomenų valdytojui ir pašalina esamas kopijas, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę reikalaujama asmens duomenis saugoti;

e)

pateikia duomenų valdytojui visą informaciją, būtiną norint parodyti, kad laikomasi šio straipsnio;

f)

laikosi 2 ir 3 dalyse nurodytų sąlygų, kurios taikomos siekiant pasitelkti kitą duomenų tvarkytoją.

4.   3 dalyje nurodyta sutartis arba kitas teisės aktas sudaromi raštu ir gali būti prieinami elektronine forma.

5.   Jeigu duomenų tvarkytojas, pažeisdamas šią direktyvą, nustato duomenų tvarkymo tikslus ir priemones, to duomenų tvarkymo atžvilgiu tas duomenų tvarkytojas laikomas duomenų valdytoju.

23 straipsnis

Duomenų valdytojui ar duomenų tvarkytojui pavaldžių subjektų atliekamas duomenų tvarkymas

Valstybės narės numato, kad duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymą juos tvarkyti, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

24 straipsnis

Duomenų tvarkymo veiklos įrašai

1.   Valstybės narės numato, kad duomenų valdytojai turi tvarkyti visų kategorijų duomenų tvarkymo veiklos, už kurią jie atsako, registrą. Tame registre pateikiama visa ši informacija:

a)

duomenų valdytojo, visų bendrų duomenų valdytojų ir duomenų apsaugos pareigūno, jeigu toks yra, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

duomenų tvarkymo tikslai;

c)

duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautinėse organizacijose, kategorijos;

d)

duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

e)

kai taikytina, profiliavimo naudojimas;

f)

kai taikytina, asmens duomenų perdavimo trečiosioms valstybėms arba tarptautinėms organizacijoms kategorijos;

g)

informacija apie duomenų tvarkymo operacijos, įskaitant duomenų perdavimus, kuriai yra skirti asmens duomenys, teisinį pagrindą;

h)

jeigu įmanoma, numatomi įvairių kategorijų asmens duomenų ištrynimo terminai;

i)

jeigu įmanoma, bendras 29 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2.   Valstybės narės numato, kad kiekvienas duomenų tvarkytojas turi tvarkyti visų kategorijų duomenų tvarkymo veiklos, vykdomos duomenų valdytojo vardu, registrą, kuriame nurodoma:

a)

duomenų tvarkytojo arba duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir, jei taikytina, duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

kiekvieno duomenų valdytojo vardu vykdomo duomenų tvarkymo kategorijos;

c)

kai taikytina, asmens duomenų perdavimai trečiajai valstybei arba tarptautinei organizacijai, jeigu duomenų valdytojas aiškiai paveda tai padaryti, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją;

d)

jeigu įmanoma, bendras 29 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3.   1 ir 2 dalyse nurodytas registras parengiamas raštu ir gali būti prieinamas elektronine forma.

Gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas pateikia tuos registrus priežiūros institucijai.

25 straipsnis

Registravimas

1.   Valstybės narės numato, kad turi būti saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas automatizuotose duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris susipažino su asmens duomenimis arba juos atskleidė, tapatybę ir tokių asmens duomenų gavėjų tapatybę.

2.   Registracijos įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti asmens duomenų vientisumą bei saugumą ir baudžiamojo proceso tikslais.

3.   Gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas pateikia registracijos įrašus priežiūros institucijai.

26 straipsnis

Bendradarbiavimas su priežiūros institucija

Valstybės narės numato, kad, gavęs prašymą, duomenų valdytojas ir duomenų tvarkytojas turi bendradarbiauti su priežiūros institucija jai vykdant savo užduotis.

27 straipsnis

Poveikio duomenų apsaugai vertinimas

1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, valstybės narės numato, kad duomenų valdytojas, prieš pradedant vykdyti duomenų tvarkymą, turi atlikti numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.

2.   1 dalyje nurodytame vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tam pavojui pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šios direktyvos, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

28 straipsnis

Išankstinis konsultavimasis su priežiūros institucija

1.   Valstybės narės numato, kad duomenų valdytojas arba duomenų tvarkytojas turi iš anksto konsultuotis su priežiūros institucija prieš tvarkydamas asmens duomenis, kurie bus įtraukti į naują susistemintą rinkinį, kuris turi būti sukurtas, jeigu:

a)

27 straipsnyje numatytame poveikio duomenų apsaugai vertinime nurodyta, kad atliekant duomenų tvarkymą kiltų didelis pavojus tuo atveju, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti, arba

b)

dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, mechanizmus ar taikant naujas procedūras, kyla didelis pavojus duomenų subjektų teisėms ir laisvėms.

2.   Valstybės narės numato, kad rengiant pasiūlymą dėl su duomenų tvarkymu susijusios teisėkūros priemonės, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą reguliavimo priemonę, turi būti konsultuojamasi su priežiūros institucija.

3.   Valstybės narės numato, kad priežiūros institucija gali parengti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 1 dalį, sąrašą.

4.   Valstybės narės numato, kad duomenų valdytojas turi pateikti priežiūros institucijai poveikio duomenų apsaugai vertinimą pagal 27 straipsnį ir, gavęs prašymą, bet kokią kitą informaciją, kad priežiūros institucija galėtų įvertinti, ar duomenų tvarkymas atitinka reikalavimus, ir visų pirma pavojų duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

5.   Valstybės narės tuo atveju, jeigu priežiūros institucija laikosi nuomonės, kad numatytas duomenų tvarkymas, nurodytas šio straipsnio 1 dalyje, pažeistų pagal šią direktyvą priimtas nuostatas, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, numato, kad priežiūros institucija ne vėliau kaip per šešias savaites nuo tada, kai gavo prašymą suteikti konsultaciją, turi raštu pateikti duomenų valdytojui ir, kai taikytina, duomenų tvarkytojui patarimus ir gali pasinaudoti bet kuriais 47 straipsnyje nurodytais savo įgaliojimais. Tas laikotarpis gali būti pratęstas vienu mėnesiu, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikytina, duomenų tvarkytoją apie bet kokį tokio laikotarpio pratęsimą per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo, taip pat ir apie vėlavimo priežastis.

2 skirsnis

Asmens duomenų saugumas

29 straipsnis

Duomenų tvarkymo saugumas

1.   Valstybės narės numato, kad duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su 10 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.

2.   Automatizuoto duomenų tvarkymo srityje kiekviena valstybė narė numato, kad duomenų valdytojas arba duomenų tvarkytojas, atlikus rizikos vertinimą, turi įgyvendinti priemones, kuriomis siekiama:

a)

nesuteikti leidimo neturintiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos duomenims tvarkyti (prieigos prie įrangos kontrolė);

b)

užkirsti kelią neteisėtam duomenų laikmenų skaitymui, kopijavimui, keitimui ar pašalinimui (duomenų laikmenų kontrolė);

c)

užkirsti kelią neteisėtam asmens duomenų įvedimui ir neteisėtam saugomų asmens duomenų tikrinimui, keitimui ar šalinimui (saugojimo kontrolė);

d)

neleisti leidimo neturintiems asmenims, kurie naudojasi duomenų perdavimo įranga, naudotis automatizuotomis duomenų tvarkymo sistemomis (naudotojo kontrolė);

e)

užtikrinti, kad asmenys, kuriems suteiktas leidimas naudotis automatizuota duomenų tvarkymo sistema, turėtų prieigą tik prie tų asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos prie duomenų kontrolė);

f)

užtikrinti, kad būtų įmanoma patikrinti ir nustatyti įstaigas, kurioms asmens duomenys buvo persiųsti arba gali būti persiųsti, arba kurioms buvo suteikta galimybė su jais susipažinti naudojant duomenų perdavimo įrangą (perdavimo kontrolė);

g)

užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kokie asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas ir kada bei kas asmens duomenis įvedė (įvedimo kontrolė);

h)

užkirsti kelią neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba šalinimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (siuntimo kontrolė);

i)

užtikrinti, kad įdiegtos sistemos pertraukties atveju galėtų būti atkurtos (atgaminimas);

j)

užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešama (patikimumas) ir kad saugomi asmens duomenys negalėtų būti iškraipyti dėl blogo sistemos veikimo (vientisumas).

30 straipsnis

Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

1.   Valstybės narės asmens duomenų saugumo pažeidimo atveju numato, kad duomenų valdytojas, nepagrįstai nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai apie jį sužino, turi pranešti apie asmens duomenų saugumo pažeidimą priežiūros institucijai, išskyrus atvejus, kai nėra tikėtina, kad dėl tokio asmens duomenų saugumo pažeidimo kils pavojus fizinių asmenų teisėms ir laisvėms. Jeigu pranešimas priežiūros institucijai pateikiamas vėliau nei per 72 valandas, prie jo pridedama informacija apie vėlavimo priežastis.

2.   Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

3.   1 dalyje nurodytame pranešime bent:

a)

aprašomas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)

nurodoma duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė ir kontaktiniai duomenys;

c)

aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)

aprašomos priemonės, kurių ėmėsi duomenų valdytojas, arba kurių siūloma, kad jis imtųsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas, be kita ko, kai tinkama, priemonės, kad būtų sumažintas jo galimas neigiamas poveikis.

4.   Jeigu ir tiek, kiek informacijos nėra įmanoma pateikti tuo pačiu metu, informaciją galima teikti etapais, toliau nepagrįstai nedelsiant.

5.   Valstybės narės numato, kad duomenų valdytojas turi dokumentuoti visus 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius asmens duomenų saugumo pažeidimu, jo poveikį ir taisomuosius veiksmus, kurių imtasi. Ta dokumentacija turi sudaryti galimybę priežiūros institucijai patikrinti, ar laikomasi šio straipsnio.

6.   Valstybės narės, tais atvejais, kai asmens duomenų saugumo pažeidimas yra susijęs su asmens duomenimis, kurie buvo persiųsti kitos valstybės narės duomenų valdytojo arba kitos valstybės narės duomenų valdytojui, numato, kad 3 dalyje nurodyta informacija tos valstybės narės duomenų valdytojui turi būti pateikta nepagrįstai nedelsiant.

31 straipsnis

Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

1.   Jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, valstybės narės numato, kad duomenų valdytojas nepagrįstai nedelsdamas turi pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.

2.   Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 30 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3.   1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu tenkinama bet kuri iš šių sąlygų:

a)

duomenų valdytojas įgyvendino tinkamas technologines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)

duomenų valdytojas ėmėsi paskesnių priemonių, kuriomis užtikrinama, kad duomenų subjektų teisėms ir laisvėms greičiausiai nebegalėtų kilti 1 dalyje nurodytas didelis pavojus;

c)

tam prireiktų neproporcingai daug pastangų. Tokiu atveju pranešimas skelbiamas viešai arba taikoma panaši priemonė, kuria duomenų subjektai informuojami taip pat veiksmingai.

4.   Jeigu duomenų valdytojas dar nepranešė apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi tikimybę, kad asmens duomenų saugumo pažeidimas sukels didelį pavojų, gali reikalauti, kad duomenų valdytojas tai padarytų, arba gali nuspręsti, kad tenkinama bet kuri iš 3 dalyje nurodytų sąlygų.

5.   Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti, laikantis 13 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

3 skirsnis

Duomenų apsaugos pareigūnas

32 straipsnis

Duomenų apsaugos pareigūno skyrimas

1.   Valstybės narės numato, kad duomenų valdytojas turi paskirti duomenų apsaugos pareigūną. Valstybės narės gali tos prievolės netaikyti teismams ir kitoms nepriklausomoms teisminėms institucijoms, vykdantiems savo teismines funkcijas.

2.   Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis ir visų pirma dalykinėmis duomenų apsaugos teisės ir praktikos žiniomis, taip pat gebėjimu atlikti 34 straipsnyje nurodytas užduotis.

3.   Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms kompetentingoms institucijoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4.   Valstybės narės numato, kad duomenų valdytojas turi paskelbti duomenų apsaugos pareigūno kontaktinius duomenis ir perduoti juos priežiūros institucijai.

33 straipsnis

Duomenų apsaugos pareigūno statusas

1.   Valstybės narės numato, kad duomenų valdytojas turi užtikrinti, jog su duomenų apsaugos pareigūnu būtų tinkamai ir laiku konsultuojamasi visais su asmens duomenų apsauga susijusiais klausimais.

2.   Duomenų valdytojas padeda duomenų apsaugos pareigūnui atlikti 34 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinų išteklių ir galimybę susipažinti su asmens duomenimis ir duomenų tvarkymo operacijomis, taip pat išteklių, būtinų jo dalykinėms žinioms išsaugoti.

34 straipsnis

Duomenų apsaugos pareigūno užduotys

Valstybės narės numato, kad duomenų valdytojas turi pavesti duomenų apsaugos pareigūnui atlikti bent šias užduotis:

a)

informuoti duomenų valdytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šią direktyvą ir pagal kitus Sąjungos ar valstybės narės teisės aktus dėl duomenų apsaugos ir teikti jiems patarimus šiais klausimais;

b)

stebėti, kaip laikomasi šios direktyvos, kitų Sąjungos ar valstybės narės teisės aktų dėl duomenų apsaugos ir duomenų valdytojo taikomos politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

c)

gavus prašymą teikti patarimus dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal 27 straipsnį;

d)

bendradarbiauti su priežiūros institucija;

e)

atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant 28 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoti visais kitais klausimais.

V SKYRIUS

Asmens duomenų perdavimai trečiosioms valstybėms arba tarptautinėms organizacijoms

35 straipsnis

Bendrieji asmens duomenų perdavimo principai

1.   Valstybės narės numato, kad kompetentingos institucijos gali perduoti asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus trečiajai valstybei arba tarptautinei organizacijai, be kita ko, tolesnio perdavimo kitai trečiajai valstybei arba tarptautinei organizacijai tikslais, tik tuo atveju, kai laikomasi pagal šią direktyvą priimtų nacionalinių nuostatų ir jeigu yra tenkinamos šiame skyriuje nustatytos sąlygos, būtent:

a)

perduoti duomenis būtina 1 straipsnio 1 dalyje išdėstytais tikslais;

b)

asmens duomenys perduodami duomenų valdytojui trečiojoje valstybėje arba tarptautinėje organizacijoje, kuris yra institucija, kompetentinga 1 straipsnio 1 dalyje nurodytais tikslais;

c)

tuo atveju, kai asmens duomenys persiunčiami iš kitos valstybės narės arba ta valstybė narė suteikia galimybę jais naudotis, ta valstybė narė pagal savo nacionalinę teisę perdavimui yra suteikusi išankstinį leidimą;

d)

Komisija pagal 36 straipsnį yra priėmusi sprendimą dėl tinkamumo arba, jeigu toks sprendimas nepriimtas, buvo nustatytos arba egzistuoja tinkamos apsaugos priemonės pagal 37 straipsnį, arba, nesant sprendimo dėl tinkamumo pagal 36 ar tinkamų apsaugos priemonių pagal 37 straipsnį, taikomos su konkrečiomis situacijomis susijusios nukrypti leidžiančios nuostatos pagal 38 straipsnį, ir

e)

tolesnio duomenų perdavimo kitai trečiajai valstybei arba tarptautinei organizacijai atveju kompetentinga institucija, kuri atliko pirminį perdavimą, arba kita tos pačios valstybės narės kompetentinga institucija leidžia toliau perduoti duomenis, tinkamai atsižvelgusi į visus susijusius veiksnius, įskaitant nusikalstamos veikos sunkumą, tikslą, kuriuo buvo atliktas pirminis asmens duomenų perdavimas, ir asmens duomenų apsaugos trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai toliau perduodami asmens duomenys, lygį.

2.   Valstybės narės numato, kad perduoti duomenis be kitos valstybės narės išankstinio leidimo pagal 1 dalies c punktą turi būti leidžiama tik tuo atveju, jeigu asmens duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui arba valstybės narės esminiams interesams, o išankstinio leidimo laiku gauti negalima. Nedelsiant informuojama institucija, atsakinga už išankstinio leidimo suteikimą.

3.   Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nesumažėtų šia direktyva fiziniams asmenims užtikrinamos apsaugos lygis.

36 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1.   Valstybės narės numato, kad perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai galima tuo atveju, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2.   Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

a)

teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant teisės aktus dėl visuomenės saugumo, gynybos, nacionalinio saugumo bei baudžiamosios teisės ir valdžios institucijų galimybės susipažinti su asmens duomenimis, taip pat tų teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo kitai trečiajai valstybei ar tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktiką, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

b)

tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje valstybėje, arba kurioms yra pavaldi tarptautinė organizacija, kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių, ir užtikrinti jų vykdymą, įskaitant tinkamus vykdymo užtikrinimo įgaliojimus, padėti duomenų subjektams naudotis savo teisėmis ir patarti jiems, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis, ir

c)

atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, ir dėl jos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma, kiek tai susiję su asmens duomenų apsauga.

3.   Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, tuo tikslu priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte nustatomas periodinės peržiūros, kuri turi būti atliekama ne rečiau kaip kas ketverius metus, mechanizmas; ją atliekant turi būti atsižvelgta į visus susijusius įvykius trečiojoje valstybėje arba tarptautinėje organizacijoje. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta (-os) priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4.   Komisija nuolat stebi įvykius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų padaryti poveikio pagal 3 dalį priimtų sprendimų veikimui.

5.   Jei remiantis turima informacija atskleidžiami atitinkami faktai, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, Komisija nusprendžia, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, ji tiek, kiek tai būtina, įgyvendinimo aktais panaikina, iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą arba sustabdo jo galiojimą, nedarant poveikio atgaline data. Tie įgyvendinimo aktai priimami laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Kai tinkamai pagrįstais atvejais yra privalomų skubos priežasčių, Komisija priima nedelsiant taikytinus įgyvendinimo aktus pagal 58 straipsnio 3 dalyje nurodytą procedūrą.

6.   Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

7.   Valstybės narės numato, kad sprendimas pagal 5 dalį negali daryti poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą vieną ar daugiau sektorių trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 37 ir 38 straipsnius.

8.   Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje skelbia trečiųjų valstybių, teritorijų ir nurodytų sektorių trečiosiose valstybėse, taip pat tarptautinių organizacijų, kurie, kaip ji nusprendė, užtikrina tinkamo lygio apsaugą arba jos nebeužtikrina, sąrašą.

37 straipsnis

Duomenų perdavimas taikant tinkamas apsaugos priemones

1.   Jeigu nepriimtas sprendimas pagal 36 straipsnio 3 dalį, valstybės narės numato, kad asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai gali būti atliekamas, jeigu:

a)

su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės yra numatytos teisiškai privalomame dokumente, arba

b)

duomenų valdytojas įvertino visas su asmens duomenų perdavimu susijusias aplinkybes ir daro išvadą, kad nustatytos tinkamos su asmens duomenų apsauga susijusios apsaugos priemonės.

2.   Duomenų valdytojas informuoja priežiūros instituciją apie duomenų perdavimo pagal 1 dalies b punktą kategorijas.

3.   Jeigu duomenų perdavimas grindžiamas 1 dalies b punktu, toks perdavimas dokumentuojamas, ir dokumentai, gavus prašymą, pateikiami priežiūros institucijai, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie gaunančiąją kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

38 straipsnis

Konkrečioms situacijoms taikomos nukrypti leidžiančios nuostatos

1.   Jeigu nepriimtas sprendimas dėl tinkamumo pagal 36 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 37 straipsnį, valstybės narės numato, kad asmens duomenų arba tam tikros kategorijos asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai gali būti atliekamas tik su sąlyga, kad perduoti duomenis būtina:

a)

kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai;

b)

kad būtų apsaugoti teisėti duomenų subjekto interesai, kai tai numatyta asmens duomenis perduodančios valstybės narės teisėje;

c)

kad būtų užkirstas kelias tiesioginei ir didelei grėsmei valstybės narės arba trečiosios valstybės visuomenės saugumui;

d)

individualiais atvejais 1 straipsnio 1 dalyje išdėstytais tikslais, arba

e)

atskiru atveju, kad būtų nustatyti, vykdomi ar ginami teisiniai reikalavimai, susiję su 1 straipsnio 1 dalyje išdėstytais tikslais.

2.   Asmens duomenys negali būti perduodami, jeigu duomenis perduodanti kompetentinga institucija nustato, kad atitinkamo duomenų subjekto pagrindinės teisės ir laisvės yra viršesnės už 1 dalies d ir e punktuose nurodytą viešąjį interesą, dėl kurio duomenis reikia perduoti.

3.   Jeigu duomenų perdavimas grindžiamas 1 dalimi, toks perdavimas dokumentuojamas ir dokumentai, gavus prašymą, turi būti pateikti priežiūros institucijai, nurodant duomenų perdavimo datą ir laiką, informaciją apie gaunančiąją kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

39 straipsnis

Asmens duomenų perdavimai trečiosiose valstybėse įsteigtiems duomenų gavėjams

1.   Nukrypstant nuo 35 straipsnio 1 dalies b punkto ir nedarant poveikio šio straipsnio 2 dalyje nurodytiems tarptautiniams susitarimams, Sąjungos arba valstybės narės teisėje gali būti numatyta, kad 3 straipsnio 7 punkto a papunktyje nurodytos kompetentingos institucijos individualiais ir konkrečiais atvejais asmens duomenis trečiosiose valstybėse įsteigtiems duomenų gavėjams tiesiogiai perduoda tik tuo atveju, jeigu laikomasi kitų šios direktyvos nuostatų ir yra tenkinamos visos šios sąlygos:

a)

perduoti duomenis tikrai būtina siekiant įvykdyti duomenis perduodančios kompetentingos institucijos užduotį, kaip numatyta Sąjungos arba valstybės narės teisėje, 1 straipsnio 1 dalyje išdėstytais tikslais;

b)

duomenis perduodanti kompetentinga institucija nustato, kad jokios atitinkamo duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės už viešąjį interesą, dėl kurio konkrečiu atveju būtina perduoti duomenis;

c)

duomenis perduodanti kompetentinga institucija laikosi nuomonės, kad duomenų perdavimas institucijai, kuri trečiojoje valstybėje yra kompetentinga 1 straipsnio 1 dalyje nurodytais tikslais, yra neveiksmingas arba netinkamas, visų pirma dėl to, kad perdavimo neįmanoma atlikti laiku;

d)

1 straipsnio 1 dalyje nurodytais tikslais kompetentinga institucija trečiojoje valstybėje nepagrįstai nedelsiant apie tai informuojama, išskyrus atvejus, kai tai yra neveiksminga arba netinkama;

e)

duomenis perduodanti kompetentinga institucija informuoja gavėją apie konkrečiai nustatytą tikslą ar tikslus, kuriais jis asmens duomenis gali tvarkyti, su sąlyga, kad toks duomenų tvarkymas yra būtinas.

2.   1 dalyje nurodyti tarptautiniai susitarimai yra bet kokie dvišaliai ar daugiašaliai tarptautiniai susitarimai, galiojantys tarp valstybių narių ir trečiųjų valstybių teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje.

3.   Duomenis perduodanti kompetentinga institucija informuoja priežiūros instituciją apie duomenų perdavimus pagal šį straipsnį.

4.   Jeigu duomenų perdavimas grindžiamas 1 dalimi, toks perdavimas dokumentuojamas.

40 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu Komisija ir valstybės narės imasi tinkamų veiksmų siekiant:

a)

kurti tarptautinius bendradarbiavimo mechanizmus, kad būtų lengviau veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

b)

teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga ir kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c)

atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – skatinti tarptautinį bendradarbiavimą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą,

d)

skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis srityje, ir juos dokumentuoti.

VI SKYRIUS

Nepriklausomos priežiūros institucijos

1 skirsnis

Nepriklausomas statusas

41 straipsnis

Priežiūros institucija

1.   Kiekviena valstybė narė numato, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šios direktyvos taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir palengvintas laisvas asmens duomenų judėjimas Sąjungoje (toliau – priežiūros institucija).

2.   Kiekviena priežiūros institucija padeda nuosekliai taikyti šią direktyvą visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija, vadovaudamosi VII skyriumi.

3.   Valstybės narės gali nustatyti, kad pagal Reglamentą (ES) 2016/679 įsteigta priežiūros institucija turi būti šioje direktyvoje nurodyta priežiūros institucija ir kad ji turi prisiimti atsakomybę už priežiūros institucijos, kuri turi būti įsteigta pagal šio straipsnio 1 dalį, užduočių vykdymą.

4.   Jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri atstovauja toms institucijoms 51 straipsnyje nurodytoje Valdyboje.

42 straipsnis

Nepriklausomumas

1.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija, vykdydama jai pavestas užduotis ir naudodamasi jai suteiktais įgaliojimais pagal šią direktyvą, veikia visiškai nepriklausomai.

2.   Valstybės narės numato, kad jų priežiūros institucijos narys arba nariai, vykdydami savo užduotis ir naudodamiesi savo įgaliojimais pagal šią direktyvą, negali priklausyti nei nuo tiesioginės, nei nuo netiesioginės išorės įtakos ir negali prašyti bei priimti jokių nurodymų.

3.   Valstybių narių priežiūros institucijų nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir savo kadencijos metu nedirba jokio nesuderinamo – mokamo ar nemokamo – darbo.

4.   Kiekviena valstybė narė užtikrina, kad kiekvienai priežiūros institucijai būtų suteikti žmogiškieji, techniniai ir finansiniai ištekliai, patalpos ir infrastruktūra, kurie yra būtini, kad ji veiksmingai vykdytų savo užduotis ir naudotųsi savo įgaliojimais, įskaitant užduotis ir įgaliojimus, vykdytinus savitarpio pagalbos srityje, bendradarbiaujant ir dalyvaujant Valdybos veikloje.

5.   Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija pasirinktų ir turėtų savo darbuotojus, kuriems vadovautų vien tik tos atitinkamos priežiūros institucijos narys ar nariai.

6.   Kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui ir kad ji turėtų atskirą viešą metinį biudžetą, kuris gali būti viso valstybės ar nacionalinio biudžeto dalis.

43 straipsnis

Bendrieji reikalavimai priežiūros institucijos nariams

1.   Valstybės narės numato, kad kiekvieną jų priežiūros institucijų narį, taikant skaidrią procedūrą, skiria:

jų parlamentas;

jų Vyriausybė;

jų valstybės vadovas, arba

nepriklausoma įstaiga, kuriai pagal valstybės narės teisę pavesta skirti narius.

2.   Kiekvienas narys turi turėti jo pareigoms atlikti ir įgaliojimais naudotis būtiną kvalifikaciją, patirtį ir gebėjimus, visų pirma asmens duomenų apsaugos srityje.

3.   Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis atitinkamos valstybės narės teisės.

4.   Narys atleidžiamas iš pareigų tik sunkaus nusižengimo atveju arba tuo atveju, jeigu nebeatitinka jo pareigoms atlikti keliamų reikalavimų.

44 straipsnis

Priežiūros institucijos įsteigimo taisyklės

1.   Kiekviena valstybė narė teisės aktais numato visus šiuos elementus:

a)

kiekvienos priežiūros institucijos įsteigimą;

b)

kvalifikaciją ir tinkamumo sąlygas, kurias turi atitikti asmuo, kad galėtų būti paskirtas kiekvienos priežiūros institucijos nariu;

c)

kiekvienos priežiūros institucijos nario ar narių skyrimo taisykles ir procedūras;

d)

kiekvienos priežiūros institucijos nario arba narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus dalį pirmųjų narių, skiriamų po 2016 m. gegužės 6 d., kurių kadencija gali būti trumpesnė, jeigu tai yra būtina siekiant išsaugoti priežiūros institucijos nepriklausomumą, taikant laipsnišką skyrimo procedūrą;

e)

tai, ar kiekvienos priežiūros institucijos nario arba narių kadencija gali būti atnaujinama, ir jei taip – kelioms kadencijoms,

f)

sąlygas, reglamentuojančias kiekvienos priežiūros institucijos nario arba narių ir darbuotojų prievoles, draudimą kadencijos metu ir jai pasibaigus imtis veiksmų, dirbti darbą ir gauti naudos, kurie yra nesuderinami su tomis prievolėmis, ir darbo nutraukimą reglamentuojančias taisykles.

2.   Kiekvienos priežiūros institucijos narys arba nariai ir darbuotojai kadencijos metu ir jai pasibaigus įpareigojami pagal Sąjungos arba valstybės narės teisę saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais. Jų kadencijos metu ta pareiga saugoti profesinę paslaptį visų pirma taikoma fizinių asmenų pranešimams apie šios direktyvos pažeidimus.

2 skirsnis

Kompetencija, užduotys ir įgaliojimai

45 straipsnis

Kompetencija

1.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija savo valstybės narės teritorijoje turi turėti kompetenciją vykdyti pagal šią direktyvą jai pavestas užduotis ir naudotis pagal šią direktyvą jai suteiktais įgaliojimais.

2.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija neturi kompetencijos vykdyti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdantys savo teismines funkcijas, priežiūrą. Valstybės narės gali numatyti, kad jų priežiūros institucija neturi kompetencijos prižiūrėti duomenų tvarkymo operacijas, kurias atlieka kitos nepriklausomos teisminės institucijos, vykdančios savo teismines funkcijas.

46 straipsnis

Užduotys

1.   Kiekviena valstybė narė numato, kad jos teritorijoje kiekviena priežiūros institucija:

a)

stebi ir užtikrina šios direktyvos ir jos įgyvendinimo priemonių taikymą;

b)

didina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir jų supratimą;

c)

pagal valstybės narės teisę teikia nacionaliniam parlamentui, Vyriausybei ir kitoms institucijoms bei įstaigoms patarimus dėl teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis;

d)

didina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šią direktyvą;

e)

gavusi prašymą bet kuriam duomenų subjektui teikia informaciją apie naudojimąsi jo teisėmis pagal šią direktyvą ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

f)

nagrinėja skundus, kuriuos pagal 55 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

g)

tikrina duomenų tvarkymo teisėtumą pagal 17 straipsnį ir per pagrįstą laikotarpį informuoja duomenų subjektą pagal to straipsnio 3 dalį apie patikrinimo rezultatus arba apie priežastis, dėl kurių patikrinimas nebuvo atliekamas;

h)

bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijantis informacija, ir teikia joms savitarpio pagalbą, siekiant užtikrinti, kad ši direktyva būtų taikoma ir vykdoma nuosekliai;

i)

atlieka tyrimus dėl šios direktyvos taikymo, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

j)

stebi susijusius įvykius, jei jie daro poveikį asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų raidą;

k)

teikia patarimus dėl 28 straipsnyje nurodytų duomenų tvarkymo operacijų, ir

l)

prisideda prie Valdybos veiklos.

2.   Kiekviena priežiūros institucija imasi priemonių, kad sudarytų palankesnes sąlygas teikti 1 dalies f punkte nurodytus skundus, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

3.   Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir duomenų apsaugos pareigūno atžvilgiu atlieka nemokamai.

4.   Jeigu prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl jo pasikartojančio pobūdžio, priežiūros institucija gali imti pagrįstą mokestį, remiantis jos administracinėmis išlaidomis, arba gali atsisakyti imtis veiksmų pagal prašymą. Pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka priežiūros institucijai.

47 straipsnis

Įgaliojimai

1.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus tyrimo įgaliojimus. Tie įgaliojimai apima bent įgaliojimą iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais tvarkomais asmens duomenimis ir visa jos užduotims atlikti būtina informacija.

2.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus įgaliojimus imtis taisomųjų veiksmų, pavyzdžiui:

a)

įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos pagal šią direktyvą priimtos nuostatos;

b)

nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su pagal šią direktyvą priimtomis nuostatomis, atitinkamais atvejais – nustatytu būdu ir per nustatytą laikotarpį, visų pirma nurodant pagal 16 straipsnį ištaisyti ar ištrinti asmens duomenis arba apriboti duomenų tvarkymą;

c)

laikinai arba galutinai nustatyti duomenų tvarkymo apribojimą, be kita ko, uždrausti tvarkyti duomenis.

3.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti veiksmingus patariamuosius įgaliojimus teikti patarimus duomenų valdytojui pagal 28 straipsnyje nurodytą išankstinių konsultacijų procedūrą ir savo iniciatyva arba gavus prašymą teikti nuomones jos nacionaliniam parlamentui, Vyriausybei arba, vadovaujantis savo nacionaline teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais.

4.   Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje laikantis Chartijos.

5.   Kiekviena valstybė narė teisės aktuose numato, kad kiekviena priežiūros institucija turi turėti įgaliojimą atkreipti teisminių institucijų dėmesį į pagal šią direktyvą priimtų nuostatų pažeidimus ir prireikus pradėti teisminį procesą arba kitaip dalyvauti teisminiame procese, siekiant užtikrinti pagal šią direktyvą priimtų nuostatų vykdymą.

48 straipsnis

Pranešimas apie pažeidimus

Valstybės narės numato, kad kompetentingos institucijos turi įdiegti veiksmingus mechanizmus, kuriais būtų skatinama konfidencialiai pranešti apie šios direktyvos pažeidimus.

49 straipsnis

Veiklos ataskaita

Kiekviena priežiūros institucija parengia metinę savo veiklos ataskaitą; ji gali apimti pažeidimų, apie kuriuos buvo pranešta, rūšių ir taikytų sankcijų rūšių sąrašą. Tos ataskaitos perduodamos nacionaliniam parlamentui, Vyriausybei ir kitoms institucijoms, kaip nurodyta valstybės narės teisėje. Jos pateikiamos visuomenei, Komisijai ir Valdybai.

VII SKYRIUS

Bendradarbiavimas

50 straipsnis

Savitarpio pagalba

1.   Kiekviena valstybė narė numato, kad jų priežiūros institucija teikia viena kitai atitinkamą informaciją ir savitarpio pagalbą, siekiant, kad ši direktyva būtų įgyvendinta ir taikoma nuosekliai, ir įdiegtų veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, pavyzdžiui, prašymais vykdyti konsultacijas, patikrinimus ir tyrimus.

2.   Kiekviena valstybė narė numato, kad kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, į jį atsakytų. Tokios priemonės gali būti, be kita ko, visų pirma svarbios informacijos apie tyrimo eigą perdavimas.

3.   Pagalbos prašymuose nurodoma visa būtina informacija, įskaitant prašymo tikslą ir prašymo priežastis. Pasikeista informacija naudojamasi tik tuo tikslu, kuriuo jos buvo prašoma.

4.   Prašymą gavusi priežiūros institucija negali atsisakyti prašymo patenkinti, išskyrus atvejus, kai:

a)

ji nėra kompetentinga prašymo dalyko arba priemonių, kurias jos prašoma vykdyti, srityje, arba

b)

prašymo patenkinimas pažeistų šią direktyvą arba Sąjungos ar valstybės narės teisę, kuri taikoma prašymą gaunančiai priežiūros institucijai.

5.   Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie prašymo rezultatus arba atitinkamai jo eigą arba priemones, kurių imtasi siekiant į jį atsakyti. Prašymą gavusi priežiūros institucija pateikia atsisakymo patenkinti prašymą priežastis pagal 4 dalį.

6.   Prašymą gavusios priežiūros institucijos paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamosi standartizuota forma.

7.   Prašymą gavusios priežiūros institucijos už veiksmus, kurių jos imasi pagal savitarpio pagalbos prašymą, mokesčio neima. Priežiūros institucijos gali tarpusavyje susitarti dėl taisyklių, susijusių su kompensacija viena kitai už specialias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

8.   Komisija gali įgyvendinimo aktais nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Valdybos, tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarką. Tie įgyvendinimo aktai priimami laikantis 58 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

51 straipsnis

Valdybos užduotys

1.   Reglamentu (ES) 2016/679 įsteigta Valdyba atlieka visas šias su duomenų tvarkymu pagal šią direktyvą susijusias užduotis:

a)

teikia patarimus Komisijai visais klausimais, susijusiais su asmens duomenų apsauga Sąjungoje, be kita ko, dėl visų siūlomų šios direktyvos pakeitimų;

b)

savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šios direktyvos taikymu, ir skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šią direktyvą taikyti nuosekliai;

c)

parengia priežiūros institucijoms skirtas gaires dėl 47 straipsnio 1 ir 3 dalyse nurodytų priemonių taikymo;

d)

skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius pagal šios pastraipos b punktą dėl asmens duomenų saugumo pažeidimų ir 30 straipsnio 1 ir 2 dalyse nurodyto nepagrįsto delsimo nustatymo, taip pat dėl konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas privalo pranešti apie asmens duomenų saugumo pažeidimą;

e)

skelbia gaires, rekomendacijas ir geriausios praktikos pavyzdžius pagal šios pastraipos b punktą dėl aplinkybių, kuriomis dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 31 straipsnio 1 dalyje;

f)

peržiūri b ir c punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos praktinį taikymą;

g)

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje, teritorijoje ar viename ar keliuose nurodytuose sektoriuose trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar tokia trečioji valstybė, teritorija, nurodytas sektorius arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos;

h)

skatina priežiūros institucijų bendradarbiavimą ir jų veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

i)

skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, atitinkamais atvejais, darbuotojų mainus su trečiųjų valstybių arba tarptautinių organizacijų priežiūros institucijomis;

j)

skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisę ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje.

Pirmos pastraipos g punkto tikslu Komisija pateikia Valdybai visą reikiamą dokumentaciją, įskaitant korespondenciją su trečiosios valstybės Vyriausybe, teritorija ar nustatytu sektoriumi sektoriaus toje trečiojoje valstybėje, arba su tarptautine organizacija.

2.   Jeigu Komisija prašo Valdybos patarimo, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3.   Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai ir 58 straipsnio 1 dalyje nurodytam komitetui, ir skelbia juos viešai.

4.   Komisija informuoja Valdybą apie veiksmus, kurių ji ėmėsi atsižvelgdama į Valdybos paskelbtas nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius.

VIII SKYRIUS

Teisių gynimo priemonės, atsakomybė ir sankcijos

52 straipsnis

Teisė pateikti skundą priežiūros institucijai

1.   Nedarant poveikio kitoms administracinėms arba teisminėms teisių gynimo priemonėms, valstybės narės numato kiekvieno duomenų subjekto teisę pateikti skundą vienai priežiūros institucijai, jeigu duomenų subjektas mano, kad su juo susiję asmens duomenys tvarkomi pažeidžiant pagal šią direktyvą priimtas nuostatas.

2.   Valstybės narės numato, kad priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama jį perduoda kompetentingai priežiūros institucijai, jeigu skundas nepateikiamas pagal 45 straipsnio 1 dalį kompetentingai priežiūros institucijai. Duomenų subjektas informuojamas apie šį perdavimą.

3.   Valstybės narės numato, kad priežiūros institucija, kuriai pateiktas skundas, duomenų subjekto prašymu teikia tolesnę pagalbą.

4.   Kompetentinga priežiūros institucija informuoja duomenų subjektą apie skundo nagrinėjimo eigą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 53 straipsnį.

53 straipsnis

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją

1.   Nedarant poveikio kitoms administracinėms arba neteisminėms teisių gynimo priemonėms, valstybės narės numato fizinio ar juridinio asmens teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

2.   Nedarant poveikio kitoms administracinėms arba neteisminėms teisių gynimo priemonėms, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu pagal 45 straipsnio 1 dalį kompetentinga priežiūros institucija skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 52 straipsnį pateikto skundo nagrinėjimo eigą arba rezultatus.

3.   Valstybės narės numato, kad byla priežiūros institucijai turi būti keliama valstybės narės, kurioje priežiūros institucija yra įsteigta, teismuose.

54 straipsnis

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

Nedarant poveikio jokioms galimoms administracinėms arba neteisminėms teisių gynimo priemonėms, įskaitant teisę pateikti skundą priežiūros institucijai pagal 52 straipsnį, valstybės narės numato duomenų subjekto teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu jis mano, kad jo teisės, nustatytos pagal šią direktyvą priimtose nuostatose, buvo pažeistos dėl jo asmens duomenų tvarkymo nesilaikant tų nuostatų.

55 straipsnis

Atstovavimas duomenų subjektams

Valstybės narės, vadovaudamosi savo proceso teise, numato duomenų subjekto teisę įgalioti pelno nesiekiančią įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę, kurios statutiniai tikslai atitinka viešąjį interesą ir kuri vykdo veiklą duomenų subjektų teisių ir laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 52, 53 ir 54 straipsniuose.

56 straipsnis

Teisė į kompensaciją

Valstybės narės numato, kad asmuo, patyręs materialinę ar nematerialinę žalą dėl neteisėtos duomenų tvarkymo operacijos arba dėl kito veiksmo, kuriuo pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, turi teisę iš duomenų valdytojo arba kitos pagal valstybės narės teisę kompetentingos institucijos gauti kompensaciją už patirtą žalą.

57 straipsnis

Sankcijos

Valstybės narės nustato taisykles dėl sankcijų, taikytinų už pagal šią direktyvą priimtų nuostatų pažeidimus, ir imasi visų būtinų priemonių, kad būtų užtikrintas jų vykdymas. Numatytos sankcijos yra veiksmingos, proporcingos ir atgrasomos.

IX SKYRIUS

Įgyvendinimo aktai

58 straipsnis

Komiteto procedūra

1.   Komisijai padeda komitetas, įsteigtas pagal Reglamento (ES) 2016/679 93 straipsnį. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

2.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

X SKYRIUS

Baigiamosios nuostatos

59 straipsnis

Pamatinio sprendimo 2008/977/TVR panaikinimas

1.   Pamatinis sprendimas 2008/977/TVR panaikinamas nuo 2018 m. gegužės 6 d.

2.   Nuorodos į 1 dalyje nurodytą panaikintą sprendimą laikomos nuorodomis į šią direktyvą.

60 straipsnis

Jau galiojantys Sąjungos teisės aktai

Į šios direktyvos taikymo sritį patenkančios specialios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje priimtų Sąjungos teisės aktų, kurie įsigaliojo 2016 m. gegužės 6 d. arba anksčiau ir kuriais reglamentuojamas tarp valstybių narių vykdomas duomenų tvarkymas ir valstybių narių paskirtų valdžios institucijų prieiga prie informacinių sistemų, įdiegtų remiantis Sutartimis, nuostatos dėl asmens duomenų apsaugos lieka nepakitusios.

61 straipsnis

Ryšys su pirmiau sudarytais tarptautiniais susitarimais dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo

Su asmens duomenų perdavimu trečiosioms valstybėms arba tarptautinėms organizacijoms susiję tarptautiniai susitarimai, kuriuos valstybės narės sudarė prieš 2016 m. gegužės 6 d. ir kurie atitinka Sąjungos teisę, taikytiną prieš tą datą, lieka galioti tol, kol bus iš dalies pakeisti, pakeisti naujais susitarimais arba panaikinti.

62 straipsnis

Komisijos ataskaitos

1.   Komisija ne vėliau kaip 2022 m. gegužės 6 d. ir po to kas ketverius metus teikia Europos Parlamentui ir Tarybai šios direktyvos vertinimo ir peržiūros ataskaitas. Ataskaitos padaromos viešai prieinamomis.

2.   Komisija, atlikdama 1 dalyje nurodytus vertinimus ir peržiūras, visų pirma išnagrinėja, kaip taikomos ir kaip veikia V skyrius dėl asmens duomenų perdavimo trečiosioms valstybėms arba tarptautinėms organizacijoms, ypač daug dėmesio skirdama sprendimams, priimtiems pagal 36 straipsnio 3 dalį ir 39 straipsnį.

3.   Taikydama 1 ir 2 dalis Komisija gali prašyti, kad valstybės narės ir priežiūros institucijos suteiktų informacijos.

4.   Atlikdama 1 ir 2 dalyse nurodytus vertinimus ir peržiūras Komisija atsižvelgia į Europos Parlamento, Tarybos ir kitų atitinkamų įstaigų ar šaltinių pozicijas ir išvadas.

5.   Komisija prireikus pateikia atitinkamus pasiūlymus iš dalies pakeisti šią direktyvą, visų pirma atsižvelgiant į informacinių technologijų plėtrą ir informacinės visuomenės pažangos būklę.

6.   Komisija ne vėliau kaip 2019 m. gegužės 6 d. peržiūri kitus Sąjungos priimtus teisės aktus, kuriais reglamentuojamas kompetentingų institucijų vykdomas duomenų tvarkymas 1 straipsnio 1 dalyje išdėstytais tikslais, įskaitant nurodytuosius 60 straipsnyje, siekdama įvertinti, ar reikia juos suderinti su šia direktyva ir, kai tinkama, pateikti būtinus pasiūlymus iš dalies pakeisti tuos aktus, kad būtų užtikrintas nuoseklus požiūris į asmens duomenų apsaugą šios direktyvos taikymo srityje.

63 straipsnis

Perkėlimas

1.   Valstybės narės ne vėliau kaip 2018 m. gegužės 6 d. priima ir paskelbia įstatymus ir kitus teisės aktus, būtinus, kad būtų laikomasi šios direktyvos. Jos nedelsdamos pateikia Komisijai tų teisės aktų nuostatų tekstą. Tas nuostatas jos taiko nuo 2018 m. gegužės 6 d.

Valstybės narės, priimdamos tas nuostatas, daro jose nuorodą į šią direktyvą arba tokia nuoroda daroma jas oficialiai skelbiant. Nuorodos darymo tvarką nustato valstybės narės.

2.   Nukrypstant nuo 1 dalies, valstybė narė gali nustatyti, kad išimtiniais atvejais, jeigu reikia neproporcingai didelių pastangų, iki 2016 m. gegužės 6 d. sukurtos automatizuotos duomenų tvarkymo sistemos turi būti suderintos su 25 straipsnio 1 dalies reikalavimais ne vėliau kaip 2023 m. gegužės 6 d.

3.   Nukrypstant nuo šio straipsnio 1 ir 2 dalių, valstybė narė išimtinėmis aplinkybėmis gali automatizuotą duomenų tvarkymo sistemą, kaip nurodyta šio straipsnio 2 dalyje, suderinti su 25 straipsnio 1 dalimi per nustatytą laikotarpį pasibaigus šio straipsnio 2 dalyje nurodytam laikotarpiui, jeigu priešingu atveju būtų sukelta didelių sunkumų norint eksploatuoti tą konkrečią automatizuotą duomenų tvarkymo sistemą. Atitinkama valstybė narė praneša Komisijai tų didelių sunkumų priežastis ir nustatyto laikotarpio, per kurį ji tą konkrečią automatizuotą duomenų tvarkymo sistemą turi suderinti su 25 straipsnio 1 dalimi, pagrindimą. Nustatytas laikotarpis jokiu būdu negali ilgesnis nei 2026 m. gegužės 6 d.

4.   Valstybės narės pateikia Komisijai šios direktyvos taikymo srityje priimtų nacionalinės teisės aktų pagrindinių nuostatų tekstus.

64 straipsnis

Įsigaliojimas

Ši direktyva įsigalioja kitą dieną po jos paskelbimo Europos Sąjungos oficialiajame leidinyje.

65 straipsnis

Adresatai

Ši direktyva skirta valstybėms narėms.

Priimta Briuselyje 2016 m. balandžio 27 d.

Europos Parlamento vardu

Pirmininkas

M. SCHULZ

Tarybos vardu

Pirmininkė

J.A. HENNIS-PLASSCHAERT


(1)  OL C 391, 2012 12 18, p. 127.

(2)  2014 m. kovo 12 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2016 m. balandžio 8 d. Tarybos pozicija, priimta per pirmąjį svarstymą (dar nepaskelbta Oficialiajame leidinyje). 2016 m. balandžio 14 d. Europos Parlamento pozicija.

(3)  1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

(4)  2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos (OL L 350, 2008 12 30, p. 60).

(5)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (Žr. šio Oficialiojo leidinio p. 1).

(6)  2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(7)  2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45).

(8)  2005 m. sausio 24 d. Tarybos bendroji pozicija 2005/69/TVR dėl keitimosi tam tikrais duomenimis su Interpolu (OL L 27, 2005 1 29, p. 61).

(9)  2007 m. birželio 12 d. Tarybos sprendimas 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (OL L 205, 2007 8 7, p. 63).

(10)  1977 m. kovo 22 d. Tarybos direktyva 77/249/EEB, skirta padėti teisininkams veiksmingai naudotis laisve teikti paslaugas (OL L 78, 1977 3 26, p. 17).

(11)  2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(12)  2008 m. birželio 23 d. Tarybos sprendimas 2008/615/TVR dėl tarpvalstybinio bendradarbiavimo gerinimo, visų pirma kovos su terorizmu ir tarpvalstybiniu nusikalstamumu srityje (OL L 210, 2008 8 6, p. 1).

(13)  2000 m. gegužės 29 d. Tarybos aktas, pagal Europos Sąjungos sutarties 34 straipsnį patvirtinantis Konvenciją dėl Europos Sąjungos valstybių narių savitarpio pagalbos baudžiamosiose bylose (OL C 197, 2000 7 12, p. 1).

(14)  2011 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyva 2011/93/ES dėl kovos su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, kuria pakeičiamas Tarybos pamatinis sprendimas 2004/68/TVR (OL L 335, 2011 12 17, p. 1).

(15)  OL L 176, 1999 7 10, p. 36.

(16)  OL L 53, 2008 2 27, p. 52.

(17)  OL L 160, 2011 6 18, p. 21.

(18)  OL C 192, 2012 6 30, p. 7.


4.5.2016   

LT

Europos Sąjungos oficialusis leidinys

L 119/132


EUROPOS PARLAMENTO IR TARYBOS DIREKTYVA (ES) 2016/681

2016 m. balandžio 27 d.

dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 82 straipsnio 1 dalies d punktą ir 87 straipsnio 2 dalies a punktą,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę (1),

pasikonsultavę su Regionų komitetu,

laikydamiesi įprastos teisėkūros procedūros (2),

kadangi:

(1)

2007 m. lapkričio 6 d. Komisija priėmė pasiūlymą dėl Tarybos pamatinio sprendimo dėl keleivio duomenų įrašo (PNR) naudojimo teisėsaugos tikslais. Tačiau 2009 m. gruodžio 1 d. įsigaliojus Lisabonos sutarčiai, Komisijos pasiūlymas, kurio iki to laiko Taryba nebuvo priėmusi, tapo nebeaktualus;

(2)

dokumente „Stokholmo programa. Atvira ir saugi Europa piliečių labui ir saugumui“ (3) Komisija raginama pateikti pasiūlymą dėl PNR duomenų naudojimo terorizmo ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais;

(3)

2010 m. rugsėjo 21 d. Komunikate dėl keleivio duomenų įrašo (PNR) duomenų perdavimo trečiosioms valstybėms bendros koncepcijos Komisija pateikė keletą esminių Sąjungos politikos šioje srityje elementų;

(4)

Tarybos direktyva 2004/82/EB (4) reglamentuojamas oro vežėjų atliekamas išankstinės informacijos apie keleivius (toliau – API) duomenų perdavimas kompetentingoms nacionalinėms valdžios institucijoms siekiant gerinti sienų kontrolę ir kovoti su nelegalia imigracija;

(5)

šios direktyvos tikslai yra, inter alia, užtikrinti saugumą, ginti asmenų gyvybę bei saugą ir sukurti PNR duomenų apsaugos tuo atveju, kai juos tvarko kompetentingos valdžios institucijos, teisinę sistemą;

(6)

veiksmingas PNR duomenų naudojimas, pavyzdžiui, lyginant PNR duomenis su įvairiose ieškomų asmenų ir daiktų duomenų bazėse esančiais duomenimis, būtinas teroristinių nusikaltimų ir sunkių nusikaltimų prevencijai, nustatymui, tyrimui ir patraukimui už juos baudžiamojon atsakomybėn ir taip užtikrinant didesnį vidaus saugumą, siekiant surinkti įrodymus ir atitinkamais atvejais rasti nusikaltėlių bendrininkus ir atskleisti nusikalstamus tinklus;

(7)

PNR duomenų vertinimas leidžia nustatyti asmenis, kurie nebuvo įtariami dėl sąsajos su teroristiniais nusikaltimais ar sunkiais nusikaltimais prieš tokį vertinimą, ir juos turėtų išsamiau patikrinti kompetentingos valdžios institucijos. Naudojantis PNR duomenimis galima kovoti su teroristinių nusikaltimų ir sunkių nusikaltimų grėsme kitais būdais nei tvarkant kitų kategorijų asmens duomenis. Tačiau, siekiant užtikrinti, kad PNR duomenys būtų tvarkomi tik tiek, kiek tai būtina, vertinimo kriterijų kūrimas ir taikymas turėtų būti apribotas, kad apimtų tik teroristinius nusikaltimus bei sunkius nusikaltimus, kurių atžvilgiu tokių kriterijų naudojimas yra aktualus. Be to, vertinimo kriterijai turėtų būti nustatomi tokiu būdu, kuris užtikrintų, kad sistema neteisingai identifikuotų kuo mažiau nekaltų žmonių;

(8)

oro vežėjai jau renka ir tvarko savo keleivių PNR duomenis savo pačių komerciniais tikslais. Šia direktyva oro vežėjams neturėtų būti nustatytos jokios pareigos iš keleivių rinkti arba saugoti kokius nors papildomus duomenis ir keleiviams neturėtų būti nustatytos jokios pareigos pateikti bet kokius papildomus duomenis be tų, kurie jau teikiami oro vežėjams;

(9)

kai kurie oro vežėjai API duomenis, kuriuos jie renka, saugo kaip PNR duomenų dalį, tačiau kiti to nedaro. PNR duomenų naudojimas kartu su API duomenimis turi pridėtinės vertės, kadangi taip valstybėms narėms padedama patikrinti asmens tapatybę ir taip padidinama to rezultato, kiek tai susiję su teisėsaugos veiksmais, vertė bei sumažinamas pavojus, kad bus tikrinami ir tiriami nekalti žmonės. Todėl svarbu užtikrinti, kad tais atvejais, kai oro vežėjai renka API duomenis, jie juos perduotų neatsižvelgiant į tai, ar API duomenis jie saugo skirtingomis techninėmis priemonėmis nei kitus PNR duomenis;

(10)

siekiant užkirsti kelią teroristiniams nusikaltimams ir sunkiems nusikaltimams, juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, svarbu, kad visos valstybės narės priimtų nuostatas, kuriomis ES išorės skrydžius vykdantys oro vežėjai būtų įpareigoti perduoti PNR duomenis, kuriuos jie renka, įskaitant API duomenis. Valstybės narės taip pat turėtų turėti galimybę šią pareigą taikyti ir ES vidaus skrydžius vykdantiems oro vežėjams. Tos nuostatos neturėtų daryti poveikio Direktyvai 2004/82/EB;

(11)

asmens duomenų tvarkymas turėtų būti proporcingas konkretiems saugumo tikslams, kurių siekiama pagal šią direktyvą;

(12)

šioje direktyvoje vartojamo termino „teroristiniai nusikaltimai“ apibrėžtis turėtų būti tokia pati kaip Tarybos pamatiniame sprendime 2002/475/TVR (5). Termino „sunkūs nusikaltimai“ apibrėžtis turėtų apimti šios direktyvos II priede išvardytų kategorijų nusikaltimus;

(13)

PNR duomenys turėtų būti perduodami vienam paskirtam informacijos apie keleivius skyriui atitinkamoje valstybėje narėje, kad būtų užtikrintas aiškumas ir sumažėtų oro vežėjų patiriamos išlaidos. Vienoje valstybėje narėje gali būti kitų informacijos apie keleivius skyriaus filialų, ir valstybės narės taip pat gali kartu įsteigti vieną informacijos apie keleivius skyrių. Valstybės narės turėtų keistis informacija tarpusavyje per atitinkamus keitimosi informacija tinklus siekiant palengvinti informacijos mainus ir užtikrinti sąveikumą;

(14)

valstybės narės turėtų padengti PNR duomenų naudojimo, saugojimo ir keitimosi jais išlaidas;

(15)

PNR duomenų, kuriuos turi gauti informacijos apie keleivius skyrius, sąrašas turėtų būti nustatytas siekiant atspindėti viešųjų valdžios institucijų teisėtus reikalavimus užkirsti kelią teroristiniams nusikaltimams ar sunkiems nusikaltimams, juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, tokiu būdu didinant vidaus saugumą Sąjungoje ir apsaugant pagrindines teises, visų pirma teisę į privatumą ir teisę į asmens duomenų apsaugą. Tuo tikslu turėtų būti taikomi aukšti standartai vadovaujantis Europos Sąjungos pagrindinių teisių chartija (toliau – Chartija), Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – Konvencija Nr. 108) ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija (toliau – EŽTK). Toks sąrašas neturėtų būti sudaromas asmens rasės arba etninės kilmės, religijos ar tikėjimo, politinių ar bet kokių kitų pažiūrų, narystės profesinėje sąjungoje, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu. PNR duomenys turėtų apimti tik išsamią informaciją apie keleivių rezervuotus bilietus ir kelionių maršrutus, kuria remdamosi kompetentingos valdžios institucijos gali nustatyti grėsmę vidaus saugumui keliančius oro transporto keleivius;

(16)

šiuo metu yra prieinami du galimi duomenų perdavimo metodai: „importo“ metodas, pagal kurį valstybės narės, kuriai reikia PNR duomenų, kompetentingos valdžios institucijos turi prieigą prie oro vežėjo bilietų rezervavimo sistemos ir gali nukopijuoti („importuoti“) reikiamus PNR duomenis, ir „eksporto“ metodas, pagal kurį oro vežėjai duomenų prašančiai valdžios institucijai perduoda („eksportuoja“) reikiamus PNR duomenis, taip leidžiant oro vežėjams toliau kontroliuoti, kokie duomenys teikiami. Laikoma, kad „eksporto“ metodas užtikrina aukštesnio lygio duomenų apsaugą ir turėtų būti privalomas visiems oro vežėjams;

(17)

Komisija remia Tarptautinės civilinės aviacijos organizacijos (toliau – ICAO) gaires dėl PNR. Todėl tos gairės turėtų tapti pagrindu priimant oro vežėjų valstybėms narėms teikiamiems PNR duomenims perduoti tinkamus duomenų formatus. Siekiant užtikrinti vienodas tinkamų duomenų formatų ir atitinkamų protokolų, taikomų oro vežėjų atliekamam duomenų perdavimui, įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (6);

(18)

valstybės narės turėtų imtis visų būtinų priemonių, kad oro vežėjams būtų sudarytos sąlygos vykdyti savo pareigas pagal šią direktyvą. Valstybės narės turėtų numatyti veiksmingas, proporcingas ir atgrasančias sankcijas, įskaitant finansines nuobaudas, kurios būtų taikomos pareigų perduoti PNR duomenis nesilaikantiems oro vežėjams;

(19)

kiekviena valstybė narė turėtų būti atsakinga už galimų teroristinių nusikaltimų ir sunkių nusikaltimų grėsmių įvertinimą;

(20)

visapusiškai atsižvelgiant į teisę į asmens duomenų apsaugą ir teisę į nediskriminavimą, neturėtų būti priimama jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turėtų neigiamų teisinių pasekmių asmeniui arba kurie tą asmenį labai paveiktų. Be to, pagal Chartijos 8 ir 21 straipsnius jokiu tokio pobūdžio sprendimu neturėtų būti diskriminuojama jokiu pagrindu, kaip antai dėl asmens lyties, rasės, odos spalvos, etninės ar socialinės kilmės, genetinių bruožų, kalbos, religijos ar tikėjimo, politinių ar bet kokių kitų pažiūrų, priklausymo tautinei mažumai, turtinės padėties, gimimo, negalios, amžiaus ar seksualinės orientacijos. Komisija, peržiūrėdama šios direktyvos taikymą, taip pat turėtų atsižvelgti į tuos principus;

(21)

valstybės narės PNR duomenų tvarkymo rezultatų jokiomis aplinkybėmis neturėtų naudoti kaip pagrindo išvengti savo tarptautinių įsipareigojimų pagal 1951 m. liepos 28 d. Konvenciją dėl pabėgėlių statuso, iš dalies pakeistą 1967 m. sausio 31 d. Protokolu. Taip pat tie rezultatai neturėtų būti pagrindas nesuteikti prieglobsčio prašytojams saugių ir veiksmingų teisėtų būdų patekti į Sąjungos teritoriją, kad jie galėtų pasinaudoti savo teise į tarptautinę apsaugą;

(22)

visapusiškai atsižvelgiant į Europos Sąjungos Teisingumo Teismo pastarojo meto atitinkamoje teismo praktikoje suformuotus principus, taikant šią direktyvą turėtų būti užtikrinta visapusiška pagarba pagrindinėms teisėms, teisei į privatų gyvenimą ir proporcingumo principo laikymasis. Ja taip pat turėtų būti tvirtai laikomasi būtinumo ir proporcingumo tikslų siekiant užtikrinti Sąjungos pripažintus bendrus interesus ir atsižvelgiama į būtinybę garantuoti, kad kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais būtų apsaugotos kitų asmenų teisės ir laisvės. Šios direktyvos taikymas turėtų būti tinkamai pagrindžiamas ir turėtų būti numatytos reikiamos apsaugos priemonės, kad būtų galima užtikrinti PNR duomenų saugojimo, analizės, perdavimo arba naudojimo teisėtumą;

(23)

valstybės narės turėtų keistis jų gaunamais PNR duomenimis tarpusavyje ir su Europolu, kai tai laikoma būtina teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais. Informacijos apie keleivius skyriai prireikus turėtų nedelsdami perduoti PNR duomenų tvarkymo rezultatus kitų valstybių narių informacijos apie keleivius skyriams, kad būtų galima atlikti tolesnius tyrimus. Šios direktyvos nuostatos neturėtų daryti poveikio kitiems Sąjungos teisės aktams dėl policijos ir kitų teisėsaugos institucijų bei teisminių institucijų keitimosi informacija, įskaitant Tarybos sprendimą 2009/371/TVR (7) ir Tarybos pamatinį sprendimą 2006/960/TVR (8). Toks keitimasis PNR duomenimis turėtų būti reglamentuojamas policijos ir teisminio bendradarbiavimo taisyklėmis ir neturėtų kelti grėsmės aukšto lygio privatumo ir asmens duomenų apsaugai, kaip reikalaujama pagal Chartiją, Konvenciją Nr. 108 ir EŽTK;

(24)

saugus keitimasis informacija, susijusia su PNR duomenimis, tarp valstybių narių turėtų būti užtikrintas naudojantis bet kuriais esamais valstybių narių kompetentingų valdžios institucijų bendradarbiavimo kanalais ir visų pirma su Europolu, naudojantis Europolo Saugaus keitimosi informacija tinklo programa (toliau – programa SIENA);

(25)

PNR duomenys turėtų būti saugomi tokį laikotarpį, koks būtinas teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais ir šis laikotarpis turėtų būti šiems tikslams proporcingas. Dėl duomenų pobūdžio ir jų paskirties PNR duomenis būtina saugoti pakankamai ilgą laikotarpį, kad juos būtų galima panaudoti analizei ir tyrimams atlikti. Siekiant išvengti neproporcingo naudojimo, pasibaigus pradiniam saugojimo laikotarpiui PNR duomenys turėtų būti nuasmeninti užmaskuojant duomenų elementus. Siekiant užtikrinti aukščiausio lygio duomenų apsaugą, susipažinti su visais PNR duomenimis, kurie sudaro galimybę tiesiogiai nustatyti duomenų subjektą, pasibaigus tam pradiniam laikotarpiui turėtų būti leidžiama tik laikantis labai griežtų ir ribotų sąlygų;

(26)

tais atvejais, kai konkretūs PNR duomenys yra perduoti kompetentingai valdžios institucijai ir naudojami konkretiems nusikalstamų veikų tyrimams arba patraukimui baudžiamojon atsakomybėn, tokių duomenų saugojimą, kurį vykdo kompetentinga valdžios institucija, turėtų reglamentuoti nacionalinė teisė, neatsižvelgiant į šioje direktyvoje nustatytus duomenų saugojimo laikotarpius;

(27)

informacijos apie keleivius skyriaus ir kompetentingų valdžios institucijų vykdomam PNR duomenų tvarkymui kiekvienoje valstybėje narėje turėtų būti taikomi asmens duomenų apsaugos pagal nacionalinę teisę standartai, atitinkantys Tarybos pamatinį sprendimą 2008/977/TVR (9), ir konkretūs šioje direktyvoje nustatyti duomenų apsaugos reikalavimai. Nuorodos į Pamatinį sprendimą 2008/977/TVR turėtų būti laikomos nuorodomis į šiuo metu galiojančius teisės aktus ir į teisės aktus, kuriais jie bus pakeisti;

(28)

atsižvelgiant į teisę į asmens duomenų apsaugą, duomenų subjektų teisės, susijusios su jų PNR duomenų tvarkymu, kaip antai teisės su jais susipažinti, juos ištaisyti, ištrinti ir apriboti jų tvarkymą, ir teisė gauti kompensaciją bei teisė į teismines teisių gynimo priemones, turėtų atitikti tiek Pamatinį sprendimą 2008/977/TVR, tiek ir aukštą Chartijoje ir EŽTK numatytą apsaugos lygį;

(29)

atsižvelgdamos į keleivių teisę būti informuotiems apie jų asmens duomenų tvarkymą, valstybės narės turėtų užtikrinti, kad keleiviams būtų suteikta tiksli ir lengvai prieinama bei lengvai suprantama informacija apie PNR duomenų rinkimą, jų perdavimą informacijos apie keleivius skyriui ir jų kaip duomenų subjektų teises;

(30)

šia direktyva nedaromas poveikis Sąjungos ir nacionalinei teisei dėl galimybės visuomenei susipažinti su oficialiais dokumentais principo;

(31)

valstybėms narėms turėtų būti leista perduoti PNR duomenis trečiosioms šalims tik atskirai įvertinus kiekvieną konkretų atvejį ir visapusiškai laikantis valstybių narių nustatytų nuostatų pagal Pamatinį sprendimą 2008/977/TVR. Siekiant užtikrinti asmens duomenų apsaugą, tokiems perdavimams turėtų būti taikomi papildomi reikalavimai, susiję su perdavimo tikslu. Jiems taip pat turėtų būti taikomi reikalingumo bei proporcingumo principai ir aukšto lygio apsauga, kaip numatyta pagal Chartiją ir EŽTK;

(32)

nacionalinė priežiūros institucija, kuri buvo įsteigta įgyvendinant Pamatinį sprendimą 2008/977/TVR, taip pat turėtų būti atsakinga už konsultavimą valstybių narių pagal šią direktyvą priimtų nuostatų taikymo klausimais ir už jų taikymo stebėseną;

(33)

ši direktyva neturi įtakos valstybių narių galimybei pagal savo nacionalinę teisę numatyti sistemą, skirtą rinkti ir tvarkyti PNR duomenis, kuriuos teikia ekonominės veiklos vykdytojai, kurie nėra vežėjai, kaip antai kelionių agentūros ir kelionių organizatoriai, teikiantys su kelionėmis susijusias paslaugas, įskaitant skrydžių užsakymą, kurių tikslais jie renka ir tvarko PNR duomenis, arba kiti transporto paslaugų teikėjai, nei nurodyta šioje direktyvoje, jeigu tokia nacionalinė teisė atitinka Sąjungos teisę;

(34)

šia direktyva nedaromas poveikis galiojančioms Sąjungos taisyklėms dėl to, kaip atliekama sienų kontrolė, arba Sąjungos taisyklėms, kuriomis reglamentuojamas atvykimas į Sąjungos teritoriją ir išvykimas iš jos;

(35)

dėl nacionalinių nuostatų, susijusių su asmens duomenų, įskaitant PNR duomenis, tvarkymu, teisinių ir techninių skirtumų oro vežėjai susiduria ir susidurs su skirtingais reikalavimais dėl perduotinos informacijos rūšių, ir dėl sąlygų, kuriomis ji turi būti teikiama kompetentingoms nacionalinėms valdžios institucijoms. Tie skirtumai gali trukdyti veiksmingam kompetentingų nacionalinių valdžios institucijų bendradarbiavimui teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais. Todėl būtina Sąjungos lygmeniu nustatyti bendrą teisinę sistemą PNR duomenų perdavimui ir tvarkymui;

(36)

šia direktyva gerbiamos Chartijoje nurodytos pagrindinės teisės ir principai, visų pirma teisė į asmens duomenų apsaugą, teisė į privatumą ir teisė į nediskriminavimą, kurios saugomos jos 8, 7 ir 21 straipsniais; todėl ją reikėtų atitinkamai įgyvendinti. Ši direktyva neprieštarauja duomenų apsaugos principams, o jos nuostatos atitinka Pamatinį sprendimą 2008/977/TVR. Be to, siekiant laikytis proporcingumo principo, tam tikroms sritims pagal šią direktyvą numatomos griežtesnės duomenų apsaugos taisyklės, nei nustatytos Pamatiniame sprendime 2008/977/TVR;

(37)

šios direktyvos taikymo sritis yra kiek įmanoma apribota, kadangi: pagal ją informacijos apie keleivius skyriuose PNR duomenis numatoma saugoti ne ilgesnį kaip penkerių metų laikotarpį, po kurio duomenys turėtų būti ištrinti; joje numatyta, jog pasibaigus pradiniam šešių mėnesių laikotarpiui duomenys nuasmeninami duomenų elementus užmaskuojant; ir pagal ją draudžiama rinkti bei naudoti neskelbtinus duomenis. Siekiant užtikrinti duomenų apsaugos veiksmingumą ir aukštą lygį, valstybės narės privalo užtikrinti, kad nepriklausoma nacionalinė priežiūros institucija ir visų pirma duomenų apsaugos pareigūnas būtų atsakingi už konsultavimą, kaip tvarkyti PNR duomenis, ir už jų tvarkymo stebėseną. Visi PNR duomenų tvarkymo atvejai turėtų būti registruojami ar dokumentuojami jų teisėtumo patikrinimo, savikontrolės ir deramo duomenų vientisumo bei saugaus tvarkymo užtikrinimo tikslais. Valstybės narės taip pat turėtų užtikrinti, kad keleiviai būtų aiškiai ir tiksliai informuojami apie PNR duomenų rinkimą ir savo teises;

(38)

kadangi šios direktyvos tikslų, t. y. oro vežėjų atliekamo PNR duomenų perdavimo ir tų duomenų tvarkymo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, valstybės narės negali deramai pasiekti ir kadangi tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(39)

pagal prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo pridėto Protokolo Nr. 21 dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės 3 straipsnį šios valstybės narės pranešė apie savo pageidavimą dalyvauti priimant ir taikant šią direktyvą;

(40)

pagal prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo pridėto Protokolo Nr. 22 dėl Danijos pozicijos 1 ir 2 straipsnius Danija nedalyvauja priimant šią direktyvą ir ji nėra jai privaloma ar taikoma;

(41)

vadovaujantis Europos Parlamento ir Tarybos reglamento (EB) Nr. 45/2001 (10) 28 straipsnio 2 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris pateikė nuomonę 2011 m. kovo 25 d,

PRIĖMĖ ŠIĄ DIREKTYVĄ:

I SKYRIUS

Bendrosios nuostatos

1 straipsnis

Dalykas ir taikymo sritis

1.   Šia direktyva numatoma:

a)

oro vežėjų atliekamas ES išorės skrydžių keleivių duomenų įrašo (toliau – PNR) duomenų perdavimas,

b)

a punkte nurodytų duomenų tvarkymas, įskaitant valstybių narių vykdomą tokių duomenų rinkimą, naudojimą bei saugojimą ir valstybių narių tarpusavio keitimąsi jais.

2.   Pagal šią direktyvą renkami PNR duomenys gali būti tvarkomi tik teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kaip numatyta 6 straipsnio 2 dalies a, b ir c punktuose.

2 straipsnis

Šios direktyvos taikymas ES vidaus skrydžiams

1.   Jeigu valstybė narė nusprendžia taikyti šią direktyvą ES vidaus skrydžiams, ji raštu praneša Komisijai. Valstybė narė tokį pranešimą gali pateikti arba panaikinti bet kuriuo metu. Komisija tą pranešimą ir bet kurį panaikinimą paskelbia Europos Sąjungos oficialiajame leidinyje.

2.   Kai pateikiamas 1 dalyje nurodytas pranešimas, visos šios direktyvos nuostatos taikomos ES vidaus skrydžiams taip, kaip jos būtų taikomos ES išorės skrydžiams, ir ES vidaus skrydžių PNR duomenims taip, kaip jos būtų taikomos ES išorės skrydžių PNR duomenims.

3.   Valstybė narė gali nuspręsti šią direktyvą taikyti tik pasirinktiems ES vidaus skrydžiams. Priimdama tokį sprendimą valstybė narė pasirenka skrydžius, kuriuos pasirinkti, jos nuomone, yra būtina siekiant šios direktyvos tikslų. Valstybė narė gali nuspręsti bet kada pakeisti savo ES vidaus skrydžių pasirinkimą.

3 straipsnis

Terminų apibrėžtys

Šioje direktyvoje vartojamų terminų apibrėžtys:

1.   oro vežėjas– oro transporto įmonė, turinti galiojančią veiklos licenciją arba jai lygiavertį dokumentą, leidžiantį oro transportu vežti keleivius;

2.   ES išorės skrydis– bet kuris oro vežėjo reguliarus ar nereguliarus skrydis iš trečiosios šalies, kurio suplanuota nusileidimo vieta yra valstybės narės teritorijoje, arba skrydis iš valstybės narės teritorijos, kurio suplanuota nusileidimo vieta yra trečiojoje šalyje, abiem atvejais įskaitant skrydžius su bet kokiais nusileidimais valstybių narių arba trečiųjų šalių teritorijoje;

3.   ES vidaus skrydis– bet kuris oro vežėjo reguliarus arba nereguliarus skrydis iš valstybės narės teritorijos, kurio suplanuota nusileidimo vieta yra vienos arba kelių kitų valstybių narių teritorijoje, be jokių nusileidimų trečiosios šalies teritorijoje;

4.   keleivis– bet kuris asmuo, įskaitant su persėdimu arba tranzitu vykstančius keleivius ir išskyrus įgulos narius, kuris yra vežamas arba turi būti vežamas orlaiviu sutikus oro vežėjui, kai toks sutikimas parodomas to asmens registracija keleivių sąraše;

5.   keleivio duomenų įrašas arba PNR– kiekvieno keleivio kelionės sąlygų įrašas, kuriame pateikiama informacija, reikalinga, kad kiekvienos asmens arba jo vardu užsakytos kelionės atveju užsakymus priimantys bei dalyvaujantys oro vežėjai galėtų tvarkyti ir kontroliuoti bilietų rezervavimą, nepriklausomai nuo to, ar įrašas yra rezervavimo sistemose, išvykimo kontrolės sistemose, naudojamose keleivių registravimui į skrydžius, arba tokias pačias funkcijas turinčiose lygiavertėse sistemose;

6.   rezervavimo sistema– oro vežėjo vidinė sistema, kurioje renkami rezervavimui tvarkyti reikalingi PNR duomenys;

7.   eksporto metodas– metodas, pagal kurį oro vežėjai perduoda I priede išvardytus PNR duomenis į duomenų prašančios institucijos duomenų bazę;

8.   teroristiniai nusikaltimai– nusikaltimai pagal nacionalinę teisę, nurodyti Pamatinio sprendimo 2002/475/TVR 1–4 straipsniuose;

9.   sunkūs nusikaltimai– II priede išvardyti nusikaltimai, už kuriuos pagal valstybės narės nacionalinę teisę baudžiama laisvės atėmimo bausme arba įsakymu sulaikyti, kurio ilgiausias terminas – bent treji metai;

10.   nuasmeninti užmaskuojant duomenų elementus– padaryti nematomais naudotojui tuos duomenų elementus, pagal kuriuos galėtų būti galima tiesiogiai nustatyti duomenų subjektą.

II SKYRIUS

Valstybių narių pareigos

4 straipsnis

Informacijos apie keleivius skyrius

1.   Kiekviena valstybė narė įsteigia arba paskiria valdžios instituciją, kompetentingą vykdyti teroristinių nusikaltimų ir sunkių nusikaltimų prevenciją, nustatymą, tyrimą ar patraukimą už juos baudžiamojon atsakomybėn, arba tokios valdžios institucijos padalinį atlikti informacijos apie keleivius skyriaus funkcijas.

2.   Informacijos apie keleivius skyrius atsako už:

a)

PNR duomenų rinkimą iš oro vežėjų, tų duomenų saugojimą ir tvarkymą, ir tų duomenų arba jų tvarkymo rezultatų perdavimą 7 straipsnyje nurodytoms kompetentingoms valdžios institucijoms;

b)

keitimąsi tiek PNR duomenimis, tiek tų duomenų tvarkymo rezultatais su kitų valstybių narių informacijos apie keleivius skyriais ir Europolu pagal 9 ir 10 straipsnius.

3.   Informacijos apie keleivius skyriaus darbuotojai gali būti deleguoti iš kompetentingų valdžios institucijų. Valstybės narės suteikia informacijos apie keleivius skyriams atitinkamų išteklių, kad jie galėtų vykdyti savo užduotis.

4.   Dvi arba daugiau valstybių narių (toliau – dalyvaujančios valstybės narės) gali įsteigti arba paskirti vieną valdžios instituciją, kuri veiktų kaip jų informacijos apie keleivius skyrius. Toks informacijos apie keleivius skyrius įsteigiamas vienoje iš dalyvaujančių valstybių narių ir laikomas visų dalyvaujančių valstybių narių nacionaliniu informacijos apie keleivius skyriumi. Dalyvaujančios valstybės narės kartu susitaria dėl išsamių informacijos apie keleivius skyriaus veikimo taisyklių ir laikosi šia direktyva nustatytų reikalavimų.

5.   Kiekviena valstybė narė per vieną mėnesį nuo jos informacijos apie keleivius skyriaus įsteigimo apie tai praneša Komisijai ir gali pakeisti savo pranešimą bet kuriuo metu. Komisija pranešimą ir bet kokius jo pakeitimus skelbia Europos Sąjungos oficialiajame leidinyje.

5 straipsnis

Duomenų apsaugos pareigūnas informacijos apie keleivius skyriuje

1.   Informacijos apie keleivius skyrius paskiria duomenų apsaugos pareigūną, atsakingą už PNR duomenų tvarkymo ir atitinkamų apsaugos priemonių įgyvendinimo stebėseną.

2.   Valstybės narės aprūpina duomenų apsaugos pareigūnus ištekliais, kad jie galėtų veiksmingai ir nepriklausomai vykdyti pagal šį straipsnį jiems numatytas pareigas ir užduotis.

3.   Valstybės narės užtikrina, kad duomenų subjektas turėtų teisę kreiptis į duomenų apsaugos pareigūną kaip į bendrą kontaktinį asmenį visais klausimais, susijusiais su to duomenų subjekto PNR duomenų tvarkymu.

6 straipsnis

PNR duomenų tvarkymas

1.   Oro vežėjų perduotus PNR duomenis renka atitinkamos valstybės narės informacijos apie keleivius skyrius, kaip numatyta 8 straipsnyje. Kai oro vežėjų perduoti PNR duomenys apima kitus duomenis, nei tie, kurie išvardyti I priede, tokius duomenis gavęs informacijos apie keleivius skyrius nedelsdamas juos ištrina visam laikui.

2.   Informacijos apie keleivius skyrius PNR duomenis tvarko tik šiais tikslais:

a)

kad atliktų keleivių įvertinimą prieš jų numatytą atvykimą į valstybę narę ar išvykimą iš jos ir nustatytų, kuriuos asmenis turi papildomai patikrinti 7 straipsnyje nurodytos kompetentingos valdžios institucijos ir, prireikus, Europolas pagal 10 straipsnį, kadangi tokie asmenys gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu;

b)

kad kiekvienu konkrečiu atveju atsakydamas į tinkamai pagrįstą ir pakankamais pagrindais paremtą kompetentingų valdžios institucijų prašymą, konkrečiais atvejais pateiktų ir tvarkytų PNR duomenis teroristinių nusikaltimų ar sunkių nusikalti