ISSN 1977-0723

Europos Sąjungos

oficialusis leidinys

L 295

European flag  

Leidimas lietuvių kalba

Teisės aktai

61 metai
2018m. lapkričio 21d.


Turinys

 

I   Įstatymo galią turintys teisės aktai

Puslapis

 

 

REGLAMENTAI

 

*

2018 m. spalio 2 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1724 kuriuo sukuriami bendrieji skaitmeniniai vartai, skirti suteikti prieigą prie informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 1024/2012 ( 1 )

1

 

*

2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB ( 1 )

39

 

*

2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1726 dėl Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūros (eu-LISA), kuriuo iš dalies keičiamas Reglamentas (EB) Nr. 1987/2006 ir Tarybos sprendimas 2007/533/TVR bei panaikinamas Reglamentas (ES) Nr. 1077/2011

99

 

*

2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1727 dėl Europos Sąjungos bendradarbiavimo baudžiamosios teisenos srityje agentūros (Eurojusto) ir kuriuo pakeičiamas ir panaikinamas Tarybos sprendimas 2002/187/TVR

138

 


 

(1)   Tekstas svarbus EEE.

LT

Aktai, kurių pavadinimai spausdinami paprastu šriftu, yra susiję su kasdieniu žemės ūkio reikalų valdymu ir paprastai galioja ribotą laikotarpį.

Visų kitų aktų pavadinimai spausdinami ryškesniu šriftu ir prieš juos dedama žvaigždutė.


I Įstatymo galią turintys teisės aktai

REGLAMENTAI

21.11.2018   

LT

Europos Sąjungos oficialusis leidinys

L 295/1


EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2018/1724

2018 m. spalio 2 d.

kuriuo sukuriami bendrieji skaitmeniniai vartai, skirti suteikti prieigą prie informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 1024/2012

(Tekstas svarbus EEE)

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 21 straipsnio 2 dalį ir 114 straipsnio 1 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę (1),

laikydamiesi įprastos teisėkūros procedūros (2),

kadangi:

(1)

vidaus rinka yra vienas didžiausių Sąjungos laimėjimų. Leidžiant asmenims, prekėms, paslaugoms ir kapitalui joje laisvai judėti, ja piliečiams ir verslininkams suteikiamos naujos galimybės. Šis reglamentas yra svarbus bendrosios rinkos strategijos, kuri buvo nustatyta 2015 m. spalio 28 d. Komisijos komunikatu „Bendrosios rinkos tobulinimas: daugiau galimybių piliečiams ir įmonėms“, elementas. Ta strategija siekiama padėti piliečiams ir verslininkams lengviau judėti Sąjungoje, prekiauti, steigtis ir plėsti savo verslą kitose valstybėse ir taip atskleisti visas vidaus rinkos teikiamas galimybes;

(2)

2015 m. gegužės 6 d. Komisijos komunikate „Europos bendrosios skaitmeninės rinkos strategija“ buvo pripažintas interneto ir skaitmeninių technologijų vaidmuo keičiant mūsų gyvenimą ir būdus, kuriais piliečiai ir verslininkai gauna prieigą prie informacijos, įgyja žinių, perka prekes ir paslaugas, dalyvauja rinkoje ir dirba, taip sukuriant labai didelių inovacijų, augimo ir darbo vietų kūrimo galimybių. Tame komunikate ir keliose Europos Parlamento priimtose rezoliucijose buvo pripažinta, kad piliečių ir verslininkų poreikiai savo valstybėje ir tarpvalstybinės veiklos poreikiai galėtų būti geriau tenkinami išplečiant ir integruojant esamus Europos lygmens portalus, interneto svetaines, tinklus, paslaugas ir sistemas ir susiejant juos su įvairiais nacionaliniais sprendimais, tokiu būdu sukuriant bendruosius skaitmeninius vartus, kurie atlieka Europos vienos bendros prieigos funkcijas (toliau – vartai). 2016 m. balandžio 19 d. Komisijos komunikate „2016–2020 m. ES e. valdžios veiksmų planas. Valdžios skaitmeninių permainų spartinimas“ vartai buvo įtraukti į sąrašą kaip vienas jos 2017 m. veiksmų. 2017 m. sausio 24 d. Komisijos ataskaitoje „Piliečių teisių stiprinimas demokratinių pokyčių Sąjungoje. 2017 m. ES pilietybės ataskaita“ vartai buvo laikomi prioritetu Sąjungos piliečių teisių atžvilgiu;

(3)

Europos Parlamentas ir Taryba ne kartą ragino parengti išsamesnį ir naudotojams lengvai naudojamą informacijos ir pagalbos priemonių rinkinį, kad piliečiai ir verslininkai galėtų lengviau orientuotis vidaus rinkoje, taip pat ragino stiprinti ir racionalizuoti vidaus rinkos priemones siekiant geriau patenkinti piliečių ir verslininkų poreikius, susijusius su jų tarpvalstybine veikla;

(4)

šiuo reglamentu reaguojama į tuos raginimus ir piliečiams bei verslininkams suteikiama lengva prieiga prie informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, kurių jiems reikia, kad jie galėtų naudotis savo teisėmis vidaus rinkoje. Vartai gali padėti užtikrinti didesnį su skirtingais verslo ir gyvenimo įvykiais susijusių taisyklių ir nuostatų skaidrumą tokiose srityse, kaip antai kelionės, pensija, švietimas, užimtumas, sveikatos priežiūra, vartotojų teisės ir šeimos teisės. Be to, jie galėtų padėti didinti vartotojų pasitikėjimą, spręsti žinių trūkumo apie vartotojų apsaugą ir vidaus rinkos taisykles problemą ir mažinti verslininkų reikalavimų laikymosi išlaidas. Šiuo reglamentu sukuriami lengvai naudojami ir interaktyvūs vartai, kurie, atsižvelgiant į naudotojų poreikius, turėtų juos nukreipti link tinkamiausių paslaugų. Tokiomis aplinkybėmis, Komisija ir valstybės narės turėtų atlikti svarbų vaidmenį siekiant tų tikslų;

(5)

vartai turėtų palengvinti piliečių ir verslininkų ryšius su kompetentingomis institucijomis, suteikiant prieigą prie internetinių priemonių, palengvindami kasdienę piliečių ir verslininkų veiklą ir mažinant kliūtis, su kuriomis susiduriama vidaus rinkoje. Bendrųjų skaitmeninių vartų, suteikiančių internete prieigą prie tikslios ir atnaujintos informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, buvimas galėtų padėti didinti naudotojų informuotumą apie įvairias esamas internetines paslaugas ir taupyti jų laiką bei išlaidas;

(6)

šiuo reglamentu tikslingai siekiama trijų tikslų, t. y. sumažinti bet kokią papildomą administracinę naštą, tenkančią piliečiams ir verslininkams, kurie naudojasi arba nori naudotis vidaus rinkos teikiamomis teisėmis, įskaitant laisvą piliečių judėjimą, visiškai laikantis nacionalinių taisyklių ir procedūrų, panaikinti diskriminaciją ir užtikrinti vidaus rinkos veikimą, kiek tai susiję su informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų teikimu. Kadangi jis apima laisvą piliečių judėjimą, o tai negali būti laikoma vien papildomu aspektu, šis reglamentas turėtų būti grindžiamas Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 21 straipsnio 2 dalimi ir 114 straipsnio 1 dalimi;

(7)

kad Sąjungos piliečiai ir verslininkai galėtų naudotis laisvo judėjimo teise vidaus rinkoje, Sąjunga turėtų priimti specialias nediskriminacines priemones, kurios leistų piliečiams ir verslininkams gauti lengvą prieigą prie pakankamai išsamios ir patikimos informacijos apie jų teises pagal Sąjungos teisę ir informacijos apie taikytinas nacionalines taisykles ir procedūras, kurių jie turi laikytis, kai jie juda, gyvena ar studijuoja, arba kai jie steigia ar vykdo verslą ne savo valstybėje, bet kitoje valstybėje narėje. Informacija turėtų būti laikoma pakankamai išsamia, jeigu ji apima visą informaciją, kuri yra naudotojams būtina, kad jie suprastų, kokios yra jų teisės ir pareigos ir nurodo taisykles, kurios jiems taikomos veiklos, kurią jie nori vykdyti kaip tarpvalstybiniai naudotojai, atžvilgiu. Informacija turėtų būti pateikiama aiškiai, glaustai ir suprantamai ir būti susijusi su veikla ir deramai pritaikyta tikslinių naudotojų grupei. Informacija apie procedūras turėtų apimti visus numatomus naudotojui aktualius procedūrų etapus. Piliečiams ir verslininkams, susiduriantiems su sudėtinga reguliavimo aplinka, kaip antai veikiantiems e. prekybos ir dalijimosi ekonomikos srityje, yra svarbu, kad jie galėtų lengvai rasti taikytinas taisykles ir tai, kaip jos taikomos jų veiklai. Lengva ir naudotojams patogi prieiga prie informacijos suprantama kaip galimybė naudotojams lengvai rasti informaciją, lengvai nustatyti, kuri tos informacijos dalis yra aktuali jo konkrečiu atveju, ir tą aktualią informaciją lengvai suprasti. Nacionaliniu lygmeniu teiktina informacija turėtų būti susijusi ne tik su nacionalinėmis taisyklėmis, kuriomis įgyvendinama Sąjungos teisė, bet ir su bet kokiomis kitomis nacionalinėmis taisyklėmis, kurios taikomos tiek netarpvalstybiniams, tiek ir tarpvalstybiniams naudotojams;

(8)

šio reglamento taisyklės dėl informacijos teikimo neturėtų būti taikomos nacionalinių teismų sistemoms, nes tarpvalstybiniams naudotojams aktuali tos srities informacija jau yra įtraukta į e. teisingumo portalą. Kai kuriais atvejais, kuriems taikomas šis reglamentas, teismai turėtų būti laikomi kompetentingomis institucijomis, pavyzdžiui, tais atvejais, kai teismai tvarko verslo registrus. Be to, nediskriminavimo principas turėtų būti taikomas ir internetinėms procedūroms, suteikiančioms prieigą į teismo procedūrą;

(9)

aišku tai, kad kitų valstybių narių piliečiai ir verslininkai gali atsidurti mažiau palankioje padėtyje dėl to, kad nėra susipažinę su nacionalinėmis taisyklėmis ir administracinėmis sistemomis, kad naudojamos skirtingos kalbos ir kad jie yra geografiniu požiūriu toli nuo kitoje nei jų valstybėje narėje esančių kompetentingų institucijų. Efektyviausiai sumažinti susijusias kliūtis, trukdančias naudotis vidaus rinkos teikiamomis galimybėmis, – suteikti tarpvalstybiniams ir netarpvalstybiniams naudotojams prieigą prie internetinės informacijos ta kalba, kuri jiems yra suprantama, kad jie galėtų atlikti procedūras, kuriomis užtikrinamas nacionalinių taisyklių laikymasis, visa apimtimi internete ir suteikti pagalbą, jei taisyklės ir procedūros nėra pakankamai aiškios arba jei kyla naudojimosi savo teisėmis kliūčių;

(10)

keletu Sąjungos teisės aktų jau bandyta pateikti sprendimų sukuriant sektoriams skirtus vieno langelio principu veikiančius centrus, įskaitant kontaktinius centrus, sukurtus pagal Europos Parlamento ir Tarybos direktyvą 2006/123/EB (3), kurie teikia internete informaciją ir pagalbos paslaugas bei suteikia prieigą prie procedūrų, kurios aktualios teikiant paslaugas; gaminių kontaktinius centrus, įsteigtus Europos Parlamento ir Tarybos reglamentu (EB) Nr. 764/2008 (4) ir statybos gaminių kontaktinius centrus, įsteigtus Europos Parlamento ir Tarybos reglamentu (ES) Nr. 305/2011 (5), kurie užtikrina prieigą prie konkretiems produktams skirtų techninių taisyklių; ir nacionalinius profesinių kvalifikacijų pripažinimo pagalbos centrus, įsteigtus Europos Parlamento ir Tarybos direktyva 2005/36/EB (6), kurie siekia palengvinti specialistų tarpvalstybinį judėjimą. Be to, sukurta tinklų, kaip antai Europos vartotojų centrų, siekiant skatinti žinias apie teises, kuriomis naudojasi Sąjungos vartotojai, ir suteikti pagalbą nagrinėjant skundus dėl kitose valstybėse narėse keliaujant arba internetu atliktų pirkimų. Be to, SOLVIT, kaip nurodyta Komisijos rekomendacijoje 2013/461/ES (7), stengiasi pateikti asmenims ir verslininkams greitų, veiksmingų ir neformalių sprendimų, jei valdžios institucijos nepripažįsta jų teisių vidaus rinkoje. Galiausiai, siekiant informuoti naudotojus apie Sąjungos ir nacionalines taisykles, sukurta keletas informacijos portalų, kaip antai „Jūsų Europa“ (vidaus rinkos klausimai) ir e. teisingumo portalas (teisingumo srities klausimai);

(11)

kadangi tie Sąjungos teisės aktai yra sektorinio pobūdžio, šiuo metu internetinės informacijos ir pagalbos bei problemų sprendimo paslaugos piliečiams ir verslininkams tebeteikiamos labai padrikai, o internetinės procedūros taip pat yra nenuoseklios. Kartais pateikiama informacija ir esamos procedūros nesutampa, paslaugų kokybė yra nepakankamai gera, o visuomenė yra menkai informuota apie tos informacijos ir tų pagalbos bei problemų sprendimo paslaugų teikimą. Tarpvalstybiniai naudotojai taip pat patiria keblumų bandydami rasti paslaugas ir jomis naudotis;

(12)

šiuo reglamentu turėtų būti sukurti bendrieji skaitmeniniai vartai veikiantys kaip viena bendra prieiga, per kurią piliečiai ir verslininkai galėtų gauti informaciją apie taisykles ir reikalavimus, kurių jie privalo laikytis pagal Sąjungos arba nacionalinę teisę. Vartai turėtų supaprastinti piliečių ir verslininkų kontaktą su Sąjungos arba nacionaliniu lygmeniu sukurtų pagalbos bei problemų sprendimo paslaugų teikėjais ir turėtų būti užtikrintas didesnis to kontakto veiksmingumas. Vartais turėtų būti suteikta patogesnė prieiga prie internetinių procedūrų ir galimybė jas atlikti. Šiuo reglamentu neturėtų būti daromas joks poveikis esamoms teisėms ir pareigoms pagal Sąjungos arba nacionalinę teisę, nustatytoms tose politikos srityse. Atliekant procedūras, išvardytas šio reglamento II priede, ir procedūras, numatytas direktyvose 2005/36/EB ir 2006/123/EB bei Europos Parlamento ir Tarybos direktyvose 2014/24/ES (8) ir 2014/25/ES (9), šiuo reglamentu turėtų būti remiamas vienkartinio duomenų pateikimo principo taikymas ir visapusiškai gerbiama pagrindinė teisė į asmens duomenų apsaugą, įvairių valstybių narių kompetentingoms institucijoms keičiantis įrodymais;

(13)

vartai ir jų turinys turėtų būti orientuoti į naudotojus ir turėtų būti jiems patogūs naudotis. Vartai turėtų siekti išvengti sutapimo ir turėtų nurodyti ryšius su esamomis paslaugomis. Juose turėtų būti užtikrinta galimybė piliečiams ir verslininkams palaikyti ryšį su valdžios įstaigomis nacionaliniu ir Sąjungos lygmeniu – piliečiams ir verslininkams turėtų būti suteikta galimybė pateikti grįžtamąją informaciją apie paslaugas, suteiktas per vartus, ir apie savo patirtį, susijusią su vidaus rinkos veikimu. Grįžtamosios informacijos rinkimo priemonės turėtų naudotojui leisti nurodyti pastebėtas problemas, trūkumus ir poreikius, kad būtų skatinama nuolat tobulinti paslaugų kokybę, tokiu būdu, kad būtų išlaikomas naudotojo anonimiškumas;

(14)

vartų sėkmę lems bendros Komisijos ir valstybių narių pastangos. Vartuose turėtų veikti bendroji naudotojų sąsaja, kuri integruota į esamą portalą „Jūsų Europa“, ir ją turės administruoti Komisija. Bendrojoje naudotojų sąsajoje turėtų būti pateiktos nuorodos į informaciją, procedūras ir į pagalbos bei problemų sprendimo paslaugas, kurios teikiamos per valstybių narių kompetentingų institucijų ir Komisijos administruojamus portalus. Kad būtų lengviau naudotis vartais, bendroji naudotojų sąsaja turėtų būti prieinama visomis Sąjungos institucijų oficialiosiomis kalbomis (toliau — Sąjungos oficialiosios kalbos). Esamas portalas „Jūsų Europa“ ir jo pagrindinis prieigos tinklalapis, pritaikytas prie vartų reikalavimų, turėtų išlaikyti šios teikiamos informacijos daugiakalbį pobūdį. Vartų veikimas turėtų būti palaikomas techninėmis priemonėmis, kurias sukuria Komisija glaudžiai bendradarbiaudama su valstybėmis narėmis;

(15)

chartijoje dėl elektroninių kontaktinių centrų pagal Direktyvą 2006/123/EB, kurią 2013 m. patvirtino Taryba, valstybės narės savanoriškai įsipareigojo teikdamos informaciją per kontaktinius centrus laikytis į naudotoją orientuoto požiūrio, kad būtų teikiama verslininkams ypač svarbių sričių informacija, įskaitant su PVM, pajamų mokesčiais, socialine apsauga arba darbo teisės reikalavimais susijusią informaciją. Remiantis chartija ir atsižvelgiant į patirtį, įgytą naudojantis portalu „Jūsų Europa“, ta informacija taip pat turėtų įtraukti pagalbos bei problemų sprendimo paslaugų aprašymą. Piliečiai ir verslininkai turėtų turėti galimybę kreiptis dėl tokių paslaugų, kai jiems kyla neaiškumų dėl pateiktos informacijos, dėl tos informacijos taikymo savo padėčiai arba procedūrų atlikimo;

(16)

šiame reglamente turėtų būti išvardijamos informacijos sritys, kurios yra aktualios piliečiams ir verslininkams, besinaudojantiems savo teisėmis ir vykdantiems savo pareigas vidaus rinkoje. Tų sričių pakankamai išsami informacija turėtų būti teikiama nacionaliniu lygmeniu, įskaitant regioninį ir vietos lygmenis, ir Sąjungos lygmeniu, paaiškinant taikytinas taisykles ir pareigas, procedūras, kurias piliečiai ir verslininkai turi atlikti, kad laikytųsi tų taisyklių ir vykdytų tas pareigas. Siekiant užtikrinti siūlomų paslaugų kokybę, per vartus teikiama informacija turėtų būti aiški, tiksli ir atnaujinta, turėtų būti kuo labiau mažinamas sudėtingų terminų naudojimas, o akronimai turėtų atspindėti supaprastintus ir lengvai suprantamus terminus, kurių supratimui nereikia iš anksto išmanyti klausimo ar teisės srities. Ta informacija turėtų būti pateikta taip, kad naudotojai galėtų lengvai suprasti pagrindines taisykles ir reikalavimus, taikytinus jų atvejui tokiose srityse. Taip pat naudotojai turėtų būtį informuoti apie tai, kad kai kuriose valstybėse narėse nėra nacionalinių taisyklių I priede išvardytose informacijos srityse, ypač kai toms sritims taikomos kitų valstybių narių taisyklės. Tokia informacija apie nacionalinių taisyklių netaikymą galėtų būti įtraukta į portalą „Jūsų Europa“;

(17)

kai tai įmanoma, informacija, kurią Komisija jau surinko iš valstybių narių pagal esamą Sąjungos teisę arba savanoriškus susitarimus, kaip antai informacija, surinkta EURES portalui, sukurtam Europos Parlamento ir Tarybos reglamentu (ES) 2016/589 (10), e. teisingumo portalui, sukurtam Tarybos sprendimu 2001/470/EB (11), arba reglamentuojamųjų profesijų duomenų bazei, sukurtai Direktyva 2005/36/EB, turėtų būti naudojama padengti dalį informacijos, kuri Sąjungos ir nacionaliniu lygmeniu turi būti prieinama piliečiams ir verslininkams pagal šį reglamentą. Valstybės narės neprivalo savo nacionalinėse interneto svetainėse teikti informacijos, kuri jau pateikta atitinkamose Komisijos tvarkomose duomenų bazėse. Kai valstybės narės pagal Sąjungos aktus, kaip antai pagal Europos Parlamento ir Tarybos direktyvą 2014/67/ES (12), jau turi teikti informaciją internetu, turėtų pakakti to, kad valstybės narės pateikia nuorodas į esamą informaciją internete. Tais atvejais, kai tam tikros politikos sritys jau yra visiškai suderintos pagal Sąjungos teisę, pavyzdžiui, vartotojų teisės, Sąjungos lygmeniu teikiamos informacijos paprastai turėtų naudotojams pakakti, kad jie suprastų savo atitinkamas teises ir pareigas. Tokiais atvejais valstybės narės turėtų privalėti pateikti tik papildomą informaciją apie savo nacionalines administracines procedūras ir pagalbos paslaugas ar bet kurias kitas nacionalines administracines taisykles, jei tai aktualu naudotojams. Informacija, pavyzdžiui, apie vartotojų teises, neturėtų daryti poveikio sutarčių teisei, o veikiau ja naudotojai turėtų būti informuojami apie savo teises pagal Sąjungos ir nacionalinę teisę komercinių sandorių kontekste;

(18)

šis reglamentas turėtų sustiprinti su vidaus rinka susijusį internetinių procedūrų aspektą ir taip prisidėti prie vidaus rinkos skaitmeninimo, taikant bendrąjį nediskriminavimo principą, inter alia, piliečių arba verslininkų prieigos prie internetinių procedūrų, kurios jau yra įsteigtos nacionaliniu lygmeniu remiantis Sąjungos arba nacionaline teise, ir procedūrų, kurias turi būti galima visa apimtimi atlikti internete pagal šį reglamentą, atžvilgiu. Kai naudotojas, kurio situacija yra išimtinai susijusi su viena valstybe nare, toje valstybėje narėje turi prieigą prie procedūros internete ir ją atlieka srityje, kuriai taikomas šis reglamentas, tarpvalstybinis naudotojas taip pat turėtų be jokių diskriminuojamojo pobūdžio kliūčių turėti prieigą internete prie procedūros ir ją atlikti taikant arba tą patį techninį sprendimą, arba alternatyvų, techniškai skirtingą sprendimą, kurio rezultatas būtų toks pats. Tokios kliūtys galėtų būti nacionaliniu lygmeniu sukurti sprendimai, kaip antai reikalavimas formų laukeliuose nurodyti nacionalinius telefono numerius, nacionalinius telefono kodus arba nacionalinius pašto kodus, reikalavimas sumokėti mokesčius suteikiant galimybę tai padaryti tik per sistemas, per kurias negali būti atliekami tarpvalstybiniai mokėjimai, išsamių paaiškinimų nepateikimas tarpvalstybiniams naudotojams suprantama kalba, galimybių pateikti elektroninius įrodymus iš kitose valstybėse narėse esančių institucijų nebuvimas ir kitų valstybių narių išduotų elektroninių atpažinties priemonių nepripažinimas. Valstybės narės turėtų rasti tų kliūčių sprendimus;

(19)

kai naudotojai internetu atlieka procedūras už valstybės ribų, jie turėtų turėti galimybę gauti visus reikiamus paaiškinimus Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų. Tai nereiškia, kad valstybės narės privalo išversti savo administracines formas, susijusias su procedūra, ar tos procedūros rezultatus į tą kalbą. Tačiau valstybės narės skatinamos naudoti techninius sprendimus, kurie leistų naudotojams, tiek atvejų, kiek tai įmanoma, atlikti procedūras ta kalba, kartu laikantis valstybių narių taisyklių dėl kalbų naudojimo;

(20)

nacionalinės procedūros internete, kurios yra aktualios tarpvalstybiniams naudotojams, kad jie galėtų naudotis vidaus rinkos jiems teikiamomis teisėmis, priklauso nuo to, ar jie gyvena arba yra įsisteigę atitinkamoje valstybėje narėje, ar jie nori naudotis prieiga prie tos valstybės narės procedūrų gyvendami arba būdami įsisteigę kitoje valstybėje narėje. Šiuo reglamentu valstybėms narėms neturėtų būti draudžiama reikalauti, kad jų teritorijoje gyvenantys arba įsisteigę tarpvalstybiniai naudotojai, norėdami gauti prieigą prie nacionalinių procedūrų internete, gautų nacionalinį identifikavimo numerį, su sąlyga, kad dėl to tiems naudotojams nesukuria nepagrįstos papildomos naštos ar išlaidų. Tarpvalstybinių naudotojų, kurie negyvena arba nėra įsisteigę atitinkamoje valstybėje narėje, atveju nacionalinės procedūros internete, kurios nėra aktualios naudojantis vidaus rinkos jiems teikiamomis teisėmis, pavyzdžiui, registracija norint gauti vietos paslaugas, kaip antai atliekų surinkimas ir leidimas statyti automobilius, neprivalo būti visa apimtimi prieinamos internete;

(21)

šis reglamentas turėtų būti grindžiamas Europos Parlamento ir Tarybos reglamentu (ES) Nr. 910/2014 (13), kuriame yra nustatytos sąlygos, kuriomis valstybės narės pripažįsta tam tikras elektronines fizinių ir juridinių asmenų, kuriems taikoma kitos valstybės narės elektroninės atpažinties sistemą, apie kurią pranešta, atpažinties priemones. Reglamente (ES) Nr. 910/2014 yra nustatytos sąlygos, kuriomis naudotojams leidžiama naudotis savo elektroninėmis atpažinties ir tapatumo nustatymo priemonėmis, kai jie nori tarpvalstybinėse situacijose turėti prieigą prie viešųjų paslaugų internete. Sąjungos institucijos, organai, tarnybos ir agentūros skatinami priimti procedūrų, už kurias jie yra atsakingi, elektronines atpažinties ir tapatumo nustatymo priemones;

(22)

keliuose atskiriems sektoriams skirtuose Sąjungos teisės aktuose, kaip antai direktyvose 2005/36/EB, 2006/123/EB, 2014/24/ES ir 2014/25/ES, reikalaujama, kad būtų užtikrinta galimybė procedūras visa apimtimi atlikti internete. Šiuo reglamentu turėtų būti reikalaujama užtikrinti galimybę internete visa apimtimi atlikti keletą kitų procedūrų, kurios itin svarbios daugumai piliečių ir verslininkų, besinaudojančių savo teisėmis ir vykdančių savo pareigas už savo valstybės ribų;

(23)

kad piliečiai ir verslininkai galėtų, nepatirdami papildomos administracinės naštos, tiesiogiai naudotis vidaus rinkos teikiamais pranašumais, šiuo reglamentu turėtų būti reikalaujama visiškai suskaitmeninti tam tikrų šio reglamento II priede išvardytų pagrindinių procedūrų, skirtų tarpvalstybiniams naudotojams, naudotojų sąsają. Taip pat šis reglamentas turėtų nustatyti kriterijus, kuriais remiantis nustatoma, ar tos procedūros laikomos visiškai internetinėmis. Pareiga tokią procedūrą padaryti visiškai prieinama internete turėtų būti taikoma tik tais atvejais, kai tokia procedūra buvo įsteigta atitinkamoje valstybėje narėje. Šis reglamentas neturėtų apimti pirminio verslo veiklos registravimo, procedūrų, kurias būtina atlikti steigiant bendroves arba įmones kaip juridinius asmenis arba tokioms bendrovėms ar įmonėms vėliau atliekant registravimą, nes tokioms procedūroms turi būti taikomas visapusiškas požiūris, kuriuo siekiama palengvinti skaitmeninių sprendimų diegimą per visą bendrovės gyvavimo ciklą. Kitoje valstybėje narėje įsisteigę verslininkai privalo registruotis socialinės apsaugos sistemoje ir draudimo sistemoje, kad galėtų užregistruoti savo darbuotojus ir mokėti įmokas į abi sistemas. Jie gali turėti pranešti apie savo verslo veiklą, gauti leidimus ar registruoti savo verslo veiklos pokyčius. Tos procedūros yra vienodos daugelyje ekonomikos sektorių veiklą vykdantiems verslininkams, todėl tikslinga reikalauti, kad būtų užtikrinta galimybė internete atlikti tas registravimo procedūras;

(24)

šiame reglamente turėtų būti paaiškinta, ką reiškia galimybė procedūrą visa apimtimi atlikti internete. Procedūra turėtų būti laikoma visa apimtimi atliekama internete, jei naudotojas gali elektroniniu būdu, per atstumą ir naudodamasis internetine paslauga, atlikti visus veiksmus, t. y. nuo prieigos prie tos procedūros iki jos atlikimo, bendradarbiaudamas su kompetentinga institucija („tiesioginio aptarnavimo padalinio“). Teikiant šią paslaugą internete, naudotojas turėtų būti nukreipiamas į reikalavimų, kurie turi būti įvykdyti, ir pagrindžiančių įrodymų, kurie turi būti pateikti, sąrašą, ir naudotojui turėtų būti suteikta galimybė pateikti visą informaciją bei atitikties visiems tokiems reikalavimams įrodymus ir naudotojui turėtų būti automatiškai patvirtinta, kad informacija buvo gauta, nebent procedūros rezultatai būtų pateikiami iškart. Tai neturėtų trukdyti kompetentingoms institucijoms tiesiogiai susisiekti su naudotojais, kai tai būtina siekiant gauti tolesnių paaiškinimų dėl procedūros. Procedūros rezultatus, kaip nustatyta šiame reglamente, taip pat turėtų pateikti kompetentingos institucijos naudotojui elektroniniu būdu, jei tai įmanoma pagal taikomą Sąjungos ir nacionalinę teisę;

(25)

šis reglamentas neturėtų daryti poveikio II priede išvardytų procedūrų, nustatytų nacionaliniu, regioniniu ar vietos lygmeniu, esmei ir jame nenustatomos materialinės ar procesinės teisės normos II priede nurodytose srityse, įskaitant apmokestinimo sritį. Šio reglamento tikslas – nustatyti techninius reikalavimus siekiant užtikrinti, kad tokias procedūras, jei jos yra nustatytos atitinkamoje valstybėje narėje, būtų galima visa apimtimi atlikti internetu;

(26)

šis reglamentas neturėtų daryti poveikio nacionalinių institucijų kompetencijai bet kokios procedūros metu, įskaitant pateiktos informacijos ar įrodymo tikslumo ir pagrįstumo tikrinimą, taip pat autentiškumo tikrinimą, jei įrodymas pateiktas kitomis priemonėmis nei vienkartinio duomenų pateikimo principu pagrįsta technine sistema. Šis reglamentas taip pat neturėtų daryti poveikio procedūriniams darbo srautams jų kompetentingose institucijose („netiesioginio aptarnavimo padalinyje“), nesvarbu ar jie yra skaitmeninti, ar ne. Kai būtina, vykdant kai kurias verslo veiklos pokyčių registravimo procedūras, valstybės narės turėtų ir toliau galėti reikalauti, kad dalyvautų notarai arba teisininkai, kurie galėtų pageidauti naudotis tikrinimo priemonėmis, įskaitant vaizdo konferencijas ar kitas internetines priemones, kuriomis užtikrinamas garso ir vaizdo ryšys tikruoju laiku. Vis dėlto toks dalyvavimas neturėtų trukdyti visa apimtimi atlikti tokių pokyčių registravimo procedūrų internetu;

(27)

kai kuriais atvejais gali būti reikalaujama, kad naudotojai pateiktų įrodymus, įrodančius faktus, kurių negalima nustatyti internetinėmis priemonėmis. Tokiais įrodymais gali būti medicininės pažymos, įrodymas, kad asmuo yra gyvas, motorinių transporto priemonių techninės apžiūros pažyma ar važiuoklės numerio patvirtinimas. Jei tokie įrodymai gali būti pateikiami elektroniniu formatu, tuo nebūtų nukrypstama nuo principo suteikti galimybę procedūrą visa apimtimi atlikti internete. Kitais atvejais vis dar gali prireikti, atliekant procedūrą internete, patiems nuvykti į kompetentingą instituciją. Bet kokios tokios išimtys, išskyrus nustatytąsias Sąjungos teisėje, turėtų būti taikomos tik tada, kai tai pagrįsta privalomomis viešojo intereso priežastimis tokiose srityse kaip visuomenės saugumas, visuomenės sveikata arba kova su sukčiavimu. Kad būtų užtikrintas skaidrumas, valstybės narės turėtų su Komisija ir kitomis valstybėmis narėmis dalintis informacija apie tokias išimtis ir priežastis bei aplinkybes, kuriomis jos gali būti taikomos. Valstybėms narėms neturėtų būti taikomas reikalavimas pranešti apie kiekvieną atskirą atvejį, kuriuo išimties tvarka buvo reikalaujamas fizinis dalyvavimas, tačiau jos turėtų pranešti apie savo nacionalines nuostatas, kurios numato tokius atvejus. Vartų koordinavimo grupėje turėtų būti reguliariai aptariama geriausia nacionalinė patirtis ir techniniai pokyčiai, suteikiantys tolesnio skaitmeninimo galimybių;

(28)

tarpvalstybinių situacijų atveju, pasikeitusio adreso registracijos procedūrą gali sudaryti dvi atskiros procedūros: viena – kilmės valstybėje narėje, skirta paprašyti išsiregistruoti iš senojo adreso, o kita – paskirties valstybėje narėje, skirta paprašyti užregistruoti naujuoju adresu. Šis reglamentas turėtų būti taikomas abiem procedūroms;

(29)

kadangi reikalavimų, procedūrų ir formalumų, susijusių su profesinių kvalifikacijų pripažinimu, skaitmeninimui jau taikoma Direktyva 2005/36/EB, šis reglamentas turėtų būti taikomas tik procedūros, pagal kurią prašoma akademiškai pripažinti pradėti ar tęsti studijas pageidaujančio asmens diplomus, pažymėjimus ar kitus baigtų kursų įrodymus arba prašoma leisti naudoti akademinį laipsnį, skaitmeninimui, kiek jo neapima su profesinių kvalifikacijų pripažinimu susiję formalumai;

(30)

šiuo reglamentu neturėtų būti daromas poveikis socialinės apsaugos koordinavimo taisyklėms, nustatytoms Europos Parlamento ir Tarybos reglamentuose (EB) Nr. 883/2004 (14) ir (EB) Nr. 987/2009 (15), kuriomis yra nustatytos apdraustųjų asmenų ir socialinės apsaugos institucijų teisės ir pareigos, taip pat socialinės apsaugos koordinavimo srityje taikytinos procedūros;

(31)

siekiant padėti piliečiams ir verslininkams vykdyti tarpvalstybinę veiklą, Sąjungos ir nacionaliniu lygmenimis yra sukurta keletas tinklų ir paslaugų. Svarbu, kad tos paslaugos, įskaitant visas esamas pagalbos ar problemų sprendimo tarnybas, nustatytas Sąjungos lygmeniu, kaip antai, Europos vartotojų centrus, „Jūsų Europos patarėją“, SOLVIT, intelektinės nuosavybės teisių pagalbos tarnybą, „Europe Direct“ ir Europos įmonių tinklą, būtų įtrauktos į vartus, kad visi galimi naudotojai galėtų jas rasti. III priede išvardytos paslaugos buvo įsteigtos privalomais Sąjungos aktais, o kitos paslaugos teikiamos savanorišku pagrindu. Privalomais Sąjungos aktais nustatytoms paslaugoms turėtų būti taikomi šiame reglamente nustatyti kokybės reikalavimai. Savanoriškumo pagrindu teikiamos paslaugos turėtų atitikti kokybės reikalavimus, jei siekiama, kad jos būtų prieinamos per vartus. Šiuo reglamentu neturėtų būti keičiama tų paslaugų apimtis ir pobūdis, jų valdymo tvarka, esami laiko terminai ir savanoriškas, sutartinis ar kitoks pagrindas, kuriuo remiantis jie veikia. Pavyzdžiui, jei jų teikiama pagalba yra neformalaus pobūdžio, šiuo reglamentu tokia pagalba neturėtų būti paversta į privalomojo pobūdžio teisines konsultacijas;

(32)

be to, valstybės narės ir Komisija turėtų galėti šiame reglamente nustatytomis sąlygomis į vartus įtraukti ir kitas kompetentingų institucijų arba privačių ar pusiau privačių subjektų arba valdžios įstaigų, kaip antai, prekybos ir pramonės rūmų ar nevyriausybinių pagalbos piliečiams tarnybų, teikiamas nacionalines pagalbos bei problemų sprendimo paslaugas. Iš esmės kompetentingos institucijos turėtų būti atsakingos už pagalbos teikimą piliečiams ir verslininkams visais jiems rūpimais su taikomomis taisyklėmis ir procedūromis susijusiais klausimais, kurie negali būti visiškai išspręsti naudojantis internetinėmis paslaugomis. Tačiau jei paslaugos yra teikiamos labai specializuotose srityse ir jei privačių arba pusiau privačių subjektų teikiamomis paslaugomis yra patenkinami naudotojų poreikiai, valstybės narės gali siūlyti Komisijai, kad ji įtrauktų šias paslaugas į vartus, su sąlyga, kad tos paslaugos atitinka visas šiame reglamente nustatytas sąlygas ir jei jomis nebūtų dubliuojamos jau įtrauktos pagalbos arba problemų sprendimo paslaugos;

(33)

kad naudotojai galėtų lengviau rasti tinkamą paslaugą, šiame reglamente turėtų būti nustatyta pagalbos paslaugų radimo priemonė, kuri automatiškai nukreiptų naudotojus į tinkamą paslaugą;

(34)

būtiniausių kokybės reikalavimų laikymasis yra labai svarbus sėkmingam vartų veikimui, siekiant užtikrinti, kad teikiama informacija arba paslaugos būtų patikimos, nes priešingu atveju būtų padaryta didelė žala šių vartų, kaip sistemos, patikimumui. Bendresnis tikslas, kurio siekiama laikantis reikalavimų – užtikrinti, kad informacija arba paslauga būtų pateikiama aiškiai ir naudotojui patogiu būdu. Valstybėms narėms tenka atsakomybė nustatyti, kaip pateikti informaciją visame naudotojo maršrute, kad būtų pasiektas šis tikslas. Pavyzdžiui, nors prieš pradedant vykdyti procedūrą naudinga informuoti naudotojus apie bendrai prieinamas teisių gynimo priemones, kuriomis galima naudotis esant neigiamam procedūros rezultatui, naudotojams būtų paprasčiau, jei būtų teikiama konkreti informacija apie veiksmus, kurių tokiais atvejais galima imtis procedūros pabaigoje;

(35)

būtų galima gerokai padidinti tarpvalstybinių naudotojų galimybes gauti informaciją, jei informacija būtų teikiama Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų. Daugeliu atvejų tai turėtų būti užsienio kalba, kurią Sąjungoje plačiausiai mokosi naudotojai, tačiau tam tikrais ypatingais atvejais, visų pirma, kai informaciją vietos lygmeniu turi teikti nedidelės savivaldybės, esančios netoli valstybės narės sienos, tinkamiausia kalba gali būti kalba, kurią kaip pirmąją kalbą naudoja tarpvalstybiniai naudotojai kaimyninėje valstybėje narėje. Vertime iš atitinkamos valstybės narės oficialiosios kalbos arba kalbų į kitą Sąjungos oficialiąją kalbą turėtų būti tiksliai perteikiamas originalia kalba arba kalbomis pateiktos informacijos turinys. Į kitą kalbą gali būti verčiama tik informacija, kurios reikia, kad naudotojai galėtų suprasti pagrindines jų atveju taikomas taisykles ir reikalavimus. Nors valstybės narės turėtų būti skatinamos kiek galima daugiau informacijos išversti į Sąjungos oficialiąją kalbą, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, informacijos, kuri turi būti išversta pagal šį reglamentą, kiekis priklausys nuo šiam tikslui skirtų, visų pirma iš Sąjungos biudžeto, finansinių išteklių. Komisija turėtų imtis atitinkamų priemonių, kad užtikrintų veiksmingą išverstos informacijos pateikimą valstybėms narėms, joms paprašius. Vartų koordinavimo grupė turėtų aptarti ir teikti gaires Sąjungos oficialiąja (-iosiomis) kalba (-omis), į kurią (-ias) tokia informacija turėtų būti išversta;

(36)

pagal Europos Parlamento ir Tarybos direktyvą (ES) 2016/2102 (16) valstybės narės privalo užtikrinti, kad jų valdžios įstaigų interneto svetainės būtų prieinamos vadovaujantis suvokimo, galimybės naudotis, suprantamumo ir tvarumo principais ir kad jos atitiktų toje direktyvoje nustatytus reikalavimus. Komisija ir valstybės narės turėtų užtikrinti Jungtinių Tautų neįgaliųjų teisių konvencijos, visų pirma, jos 9 ir 21 straipsnių, laikymąsi, ir, siekiant užtikrinti geresnę prieigą prie informacijos protinę negalią turintiems asmenims, turėtų būti kuo didesniu mastu užtikrintos lengvai skaitomos kalbos alternatyvos, laikantis proporcingumo principo. Valstybės narės ratifikuodamos, o Sąjunga sudarydama tą konvenciją (17) prisiėmė įsipareigojimus, imantis tinkamų priemonių, užtikrinti asmenims su negalia, kaip ir kitiems asmenims, prieigą prie naujų informacinių ir ryšių technologijų ir sistemų, įskaitant internetą, sudarant palankias sąlygas geresnei prieigai prie informacijos protinę negalią turintiems asmenims ir kuo didesniu mastu ir proporcingai teikiant alternatyvas lengvai skaitoma kalba;

(37)

Direktyva (ES) 2016/2102 netaikoma Sąjungos institucijų, organų, tarnybų ir agentūrų interneto svetainėms ir mobiliosioms programoms, tačiau Komisija turėtų užtikrinti, kad bendroji naudotojų sąsaja ir tinklalapiai, už kuriuos ji yra atsakinga ir kurie turi būti įtrauktos į vartus, būtų prieinamos asmenims su negalia, t. y. būtų suvokiamos, suteikiant galimybę jomis naudotis, suprantamos ir tvarios. Suvokimas reiškia, kad informacija ir bendrosios naudotojo sąsajos komponentai turi būti pateikiami vartotojams jiems suvokiamais būdais; galimybė naudoti reiškia, kad bendrojo naudotojo sąsajos komponentus ir naršymo priemones turi būti įmanoma naudoti; suprantamumas reiškia, kad informacija ir bendrosios naudotojo sąsajos naudojimas turi būti suprantam, o tvarumas reiškia, kad turinys turi būti pakankamai tvarus, kad jį būtų galima patikimai aiškinti naudojant įvairias naudotojo programas, įskaitant pagalbines technologijas. Dėl terminų „suvokimas“, „galimybė“, „suprantamumas“ ir „tvarumas“, Komisija skatinama laikytis atitinkamų suderintų standartų;

(38)

kad būtų lengviau sumokėti mokesčius, kurių reikalaujama atliekant procedūras internete arba už pagalbos ar problemų sprendimo paslaugų teikimą, tarpvalstybiniai naudotojai turėtų turėti galimybę naudoti kredito pervedimus arba tiesioginį debetą, kaip nurodyta Europos Parlamento ir Tarybos reglamente (ES) Nr. 260/2012 (18), arba kitas paprastai naudojamas tarpvalstybines mokėjimo priemones, įskaitant debeto ar kredito korteles;

(39)

naudinga naudotojus informuoti apie numatomą laiką, kurį procedūra gali užtrukti. Todėl naudotojai turėtų būti informuojami apie taikomus terminus arba savaiminio patvirtinimo arba administracinės tylos tvarką, arba, jei jie netaikomi, bent jau apie vidutinį, numatomą ar apytikslį laiką, kurio paprastai prireikia aptariamai procedūrai. Toks numatomas laikas ar apytikslis įvertinimas turėtų tik padėti naudotojams planuoti savo veiklą ar tolesnius administracinius veiksmus ir neturėtų sukelti jokių teisinių pasekmių;

(40)

šiuo reglamentu taip pat turėtų būti leidžiama patikrinti naudotojų elektroniniu formatu pateiktus įrodymus, jei jie pateikti be juos išdavusios kompetentingos institucijos elektroninio spaudo arba patvirtinimo, arba jei nėra galimybės naudotis pagal šį reglamentą nustatyta technine priemone ar kita sistema, suteikiančiomis galimybę skirtingų valstybių narių kompetentingoms institucijoms tiesiogiai keistis įrodymais arba juos patikrinti. Šiame reglamente turėtų būti numatytas veiksmingas tokiais atvejais taikytinas valstybių narių kompetentingų institucijų administracinio bendradarbiavimo mechanizmas, grindžiamas Vidaus rinkos informacine sistema (toliau – IMI), sukurta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1024/2012 (19). Tokiais atvejais kompetentingos institucijos sprendimas naudotis IMI turėtų būti savanoriškas, tačiau kai ta institucija per IMI jau yra pateikusi prašymą suteikti informaciją arba bendradarbiauti, kompetentinga institucija, į kurią kreiptasi, turėtų privalėti bendradarbiauti ir pateikti atsakymą. Prašymas per IMI gali būti siunčiamas kompetentingai institucijai, išduodančiai įrodymą, arba centrinei institucijai, paskirtai valstybės narės, remiantis jos pačios administracinėmis taisyklėmis. Siekiant išvengti nereikalingo dubliavimosi ir atsižvelgiant į tai, kad Europos Parlamento ir Tarybos reglamentas (ES) 2016/1191 (20) taikomas daliai įrodymų, kurie aktualūs procedūroms, kurioms taikomas šis reglamentas, su IMI susijusios bendradarbiavimo priemonės, nustatytos Reglamente (ES) 2016/1191, taip pat gali būti naudojamos kitiems įrodymams, kurių reikia procedūroms, kurioms taikomas šis reglamentas. Kad Sąjungos organai, tarnybos arba agentūros galėtų naudotis IMI, Reglamentas (ES) Nr. 1024/2012 turėtų būti iš dalies pakeistas;

(41)

kompetentingų institucijų teikiamos internetinės paslaugos nepaprastai svarbios didinant piliečiams ir verslininkams teikiamų paslaugų kokybę ir saugumą. Valstybių narių viešosios administravimo įstaigos vis dažniau ieško galimybių pakartotinai naudotis duomenimis nebereikalaudamos, kad piliečiai ir verslininkai kelis kartus pateiktų tą pačią informaciją. Siekiant sumažinti papildomą naštą, turėtų būti sudaromos sąlygos tarpvalstybiniams naudotojams pakartotinai naudotis duomenimis;

(42)

siekiant sudaryti sąlygas teisėtam tarpvalstybiniam keitimuisi įrodymais ir informacija taikant visos Sąjungos vienkartinio duomenų pateikimo principą, šis reglamentas ir šis principas turėtų atitikti taikytinas duomenų apsaugos taisykles įskaitant duomenų kiekio mažinimo, tikslumo, saugojimo ribojimo, vientisumo ir konfidencialumo, būtinumo, proporcingumo ir tikslo ribojimo principus. Jį įgyvendinant taip pat turėtų būti visapusiškai laikomasi pritaikyto integruotojo saugumo ir integruotosios privatumo apsaugos principų ir gerbiamos pagrindinės asmenų teisės, įskaitant tas teises, kurios susijusios su sąžiningumu ir skaidrumu;

(43)

valstybės narės turėtų užtikrinti, kad naudotojams būtų pateikta aiški informacija apie tai, kaip su jais susiję asmens duomenys bus tvarkomi pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (21) 13 ir 14 straipsnius bei Reglamento (ES) 2018/1725 (22) 15 ir 16 straipsnius;

(44)

kad būtų lengviau atlikti internetines procedūras, šiame reglamente, laikantis vienkartinio duomenų pateikimo principo, turėtų būti nustatytas pagrindas, kad būtų galima parengti ir naudoti visapusiškai veikiančias ir saugias technines sistemas, skirtas tarpvalstybiniam keitimuisi įrodymais automatizuotu būdu tarp procedūroje dalyvaujančių subjektų, kai to aiškiai reikalauja piliečiai ir verslininkai. Kai keitimasis įrodymais apima asmens duomenis, prašymas turėtų būti laikomas aiškiu, jei jame laisva valia ir turint visą informaciją pateikiama nurodyta, konkreti ir nedviprasmiška nuoroda apie asmens pageidavimus keistis atitinkamais asmens duomenimis, išreiškiant valią pareiškimu arba tvirtinamaisiais veiksmais. Jei naudotojas nėra asmuo, susijęs su tais duomenimis, internetinė procedūra neturėtų daryti poveikio jo teisėms pagal Reglamentą (ES) 2016/679. Taikant vienkartinio duomenų pateikimo principą tarpvalstybiniu lygmeniu piliečiai ir verslininkai neturėtų valdžios institucijoms pateikti tų pačių duomenų daugiau nei vieną kartą ir tuos duomenis naudotojo prašymu turėtų būti galima naudoti ir tarpvalstybinių internetinių procedūrų, kuriose dalyvauja tarpvalstybiniai naudotojai, atlikimo tikslais. Pareiga naudoti techninę sistemą, per kurią įvairios valstybės narės galėtų automatizuotu būdu keistis įrodymais, išduodančiajai kompetentingai institucijai taikomas, tik jei institucijos teisėtai savo valstybėje narėje išduoda įrodymus elektroniniu formatu, kurį taikant galima vykdyti tokį keitimąsi įrodymais automatizuotu būdu;

(45)

bet kuris tarpvalstybinis keitimasis įrodymais turėtų būti grindžiamas tinkamu teisiniu pagrindu, kaip antai, direktyvomis 2005/36/EB, 2006/123/EB, 2014/24/ES arba 2014/25/ES, o II priede išvardytų procedūrų atveju – kitais taikytinais Sąjungos ar nacionalinės teisės aktais;

(46)

tinkama, kad šis reglamentu nustato bendrąją taisyklę, kad tarpvalstybinis keitimasis įrodymais automatizuotu būdu atliekamas gavus aiškų naudotojo prašymą. Tačiau šis reikalavimas neturėtų būti taikomas tais atvejais, kai atitinkamuose Sąjungos ar nacionalinės teisės aktuose yra numatyta galimybė keistis duomenimis automatizuotu būdu tarpvalstybiniu lygmeniu negavus aiškaus naudotojo prašymo;

(47)

naudotis pagal šį reglamentą įsteigta technine sistema ir toliau turėtų būti leidžiama savanoriškai, o naudotojas turėtų turėti galimybę įrodymus pateikti kitais būdais nei naudojantis technine sistema. Naudotojas turėtų turėti galimybę peržiūrėti įrodymą ir teisę nuspręsti nesikeisti įrodymais tais atvejais, kai naudotojas, peržiūrėjęs įrodymus, kuriais turi būti keičiamasi, nustato, kad informacija yra netiksli, pasenusi arba viršija tai, kas būtina siekiant atitinkamos procedūros tikslų. Į peržiūrimą medžiagą įtraukti duomenys neturėtų būti saugomi ilgiau nei tai būtina techniniu požiūriu;

(48)

be to, saugi techninė sistema, kuri turėtų būti sukurta, kad būtų galima pagal šį reglamentą keistis įrodymais, turėtų suteikti prašančiosioms kompetentingoms institucijoms tikrumo, kad įrodymus pateikė tinkama išduodančioji institucija. Prieš priimdama informaciją, kurią naudotojas pateikė vykdant procedūrą, kompetentinga institucija turėtų galėti patikrinti informaciją, jei dėl jos kyla abejonių, ir padaryti išvadą, kad ji tiksli;

(49)

egzistuoja kai kurie sudedamieji elementai, kurie suteikia pagrindinių pajėgumų ir kurie gali būti panaudoti techninei sistemai kurti, kaip antai Europos infrastruktūros tinklų priemonė, nustatyta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1316/2013 (23), ir sudedamieji e. pristatymo ir e. tapatybės atpažinties elementai, kurie sudaro tų priemonių dalį. Tuos sudedamuosius elementus sudaro techninės specifikacijos, programinės įrangos šablonai ir pagalbinės paslaugos, ir jais siekiama užtikrinti skirtingose valstybėse narėse esamų informacijos ir ryšių technologijų (IRT) sistemų sąveikumą, kad piliečiai, verslininkai ir administravimo įstaigos galėtų sklandžiai naudotis skaitmeninėmis viešosiomis paslaugomis, nesvarbu, kurioje Sąjungos vietoje jie bebūtų;

(50)

šiuo reglamentu įsteigta techninė sistema turėtų būti taikoma kartu su kitomis sistemomis, kuriomis nustatomi institucijų bendradarbiavimo mechanizmai, kaip antai IMI, ir ji neturėtų daryti poveikio kitoms sistemoms, įskaitant sistemą, numatytą Reglamente (EB) Nr. 987/2009, Europos bendrąjį viešųjų pirkimų dokumentą pagal Europos Parlamento ir Tarybos direktyvą 2014/24/ES, elektroninius socialinės apsaugos informacijos mainus pagal Reglamentą (EB) Nr. 987/2009, Europos profesinę kortelę pagal Direktyvą 2005/36/EB, nacionalinių registrų sujungimą, centrinių, komercinių ir bendrovių registrų sujungimą pagal Europos Parlamento ir Tarybos direktyvą (ES) 2017/1132 (24) ir nemokumo registrų sujungimą pagal Europos Parlamento ir Tarybos reglamentą (ES) 2015/848 (25);

(51)

siekiant užtikrinti vienodas techninės sistemos, kuria suteikiama galimybė keistis įrodymais automatizuotu būdu, įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, kad ji galėtų nustatyti, visų pirma, išsamias naudotojo prašymo apsikeisti įrodymais tvarkymo sistemos technines ir veikimo specifikacijas ir tų įrodymų persiuntimo tvarką, taip pat nustatyti taisykles, būtinas užtikrinti perduodamų duomenų vientisumą ir konfidencialumą. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (26);

(52)

siekiant užtikrinti, kad techninės sistemos užtikrintų aukšto lygio saugumą tarpvalstybiniu mastu taikant vienkartinio duomenų pateikimo principą, Komisija, priimdama įgyvendinimo aktus, kuriais nustatomos tos techninės sistemos specifikacijos, turėtų deramai atsižvelgti į standartus ir technines specifikacijas, kurias parengė Europos ir tarptautinės standartizacijos organizacijos ir įstaigos, visų pirma Europos standartizacijos komitetas (CEN), Europos telekomunikacijų standartų institutas (ETSI), Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė telekomunikacijų sąjunga (ITU), bei į saugos standartus, nurodytus Reglamento (ES) 2016/679 32 straipsnyje ir Reglamento (ES) 2018/1725 22 straipsnyje;

(53)

jei reikia, siekiant užtikrinti techninės sistemos, už kurią atsakinga Komisija, komponentų kūrimą, naudojimą, techninę priežiūrą, priežiūrą, stebėseną ir saugumo valdymą, Komisija turėtų prašyti Europos duomenų apsaugos priežiūros pareigūno konsultacijos;

(54)

kompetentingos institucijos ir Komisija turėtų užtikrinti, kad informacija, procedūros ir paslaugos, už kurias ji yra atsakinga, atitiktų kokybės kriterijus. Pagal šį reglamentą paskirti nacionaliniai koordinatoriai ir Komisija turėtų reguliariai prižiūrėti, kaip atitinkamai nacionaliniu ir Sąjungos lygmenimis yra užtikrinama atitiktis kokybės ir saugumo kriterijams, ir spręsti kylančias problemas. Be to, nacionaliniai koordinatoriai turėtų padėti Komisijai stebėti, kaip veikia techninė sistema, sudaranti sąlygas keistis įrodymais tarpvalstybiniu mastu. Šiuo reglamentu Komisijai turėtų būti suteikiama priemonių, kurių ji galėtų imtis blogėjant per vartus teikiamų paslaugų kokybei, atsižvelgdama į tokio blogėjimo problemos rimtumą ir trukmę, prireikus, įtraukiant vartų koordinavimo grupę. Tai neturėtų daryti įtakos bendrai Komisijos atsakomybei, susijusiai su šio reglamento laikymosi stebėsena;

(55)

šiame reglamente turėtų būti nustatytos pagrindinės techninių priemonių, kuriomis palaikomas vartų veikimas, funkcijos; visų pirma turėtų būti nustatytos bendrosios naudotojų sąsajos, nuorodų saugyklos ir bendros pagalbos paslaugų radimo priemonės funkcijos. Bendroji naudotojų sąsaja turėtų užtikrinti, kad naudotojai galėtų lengvai rasti informaciją, procedūras, pagalbą ir problemų sprendimo paslaugas nacionalinėse ir Sąjungos lygmens interneto svetainėse. Valstybės narės ir Komisija turėtų siekti teikti nuorodas į vieną bendrą vartams reikalingos informacijos šaltinį, kad naudotojams nekiltų painiavos dėl skirtingų, visiškai arba iš dalies besidubliuojančių tos pačios informacijos šaltinių. Tai neturėtų atimti galimybės pateikti nuorodas į tą pačią informaciją, kurią teikia vietos arba regioninės kompetentingos institucijos, ir kuri susijusi su skirtingomis geografinėmis vietovėmis. Dėl to taip pat neturėtų būti neleidžiama tam tikru mastu dubliuoti informacijos, kai tai neišvengiama ar pageidautina, pavyzdžiui, kai tam tikros Sąjungos teisės, pareigos ir taisyklės yra pakartojamos arba aprašomos nacionalinėse interneto svetainėse siekiant didesnio patogumo naudotojui. Siekiant kuo labiau sumažinti žmogaus įsikišimą atnaujinant nuorodas, skirtas naudoti bendrojoje naudotojų sąsajoje, turėtų būti nustatytas, jeigu tai techniškai įmanoma, tiesioginis ryšys tarp valstybių narių atitinkamų techninių sistemų ir nuorodų saugyklos. Siekiant palengvinti sąveikumą su nacionalinių paslaugų katalogais ir semantika, bendrose IRT pagalbinėse priemonėse gali būti naudojamas pagrindinių viešųjų paslaugų žodynas (CPSV). Valstybės narės turėtų būti skatinamos naudoti CPSV, tačiau jos turėtų galėti nuspręsti naudoti nacionalinius sprendimus. Nuorodų saugykloje laikoma informacija turėtų būti viešai skelbiama atviru, bendrai naudojamu ir kompiuterio skaitomu formatu, pavyzdžiui, programų sąsaja (API), kad ją būtų galima naudoti pakartotinai;

(56)

bendrosios naudotojų sąsajos paieškos priemonė turėtų naudotojus nukreipti į informaciją, kurios jiems reikia, kad ir kur ji būtų – Sąjungos ar nacionalinio lygmens interneto svetainėse. Be to, kaip alternatyvus būdas nukreipti naudotojus į naudingą informaciją, ji toliau bus naudinga kuriant esamų ir papildomų interneto svetainių arba tinklalapių sąsajas, kurios juos kuo labiau racionalizuos ir sugrupuos, ir kuriant Sąjungos ir nacionalinio lygmens tinklalapių ir interneto svetainių, kuriomis teikiama prieiga prie internetinių paslaugų ir informacijos, sąsajas;

(57)

šiame reglamente taip pat turėtų būti tiksliai apibrėžti bendrosios naudotojų sąsajos kokybės reikalavimai. Komisija turėtų užtikrinti, kad bendroji naudotojų sąsaja atitiktų tuos reikalavimus ir kad sąsaja visų pirma būtų prieinama internete įvairiais kanalais ir ją būtų lengva naudoti;

(58)

siekiant užtikrinti vienodas techninių sprendimų, kuriais palaikomas vartų veikimas, įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai nustatyti, prireikus, taikytinus standartus ir sąveikumo reikalavimus, kad būtų lengviau galima rasti informaciją apie taisykles ir pareigas, apie procedūras ir apie pagalbą ir problemų sprendimo paslaugas, už kurias atsako valstybės narės ir Komisija. Tais įgaliojimais turėtų būti naudojamasi laikantis Reglamento (ES) Nr. 182/2011;

(59)

be to, šiame reglamente turėtų būti aiškiai paskirstytos Komisijos ir valstybių narių pareigos, susijusios su IRT taikomųjų programų, kuriomis palaikomas vartų veikimas, kūrimu, prieinamumu, priežiūra ir saugumu. Vykdydamos priežiūros užduotis, Komisija ir valstybės narės turėtų reguliariai stebėti, ar tos IRT taikomosios programos veikia tinkamai;

(60)

kad būtų galima išnaudoti visas galimybes, kurių atsiranda teikiant įvairių sričių informaciją, atliekant procedūras ir teikiant pagalbos bei problemų sprendimo paslaugas, kurios turėtų būti įtrauktos į vartus, būtina iš esmės padidinti tikslinės auditorijos informuotumą apie šios informacijos, procedūrų ir paslaugų teikimą ir taikymą. Jei ši informacija, procedūros ir paslaugos būtų įtrauktos į vartus, naudotojams turėtų būti daug lengviau rasti jiems reikalingą informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas, net jei jie apie jas nieko nežino. Be to, siekiant užtikrinti, kad visos Sąjungos piliečiai ir verslininkai būtų informuoti apie galimybę naudotis vartais ir apie šių vartų teikiamus pranašumus, reikės bendromis pastangomis koordinuotai juos propaguoti. Tokia propagavimo veikla turėtų apimti paieškos sistemų optimizavimą ir kitus informuotumo didinimo internete veiksmus, nes jie yra ekonomiškai efektyviausi ir turi potencialą pasiekti didžiausią įmanomą tikslinę auditoriją. Kad būtų pasiektas didžiausias efektyvumas, tie propagavimo veiksmai turėtų būti koordinuojami vartų koordinavimo grupėje, o valstybės narės turėtų priderinti savo vykdomus propagavimo veiksmus, kad visais atitinkamais atvejais būtų daroma nuoroda į tą patį ženklą, taip pat turėtų būti numatyta galimybė su bendrųjų skaitmeninių vartų ženklu naudoti nacionalinių iniciatyvų ženklus;

(61)

visos Sąjungos institucijos, organai ir agentūros turėtų būti skatinamos propaguoti vartus, įtraukiant į visus atitinkamus tinklalapius, už kuriuos jie yra atsakingi, nuorodas į vartus ir jų logotipą;

(62)

pavadinimas, iš kurio atpažįstami vartai ir kuriuo jie propaguojami plačiajai visuomenei, turėtų būti „Your Europe“. Bendroji naudotojų sąsaja turėtų būti aiškiai ir lengvai randama, ypač atitinkamuose Sąjungos ir nacionaliniuose tinklalapiuose. Vartų logotipas turėtų būti matomas atitinkamose Sąjungos ir nacionalinėse interneto svetainėse;

(63)

siekiant gauti tinkamos informacijos, kuria remiantis būtų galima įvertinti ir gerinti bendrųjų skaitmeninių vartų taikymo rezultatus, šiame reglamente turėtų būti reikalaujama, kad kompetentingos institucijos ir Komisija rinktų ir analizuotų duomenis, susijusius su per vartus teikiama įvairių sričių informacija, procedūromis ir paslaugomis. Renkant statistinius duomenis apie naudotojus, kaip antai duomenis, susijusius su apsilankymų konkrečiuose tinklalapiuose skaičiumi, naudotojų iš tos pačios valstybės narės skaičiumi, palyginti su naudotojų iš kitų valstybių narių skaičiumi, naudotais paieškos žodžiais, daugiausiai kartų aplankytais tinklalapiais, svetainėmis, per kurių nuorodas apsilankyta, arba pagalbos prašymų skaičiumi, kilme ir tematika, turėtų būti pagerintas vartų veikimas, padedant nustatyti auditoriją, plėtoti propagavimo veiklą ir gerinti siūlomų paslaugų kokybę. Renkant tokius duomenis turėtų būti atsižvelgiama į Komisijos atliekamą kasmetinį e. valdžios lyginamąjį tyrimą, kad būtų išvengta bet kokio dubliavimo;

(64)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlyga, Komisijai turėtų būti suteikti įgaliojimai priimti įgyvendinimo aktus, siekiant nustatyti vienodas statistinių duomenų apie naudotojus rinkimo ir keitimosi jais taisykles. Tais įgaliojimais turėtų būti naudojamasi laikantis Reglamento (ES) Nr. 182/2011;

(65)

vartų kokybė priklauso nuo Sąjungos ir nacionalinių paslaugų, teikiamų per vartus, kokybės. Todėl informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, kurias galima gauti per vartus, kokybė taip pat turėtų būti reguliariai stebima, be kita ko, per naudotojų grįžtamosios informacijos rinkimo priemonę, kurią taikant naudotojų bus prašoma įvertinti informacijos, procedūros arba pagalbos bei problemų sprendimo paslaugos, kuria jie naudojosi, aprėptį ir kokybę ir teikti grįžtamąją informaciją. Ši grįžtamoji informacija turėtų būti laikoma bendroje priemonėje, o prieiga prie šios priemonės turėtų būti užtikrinta Komisijai, kompetentingoms institucijoms ir nacionaliniams koordinatoriams. Siekiant užtikrinti vienodas šio reglamento taikymo sąlygas, kiek tai susiję su bendromis naudotojų grįžtamosios informacijos rinkimo priemonių funkcijomis ir su išsamia naudotojų grįžtamosios informacijos rinkimo ir dalijimosi šia informacija tvarka, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Reglamento (ES) Nr. 182/2011. Komisija turėtų skelbti anonimines internetines suvestines problemų, nustatytų remiantis informacija, pagrindine statistika apie naudotojus ir pagrindinių naudotojų grįžtamąja informacija, surinktas laikantis šio reglamento, apžvalgas;

(66)

be to, į vartus turėtų būti įtraukta grįžtamosios informacijos priemonė, kad naudotojai galėtų savanoriškai ir anonimiškai pranešti apie problemas ir sunkumus, kurių jiems kyla naudojantis vidaus rinkos teikiamomis teisėmis. Ši priemonė turėtų būti laikoma tik skundų nagrinėjimo mechanizmą papildančia priemone, nes, ją taikant, nėra galimybės pateikti individualiems naudotojams pritaikytų atsakymų. Gauta informacija turėtų būti sujungta su suvestine pagalbos bei problemų sprendimo paslaugų teikėjų pateikta informacija apie jų nagrinėtus atvejus, kad būtų galima parengti naudotojų patirtimi pagrįstą vidaus rinkos apžvalgą ir nustatyti problemines sritis, kad būtų galima ateityje imtis veiksmų siekiant pagerinti vidaus rinkos veikimą. Ta apžvalga turėtų būti susieta su esamomis ataskaitų teikimo priemonėmis, pavyzdžiui, Vidaus rinkos rezultatų suvestine;

(67)

šiuo reglamentu neturėtų būti daromas poveikis valstybių narių teisei nuspręsti, kas turėtų atlikti nacionalinio koordinatoriaus vaidmenį. Valstybės narės turėtų turėti galimybę su vartais susijusias nacionalinių koordinatorių funkcijas ir pareigas pritaikyti prie savo vidaus administracinių struktūrų. Valstybės narės turėtų turėti galimybę skirti papildomus nacionalinius koordinatorius, kurie vykdytų užduotis pagal šį reglamentą pavieniui arba kartu su kitais, atsakingais už administracijos padalinį ar geografinį regioną arba atitinkančiais kitus kriterijus. Valstybės narės turėtų pranešti Komisijai apie vieną bendrą nacionalinį koordinatorių, kurį jos paskyrė ryšiams su Komisija palaikyti;

(68)

kad būtų lengviau taikyti šį reglamentą, turėtų būti sukurta iš nacionalinių koordinatorių sudaryta vartų koordinavimo grupė, kuriai pirmininkautų Komisija; visų pirma, šioje grupėje turėtų būti keičiamasi geriausia patirtimi ir bendradarbiaujama siekiant užtikrinti, kad informacija būtų pateikiama nuosekliau, kaip reikalaujama šiuo reglamentu. Vartų koordinavimo grupės darbe turėtų būti atsižvelgiama į metinėje darbo programoje, kurią Komisija turėtų pateikti jai apsvarstyti, nustatytus tikslus. Metinė darbo programa turėtų būti parengta kaip gairės arba rekomendacijos, kurios neturi privalomojo poveikio valstybėms narėms. Komisija, Europos Parlamentui paprašius, gali nuspręsti paprašyti Parlamento atsiųsti ekspertus dalyvauti vartų koordinavimo grupės posėdžiuose;

(69)

šiame reglamente turėtų būti paaiškinta, kurios vartų dalys turi būti finansuojamos iš Sąjungos biudžeto, o už kurias turi būti atsakingos valstybės narės. Komisija turėtų padėti valstybėms narėms nustatyti pakartotinai panaudojamus IRT sudedamuosius elementus ir finansavimą, kurį galima gauti iš įvairių Sąjungos lygmens fondų bei programų, galinčių prisidėti padengiant IRT pritaikymo ir plėtojimo, reikalingo nacionaliniu lygmeniu siekiant laikytis šio reglamento, išlaidas. Šio reglamento įgyvendinimui reikalingas biudžetas turėtų būti suderinamas su taikytina daugiamete finansine programa;

(70)

valstybės narės raginamos koordinuoti veiksmus, keistis informacija ir glaudžiau bendradarbiauti viena su kita, siekiant padidinti savo strateginius, veiklos, mokslinių tyrimų ir technologinės plėtros pajėgumus kibernetinio saugumo srityje, visų pirma įgyvendinant Tinklų ir informacijos saugumo sistemą direktyvą, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje (ES) 2016/1148 (27) jų viešojo administravimo ir paslaugų saugumui ir atsparumui sustiprinti. Valstybės narės raginamos padidinti operacijų saugumą ir užtikrinti pakankamą pasikliovimo elektroninėmis priemonėmis lygmenį pasitelkiant Elektroninės atpažinties reglamento (EAR) sistemą, nustatytą Reglamentu (ES) Nr. 910/2014 ir užtikrinant visų pirma tinkamo lygio patikimumą. Valstybės narės gali imtis priemonių pagal Sąjungos teisę, kad užtikrintų kibernetinį saugumą ir užkirstų kelią tapatybės klastojimui ar kitų formų sukčiavimui;

(71)

kai taikant šį reglamentą atliekamas asmens duomenų tvarkymas, jis turėtų būti vykdomos laikantis Sąjungos teisės aktų dėl asmens duomenų apsaugos, visų pirma Reglamento (ES) 2016/679 ir Reglamento (ES) 2018/1725 Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (28) taip pat turėtų būti taikoma įgyvendinant šį reglamentą. Kaip numatyta Reglamente (ES) 2016/679, valstybės narės gali palikti galioti arba nustatyti papildomas sąlygas, įskaitant apribojimus, taikomas sveikatos duomenų tvarkymui, ir jos taip pat gali nustatyti konkretesnes taisykles dėl darbuotojų asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste;

(72)

šiuo reglamentu turėtų būti skatinamas ir palengvinamas paslaugų, kurias apima vartai, valdymo tvarkos racionalizavimas. Šiuo tikslu Komisija turėtų, glaudžiai bendradarbiaudama su valstybėmis narėmis, peržiūrėti esamą valdymo tvarką ir prireikus ją pritaikyti, kad būtų išvengta dubliavimosi ir neefektyvumo;

(73)

šio reglamento tikslas – užtikrinti, kad kitose valstybėse narėse veiklą vykdantiems naudotojams būtų suteikta internetinė prieiga prie išsamios, patikimos, prieinamos ir suprantamos Sąjungos lygmens ir nacionalinės informacijos apie teises, taisykles ir pareigas, prieiga prie internetinių procedūrų, kurias galima visa apimtimi atlikti tarpvalstybiniu lygmeniu, taip pat prieiga prie pagalbos bei problemų sprendimo paslaugų. Kadangi valstybės narės to tikslo negali tinkamai pasiekti, o dėl šio reglamento masto ir poveikio, to tikslo būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu nereikalaujama daugiau, nei būtina nurodytam tikslui pasiekti;

(74)

kad valstybės narės ir Komisija galėtų sukurti ir įgyvendinti priemones, kurios reikalingos šiam reglamentui įgyvendinti, tam tikros jo nuostatos turėtų būti taikomos praėjus dvejiems metams po jo įsigaliojimo dienos. Savivaldos institucijoms turėtų būti suteikta galimybė per ketverius metus po šio reglamento įsigaliojimo dienos pateikti informaciją apie į jų atsakomybės sritį patenkančias taisykles, procedūras ir pagalbos bei problemų sprendimo paslaugas. Šio reglamento nuostatos dėl procedūrų, kurias galima visa apimtimi atlikti internete, tarpvalstybinės prieigos prie internetinių procedūrų ir techninės sistemos, skirtos tarpvalstybiniam keitimuisi įrodymais automatizuotu būdu, laikantis vienkartinio duomenų pateikimo principo, turėtų būti įgyvendintos ne vėliau kaip per penkerius metus po šio reglamento įsigaliojimo dienos;

(75)

šiuo reglamentu gerbiamos pagrindinės teisės ir principai, visų pirma nustatyti Europos Sąjungos pagrindinių teisių chartijoje, ir šis reglamentas turėtų būti įgyvendinamas atsižvelgiant į tas teises ir principus;

(76)

pagal Reglamento (EB) Nr. 45/2001 (29) 28 straipsnio 2 dalį buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis 2017 m. rugpjūčio 1 d. pateikė nuomonę (30),

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas

1.   Šiuo reglamentu nustatomos taisyklės dėl:

a)

bendrųjų skaitmeninių vartų, kuriais piliečiams ir verslininkams suteikiama lengva prieiga prie aukštos kokybės informacijos, veiksmingų procedūrų ir veiksmingos pagalbos bei problemų sprendimo paslaugų, susijusių su Sąjungos ir nacionalinėmis taisyklėmis, kurios taikomos piliečiams ir verslininkams, besinaudojantiems arba ketinantiems naudotis iš Sąjungos teisės vidaus rinkos srityje SESV 26 straipsnio 2 dalies prasme išplaukiančiomis savo teisėmis, įsteigimo ir veiklos;

b)

tarpvalstybinių naudotojų naudojimosi procedūromis ir vienkartinio duomenų pateikimo principo įgyvendinimo, susijusio su šio reglamento II priede išvardytomis procedūromis ir procedūromis, numatytomis direktyvose 2005/36/EB, 2006/123/EB, 2014/24/ES ir 2014/25/ES;

c)

dėl pranešimų apie vidaus rinkoje kylančias kliūtis, remiantis naudotojų grįžtamąja informacija ir statistika, surinkta teikiant paslaugas, kurias apima vartai.

2.   Jeigu šis reglamentas prieštarauja kuriai nors kito Sąjungos teisės akto, kuriuo reglamentuojami konkretūs aspektai, kuriems taikomas šis reglamentas, nuostatai, viršenybė teikiama to kito Sąjungos akto nuostatai.

3.   Šiuo reglamentu nedaroma poveikio nė vienos procedūros, nustatytos Sąjungos arba nacionaliniu lygmeniu bet kurioje srityje, kuriai taikomas šis reglamentas, esmei arba teisėms, kurios suteikiamos taikant bet kurią iš tų procedūrų. Be to, šiuo reglamentu nedaroma poveikio priemonėms, kurių imtasi pagal Sąjungos teisę siekiant užtikrinti kibernetinį saugumą ir užkirsti kelią sukčiavimui.

2 straipsnis

Bendrųjų skaitmeninių vartų sukūrimas

1.   Bendruosius skaitmeninius vartus (toliau – vartai) sukuria Komisija ir valstybės narės laikantis šio reglamento. Vartus sudaro Komisijos valdoma bendroji naudotojų sąsaja (toliau – bendroji naudotojų sąsaja), kuri integruojama į portalą „Jūsų Europa“, ir kuri suteikia prieigą prie atitinkamų Sąjungos ir nacionalinių tinklalapių.

2.   Vartais suteikiama prieiga prie:

a)

informacijos apie pagal Sąjungos ir nacionalinę teisę nustatytas teises, pareigas ir taisykles, kurios taikomos naudotojams, besinaudojantiems arba ketinantiems naudotis iš Sąjungos teisės vidaus rinkos srityje išplaukiančiomis teisėmis I priede išvardytose srityse;

b)

informacijos apie Sąjungos arba nacionaliniu lygmeniu nustatytas internetines ir ne internetines procedūras ir nuorodų į internetines procedūras, įskaitant procedūras, kurioms taikomas II priedas, kuriomis naudotojams užtikrinama galimybė naudotis savo teisėmis ir vykdyti pareigas bei laikytis taisyklių I priede išvardytose vidaus rinkos srityse;

c)

informacijos apie pagalbos bei problemų sprendimo paslaugas, išvardytas III priede arba nurodytas 7 straipsnyje, kuriomis piliečiai ir verslininkai gali remtis iškilus klausimams arba problemoms, susijusiems su jų teisėmis, pareigomis, taisyklėmis arba procedūromis, nurodytomis šios dalies a ir b punktuose, ir nuorodų į tas paslaugas.

3.   Bendroji naudotojų sąsaja prieinama visomis Sąjungos oficialiosiomis kalbomis.

3 straipsnis

Terminų apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys:

1.

naudotojas – Sąjungos pilietis, valstybėje narėje gyvenantis fizinis asmuo arba juridinis asmuo, kurio registruotoji būstinė yra valstybėje narėje, ir kuris per vartus turi prieigą prie 2 straipsnio 2 dalyje nurodytos informacijos, procedūrų arba pagalbos ar problemų sprendimo paslaugų;

2.

tarpvalstybinis naudotojas – naudotojas, kurio padėtis nėra visais aspektais susijusi tik su viena valstybe nare;

3.

procedūra – veiksmai, kuriuos paeiliui turi atlikti naudotojai, kad atitiktų reikalavimus arba kad gautų atitinkamą kompetentingos institucijos sprendimą tam, kad galėtų naudotis savo teisėmis, nurodytomis 2 straipsnio 2 dalies a punkte;

4.

kompetentinga institucija – nacionaliniu, regionų arba vietos lygmeniu įsteigta valstybės narės institucija arba įstaiga, kuriai pavestos konkrečios pareigos, susijusios su informacija, procedūromis ir pagalbos bei problemų sprendimo paslaugomis, kurioms taikomas šis reglamentas;

5.

įrodymai – dokumentas arba duomenys, įskaitant tekstą arba garsą, vaizdo arba garso ir vaizdo įrašą, neatsižvelgiant į tai, kokia laikmena naudojama, kurią naudoti reikalauja kompetentinga institucija tam, kad būtų įrodyti faktai arba tai, kad laikomasi 2 straipsnio 2 dalies b punkte nurodytų procedūrų reikalavimų.

II SKYRIUS

VARTŲ PASLAUGOS

4 straipsnis

Prieiga prie informacijos

1.   Valstybės narės užtikrina, kad jų nacionaliniuose tinklalapiuose naudotojams būtų suteikta lengva internetinė prieiga prie:

a)

informacijos apie 2 straipsnio 2 dalies a punkte nurodytas teises, pareigas ir taisykles, kurios išplaukia iš nacionalinės teisės;

b)

informacijos apie 2 straipsnio 2 dalies b punkte nurodytas procedūras, kurios yra nustatytos pagal nacionalinę teisę;

c)

informacijos apie 2 straipsnio 2 dalies c punkte nurodytas pagalbos bei problemų sprendimo paslaugas, kurios yra teikiamos nacionaliniu lygmeniu.

2.   Komisija užtikrina, kad portale „Jūsų Europa“ naudotojams būtų suteikta paprasta internetinė prieiga prie 1 dalyje nurodytos informacijos:

a)

informacijos apie 2 straipsnio 2 dalies a punkte nurodytas teises, pareigas ir taisykles, kurios išplaukia iš nacionalinės teisės;

b)

informacijos apie 2 straipsnio 2 dalies b punkte nurodytas procedūras, kurios yra nustatytos pagal nacionalinę teisę;

c)

informacijos apie 2 straipsnio 2 dalies c punkte nurodytas pagalbos bei problemų sprendimo paslaugas, kurios yra teikiamos nacionaliniu lygmeniu.

5 straipsnis

Prieiga prie informacijos, neįtrauktos į I priedą

1.   Valstybės narės ir Komisija gali pateikti nuorodas į kompetentingų institucijų, Komisijos ar Sąjungos organų, tarnybų ir agentūrų teikiamą informaciją, susijusią su į I priedą neįtrauktomis sritimis, su sąlyga, kad ši informacija patenka į vartų, kaip apibrėžta 1 straipsnio 1 dalies a punkte, apimtį ir ji atitinka 9 straipsnyje nustatytus kokybės reikalavimus.

2.   Nuorodos į šio straipsnio 1 dalyje nurodytą informaciją pateikiamos vadovaujantis 19 straipsnio 2 ir 3 dalimis.

3.   Prieš suaktyvindama bet kurią nuorodą, Komisija patikrina, kad būtų įvykdytos 1 dalyje nustatytos sąlygos ir konsultuojasi su vartų koordinavimo grupe.

6 straipsnis

Procedūros, kurios visa apimtimi turi būti siūlomos internete

1.   Kiekviena valstybė narė užtikrina, kad naudotojai turėtų prieigą ir galėtų internete visa apimtimi atlikti II priede išvardytas procedūras su sąlyga, kad atitinkama procedūra yra nustatyta atitinkamoje valstybėje narėje.

2.   1 dalyje nurodytos procedūros laikomos visiškai internetinėmis, kai:

a)

nustatyti naudotojų tapatumą, pateikti informaciją ir patvirtinančiuosius įrodymus, pasirašyti ir atlikti galutinį veiksmą galima elektroniniu nuotoliniu būdu per paslaugų kanalą, kuriame naudotojams sudaroma galimybė paprastai ir struktūruotai įgyvendinti su procedūra susijusius reikalavimus;

b)

naudotojams suteikiamas automatinis gavimo patvirtinimas, nebent procedūros rezultatas būtų pateikiamas iš karto;

c)

procedūros rezultatas pateikiamas elektroniniu būdu arba, jei to reikia pagal taikytiną Sąjungos ar nacionalinę teisę, pateikiamas fizinėmis priemonėmis; ir

d)

naudotojams pateikiamas elektroninis pranešimas apie procedūros atlikimą.

3.   Jei išimtiniais privalomomis viešojo intereso priežastimis visuomenės saugumo, visuomenės sveikatos ar kovos su sukčiavimu srityse grindžiamais atvejais siekiamas tikslas negali būti visapusiškai pasiektas internetu, valstybės narės gali reikalauti, kad atliekant tam tikrą procedūros veiksmą naudotojas pats atvyktų į kompetentingą instituciją. Tokiais išimtiniais atvejais valstybės narės tokį fizinio dalyvavimo reikalavimą taiko tik tada, kai tai yra iš esmės būtina ir objektyviai pagrįsta, ir užtikrina, kad kiti procedūros veiksmai visa apimtimi gali būti atlikti internete. Valstybės narės taip pat užtikrina, kad taikant fizinio dalyvavimo reikalavimus nebūtų diskriminuojami tarpvalstybiniai naudotojai.

4.   Valstybės narės bendroje saugykloje, kuri prieinama Komisijai ir kitoms valstybėms narėms, nurodo ir paaiškina priežastis ir aplinkybes, kurioms esant galėtų būti reikalaujama fizinio dalyvavimo 3 dalyje nurodytų procedūrinių veiksmų atveju, taip pat pagrindus ir aplinkybes, kuriais remiantis ir kurioms esant būtinas fizinis pateikimas, kaip nurodyta 2 dalies c punkte.

5.   Šis straipsnis nedraudžia valstybėms narėms suteikti naudotojams papildomą galimybę gauti prieigą prie 2 straipsnio 2 dalies b punkte nurodytų procedūrų ir jas atlikti kitomis priemonėmis nei internetu arba tiesiogiai susisiekti su naudotojais.

7 straipsnis

Prieiga prie pagalbos bei problemų sprendimo paslaugų

1.   Valstybės narės ir Komisija užtikrina, kad naudotojai, įskaitant tarpvalstybinius naudotojus, turėtų paprastą internetinę prieigą įvairiais kanalais prie 2 straipsnio 2 dalies c punkte nurodytų pagalbos bei problemų sprendimo paslaugų.

2.   28 straipsnyje nurodyti nacionaliniai koordinatoriai ir Komisija gali pagal 19 straipsnio 2 ir 3 dalis pateikti nuorodas į kompetentingų institucijų, Komisijos arba Sąjungos organų, tarnybų ir agentūrų, teikiamas pagalbos bei problemų sprendimo paslaugas, kurios neįtrauktos į III priedo sąrašą, su sąlyga, kad jos atitinka 11 ir 16 straipsniuose nustatytus kokybės reikalavimus.

3.   Jei tai būtina siekiant patenkinti naudotojų poreikius, nacionalinis koordinatorius gali pasiūlyti Komisijai įtraukti į vartus privačių arba pusiau privačių subjektų teikiamas pagalbos arba problemų sprendimo paslaugas, jei tos paslaugos atitinka šias sąlygas:

a)

jomis teikiama į šio reglamento taikymo sritį įeinančių sričių informacija arba šio reglamento tikslus atitinkanti pagalba ir ta paslauga papildomos į vartus jau įtrauktos paslaugos;

b)

jos yra teikiamos nemokamai arba tokia kaina, kuri yra prieinama labai mažoms įmonėms, ne pelno organizacijoms arba piliečiams, ir

c)

jos atitinka 8, 11 ir 16 straipsniuose nustatytus reikalavimus.

4.   Nacionaliniam koordinatoriui pagal šio straipsnio 3 dalį pasiūlius įtraukti nuorodą ir suteikus tą nuorodą pagal 19 straipsnio 3 dalį, Komisija įvertina, ar paslaugos, kuri turi būti įtraukiama suteikus nuorodą, atžvilgiu laikomasi šio straipsnio 3 dalyje nustatytų sąlygų, ir, jei jų laikomasi, suaktyvina nuorodą.

Jei Komisija nustato, kad paslaugos, kuri turi būti įtraukta, atžvilgiu nesilaikoma 3 dalyje nustatytų sąlygų, ji informuoja nacionalinį koordinatorių apie nuorodos neaktyvavimo priežastis.

8 straipsnis

Kokybės reikalavimai, susiję su žiniatinklio prieinamumu

Komisija užtikrina, kad tos interneto svetainės ir tinklalapiai, per kuriuos ji suteikia prieigą prie 4 straipsnio 2 dalyje nurodytos informacijos ir 7 straipsnyje nurodytų pagalbos bei problemų sprendimo paslaugų, būtų lengviau prieinami, užtikrindama, kad jie būtų suvokiami, galimi naudotis, suprantami ir tvarūs.

III SKYRIUS

KOKYBĖS REIKALAVIMAI

1 SKIRSNIS

Kokybės reikalavimai, susiję su informacija apie teises, pareigas ir taisykles, procedūras ir pagalbos bei problemų sprendimo paslaugas

9 straipsnis

Informacijos apie teises, pareigas ir taisykles kokybė

1.   Kai valstybės narės ir Komisija pagal 4 straipsnį atsako už prieigos prie 2 straipsnio 2 dalies a punkte nurodytos informacijos užtikrinimą, jos užtikrina, kad tokia informacija atitiktų šiuos reikalavimus:

a)

ji yra naudotojams patogi, sudaro galimybę lengvai rasti ir suprasti informaciją ir lengvai nustatyti, kurios tos informacijos dalys yra aktualios jų konkrečiu atveju;

b)

ji turi būti tiksli ir pakankamai išsami, kad apimtų informaciją, kurią naudotojams reikia žinoti, kad jie galėtų naudotis savo teisėmis visiškai laikydamiesi taikytinų taisyklių ir pareigų;

c)

kai tinkama, turi būti pateiktos nuorodos į šaltinius ir (arba) teisės aktus, technines specifikacijas bei gaires;

d)

turi būti nurodytas už informacijos turinį atsakingos kompetentingos institucijos ar subjekto pavadinimas;

e)

turi būti pateikti bet kurių atitinkamų pagalbos ar problemų sprendimo paslaugų subjektų kontaktiniai duomenys, kaip antai telefono numeris, e. pašto adresas, elektroninė užklausos forma arba bet kokia kita paprastai naudojama elektroninės komunikacijos priemonė, labiausiai tinkama teikiamai paslaugai ir tos paslaugos tikslinei auditorijai;

f)

turi būti nurodyta informacijos paskutinio atnaujinimo, jei toks atliktas, data arba, jei informacija nebuvo atnaujinta, jos paskelbimo data;

g)

ji turi būti geros struktūros ir gerai pateikta, kad naudotojai galėtų greitai rasti jiems reikalingą informaciją;

h)

ji turi būti nuolat atnaujinama ir

i)

ji turi būti parašyta aiškia ir paprasta kalba, pritaikyta prie naudotojų, kuriems informacija skirta, poreikių.

2.   Valstybės narės pateikia šio straipsnio 1 dalyje nurodytą informaciją Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, laikantis 12 straipsnio.

10 straipsnis

Informacijos apie procedūras kokybė

1.   Valstybės narės ir Komisija, siekdamos laikytis 4 straipsnio, užtikrina, kad prieš naudotojams atliekant tapatybės nustatymo veiksmus, dar nepradėjus procedūros jiems būtų suteikta prieiga prie pakankamai išsamaus, aiškaus ir paprasto paaiškinimo dėl šių su 2 straipsnio 2 dalies b punkte nurodytomis procedūromis susijusių dalykų, jei taikytina:

a)

atitinkamų procedūros veiksmų, kuriuos naudotojas turi atlikti, įskaitant bet kokią išimtį dėl valstybių narių pareigos pagal 6 straipsnio 3 dalį suteikti galimybę procedūras visa apimtimi atlikti internetu;

b)

už procedūrą atsakingos kompetentingos institucijos ar subjekto pavadinimo, įskaitant jo kontaktinius duomenis;

c)

patvirtintų tapatumo nustatymo, atpažinties ir pasirašymo priemonių, taikomų atliekant procedūrą;

d)

įrodymų, kurie turi būti pateikti, tipo ir formato;

e)

teisių gynimo arba apskundimo priemonių, kurios paprastai gali būti taikomos kilus ginčų su kompetentingomis institucijomis;

f)

taikytinų mokesčių ir internetinio apmokėjimo būdo;

g)

visų terminų, kurių turi laikytis naudotojas arba kompetentinga institucija; o kai terminai nenustatyti – vidutinio, numatomo ar apytikslio laiko, kuris reikalingas kompetentingai institucijai procedūrai atlikti;

h)

taisyklių, kai kompetentinga institucija nepateikia atsakymo, ir tokio nepateikimo teisinių pasekmių naudotojams, įskaitant savaiminio patvirtinimo arba administracinės tylos tvarką;

i)

papildomos kalbos, kurią galima pasirinkti procedūrai atlikti.

2.   Jei netaikoma savaiminio patvirtinimo, administracinės tylos ar panaši tvarka, kompetentingos institucijos atitinkamais atvejais informuoja naudotojus apie bet kokius vėlavimus ir bet kokį terminų pratęsimą arba jų pasekmes.

3.   Jei 1 dalyje nurodytas paaiškinimas jau yra pateiktas netarpvalstybiniams naudotojams, jis gali būti naudojamas arba dar kartą naudojamas šio reglamento tikslais su sąlyga, kad jis, kai taikytina, apima tarpvalstybinių naudotojų atvejį.

4.   Valstybės narės šio straipsnio 1 dalyje nurodytą paaiškinimą pateikia Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, laikantis 12 straipsnio.

11 straipsnis

Informacijos apie pagalbos bei problemų sprendimo paslaugas kokybė

1.   Valstybės narės ir Komisija, siekdamos laikytis 4 straipsnio, užtikrina, kad naudotojams būtų suteikta prieiga, prieš pateikiant prašymą suteikti 2 straipsnio 2 dalies c punkte nurodytą paslaugą, susipažinti su aiškiu ir paprastu paaiškinimu apie toliau išvardytus elementus:

a)

teikiamos paslaugos tipą, tikslą ir numatomus rezultatus;

b)

už paslaugą atsakingų subjektų kontaktinius duomenis, kaip antai telefono numeris, e. pašto adresas, elektroninė užklausos forma arba bet kokia kita paprastai naudojama elektroninės komunikacijos priemonė, labiausiai tinkama teikiamai paslaugai ir tos paslaugos tikslinei auditorijai;

c)

atitinkamais atvejais – apie taikytinus mokesčius ir internetinio apmokėjimo būdą;

d)

visus taikytinus terminus, kurių riekia laikytis, ir, jei terminų nėra, apytikrį procedūros atlikimo laiką;

e)

papildomas kalbas, kuriomis gali būti teikiamas prašymas ir kuri gali būti vartojama palaikant tolesnius ryšius.

2.   Valstybės narės šio straipsnio 1 dalyje nurodytą paaiškinimą pateikia Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, laikantis 12 straipsnio.

12 straipsnis

Informacijos vertimas

1.   Kai valstybės narės nepateikia 9, 10 ir 11 straipsniuose bei 13 straipsnio 2 dalies a punkte nustatytos informacijos, paaiškinimų ir nurodymų Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, ta valstybė narė paprašo Komisijos pateikti vertimus į tą kalbą, neviršijant turimo Sąjungos biudžeto, kaip nurodyta 32 straipsnio 1 dalies c punkte.

2.   Valstybės narės užtikrina, kad pagal šio straipsnio 1 dalį vertimui pateikti tekstai apimtų bent pagrindinę informaciją, susijusią su visomis I priede išvardytomis sritimis, ir kad, kai turimas Sąjungos biudžetas yra pakankamas – jie apimtų bet kurią kitą 9, 10 ir 11 straipsniuose bei 13 straipsnio 2 dalies a punkte nurodytą informaciją, paaiškinimus ir nurodymus, atsižvelgiant į svarbiausius tarpvalstybinių naudotojų poreikius. Valstybės narės pateikia nuorodas į tokią išverstą informaciją 19 straipsnyje nurodytai nuorodų saugyklai.

3.   1 dalyje nurodyta kalba turi būti Sąjungos oficialioji kalba, kurią naudotojai mokosi Sąjungoje plačiausiai kaip užsienio kalbą. Išimties tvarka, kai tikimasi, kad informacija, paaiškinimai ar nurodymai, kurie turi būti išversti, labiausiai domina tarpvalstybinius naudotojus, kilusius iš vienos kitos valstybės narės, 1 dalyje nurodyta kalba gali būti Sąjungos oficialioji kalba, kurią tie tarpvalstybiniai naudotojai naudoja kaip pirmąją kalbą.

4.   Jei valstybė narė prašo vertimo į Sąjungos oficialiąją kalbą, kuri nėra užsienio kalba, kurią Sąjungoje plačiausiai mokosi naudotojai, ji turi nurodyti savo prašymo priežastis. Jei Komisija nustato, kad renkantis tokią kitą kalbą nesilaikoma 3 dalyje nustatytų sąlygų, ji gali atmesti prašymą ir informuoja valstybę narę nurodydama atmetimo priežastis.

2 SKIRSNIS

Reikalavimai, susiję su internetinėmis procedūromis

13 straipsnis

Tarpvalstybinė prieiga prie internetinių procedūrų

1.   Valstybės narės užtikrina, kad, jei nacionaliniu lygmeniu nustatyta 2 straipsnio 2 dalies b punkte nurodyta procedūra yra internete prieinama netarpvalstybiniams naudotojams ir jie gali ją atlikti internete, ta procedūra, laikantis nediskriminavimo principo, taip pat būtų prieinama ir tarpvalstybiniams naudotojams ir jie galėtų ją atlikti internete, naudojantis tuo pačiu arba alternatyviu techniniu sprendimu.

2.   Valstybės narės užtikrina, kad šio straipsnio 1 dalyje nurodytų procedūrų atvejais būtų laikomasi bent šių reikalavimų:

a)

naudotojai turi galėti gauti prieigą prie nurodymų dėl procedūros atlikimo Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, laikantis 12 straipsnio;

b)

tarpvalstybiniai naudotojai turi galėti pateikti reikalingą informaciją, įskaitant tuos atvejus, kai tokios informacijos struktūra skiriasi nuo panašios informacijos atitinkamoje valstybėje narėje;

c)

tarpvalstybiniai naudotojai turi turėti galimybę patvirtinti savo tapatybę ir autentiškumą, elektroniniu būdu pasirašyti arba pažymėti spaudu dokumentus, kaip numatyta Reglamente (ES) Nr. 910/2014, visais atvejais, kai tai taip pat gali atlikti netarpvalstybiniai naudotojai;

d)

tarpvalstybiniai naudotojai turi galėti pateikti taikomų reikalavimų laikymosi įrodymus ir elektroniniu formatu gauti procedūrų rezultatus visais atvejais, kai tai taip pat gali atlikti netarpvalstybiniai naudotojai;

e)

jei tam, kad būtų galima atlikti procedūrą, būtina atlikti mokėjimą, tarpvalstybiniams naudotojams suteikiama plačiai prieinama galimybė mokesčius sumokėti internetu, naudojantis tarpvalstybinėmis mokėjimo paslaugomis, nepatiriant diskriminacijos dėl mokėjimo paslaugų teikėjo įsisteigimo vietos, mokėjimo priemonės išdavimo vietos ar mokėjimo sąskaitos buvimo vietos Sąjungoje.

3.   Jei pagal procedūrą nereikalaujama patvirtinti savo tapatybę ar autentiškumą, kaip nurodyta 2 dalies c punkte, ir jei kompetentingoms institucijoms leidžiama pagal taikytiną nacionalinę teisę arba administravimo praktiką priimti suskaitmenintas netarpvalstybinių naudotojų neelektroninių tapatybės įrodymų, kaip antai tapatybės kortelių arba pasų, kopijas, tos institucijos turi taip pat priimti tarpvalstybinių naudotojų pateiktas tokių dokumentų suskaitmenintas kopijas.

14 straipsnis

Techninė sistema, skirta tarpvalstybiniam keitimuisi įrodymais automatizuotu būdu ir vienkartinio duomenų pateikimo principo taikymas

1.   Kad būtų galima keistis įrodymais, kuriuos reikia pateikti atliekant internetines procedūras, išvardytas šio reglamento II priede, ir atliekant procedūras, nustatytas direktyvose 2005/36/EB, 2006/123/EB, 2014/24/ES ir 2014/25/ES, Komisija, bendradarbiaudama su valstybėmis narėmis, sukuria techninę sistemą, per kurią įvairių valstybių narių kompetentingos institucijos galėtų automatizuotu būdu keistis įrodymais (toliau – techninė sistema).

2.   Jei kompetentingos institucijos savo valstybėje narėje teisėtai ir elektroniniu formatu, kurį naudojant galima vykdyti keitimąsi automatizuotu būdu, išduoda įrodymus, kurie reikalingi atliekant 1 dalyje nurodytas internetines procedūras, jos taip pat užtikrina kitų valstybių narių prašančiosioms institucijoms galimybę gauti tokius įrodymus elektroniniu formatu, kurį naudojant galima vykdyti keitimąsi įrodymais automatizuotu būdu.

3.   Techninė sistema visų pirma:

a)

sudaro galimybę tvarkyti keitimosi įrodymais prašymus, gavus aiškų naudotojo prašymą;

b)

sudaro galimybę tvarkyti prašymus dėl įrodymų, kurie turi būti įvertinti arba kuriais norima apsikeisti;

c)

suteikia galimybę kompetentingoms institucijoms viena kitai perduoti įrodymus;

d)

suteikia galimybę prašančiajai kompetentingai institucijai tvarkyti įrodymus;

e)

užtikrina įrodymų konfidencialumą ir vientisumą;

f)

sudaro galimybę naudotojui peržiūrėti įrodymus, kuriais turi naudotis kompetentinga institucija, ir pasirinkti, ar keistis įrodymais;

g)

užtikrina tinkamo lygio sąveikumą su kitomis susijusiomis sistemomis;

h)

užtikrina aukšto lygio apsaugą perduodant ir tvarkant įrodymus;

i)

netvarko jokių įrodymų viršydama tai, kas techniniu požiūriu būtina keitimuisi įrodymais, ir tik tiek laiko, kiek būtina tuo tikslu.

4.   Naudotojams nėra privaloma naudoti 1 dalyje nurodytos techninės sistemos ir ją leidžiama naudoti tik gavus aiškų jų prašymą, nebent pagal Sąjungos arba nacionalinę teisę būtų nustatyta kitaip. Naudotojams leidžiama pateikti įrodymus kitomis priemonėmis nei naudojantis technine sistema tiesiogiai prašančiajai kompetentingai institucijai.

5.   Neturi būti prašoma suteikti galimybę peržiūrėti įrodymus, nurodytus šio straipsnio 3 dalies f punkte, atliekant procedūras, kurių atveju pagal taikytinus Sąjungos arba nacionalinės teisės aktus leidžiama vykdyti tarpvalstybinį keitimąsi duomenimis automatizuotu būdu nesuteikiant tokios peržiūros galimybės. Tokia įrodymų peržiūros galimybe nedaromas poveikis pareigai pateikti informaciją pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

6.   Valstybės narės integruoja visiškai veikiančią techninę sistemą į 1 dalyje nurodytas procedūras.

7.   Gavusios aiškų, laisva valia ir turint visą informaciją pateiktą, konkretų ir nedviprasmišką atitinkamo naudotojo prašymą, kompetentingos institucijos, atsakingos už 1 dalyje nurodytas internetines procedūras, per techninę sistemą tiesiogiai paprašo kitų valstybių narių kompetentingų institucijų, išduodančių įrodymus, pateikti įrodymus. 2 dalyje nurodytos išduodančiosios kompetentingos institucijos pagal 3 dalies e punktą tokius įrodymus pateikia per tą pačią sistemą.

8.   Prašančiajai kompetentingai institucijai suteikiama galimybė susipažinti tik su tais įrodymais, kurių prašyta, ir ta institucija tuos įrodymus naudoja tik procedūros, dėl kurios apsikeista įrodymais, tikslu. Įrodymai, kuriais keičiamasi per techninę sistemą prašančiosios kompetentingos institucijos reikmėms, laikomi autentiškais.

9.   Ne vėliau kaip 2021 m. birželio 12 d. Komisija priima įgyvendinimo aktus, kuriais nustato šiam straipsniui įgyvendinti reikalingas technines ir operacines techninės sistemos specifikacijas. Tie įgyvendinimo aktai priimami laikantis 37 straipsnio 2 dalyje nurodytos procedūros.

10.   1–8 dalys netaikomos Sąjungos lygmeniu nustatytoms procedūroms, kurias atliekant turi būti taikomi kiti keitimosi įrodymais mechanizmai, nebent šio straipsnio įgyvendinimo tikslais būtina techninė sistema yra integruota į tas procedūras laikantis Sąjungos teisės aktuose, kuriais tos procedūros yra sukurtos, nustatytų taisyklių.

11.   Komisija ir kiekviena valstybė narė atsako už atitinkamų savo techninės sistemos komponentų sukūrimą, prieinamumo užtikrinimą, techninę priežiūrą, priežiūrą, stebėseną ir saugumo valdymą.

15 straipsnis

Valstybių narių vykdomas įrodymų patikrinimas

Jeigu techninės sistemos arba kitų sistemų, skirtų valstybėms narėms keistis įrodymais arba juos patikrinti, nėra arba jos netaikomos, arba jei naudotojas nepateikia prašymo leisti naudotis technine sistema, kompetentingos institucijos bendradarbiauja per Vidaus rinkos informacinę sistemą (IMI), kai tai yra būtina, siekiant patikrinti įrodymų, kuriuos naudotojas elektroniniu formatu pateikė vienai iš jų, kad galėtų atlikti internetinę procedūrą, autentiškumą.

3 SKIRSNIS

Kokybės reikalavimai, susiję su pagalbos bei problemų sprendimo paslaugomis

16 straipsnis

Kokybės reikalavimai, susiję su pagalbos ir problemų sprendimo paslaugomis

Kompetentingos institucijos ir Komisija pagal savo atitinkamas kompetencijos sritis užtikrina, kad III priede išvardytos pagalbos ir problemų sprendimo paslaugos ir tos, kurios buvo įtrauktos į vartus pagal 7 straipsnio 2, 3 ir 4 dalis, atitiktų šiuos kokybės reikalavimus:

a)

jos turi būti teikiamos per pagrįstą laikotarpį, atsižvelgiant į prašymo sudėtingumą;

b)

kai terminai pratęsiami, naudotojai turi būti iš anksto informuojami apie priežastis ir apie naują nustatytą terminą;

c)

jei tam, kad būtų galima teikti paslaugą, būtina atlikti mokėjimą, naudotojams suteikiama plačiai prieinama galimybė mokesčius sumokėti internetu, naudojantis tarpvalstybinėmis mokėjimo paslaugomis, nepatiriant diskriminacijos dėl mokėjimo paslaugų teikėjo įsisteigimo vietos, mokėjimo priemonės išdavimo vietos ar mokėjimo sąskaitos buvimo vietos Sąjungoje.

4 SKIRSNIS

Kokybės stebėsena

17 straipsnis

Kokybės stebėsena

1.   28 straipsnyje nurodyti nacionaliniai koordinatoriai ir Komisija pagal savo atitinkamas kompetencijos sritis reguliariai stebi per vartus teikiamos informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų atitiktį 8–13 ir 16 straipsniuose nustatytiems kokybės reikalavimams. Stebėsena vykdoma remiantis pagal 24 ir 25 straipsnius surinktais duomenimis.

2.   Jei kompetentingų institucijų teikiamų 1 dalyje nurodytos informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų kokybė blogėja, Komisija, atsižvelgdama į blogėjimo problemos rimtumą ir tęstinumą, imasi vienos ar daugiau iš toliau nurodytų priemonių:

a)

informuoja atitinkamą nacionalinį koordinatorių ir prašo imtis taisomųjų veiksmų;

b)

pateikia rekomenduojamus kokybės reikalavimų laikymosi gerinimo veiksmus svarstyti vartų koordinavimo grupėje;

c)

išsiunčia valstybei narei raštą su rekomendacijomis;

d)

laikinai atjungia informaciją, procedūrą ar pagalbos arba problemų sprendimo paslaugą nuo vartų.

3.   Jei pagalbos arba problemų sprendimo paslauga, į kurią pagal 7 straipsnio 3 dalį yra pateiktos nuorodos, nuolatos neatitinka 11 ir 16 straipsniuose nustatytų reikalavimų arba, kaip matyti iš duomenų, surinktų pagal 24 ir 25 straipsnius, paslauga nebeatitinka naudotojų poreikių, Komisija gali ją, pasikonsultavusi su atitinkamu nacionaliniu koordinatoriumi ir, prireikus, su vartų koordinavimo grupe, atjungti nuo vartų.

IV SKYRIUS

TECHNINIAI SPRENDIMAI

18 straipsnis

Bendroji naudotojų sąsaja

1.   Kad užtikrintų tinkamą vartų veikimą, Komisija, glaudžiai bendradarbiaudama su valstybėmis narėmis, sukuria į portalą „Jūsų Europa“ integruotą bendrąją naudotojų sąsają.

2.   Per bendrąją naudotojų sąsają suteikiama prieiga prie informacijos, procedūrų ir pagalbos arba problemų sprendimo paslaugų pateikiant nuorodas į atitinkamas Sąjungos ir nacionalinio lygmens interneto svetaines arba tinklalapius, įtrauktus į 19 straipsnyje nurodytą nuorodų saugyklą.

3.   Valstybės narės ir Komisija, veikdamos pagal savo atitinkamas funkcijas ir atsakomybę, kaip numatyta 4 straipsnyje, užtikrina, kad informacija apie taisykles ir pareigas, apie procedūras ir apie pagalbos bei problemų sprendimo paslaugas būtų organizuojama ir žymima taip, kad ją būtų galima lengviau rasti per bendrąją naudotojų sąsają.

4.   Komisija užtikrina, kad bendroji naudotojų sąsaja atitiktų šiuos kokybės reikalavimus:

a)

ją turi būti lengva naudoti;

b)

ji turi būti prieinama internete įvairiais elektroniniais įtaisais;

c)

ji turi būti sukurta ir pritaikyta įvairioms interneto naršyklėms;

d)

ji turi atitikti šiuos žiniatinklio prieinamumo reikalavimus: suvokimo, galimybės naudotis, suprantamumo ir tvarumo reikalavimus.

5.   Komisija gali priimti įgyvendinimo aktus, kuriais nustatomi sąveikumo reikalavimai, siekiant, kad per bendrąją naudotojų sąsają būtų lengviau rasti informaciją apie taisykles ir pareigas, apie procedūras ir apie pagalbos bei problemų sprendimo paslaugas. Tie įgyvendinimo aktai priimami laikantis 37 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

19 straipsnis

Nuorodų saugykla

1.   Komisija, glaudžiai bendradarbiaudama su valstybėmis narėmis, sukuria ir prižiūri elektroninę nuorodų į 2 straipsnio 2 dalyje nurodytą informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas saugyklą, kurioje užtikrinamas tokių paslaugų ir bendrosios naudotojų sąsajos ryšys.

2.   Komisija nuorodų saugykloje pateikia nuorodas į informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas, kurios gali būti prieinamos Sąjungos lygmeniu valdomuose tinklalapiuose, ir užtikrina, kad tos nuorodos būtų tikslios ir atnaujintos.

3.   Nacionaliniai koordinatoriai nuorodų saugykloje pateikia nuorodas į informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas, kurios gali būti prieinamos kompetentingų institucijų arba 7 straipsnio 3 dalyje nurodytų privačių arba pusiau privačių subjektų valdomuose tinklalapiuose, ir užtikrina, kad tos nuorodos būtų tikslios ir atnaujintos.

4.   Kai techniškai įmanoma, 3 dalyje nurodytas nuorodų teikimas gali būti automatiškai vykdomas tarp atitinkamų valstybių narių techninių sistemų nuorodų saugyklos ir nuorodų saugyklos.

5.   Komisija užtikrina, kad į saugyklą įtraukta informacija būtų viešai prieinama atviru ir kompiuterio skaitomu formatu.

6.   Komisija ir nacionaliniai koordinatoriai užtikrina, kad per vartus teikiamos nuorodos į informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas nebūtų visiškai arba iš dalies dubliuojamos ir nesutaptų, dėl ko naudotojams galėtų kilti painiavos.

7.   Jei kitomis Sąjungos teisės aktų nuostatomis yra nustatyta, kad turi būti užtikrintas 4 straipsnyje nurodytos informacijos prieinamumas, Komisija ir nacionaliniai koordinatoriai, siekdami laikytis to straipsnio reikalavimų, gali pateikti nuorodas į tą informaciją.

20 straipsnis

Bendra pagalbos paslaugų radimo priemonė

1.   Siekdamos supaprastinti prieigą prie III priede išvardytų ar 7 straipsnio 2 ir 3 dalyse nurodytų pagalbos bei problemų sprendimo paslaugų, kompetentingos institucijos ir Komisija užtikrina, kad naudotojams jos būtų prieinamos per bendrą pagalbos bei problemų sprendimo paslaugų radimo priemonę (toliau – bendra pagalbos paslaugų radimo priemonė), kuria jie gali naudotis per vartus.

2.   Komisija sukuria ir valdo bendrą pagalbos paslaugų radimo priemonę ir priima sprendimus dėl pagalbos bei problemų sprendimo paslaugų aprašų ir kontaktinių duomenų pateikimo struktūros ir formato, kurių reikia laikytis, kad būtų galima užtikrinti tinkamą bendros pagalbos paslaugų radimo priemonės veikimą.

3.   Nacionaliniai koordinatoriai pateikia Komisijai 2 dalyje nurodytus aprašus ir kontaktinius duomenis.

21 straipsnis

Atsakomybė už IRT taikomąsias programas, kuriomis palaikomas vartų veikimas

1.   Komisija atsako už toliau išvardytų IRT taikomųjų programų ir tinklalapių sukūrimą, prieinamumo užtikrinimą, stebėseną, atnaujinimą, priežiūrą, saugumą ir prieglobą:

a)

2 straipsnio 1 dalyje nurodyto portalo „Jūsų Europa“;

b)

18 straipsnio 1 dalyje nurodytos bendrosios naudotojų sąsajos, įskaitant paieškos sistemą ar bet kokią kitą IRT priemonę, kurią taikant internete galima ieškoti informacijos ir paslaugų;

c)

19 straipsnio 1 dalyje nurodytos nuorodų saugyklos;

d)

20 straipsnio 1 dalyje nurodytos bendros pagalbos paslaugų radimo priemonės;

e)

25 straipsnio 1 dalyje ir 26 straipsnio 1 dalies a punkte nurodytų naudotojų grįžtamosios informacijos rinkimo priemonių.

Komisija glaudžiai bendradarbiauja su valstybėmis narėmis, siekdama sukurti IRT taikomąsias programas.

2.   Valstybės narės atsako už IRT taikomųjų programų, susijusių su jų valdomomis nacionalinėmis interneto svetainėmis ir tinklalapiais ir kurie yra susieti su bendrąja naudotojų sąsaja, sukūrimą, prieinamumo užtikrinimą, stebėseną, atnaujinimą, priežiūrą ir saugumą.

V SKYRIUS

PROPAGAVIMAS

22 straipsnis

Pavadinimas, logotipas ir kokybės ženklas

1.   Pavadinimas, iš kurio atpažįstami vartai ir kuriuo jie propaguojami plačiajai visuomenei, yra „Your Europe“.

Komisija, glaudžiai bendradarbiaudama su vartų koordinavimo grupe, ne vėliau kaip 2019 m. birželio 12 d. priima sprendimą dėl logotipo, iš kurio atpažįstami vartai ir kuriuo jie propaguojami plačiajai visuomenei.

Užtikrinama, kad vartų logotipas ir nuoroda į vartus būtų matomi ir pateikiami atitinkamose Sąjungos lygmens ir nacionalinio lygmens interneto svetainėse, kurios yra sujungtos su vartais.

2.   Kaip įrodymas, kad įsipareigojama laikytis 9, 10 ir 11 straipsniuose nurodytų kokybės reikalavimų, vartų pavadinimas ir logotipas taip pat laikomi kokybės ženklu. Tačiau vartų logotipas turi būti naudojamas kaip kokybės ženklas tik į 19 straipsnyje nurodytą nuorodų saugyklą įtrauktuose tinklalapiuose ir interneto svetainėse.

23 straipsnis

Propagavimas

1.   Valstybės narės ir Komisija didina piliečių ir verslininkų informuotumą apie vartus ir propaguoja jų naudojimą, taip pat užtikrina galimybę rasti vartus ir per juos teikiamą informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas ir jų matomumą per visuomenei prieinamas paieškos priemones.

2.   Valstybės narės ir Komisija koordinuoja savo vykdomą 1 dalyje nurodytą propagavimo veiklą ir, vykdydamos tokią veiklą, teikia nurodą į vartus ir naudoja jų logotipą, prireikus kartu su kitais prekių ženklais.

3.   Valstybės narės ir Komisija užtikrina, kad vartai būtų lengvai randami per susijusias interneto svetaines, už kurias jos yra atsakingos, ir kad visose susijusiose Sąjungos ir nacionalinio lygmens interneto svetainėse būtų pateiktos aiškios nuorodos į bendrąją naudotojų sąsają.

4.   Nacionaliniai koordinatoriai propaguoja naudojimąsi vartais nacionalinėse institucijose.

VI SKYRIUS

NAUDOTOJŲ GRĮŽTAMOSIOS INFORMACIJOS IR STATISTIKOS RINKIMAS

24 straipsnis

Statistika apie naudotojus

1.   Kompetentingos institucijos ir Komisija užtikrina, kad, siekiant pagerinti vartų funkcijas, užtikrinant naudotojų anonimiškumą būtų renkama statistika apie naudotojų apsilankymų vartuose ir tinklalapiuose, su kuriais vartai yra susieti, skaičių.

2.   Kompetentingos institucijos, pagalbos paslaugų teikėjai, kaip nurodyta 7 straipsnio 3 dalyje, ir Komisija renka apibendrintus duomenis apie prašymų suteikti pagalbos bei problemų sprendimo paslaugas skaičių, kilmę ir dalyką, taip pat apie atsakymo į prašymus laiką ir keičiasi tais duomenimis.

3.   Pagal 1 ir 2 dalis surinkti statistiniai duomenys, susiję su informacija, procedūromis ir pagalbos bei problemų sprendimo paslaugomis, su kuriomis vartai yra susieti, apima toliau nurodytų kategorijų duomenis:

a)

duomenis, susijusius su vartų naudotojų skaičiumi, kilme ir tipu;

b)

duomenis, susijusius su naudotojų parinktimis ir naudotojų maršrutais;

c)

duomenis, susijusius su informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų tinkamumu, randamumu ir kokybe.

Tie duomenys viešai skelbiami atviru, bendrai naudojamu ir kompiuterio skaitomu formatu.

4.   Komisija priima įgyvendinimo aktus, kuriais nustatomas šio straipsnio 1, 2 ir 3 dalyse nurodytų statistinių duomenų apie naudotojus rinkimo ir keitimosi jais metodas. Tie įgyvendinimo aktai priimami laikantis 37 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

25 straipsnis

Naudotojų grįžtamoji informacija apie per vartus teikiamas paslaugas

1.   Siekdama surinkti iš naudotojų tiesioginę informaciją apie jų pasitenkinimą vartuose teikiamomis paslaugomis ir pateikiama informacija, Komisija per vartus suteikia naudotojams patogią priemonę, kuri sudaro galimybę pateikti grįžtamąją informaciją ir per kurią jie, pasinaudoję bet kuria 2 straipsnio 2 dalyje nurodyta paslauga, gali iš karto anonimiškai pateikti pastabas apie per vartus teikiamų paslaugų bei pateiktos informacijos ir bendrosios naudotojų sąsajos kokybę ir prieinamumą.

2.   Kompetentingos institucijos ir Komisija visuose į vartus įtrauktuose tinklalapiuose suteikia naudotojams prieigą prie 1 dalyje nurodytos priemonės.

3.   Kad būtų galima išspręsti kilusias problemas, Komisijai, kompetentingoms institucijoms ir nacionaliniams koordinatoriams suteikiama tiesioginė prieiga prie naudotojų grįžtamosios informacijos, surinktos taikant tą priemonę.

4.   Nereikalaujama, kad kompetentingos institucijos savo tinklalapiuose, kurie yra vartų dalis, suteiktų naudotojams prieigą prie 1 dalyje nurodytos naudotojų grįžtamosios informacijos rinkimo priemonės, jei, siekiant vykdyti paslaugų kokybės stebėseną, jų tinklalapiuose jau suteikiama galimybė naudotis naudotojų grįžtamosios informacijos rinkimo priemone, kurios funkcijos yra panašios. Kompetentingos institucijos renka naudotojų grįžtamąją informaciją, gautą taikant jų pačių naudotojų grįžtamosios informacijos rinkimo priemonę, ir ta informacija dalijasi su Komisija ir kitų valstybių narių nacionaliniais koordinatoriais.

5.   Komisija priima įgyvendinimo aktus, kuriuose nustatomos naudotojų grįžtamosios informacijos rinkimo ir dalijimosi ja taisyklės. Tie įgyvendinimo aktai priimami laikantis 37 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

26 straipsnis

Vidaus rinkos veikimo ataskaitų teikimas

1.   Komisija:

a)

suteikia vartų naudotojams patogią priemonę, kuria naudodamiesi jie galėtų anonimiškai pranešti ir teikti grįžtamąją informaciją apie visas kliūtis, kurių jiems kyla naudojantis vidaus rinkos teikiamomis teisėmis;

b)

renka suvestinę informaciją, pateiktą naudojantis pagalbos ir problemų sprendimo paslaugomis, kurios yra vartų dalis, apie prašymų ir atsakymų turinį.

2.   Komisija, kompetentingos institucijos ir nacionaliniai koordinatoriai turi tiesioginę prieigą prie grįžtamosios informacijos, surinktos pagal 1 dalies a punktą.

3.   Valstybės narės ir Komisija išnagrinėja naudotojų pagal šį straipsnį iškeltas problemas ir, jei įmanoma, jas išsprendžia tinkamomis priemonėmis.

27 straipsnis

Internetinės suvestinės apžvalgos

Komisija skelbia anonimines internetines problemų, nustatytų remiantis pagal 26 straipsnio 1 dalį surinkta informacija, 24 straipsnyje nurodyta pagrindine statistika apie naudotojus ir 25 straipsnyje nurodyta pagrindinių naudotojų grįžtamąja informacija, suvestines apžvalgas.

VII SKYRIUS

VARTŲ VALDYMAS

28 straipsnis

Nacionaliniai koordinatoriai

1.   Kiekviena valstybė narė paskiria nacionalinį koordinatorių. Nacionaliniai koordinatoriai ne tik vykdo pareigas pagal 7, 17, 19, 20, 23 ir 25 straipsnius, bet ir:

a)

atlieka kontaktinio centro funkcijas savo atitinkamose administravimo įstaigose visais su vartais susijusiais klausimais;

b)

skatina savo atitinkamas kompetentingas institucijas vienodai taikyti 9–16 straipsnius;

c)

užtikrina, kad būtų tinkamai įgyvendintos 17 straipsnio 2 dalies c punkte nurodytos rekomendacijos.

2.   Kiekviena valstybė narė gali, atsižvelgdama į savo vidaus administracinę struktūrą, papildomai paskirti vieną ar daugiau koordinatorių bet kuriai iš 1 dalyje išvardytų užduočių atlikti. Kiekvienos valstybės narės vienas bendras nacionalinis koordinatorius yra atsakingas už ryšių su Komisija palaikymą visais su vartais susijusiais klausimais.

3.   Kiekviena valstybė narė praneša kitoms valstybėms narėms ir Komisijai savo nacionalinio koordinatoriaus vardą, pavardę ir kontaktinius duomenis.

29 straipsnis

Koordinavimo grupė

Įsteigiama koordinavimo grupė (toliau – vartų koordinavimo grupė). Šią grupę sudaro po vieną nacionalinį koordinatorių iš kiekvienos valstybės narės, o jai pirmininkauja Komisijos atstovas. Ji priima savo darbo tvarkos taisykles. Komisija teikia sekretoriato paslaugas.

30 straipsnis

Vartų koordinavimo grupės užduotys

1.   Vartų koordinavimo grupė padeda įgyvendinti šį reglamentą. Visų pirma ji:

a)

padeda keistis geriausia praktika ir ją nuolat atnaujinti;

b)

skatina, be į šio reglamento II priedą įtrauktų procedūrų, naudoti visiškai internetines procedūras ir internetines autentiškumo nustatymo, atpažinties ir pasirašymo priemones, visų pirma tas, kurios nustatytos Reglamente (ES) Nr. 910/2014;

c)

svarsto, kaip būtų galima geriau naudotojui patogiai teikti I priede išvardytų sričių informaciją, visų pirma remiantis duomenimis, surinktais pagal 24 ir 25 straipsnius;

d)

padeda Komisijai plėtoti bendrus IRT sprendimus, kuriais palaikomi vartai;

e)

svarsto metinės darbo programos projektą;

f)

padeda Komisijai vykdyti metinės darbo programos įgyvendinimo stebėseną;

g)

svarsto papildomą informaciją, pateiktą pagal 5 straipsnį, siekdama paskatinti kitas valstybes nares teikti naudotojams panašią informaciją, kai tai naudinga vartotojams;

h)

padeda Komisijai vykdyti 8–16 straipsniuose nustatytų reikalavimų laikymosi stebėseną pagal 17 straipsnį;

i)

informuoja apie 6 straipsnio 1 dalies įgyvendinimą;

j)

svarsto ir rekomenduoja kompetentingoms institucijoms ir Komisijai veiksmus siekiant išvengti papildomo paslaugų, kurias galima gauti per vartus, dubliavimo arba jį panaikinti;

k)

teikia nuomones dėl procedūrų arba priemonių, kad būtų veiksmingai išspręstos naudotojų nurodytos problemos, susijusios su paslaugų kokybe, arba teikia pasiūlymus dėl kokybės gerinimo;

l)

svarsto integruotojo saugumo ir integruotosios privatumo apsaugos principų taikymo įgyvendinant šį reglamentą klausimus;

m)

svarsto 24 ir 25 straipsniuose nurodytų naudotojų grįžtamosios informacijos ir statistikos rinkimo klausimus, kad Sąjungos ir nacionaliniu lygmeniu teikiamos paslaugos būtų nuolat tobulinamos;

n)

svarsto klausimus, susijusius su paslaugų, teikiamų per vartus, kokybės reikalavimais;

o)

keičiasi geriausia praktika ir padeda Komisijai organizuoti 2 straipsnio 2 dalyje nurodytas paslaugas, parengti jų struktūrą ir jas pateikti, kad būtų užtikrintas tinkamas bendrosios naudotojų sąsajos veikimas;

p)

padeda kurti ir įgyvendinti koordinuoto propagavimo priemones;

q)

bendradarbiauja su informacijos paslaugų ir pagalbos arba problemų sprendimo paslaugų arba tinklų valdymo organais ar tinklais;

r)

teikia rekomendacijas dėl papildomos Sąjungos oficialiosios (-ųjų) kalbos (-ų), kurią (-ias) kompetentingos institucijos turi naudoti pagal 9 straipsnio 2 dalį, 10 straipsnio 4 dalį, 11 straipsnio 2 dalį ir 13 straipsnio 2 dalies a punktą.

2.   Komisija gali konsultuotis su vartų koordinavimo grupe bet kuriuo su šio reglamento taikymu susijusiu klausimu.

31 straipsnis

Metinė darbo programa

1.   Komisija priima metinę darbo programą; joje visų pirma nurodoma:

a)

I priede išvardytų sričių informacijos pateikimo veiksmai ir veiksmai, kuriais sudaromos palankios sąlygos kompetentingoms institucijoms visais lygmenimis, įskaitant savivaldybių lygmenį, laiku įgyvendinti reikalavimą dėl informacijos pateikimo;

b)

veiksmai, kuriais sudaromos palankios sąlygos laikytis 6 ir 13 straipsnių;

c)

veiksmai, kuriuos reikia atlikti, kad būtų užtikrintas nuoseklus 9–12 straipsniuose nustatytų reikalavimų laikymasis;

d)

veikla, susijusi su vartų propagavimu pagal 23 straipsnį.

2.   Rengdama metinės darbo programos projektą Komisija atsižvelgia į statistiką apie naudotojus ir grįžtamąją informaciją, surinktą pagal 24 ir 25 straipsnius, ir į visus valstybių narių pateiktus pasiūlymus. Prieš priimdama programą Komisija teikia metinės darbo programos projektą svarstyti vartų koordinavimo grupei.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

32 straipsnis

Sąnaudos

1.   Europos Sąjungos bendrasis biudžetas apima sąnaudas, susijusias su:

a)

IRT priemonių, kuriomis remiamas šio reglamento įgyvendinimas Sąjungos lygmeniu, kūrimu ir priežiūra;

b)

vartų propagavimu Sąjungos lygmeniu;

c)

informacijos, paaiškinimų ir nurodymų pagal 12 straipsnį vertimu neviršijant didžiausio galimo metinio kiekio kiekvienai valstybei narei, nedarant poveikio galimam perskirstymui, jei tai būtina, kad būtų visapusiškai panaudotas turimas biudžetas.

2.   Jei Sąjungos teisės aktuose nenustatyta kitaip, sąnaudos, susijusios su valstybių narių lygmeniu sukurtais nacionaliniais interneto portalais, informacijos platformomis, pagalbos paslaugomis ir procedūromis, dengiamos valstybių narių atitinkamų biudžetų lėšomis.

33 straipsnis

Asmens duomenų apsauga

Tvarkydamos asmens duomenis šio reglamento įgyvendinimo tikslu, kompetentingos institucijos laikosi Reglamento (ES) 2016/679. Tvarkydama asmens duomenis šio reglamento įgyvendinimo tikslu, Komisija laikosi Reglamento (ES) 2018/1725.

34 straipsnis

Bendradarbiavimas su kitais informacijos ir pagalbos tinklais

1.   Pasikonsultavusi su valstybėmis narėmis, Komisija nusprendžia, kokia esama neoficiali valdymo struktūra, skirta bet kuriai III priede išvardytai pagalbai arba problemų sprendimo paslaugai arba bet kuriai iš į I priedą įtrauktos srities informacijai, turi būti priskirta vartų koordinavimo grupės atsakomybei.

2.   Jei informacijos ir pagalbos paslaugos arba tinklai yra sukurti teisiškai privalomu Sąjungos aktu dėl bet kurios į I priedą įtrauktos srities informacijos, siekiant užtikrinti sąsają ir išvengti dubliavimo, Komisija koordinuoja vartų koordinavimo grupės ir tokių paslaugų arba tinklų valdymo organų darbą.

35 straipsnis

Vidaus rinkos informacinė sistema

1.   6 straipsnio 4 dalies bei 15 straipsnio tikslais ir jų laikantis naudojamasi Vidaus rinkos informacine sistema (toliau – IMI), sukurta Reglamentu (ES) Nr. 1024/2012.

2.   Komisija gali nuspręsti naudoti IMI kaip elektroninę 19 straipsnio 1 dalyje nurodytų nuorodų saugyklą.

36 straipsnis

Ataskaitų teikimas ir peržiūra

Ne vėliau kaip 2022 m. gruodžio 12 d., o vėliau – kas dvejus metus Komisija atlieka šio reglamento taikymo peržiūrą ir pateikia Europos Parlamentui ir Tarybai vartų veikimo ir vidaus rinkos veikimo vertinimo ataskaitą, parengtą remiantis pagal 24, 25 ir 26 straipsnius surinkta statistika ir grįžtamąja informacija. Atliekant peržiūrą, visų pirma vertinama 14 straipsnio taikymo sritis, atsižvelgiant į technologinius, rinkos ir teisinius pokyčius, susijusius su kompetentingų institucijų keitimusi įrodymais.

37 straipsnis

Komiteto procedūra

1.   Komisijai padeda komitetas. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

2.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

38 straipsnis

Reglamento (ES) Nr. 1024/2012 daliniai pakeitimai

Reglamentas (ES) Nr. 1024/2012 iš dalies keičiamas taip:

1.

1 straipsnis pakeičiamas taip:

„1 straipsnis

Dalykas

Šiame reglamente nustatomos Vidaus rinkos informacinės sistemos (toliau – IMI) naudojimo taisyklės, taikytinos IMI subjektų, administraciniam bendradarbiavimui, įskaitant asmens duomenų tvarkymą:“

2.

3 straipsnio 1 dalis pakeičiama taip:

„1.   IMI naudojama IMI subjektams keistis informacija, įskaitant asmens duomenis, ir tai informacijai tvarkyti bet kuriuo iš šių tikslų:

a)

administracinio bendradarbiavimo, kurį vykdyti reikalaujama pagal priede išvardytus aktus;

b)

administracinio bendradarbiavimo pagal bandomąjį projektą, įgyvendinamą laikantis 4 straipsnio nuostatų.“;

3.

5 straipsnio antra pastraipa iš dalies keičiama taip:

a)

a punktas pakeičiamas taip:

„a)

IMI – Komisijos sukurta elektroninė priemonė, kuria sudaromos palankios sąlygos IMI subjektų administraciniam bendradarbiavimui;“;

b)

b punktas pakeičiamas taip:

„b)

administracinis bendradarbiavimas – IMI subjektų bendradarbiavimas keičiantis informacija ir ją tvarkant, siekiant geriau taikyti Sąjungos teisę;“;

c)

g punktas pakeičiamas taip:

„g)

IMI subjektai – kompetentingos institucijos, IMI koordinatoriai, Komisija ir Sąjungos organai, įstaigos bei agentūros;“;

4.

8 straipsnio 1 dalis papildoma šiuo punktu:

„f)

užtikrina veiksmų koordinavimą su Sąjungos organais, įstaigomis ir agentūromis ir suteikia joms prieigą prie IMI.“;

5.

9 straipsnio 4 dalis pakeičiama taip:

„4.   Valstybės narės, Komisija ir Sąjungos organai, įstaigos bei agentūros įdiegia tinkamas priemones, kuriomis užtikrinama, kad IMI naudotojams būtų suteikta teisė susipažinti tik su tais IMI tvarkomais asmens duomenimis, su kuriais jiems susipažinti būtina, ir tik toje vidaus rinkos srityje ar srityse, kuriose jiems suteiktos prieigos teisės pagal 3 dalį.“

6.

21 straipsnis iš dalies keičiamas taip:

a)

2 dalis pakeičiama taip:

„2.   Europos duomenų apsaugos priežiūros pareigūnas yra atsakingas už šio reglamento nuostatų laikymosi, kai Komisija ir Sąjungos organai, tarnybos bei agentūros, veikiančios kaip IMI subjektai, tvarko asmens duomenis, stebėseną ir užtikrinimą. Atitinkamai vykdomos Reglamento (ES) 2018/1725 (*1) 57 ir 58 straipsniuose nurodytos pareigos ir įgaliojimai.

(*1)  2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39)“;"

b)

3 dalis pakeičiama taip:

„3.   Nacionalinės priežiūros institucijos ir Europos duomenų apsaugos priežiūros pareigūnas, veikdami pagal savo atitinkamą kompetenciją, tarpusavyje bendradarbiauja, kad užtikrintų koordinuotą IMI ir IMI subjektų naudojimosi ja priežiūrą pagal Reglamento (ES) 2018/1725 62 straipsnį.“;

c)

4 dalis išbraukiama;

7.

29 straipsnio 1 dalis išbraukiama;

8.

priedas papildomas šiais punktais:

„11.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (*2) 56 straipsnis, 60–66 straipsniai ir 70 straipsnio 1 dalis.

12.

2018 m. spalio 2 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725, kuriuo sukuriami bendrieji skaitmeniniai vartai, skirti suteikti prieigą prie informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 1024/2012 (*3), 6 straipsnio 4 dalis, 15 ir 19 straipsniai.

(*2)  OL L 119, 2016 5 4, p. 1."

(*3)  OL L 295, 2018 11 21, p. 39“"

39 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2 straipsnis, 4 straipsnis, 7–12 straipsniai, 16 ir 17 straipsniai, 18 straipsnio 1–4 dalys, 19 straipsnis, 20 straipsnis, 24 straipsnio 1, 2 ir 3 dalys, 25 straipsnio 1–4 dalys, 26 straipsnis ir 27 straipsnis taikomi nuo 2020 m. gruodžio 12 d.

6 straipsnis, 13 straipsnis, 14 straipsnio 1–8 ir 10 dalys bei 15 straipsnis taikomi nuo 2023 m. gruodžio 12 d.

Nepaisant 2, 9, 10 ir 11 straipsnių taikymo datos, vietos institucijos užtikrina, kad tuose straipsniuose nurodyta informacija, paaiškinimai ir nurodymai būtų pateikti ne vėliau kaip 2022 m. gruodžio 12 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Strasbūre 2018 m. spalio 2 d.

Europos Parlamento vardu

Pirmininkas

A. TAJANI

Tarybos vardu

Pirmininkė

J. BOGNER-STRAUSS


(1)  OL C 81, 2018 3 2, p. 88.

(2)  2018 m. rugsėjo 13 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2018 m. rugsėjo 27 d. Tarybos sprendimas.

(3)  2006 m. gruodžio 12 d. Europos Parlamento ir Tarybos direktyva 2006/123/EB dėl paslaugų vidaus rinkoje (OL L 376, 2006 12 27, p. 36).

(4)  2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 764/2008, nustatantis procedūras, susijusias su tam tikrų nacionalinių techninių taisyklių taikymu kitoje valstybėje narėje teisėtai parduodamiems gaminiams, ir panaikinantis Sprendimą Nr. 3052/95/EB (OL L 218, 2008 8 13, p. 21).

(5)  2011 m. kovo 9 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 305/2011, kuriuo nustatomos suderintos statybos produktų rinkodaros sąlygos ir panaikinama Tarybos direktyva 89/106/EEB (OL L 88, 2011 4 4, p. 5).

(6)  2005 m. rugsėjo 7 d. Europos Parlamento ir Tarybos direktyva 2005/36/EB dėl profesinių kvalifikacijų pripažinimo (OL L 255, 2005 9 30, p. 22).

(7)  2013 m. rugsėjo 17 d. Komisijos rekomendacija 2013/461/ES dėl SOLVIT principų (OL L 249, 2013 9 19, p. 10).

(8)  2014 m. vasario 26 d. Europos Parlamento ir Tarybos direktyva 2014/24/ES dėl viešųjų pirkimų, kuria panaikinama Direktyva 2004/18/EB (OL L 94, 2014 3 28, p. 65).

(9)  2014 m. vasario 26 d. Europos Parlamento ir Tarybos direktyva 2014/25/ES dėl subjektų, vykdančių veiklą vandens, energetikos, transporto ir pašto paslaugų sektoriuose, vykdomų pirkimų, kuria panaikinama Direktyva 2004/17/EB (OL L 94, 2014 3 28, p. 243).

(10)  2016 m. balandžio 13 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/589 dėl Europos užimtumo tarnybų tinklo (EURES) darbuotojų galimybių naudotis judumo skatinimo paslaugomis ir geresnės darbo rinkų integracijos ir kuriuo iš dalies keičiami reglamentai (ES) Nr. 492/2011 ir (ES) Nr. 1296/2013 (OL L 107, 2016 4 22, p. 1).

(11)  2001 m. gegužės 28 d. Tarybos sprendimas 2001/470/EB, sukuriantis Europos teisminį tinklą civilinėse ir komercinėse bylose (OL L 174, 2001 6 27, p. 25).

(12)  2014 m. gegužės 15 d. Europos Parlamento ir Tarybos direktyva 2014/67/ES dėl Direktyvos 96/71/EB dėl darbuotojų komandiravimo paslaugų teikimo sistemoje vykdymo užtikrinimo ir kuria iš dalies keičiamas Reglamentas (ES) Nr. 1024/2012 dėl administracinio bendradarbiavimo per Vidaus rinkos informacinę sistemą (VRI reglamentas) (OL L 159, 2014 5 28, p. 11).

(13)  2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (OL L 257, 2014 8 28, p. 73).

(14)  2004 m. balandžio 29 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 883/2004 dėl socialinės apsaugos sistemų koordinavimo (OL L 166, 2004 4 30, p. 1).

(15)  2009 m. rugsėjo 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 987/2009, nustatantis Reglamento (EB) Nr. 883/2004 dėl socialinės apsaugos sistemų koordinavimo įgyvendinimo tvarką (OL L 284, 2009 10 30, p. 1).

(16)  2016 m. spalio 26 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/2102 dėl viešojo sektoriaus institucijų interneto svetainių ir mobiliųjų programų prieinamumo (OL L 327, 2016 12 2, p. 1).

(17)  2009 m. lapkričio 26 d. Tarybos sprendimas 2010/48/EB dėl Jungtinių Tautų neįgaliųjų teisių konvencijos sudarymo Europos bendrijos vardu (OL L 23, 2010 1 27, p. 35).

(18)  2012 m. kovo 14 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 260/2012, kuriuo nustatomi kredito pervedimų ir tiesioginio debeto operacijų eurais techniniai ir komerciniai reikalavimai ir iš dalies keičiamas Reglamentas (EB) Nr. 924/2009 (OL L 94, 2012 3 30, p. 22).

(19)  2012 m. spalio 25 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1024/2012 dėl administracinio bendradarbiavimo per Vidaus rinkos informacinę sistemą, kuriuo panaikinamas Komisijos sprendimas 2008/49/EB (IMI reglamentas) (OL L 316, 2012 11 14, p. 1).

(20)  2016 m. liepos 6 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/1191, kuriuo skatinamas laisvas piliečių judėjimas supaprastinant tam tikrų viešųjų dokumentų pateikimo Europos Sąjungoje reikalavimus ir iš dalies keičiamas Reglamentas (ES) Nr. 1024/2012 (OL L 200, 2016 7 26, p. 1).

(21)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(22)  2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (žr. šio Oficialiojo leidinio p. 39).

(23)  2013 m. gruodžio 11 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1316/2013, kuriuo sukuriama Europos infrastruktūros tinklų priemonė ir iš dalies keičiamas Reglamentas (ES) Nr. 913/2010 bei panaikinami reglamentai (EB) Nr. 680/2007 ir (EB) Nr. 67/2010 (OL L 348, 2013 12 20, p. 129).

(24)  2017 m. birželio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2017/1132 dėl tam tikrų bendrovių teisės aspektų (OL L 169, 2017 6 30, p. 46).

(25)  2015 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamentas (ES) 2015/848 dėl nemokumo bylų (OL L 141, 2015 6 5, p. 19).

(26)  2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(27)  2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1).

(28)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).

(29)  2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(30)  OL C 340, 2017 10 11, p. 6.


I PRIEDAS

2 straipsnio 2 dalies a punkte nurodytų informacijos sričių, kurios svarbios vidaus rinkos teikiamomis teisėmis besinaudojantiems piliečiams ir verslininkams, sąrašas

Informacijos, susijusios su piliečiais, sritys:

Sritis

INFORMACIJA APIE TEISES, PAREIGAS IR TAISYKLES, KYLANČIAS IŠ SĄJUNGOS IR NACIONALINĖS TEISĖS

A.

Kelionės Sąjungoje

1.

dokumentai, kuriuos, Sąjungoje kirsdami valstybių narių sienas, privalo turėti Sąjungos piliečiai, jų šeimos nariai, kurie nėra Sąjungos piliečiai, vieni keliaujantys nepilnamečiai ir Sąjungai nepriklausančių šalių piliečiai (tapatybės kortelė, viza, pasas)

2.

lėktuvu, traukiniu, laivu ar autobusu Sąjungoje ir iš Sąjungos keliaujančių asmenų, taip pat asmenų, perkančių kelionės paslaugų paketus ar susijusių kelionės paslaugų rinkinius, teisės ir pareigos

3.

pagalba Sąjungoje ir iš Sąjungos keliaujantiems riboto judumo asmenims

4.

gyvūnų, augalų, alkoholio, tabako, cigarečių ir kitų prekių vežimas keliaujant Sąjungoje

5.

skambinimas, taip pat elektroninių pranešimų ir elektroninių duomenų siuntimas ir gavimas Sąjungoje

B.

Darbas ir pensija Sąjungoje

1.

darbo kitoje valstybėje narėje paieška

2.

darbas kitoje valstybėje narėje

3.

kvalifikacijų pripažinimas darbinantis kitoje valstybėje narėje

4.

apmokestinimas kitoje valstybėje narėje

5.

taisyklės dėl atsakomybės ir privalomo draudimo, susijusios su gyvenimu ar darbu kitoje valstybėje narėje

6.

darbo sąlygos, įskaitant taikomas komandiruotiems darbuotojams, nustatytos įstatymais arba poįstatyminiais teisės aktais (įskaitant informaciją apie darbo laiką, mokamas atostogas, atostogų išmokas, su viršvalandžiais susijusias teises ir pareigas, sveikatos patikrinimus, sutarties nutraukimą, atleidimą ir atleidimą dėl etatų mažinimo)

7.

vienodo požiūrio principas (taisyklės, kuriomis draudžiama diskriminacija darbe, taisyklės dėl vienodo užmokesčio vyrams ir moterims ir dėl vienodo užmokesčio pagal terminuotąsias arba neterminuotąsias darbo sutartis dirbantiems asmenims)

8.

su įvairių rūšių veikla susijusios pareigos sveikatos ir saugos srityje

9.

Sąjungoje taikomos teisės ir pareigos socialinės apsaugos srityje, įskaitant su pensijos gavimu susijusias teises ir pareigas

C.

Transporto priemonės Sąjungoje

1.

motorinės transporto priemonės įvežimas į kitą valstybę narę laikinai naudoti arba visam laikui

2.

vairuotojo pažymėjimo gavimas ir atnaujinimas

3.

privalomojo motorinių transporto priemonių draudimo įsigijimas

4.

motorinės transporto priemonės pirkimas ir pardavimas kitoje valstybėje narėje

5.

nacionalinės kelių eismo taisyklės ir reikalavimai vairuotojams, įskaitant bendrąsias taisykles dėl nacionalinės kelių infrastruktūros naudojimo: pagal laiką skaičiuojami mokesčiai (vinjetė), atstumu grindžiami mokesčiai (kelių mokesčiai), išmetamųjų teršalų lipdukai

D.

Gyvenimas kitoje valstybėje narėje

1.

persikėlimas į kitą valstybę narę gyventi laikinai arba visam laikui

2.

nekilnojamojo turto įsigijimas ir pardavimas, įskaitant bet kokias sąlygas ir pareigas, susijusias su tokio turto, įskaitant jo naudojimą kaip antrinį gyvenamąjį būstą, apmokestinimu, nuosavybe arba naudojimu

3.

dalyvavimas savivaldos rinkimuose ir rinkimuose į Europos Parlamentą

4.

su leidimo gyventi kortele susiję reikalavimai Sąjungos piliečiams ir jų šeimos nariams, įskaitant šeimos narius, kurie nėra Sąjungos piliečiai

5.

piliečiams iš kitos valstybės narės taikomos natūralizacijos sąlygos

6.

mirties atveju taikomos taisyklės, įskaitant taisykles dėl palaikų repatriacijos į kitą valstybę narę

E.

Mokymasis arba mokomoji praktika kitoje valstybėje narėje

1.

švietimo sistema kitoje valstybėje narėje, įskaitant ikimokyklinį ugdymą ir priežiūrą, pradinį ir vidurinį ugdymą, aukštąjį mokslą ir suaugusiųjų mokymąsi

2.

savanoriška veikla kitoje valstybėje narėje

3.

mokomoji praktika kitoje valstybėje narėje

4.

mokslinių tyrimų vykdymas kitoje valstybėje narėje pagal studijų programą

F.

Sveikatos priežiūra

1.

naudojimasis medicininio gydymo paslaugomis kitoje valstybėje narėje

2.

receptinių vaistų pirkimas internetu arba tiesiogiai kitoje nei recepto išrašymo valstybėje narėje

3.

sveikatos draudimo taisyklės, taikomos trumpalaikės arba ilgalaikės viešnagės kitoje valstybėje narėje atveju, įskaitant nurodymus, kaip teikti prašymą dėl Europos sveikatos draudimo kortelės

4.

bendra informacija apie prieigos teises arba pareigas dalyvauti esamose viešosiose prevencinėse sveikatos priežiūros priemonėse

5.

nacionaliniais skubios pagalbos iškvietimo numeriais, įskaitant telefono numerius „112“ ir „116“, teikiamos paslaugos

6.

persikėlimo į stacionarinės globos namus atveju taikomos teisės ir sąlygos

G.

Piliečiams ir šeimoms taikomos teisės

1.

gimimas, nepilnamečių vaikų globa, tėvų pareigos, taisyklės dėl pakaitinės motinystės ir įvaikinimo, įskaitant įsivaikinimą antro tėvo teisėmis, vaikų išlaikymo pareigas šeimoje, kuri yra susijusi su tarpvalstybinėmis aplinkybėmis

2.

gyvenimas skirtingų valstybių pilietybę turinčių asmenų poroje, įskaitant tos pačios lyties poras (santuoka, civilinė ar registruota partnerystė, gyvenimas skyrium, santuokos nutraukimas, sutuoktinių turto teisinis režimas ir sugyventinių teisės)

3.

lyties pripažinimo taisyklės

4.

su paveldėjimu kitoje valstybėje narėje susijusios teisės ir pareigos, įskaitant apmokestinimo taisykles

5.

tarpvalstybinio tėvų vykdomo vaiko grobimo atveju taikomos teisės ir taisyklės

H.

Vartotojų teisės

1.

prekių, skaitmeninio turinio ar paslaugų (įskaitant finansines paslaugas) pirkimas internetu arba tiesiogiai kitoje valstybėje narėje

2.

banko sąskaitos turėjimas kitoje valstybėje narėje

3.

prisijungimas prie viešųjų paslaugų teikėjų tinklų, pavyzdžiui, dujų, elektros energijos, vandens, buitinių atliekų šalinimo, telekomunikacijų ir interneto

4.

mokėjimai, įskaitant kredito pervedimus, ir vėlavimas atlikti tarpvalstybinius mokėjimus

5.

vartotojų teisės ir garantijos, susijusios su prekių ir paslaugų pirkimu, įskaitant vartotojų ginčų sprendimo ir kompensacijų procedūras

6.

vartojimo prekių sauga ir saugumas

7.

motorinės transporto priemonės nuoma

I.

Asmens duomenų apsauga

1.

duomenų subjektų teisių, susijusių su asmens duomenų apsauga, įgyvendinimas

Informacijos, susijusios su verslininkais, sritys:

Sritis

INFORMACIJA APIE TEISES, PAREIGAS IR TAISYKLES

J.

Verslo steigimas, valdymas ir veiklos nutraukimas

1.

verslo įregistravimas, teisinės formos keitimas ar veiklos nutraukimas (registravimo procedūros ir teisiniai verslo vykdymo būdai)

2.

verslo perkėlimas į kitą valstybę narę

3.

intelektinės nuosavybės teisės (prašymo išduoti patentą pateikimas, prekių ženklo, brėžinio arba dizaino įregistravimas, licencijos atgaminti kūrinį gavimas)

4.

sąžiningumas ir skaidrumas vykdant komercinę praktiką, įskaitant vartotojų teises ir garantijas, susijusias su prekių ir paslaugų pardavimu

5.

galimybės internete atlikti tarpvalstybinius mokėjimus užtikrinimas internete parduodant prekes ir paslaugas

6.

teisės ir pareigos pagal sutarčių teisę, įskaitant su delspinigiais susijusias teises ir pareigas

7.

bankroto procedūra ir bendrovių likvidavimas

8.

kredito draudimas

9.

bendrovių susijungimas arba verslo pardavimas

10.

bendrovės direktorių civilinė atsakomybė

11.

su asmens duomenų tvarkymu susijusios taisyklės ir pareigos

K.

Darbuotojai

1.

darbo sąlygos, nustatytos įstatymais arba poįstatyminiais teisės aktais (įskaitant sąlygas dėl darbo laiko, mokamų atostogų, atostogų išmokų, su viršvalandžiais susijusių teisių ir pareigų, sveikatos patikrinimų, sutarties nutraukimo, atleidimo ir atleidimo dėl etatų mažinimo)

2.

Sąjungoje taikomos teisės ir pareigos socialinės apsaugos srityje (darbdavio registravimas, darbuotojų registravimas, pranešimas apie sutarties su darbuotoju termino pabaigą, socialinių įmokų mokėjimas, su pensijomis susijusios teisės ir pareigos)

3.

darbuotojų darbas kitose valstybėse narėse (darbuotojų komandiruotės, taisyklės dėl paslaugų teikimo laisvės, darbuotojams taikomi buvimo šalyje reikalavimai)

4.

vienodo požiūrio principas (taisyklės, kuriomis draudžiama diskriminacija darbe, taisyklės dėl vienodo užmokesčio vyrams ir moterims ir dėl vienodo užmokesčio pagal terminuotąsias arba neterminuotąsias darbo sutartis dirbantiems asmenims)

5.

taisyklės dėl atstovavimo darbuotojams

L.

Mokesčiai

1.

PVM: informacija apie bendrąsias taisykles, tarifus ir atleidimą nuo mokesčio, PVM mokėtojo registravimą, PVM mokėjimą ir grąžinimą

2.

akcizai: informacija apie bendrąsias taisykles, tarifus ir atleidimą nuo akcizų, registravimą akcizo mokesčio mokėjimo tikslais, akcizo mokesčio mokėjimą ir grąžinimą

3.

muitai ir kiti importo mokesčiai bei rinkliavos

4.

pagal Sąjungos muitinės kodeksą importui ir eksportui taikomos muitinės procedūros

5.

kiti mokesčiai: mokėjimas, tarifai, mokesčių deklaracijos

M.

Prekės

1.

teisės naudoti CE ženklą įgijimas

2.

gaminiams taikomos taisyklės ir reikalavimai

3.

taikytinų standartų ir techninių specifikacijų nustatymas ir gaminių sertifikavimas

4.

gaminių, kuriems nereikalaujama rengti Sąjungoje taikomų specifikacijų, tarpusavio pripažinimas

5.

reikalavimai, susiję su pavojingų cheminių medžiagų klasifikavimu, ženklinimu ir pakavimu

6.

nuotolinė prekyba/prekyba ne prekybai skirtose patalpose: išankstinė informacija pirkėjams, sutarties patvirtinimas raštu, sutarties atsisakymas, prekių pristatymas ir kitos specialiosios pareigos

7.

gaminiai su trūkumais: vartotojų teisės ir garantijos, atsakomybė už parduotas prekes, nukentėjusiosios šalies žalos atlyginimo priemonės

8.

sertifikavimas, etiketės (Bendrijos aplinkosaugos vadybos ir audito sistema (EMAS), energijos vartojimo efektyvumo etiketės, ekologinis projektavimas, ES ekologinis ženklas)

9.

antrinis perdirbimas ir atliekų tvarkymas

N.

Paslaugos

1.

licencijų ar leidimų įsigijimas siekiant įsteigti verslą ir verslo valdymas

2.

pranešimas institucijoms apie tarpvalstybinės veiklos vykdymą

3.

profesinių kvalifikacijų, įskaitant profesinį rengimą ir mokymą, pripažinimas

O.

Verslo finansavimas

1.

teisės gauti ES lygmens finansavimą, įskaitant finansavimą pagal Sąjungos finansavimo programas ir subsidijas verslui, įgijimas

2.

teisės gauti nacionalinio lygmens finansavimą įgijimas

3.

verslininkams skirtos iniciatyvos (naujiems verslininkams rengiamos mainų ar mentorystės programos ir pan.)

P.

Viešosios sutartys

1.

dalyvavimas viešuosiuose konkursuose: taisyklės ir procedūros

2.

pasiūlymo teikimas internetu pagal viešą kvietimą teikti pasiūlymus

3.

pranešimas apie su konkursu susijusius pažeidimus

Q.

Darbuotojų sauga ir sveikata

1.

su įvairių rūšių veikla susijusios pareigos sveikatos ir saugos srityje, įskaitant rizikos prevenciją, informavimą ir mokymą


II PRIEDAS

6 straipsnio 1 dalyje nurodytos procedūros

Gyvenimo įvykiai

Procedūros

Numatomas rezultatas, kompetentingai institucijai įvertinus prašymą pagal nacionalinę teisę, kai tinkama

Gimimas

Prašymas pateikti gimimo registravimo įrodymą

Gimimo registravimo įrodymas arba gimimo liudijimas

Gyvenamoji vieta

Prašymas pateikti gyvenamosios vietos įrodymą

Dabartinio adreso įregistravimo patvirtinimas

Studijos

Prašymas gauti valdžios įstaigos ar institucijos finansavimą studijoms tretinio mokslo studijoms, kaip antai subsidijas ir paskolas

Sprendimas dėl prašymo gauti finansavimą arba gavimo patvirtinimas

Pirminės paraiškos dėl priėmimo į valstybinę tretinio mokslo įstaigą pateikimas

Paraiškos gavimo patvirtinimas

Prašymas dėl akademinio diplomų, pažymėjimų ar kitų studijų ar kursų įrodymų pripažinimo

Sprendimas dėl prašymo pripažinti diplomą

Darbas

Prašymas nustatyti taikytinus teisės aktus pagal Reglamento (EB) Nr. 883/2004 (1) II antraštinę dalį

Sprendimas dėl taikytinų teisės aktų

Pranešimas apie socialinėms išmokoms aktualius socialines išmokas gaunančio asmens asmeninių ar profesinių aplinkybių pasikeitimus

Pranešimo apie tokius pasikeitimus gavimo patvirtinimas

Prašymas išduoti Europos sveikatos draudimo kortelę

Europos sveikatos draudimo kortelė

Pajamų mokesčių deklaracijos pateikimas

Deklaracijos gavimo patvirtinimas

Persikėlimas

Pasikeitusio adreso registravimas

Patvirtinimas, kad asmuo išregistruotas ankstesniu adresu ir įregistruotas nauju adresu

Motorinės transporto priemonės, kuri kilusi iš valstybės narės arba joje jau registruota, registravimas taikant standartines procedūras (2)

Motorinės transporto priemonės registravimo įrodymas

Lipdukų, suteikiančių teisę naudotis nacionaline kelių infrastruktūra: pagal laiką skaičiuojami mokesčiai (vinjetė), atstumu grindžiami mokesčiai (kelių mokesčiai), išmetamųjų teršalų lipdukai, kuriuos išduoda valdžios įstaigos ar institucijos

Kelių mokesčių lipduko arba vinjetės kvitas ar kitas mokėjimą patvirtinantis dokumentas

Valdžios įstaigos ar institucijos išduodamų išmetamųjų teršalų lipdukų įgijimas

Išmetamųjų teršalų lipduko kvitas ar kitas mokėjimą patvirtinantis dokumentas

Pensija

Prašymas skirti pensijos arba priešpensinę išmoką pagal privalomą sistemą

Prašymo gavimo patvirtinimas arba sprendimas dėl prašymo skirti pensijos arba priešpensinę išmoką

Prašymas pateikti informaciją, susijusią su pensija pagal privalomą sistemą

Asmens pensijos duomenų suvestinė

Verslo pradėjimas, valdymas ir veiklos nutraukimas

Pranešimas apie verslo veiklą, verslo veiklos leidimai, verslo veiklos pasikeitimai ir verslo veiklos nutraukimas netaikant bankroto ar likvidavimo procedūrų, neįskaitant verslo veiklos pirminio registravimo verslo registre ir neįskaitant procedūrų, susijusių su bendrovių arba firmų, apibrėžtų SESV 54 straipsnio antroje pastraipoje, steigimu ar vėlesniu registravimu

Pranešimo arba pasikeitimų, arba prašymo suteikti leidimą verslo veiklai gavimo patvirtinimas

Darbdavio (fizinio asmens) registravimas privalomose pensijų ir draudimo sistemose

Registravimo patvirtinimas arba registracijos socialinės apsaugos sistemoje numeris

Darbuotojų registravimas privalomose pensijų ir draudimo sistemose

Registravimo patvirtinimas arba registracijos socialinės apsaugos sistemoje numeris

Pelno mokesčių deklaracijos pateikimas

Deklaracijos gavimo patvirtinimas

Pranešimas socialinės apsaugos sistemoms apie sutarties su darbuotoju termino pabaigą, išskyrus kolektyvinio sutarčių su darbuotojais nutraukimo procedūras

Pranešimo gavimo patvirtinimas

Socialinių įmokų už darbuotojus mokėjimas

Kvitas arba kitoks patvirtinimas, kad socialinės įmokos už darbuotojus yra sumokėtos


(1)  2004 m. balandžio 29 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 883/2004 dėl socialinės apsaugos sistemų koordinavimo (OL L 166, 2004 4 30, p. 1).

(2)  Tai apima toliau nurodytas transporto priemones: a) motorines transporto priemones arba priekabas, kaip nurodyta Europos Parlamento ir Tarybos direktyvos 2007/46/EB (OL L 263, 2007 10 9, p. 1) 3 straipsnyje, ir b) dvirates arba trirates motorines transporto priemones sudvejintais arba kitokiais ratais, skirtas važiuoti keliu, kaip nurodyta Europos Parlamento ir Tarybos reglamento (ES) Nr. 168/2013 (OL L 60, 2013 3 2, p. 52) 1 straipsnyje.


III PRIEDAS

2 straipsnio 2 dalies c punkte nurodytų pagalbos bei problemų sprendimo paslaugų sąrašas

1.

Kontaktiniai centrai (1)

2.

Gaminių kontaktiniai centrai (2)

3.

Statybos produktų kontaktiniai centrai (3)

4.

Nacionaliniai profesinių kvalifikacijų pripažinimo pagalbos centrai (4)

5.

Tarpvalstybinių sveikatos priežiūros paslaugų nacionaliniai kontaktiniai centrai (5)

6.

Europos užimtumo tarnybų tinklas (EURES) (6)

7.

Elektroninis ginčų sprendimas (EGS) (7)


(1)  2006 m. gruodžio 12 d. Europos Parlamento ir Tarybos direktyva 2006/123/EB dėl paslaugų vidaus rinkoje (OL L 376, 2006 12 27, p. 36).

(2)  2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 764/2008, nustatantis procedūras, susijusias su tam tikrų nacionalinių techninių taisyklių taikymu kitoje valstybėje narėje teisėtai parduodamiems gaminiams, ir panaikinantis Sprendimą Nr. 3052/95/EB (OL L 218, 2008 8 13, p. 21).

(3)  2011 m. kovo 9 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 305/2011, kuriuo nustatomos suderintos statybos produktų rinkodaros sąlygos ir panaikinama Tarybos direktyva 89/106/EEB (OL L 88, 2011 4 4, p. 5).

(4)  2005 m. rugsėjo 7 d. Europos Parlamento ir Tarybos direktyva 2005/36/EB dėl profesinių kvalifikacijų pripažinimo (OL L 255, 2005 9 30, p. 22).

(5)  2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45).

(6)  2016 m. balandžio 13 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/589 dėl Europos užimtumo tarnybų tinklo (EURES) darbuotojų galimybių naudotis judumo skatinimo paslaugomis ir geresnės darbo rinkų integracijos ir kuriuo iš dalies keičiami reglamentai (ES) Nr. 492/2011 ir (ES) Nr. 1296/2013 (OL L 107, 2016 4 22, p. 1).

(7)  2013 m. gegužės 21 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 524/2013 dėl elektroninio vartotojų ginčų sprendimo, kuriuo iš dalies keičiami Reglamentas (EB) Nr. 2006/2004 ir Direktyva 2009/22/EB (Reglamentas dėl vartotojų EGS) (OL L 165, 2013 6 18, p. 1).


21.11.2018   

LT

Europos Sąjungos oficialusis leidinys

L 295/39


EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2018/1725

2018 m. spalio 23 d.

dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB

(Tekstas svarbus EEE)

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę (1),

laikydamiesi įprastos teisėkūros procedūros (2),

kadangi:

(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą. Ši teisė taip pat užtikrinta Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsniu;

(2)

Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001 (3) fiziniams asmenims nustatytos teisės, kurias jie gali teisiškai įgyvendinti, Bendrijos institucijų ir organų duomenų valdytojams nustatomi duomenų tvarkymo įpareigojimai ir įsteigiama nepriklausoma priežiūros institucija – Europos duomenų apsaugos priežiūros pareigūnas, atsakingas už Sąjungos institucijose ir organuose atliekamą asmens duomenų tvarkymą. Tačiau jis netaikomas duomenų tvarkymui, Sąjungos institucijoms ir organams vykdant veiklą, kuriai netaikoma Sąjungos teisė;

(3)

Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (4) ir Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (5) buvo priimti 2016 m. balandžio 27 d. Reglamente nustatomos bendrosios fizinių asmenų apsaugos taisyklės, kurios yra susijusios su asmens duomenų tvarkymu ir kuriomis siekiama užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, o direktyva nustatomos specialiosios fizinių asmenų apsaugos taisyklės, tvarkant asmens duomenis ir užtikrinant laisvą asmens duomenų judėjimą Sąjungoje teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

(4)

Reglamente (ES) 2016/679 numatoma pritaikyti Reglamentą (EB) Nr. 45/2001 siekiant užtikrinti tvirtą ir suderintą duomenų apsaugos sistemą Sąjungoje ir suteikti galimybę jį taikyti tuo pačiu metu su Reglamentu (ES) 2016/679;

(5)

siekiant laikytis suderinto požiūrio į asmens duomenų apsaugą visoje Sąjungoje ir į laisvą asmens duomenų judėjimą Sąjungoje, reikėtų kuo labiau suderinti Sąjungos institucijoms, organams, tarnyboms ir agentūroms taikomas duomenų apsaugos taisykles, patvirtintas valstybių narių viešajame sektoriuje. Jei šio reglamento nuostatos grindžiamos tomis pačiomis sąvokomis kaip ir tos, kurios vartojamos Reglamente (ES) 2016/679, laikantis Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) praktikos, abi nuostatas reikėtų aiškinti vienodai, visų pirma todėl, kad šio reglamento sistemą reikėtų laikyti lygiaverte Reglamento (ES) 2016/679 sistemai;

(6)

turėtų būti ginami asmenys, kurių asmens duomenis Sąjungos institucijos ir organai, nesvarbu, kokiomis aplinkybėmis jie būtų tvarkomi, pavyzdžiui, todėl, kad jie dirba tose institucijose ir organuose. Šis reglamentas neturėtų būti taikomas mirusių asmenų asmens duomenų tvarkymui. Šis reglamentas neapima juridinių asmenų ir, visų pirma, juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo;

(7)

siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų;

(8)

šis reglamentas turėtų būti taikomas visų Sąjungos institucijų, organų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui. Jis turėtų būti taikomas asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų tvarkymui ne automatizuotomis priemonėmis, kai šie duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

(9)

Deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo. Todėl atskiras šio reglamento skyrius, apimantis bendrąsias taisykles, turėtų būti taikomas tokiam operatyvinių asmens duomenų tvarkymui, kaip, pavyzdžiui, Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą teisminio bendradarbiavimo, baudžiamųjų bylų ir policijos bendradarbiavimo srityje, baudžiamojo tyrimo tikslais atliekamas asmens duomenų tvarkymas;

(10)

Direktyvoje (ES) 2016/680 nustatytos suderintos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir laisvo tokių duomenų judėjimo, įskaitant apsaugos priemones ir grėsmių visuomenės saugumui prevenciją, taisyklės. Siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį, šiuo tikslu suteikiant jiems teisiškai įgyvendinamas teises visoje Sąjungoje, ir užkirsti kelią skirtumams, dėl kurių Sąjungos organams, tarnyboms ar agentūroms, vykdančioms veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, ir kompetentingoms valdžios institucijoms trukdoma keistis asmens duomenimis, tokių Sąjungos organų, tarnybų ar agentūrų tvarkomų operatyvinių asmens duomenų apsauga ir laisvas jų judėjimas turėtų atitikti Direktyvą (ES) 2016/680;

(11)

atskirame šio reglamento skyriuje dėl operatyvinių asmens duomenų tvarkymo išdėstytos bendrosios taisyklės turėtų būti taikomos nedarant poveikio specialiosioms taisyklėms, taikomoms Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui. Šios specialiosios taisyklės turėtų būti laikomos lex specialis šio reglamento skyriaus dėl operatyvinių asmens duomenų tvarkymo nuostatų atžvilgiu (lex specialis derogat legi generali). Siekiant sumažinti teisinę fragmentaciją, specialiosios taisyklės, taikomos Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui, turėtų būti suderintos su principais, kuriais grindžiamas šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo, ir šio reglamento nuostatomis dėl nepriklausomos priežiūros, teisių gynimo priemonių, atsakomybės ir sankcijų;

(12)

šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo turėtų būti taikomas Sąjungos organams, tarnyboms ir agentūroms, vykdančioms veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, kai jos tokią veiklą kaip savo pagrindinę arba papildomą užduotį vykdo nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas tikslais. Vis dėlto šis skyrius neturėtų būti taikomas Europolui ar Europos prokuratūrai, kol teisės aktai kuriais įsteigiamas Europolas ir Europos prokuratūra, nebus iš dalies pakeisti siekiant nustatyti, kad, pritaikius, jiems taikomas šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo su pakeitimais;

(13)

Komisija turėtų atlikti šio reglamento, ypač atskiro šio reglamento skyriaus dėl operatyvinių asmens duomenų tvarkymo, peržiūrą. Be to, Komisija turėtų atlikti kitų teisės aktų, priimtų remiantis Sutartimis ir reglamentuojančių Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamą operatyvinių asmens duomenų tvarkymą, peržiūrą. Po tokios peržiūros Komisija turėtų turėti galimybę teikti atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų, įskaitant pasiūlymus prireikus pritaikyti šio reglamento skyrių dėl operatyvinių asmens duomenų tvarkymo, norėdama užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant asmens duomenis, ir šiuo tikslu siekdama, kad jis būtų taikomas Europolui ir Europos prokuratūrai. Atliekant tokį pritaikymą, turėtų būti atsižvelgiama į nuostatas dėl nepriklausomos priežiūros, teisių gynimo priemonių, atsakomybės ir sankcijų;

(14)

šis reglamentas turėtų būti taikomas Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam administracinių asmens duomenų, pavyzdžiui, personalo duomenų, tvarkymui;

(15)

šis reglamentas turėtų būti taikomas Sąjungos institucijų, organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas Europos Sąjungos sutarties (toliau – ES sutartis) V antraštinės dalies 2 skyrius, atliekamam asmens duomenų tvarkymui. Šis reglamentas neturėtų būti taikomas ES sutarties 42 straipsnio 1 dalyje, 43 ir 44 straipsniuose nurodytų misijų, kurias vykdant įgyvendinama bendra saugumo ir gynybos politika, atliekamam asmens duomenų tvarkymui. Prireikus turėtų būti pateikti atitinkami pasiūlymai siekiant toliau reglamentuoti asmens duomenų tvarkymą bendros saugumo ir gynybos politikos srityje;

(16)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui, pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos, siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant tvarkymą statistiniais ar tyrimų tikslais;

(17)

pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

(18)

fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais ar slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie, visų pirma, kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

(19)

sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui, raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo. Duomenų subjektas taip pat turėtų turėti teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo prieš sutikimo atšaukimą teisėtumui. Siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais. Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų. Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

(20)

bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas, visų pirma, susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma, konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi. Tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui ir užkertant kelią neteisėtam jų atskleidimui, kai jie perduodami;

(21)

jei Sąjungos institucijos ir organai perduoda asmens duomenis tos pačios Sąjungos institucijos ar organo viduje ir gavėjas nėra duomenų valdytojo dalis, arba kitoms Sąjungos institucijoms ar organams, pagal atskaitomybės principą jos turėtų patikrinti, ar tokie asmens duomenys yra reikalingi siekiant teisėtai atlikti gavėjo kompetencijai priklausančias užduotis. Visų pirma, gavęs gavėjo asmens duomenų perdavimo prašymą, duomenų valdytojas turėtų patikrinti, ar yra atitinkamas pagrindas teisėtai tvarkyti asmens duomenis, ir gavėjo kompetenciją. Duomenų valdytojas taip pat turėtų preliminariai įvertinti duomenų perdavimo būtinybę. Kilus abejonėms dėl tokios būtinybės, duomenų valdytojas prašo duomenų gavėją perduoti papildomą informaciją. Duomenų gavėjas turėtų užtikrinti, kad duomenų perdavimo būtinybė vėliau galėtų būti patikrinta;

(22)

tam, kad asmens duomenų tvarkymas būtų teisėtas, jie turėtų būti tvarkomi remiantis Sąjungos institucijų ar organų būtinybe atlikti užduotį, kurią jie atlieka siekdami viešojo intereso arba įgyvendindami viešosios valdžios įgaliojimus, būtinybe laikytis duomenų valdytojui taikomos teisinės prievolės ar kurio nors kito teisėto pagrindo pagal šį reglamentą, įskaitant atitinkamo duomenų subjekto sutikimą, būtinybę įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Dėl viešojo intereso atliekamas Sąjungos institucijų ir organų asmens duomenų tvarkymas apima asmens duomenų, būtinų toms institucijoms ir organams valdyti bei jiems dirbti, tvarkymą. Asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės, kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

(23)

Sąjungos teisė, nurodyta šiame reglamente turėtų būti aiški ir tiksli, o jos taikymą laikantis Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytų reikalavimų turėtų galėti numatyti asmenys, kuriems ji turi būti taikoma;

(24)

šiame reglamente nurodytos vidaus taisyklės turėtų būti aiškūs ir tikslūs visuotinai taikomi aktai, galintys turėti teisinių padarinių duomenų subjektams. Jie turėtų būti priimti aukščiausiu Sąjungos institucijų ir organų valdymo lygmeniu pagal jų kompetenciją ir su jų veikimu susijusiais klausimais. Jie turėtų būti paskelbti Europos Sąjungos oficialiajame leidinyje. Tų taisyklių taikymą pagal Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytus reikalavimus turėtų galėti numatyti asmenys, kuriems jos turi būti taikomos. Vidaus taisyklės gali būti priimamos sprendimų forma, visų pirma, tais atvejais, kai jas priima Sąjungos institucijos;

(25)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į: sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų; aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams; tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose;

(26)

kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Visų pirma, kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, jog duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Laikantis Tarybos direktyvos 93/13/EEB (6), duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotu laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

(27)

vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti taikoma virtualios asmenybės profilio kūrimui ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis, siūlomomis Sąjungos institucijų ir organų interneto svetainėse, pavyzdžiui, asmenų tarpusavio susirašinėjimo ar elektroninės bilietų prekybos paslaugomis ir tais atvejais, kai asmens duomenų tvarkymas grindžiamas sutikimu;

(28)

kai Sąjungoje įsteigti gavėjai, kurie nėra Sąjungos institucijos ir organai, norėtų, kad Sąjungos institucijos ir organai perduotų jiems asmens duomenis, tie gavėjai turėtų įrodyti, kad duomenys yra būtini siekiant atlikti viešojo intereso labui jų vykdomą užduotį arba vykdant jiems pavestus viešosios valdžios įgaliojimus. Kitu atveju tie gavėjai turėtų įrodyti, jog duomenų perdavimas yra būtinas, kad būtų įgyvendintas specialus viešojo intereso tikslas, o duomenų valdytojas turėtų nustatyti, ar nesama pagrindo daryti prielaidą, jog gali būti pažeisti duomenų subjekto teisėti interesai. Tokiais atvejais duomenų valdytojas turėtų akivaizdžiai palyginti skirtingų konkuruojančių interesų svarbą, kad galėtų įvertinti prašomo asmens duomenų perdavimo proporcingumą. Specialūs viešojo intereso tikslai galėtų būti susiję su Sąjungos institucijų ir organų skaidrumu. Be to, laikydamosi skaidrumo ir gero administravimo principo, Sąjungos institucijos ir organai turėtų įrodyti šią būtinybę, jei pačios inicijuoja duomenų perdavimą. Šiame reglamente nustatyti reikalavimai dėl perdavimo Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai, turėtų būti suprantami kaip papildantys teisėto duomenų tvarkymo sąlygas;

(29)

asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tokie asmens duomenys neturėtų būti tvarkomi, nebent būtų tenkinamos šiame reglamente nustatytos konkrečios sąlygos. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą. Nuotraukų tvarkymas neturėtų būti sistemingai laikomas specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą. Kartu su specialiais neskelbtinų duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis. Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

(30)

specialių kategorijų asmens duomenys, kuriems taikytina aukštesnio lygio apsauga, su sveikata susijusiais tikslais turėtų būti tvarkomi tik tais atvejais, kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas. Todėl šiame reglamente turėtų būti numatytos suderintos specialių kategorijų asmens sveikatos duomenų tvarkymo sąlygos, atsižvelgiant į specialius poreikius, visų pirma, kai tokius duomenis tam tikrais su sveikata susijusiais tikslais tvarko asmenys, kuriems taikoma teisinė prievolė saugoti profesinę paslaptį. Sąjungos teisėje turėtų būti numatytos konkrečios ir tinkamos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti;

(31)

visuomenės sveikatos srityje gali reikėti specialių kategorijų asmens duomenis dėl viešojo intereso priežasčių tvarkyti be duomenų subjekto sutikimo. Tokie duomenys turėtų būti tvarkomi taikant tinkamas ir specialias priemones, kad būtų apsaugotos fizinių asmenų teisės ir laisvės. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 (7), ir reikšti visus elementus, susijusius su sveikata, t. y. sveikatos būklę, įskaitant sergamumą ir neįgalumą, veiksnius, darančius poveikį tai sveikatos būklei, sveikatos priežiūros poreikius, sveikatos priežiūrai skirtus išteklius, sveikatos priežiūros paslaugų teikimą ir jų visuotinį prieinamumą, sveikatos priežiūros išlaidas ir finansavimą, taip pat mirtingumo priežastis. Dėl to, kad sveikatos duomenys tvarkomi dėl viešojo intereso priežasčių, asmens duomenys neturėtų būti tvarkomi kitais tikslais;

(32)

jeigu asmens duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, duomenų valdytojas neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kad būtų laikomasi kurios nors šio reglamento nuostatos. Tačiau duomenų valdytojas neturėtų atsisakyti priimti papildomą informaciją, kurią duomenų subjektas pateikia, kad pagrįstų naudojimąsi savo teisėmis. Tapatybės nustatymas turėtų apimti duomenų subjekto tapatybės nustatymą skaitmeninėmis priemonėmis, pavyzdžiui, pasitelkiant tokį tapatumo nustatymo mechanizmą kaip tie patys kredencialai, kuriuos duomenų subjektas naudoja, kad prisijungtų prie internetinės paslaugos, kurią siūlo duomenų valdytojas;

(33)

tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, turėtų būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal šį reglamentą. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų įgyvendintos techninės ir organizacinės priemonės siekiant užtikrinti, visų pirma, duomenų kiekio mažinimo principą. Asmens duomenys archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti toliau tvarkomi po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip, pavyzdžiui, pseudonimų suteikimas asmens duomenims). Sąjungos institucijos ir organai turėtų Sąjungos teisėje, kuri gali apimti vidaus taisykles, kurias Sąjungos institucijos ir organai yra priėmę su jų veikimu susijusiais klausimais, numatyti tinkamas apsaugos priemones, taikomas tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais;

(34)

turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais, visų pirma, nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti. Duomenų valdytojas taip pat turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų;

(35)

pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. Be to, duomenų subjektas turėtų būti informuotas apie tai, kad vykdomas profiliavimas, ir apie tokio profiliavimo pasekmes. Kai asmens duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti asmens duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ta informacija gali būti pateikiama kartu su standartizuotomis piktogramomis, siekiant lengvai matomai, suprantamai ir aiškiai įskaitomai pateikti prasmingą numatomo tvarkymo apžvalgą. Jei piktogramos pateikiamos elektronine forma, jos turėtų būti kompiuterio skaitomos;

(36)

informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti jam suteikta duomenis renkant arba, kai asmens duomenys gaunami ne iš duomenų subjekto, o iš kito šaltinio, per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai asmens duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo asmens duomenų atskleidimo jų gavėjui metu. Jeigu asmens duomenų valdytojas ketina tvarkyti duomenis kitu tikslu nei tikslas, kuriuo jie buvo renkami, prieš taip toliau tvarkydamas duomenis, duomenų valdytojas turėtų pateikti duomenų subjektui informaciją apie tą kitą tikslą ir kitą būtiną informaciją. Tais atvejais, kai asmens duomenų kilmė duomenų subjektui negali būti nurodyta dėl to, kad buvo naudoti įvairūs šaltiniai, turėtų būti pateikta bendro pobūdžio informacija;

(37)

duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, visų pirma, apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra asmens duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

(38)

duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos teisę, kuri taikoma duomenų valdytojui. Duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento. Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimuisi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

(39)

siekiant sustiprinti teisę būti pamirštam internetinėje aplinkoje, teisė prašyti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius asmens duomenis tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus. Tai darydamas, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir jam prieinamas priemones, įskaitant technines priemones, turėtų imtis pagrįstų veiksmų, kad apie duomenų subjekto prašymą informuotų duomenis tvarkančius asmens duomenų valdytojus;

(40)

būdai, kuriais ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: laikinai perkelti atrinktus duomenis į kitą tvarkymo sistemą, padaryti atrinktus asmens duomenis neprieinamus naudotojams arba laikinai išimti paskelbtus duomenis iš interneto svetainės. Automatiniuose susistemintuose rinkiniuose duomenų tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebebūtų galima pakeisti. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje turėtų būti aiškiai nurodyta;

(41)

kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį. Ta teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus. Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos. Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą. Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini. Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

(42)

kai asmens duomenys galėtų būti tvarkomi teisėtai, nes tai būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

(43)

duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas (arba priemonė), kuriuo vertinami su juo susiję asmeniniai aspektai ir kuris grindžiamas tik automatizuotu duomenų tvarkymu ir jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, pavyzdžiui, elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima profiliavimą, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma, siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį.

Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos teisėje. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku. Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas, visų pirma, užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir užkirsti kelią, inter alia, diskriminaciniam poveikiui fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba duomenų tvarkymui tokiu būdu, dėl kurio atsiranda tokį poveikį turinčios priemonės. Automatizuotas sprendimų priėmimas ir tam tikromis asmens duomenų kategorijomis grindžiamas profiliavimas turėtų būti leidžiamas tik konkrečiomis sąlygomis;

(44)

teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ir organų priimtose vidaus taisyklėse su jų veikimu susijusiais klausimais gali būti nustatyti apribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištaisyti ar ištrinti asmens duomenis, teisė į duomenų perkeliamumą, elektroninių ryšių duomenų konfidencialumas ir duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės, jeigu toks ribojimas būtinas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba bausmių vykdymą. Tai apima ir apsaugą nuo grėsmių visuomenės saugumui ir šių grėsmių prevenciją, žmonių gyvybių apsaugą, ypač reaguojant į gaivalines ar žmogaus sukeltas nelaimes, Sąjungos institucijų ir organų vidaus saugumą, kitus Sąjungos arba valstybės narės svarbius bendruoju viešuoju interesu grindžiamus tikslus, visų pirma Sąjungos bendros užsienio ir saugumo politikos tikslus arba svarbų Sąjungos arba valstybės narės ekonominį arba finansinį interesą ir viešųjų registrų turėjimą bendrojo viešojo intereso tikslais arba duomenų apsaugą paisant kitų asmenų teisių ir laisvių, įskaitant socialinę apsaugą, visuomenės sveikatą ir humanitarinius tikslus;

(45)

turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms;

(46)

įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, dėl kurio galėtų būti padaryta fizinė, turtinė arba neturtinė žala, visų pirma, tokiais atvejais: kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma, nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

(47)

pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;

(48)

siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių, kad būtų laikomasi šio reglamento reikalavimų. Kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų. Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui. Vykdant viešuosius konkursus taip pat turėtų būti atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

(49)

Reglamente (ES) 2016/679 nustatyta, jog duomenų valdytojai turi įrodyti atitiktį šiam reglamentui, laikydamiesi patvirtintų sertifikavimo mechanizmų. Atitinkamai Sąjungos institucijos ir organai turėtų galėti įrodyti, kad laikosi šio reglamento, gaudami sertifikatą pagal Reglamento (ES) 2016/679 42 straipsnį;

(50)

atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

(51)

siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamas garantijas, susijusias, visų pirma, su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo. Tuo, kad duomenų tvarkytojai, kurie nėra Sąjungos institucijos ir organai, laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad duomenų valdytojas vykdo savo prievoles. Duomenų tvarkytojo, kuris nėra Sąjungos institucija ar organas, atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi arba, kai duomenų tvarkytojai yra Sąjungos institucijos ir organai, sutartimi ar kitu teisės aktu pagal Sąjungos teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms. Duomenų valdytojas ir duomenų tvarkytojas turėtų turėti galimybę pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba Europos duomenų apsaugos priežiūros pareigūnas, o vėliau patvirtina Komisija. Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

(52)

kad įrodytų, jog laikosi šio reglamento, duomenų valdytojai turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingi, įrašus, o duomenų tvarkytojai turėtų tvarkyti duomenų tvarkymo veiklos kategorijų, už kurias jie yra atsakingi, įrašus. Sąjungos institucijos ir organai turėtų būti įpareigoti bendradarbiauti su Europos duomenų apsaugos priežiūros pareigūnu ir jo prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas. Sąjungos institucijos ir organai turėtų turėti galimybę sukurti centrinį jų duomenų tvarkymo veiklos įrašų registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Skaidrumo sumetimais jos turėtų turėti galimybę padaryti šį registrą viešą;

(53)

siekiant užtikrinti saugumą ir užkirsti kelią šį reglamentą pažeidžiančiam duomenų tvarkymui, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir įgyvendinti jų mažinimo priemones, pavyzdžiui, šifravimą. Šiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, atsižvelgiant į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, priklausomai nuo pavojų ir saugotinų asmens duomenų pobūdžio. Vertinant pavojų duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant asmens duomenis, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to visų pirma gali būti padaryta fizinė, turtinė ar neturtinė žala;

(54)

Sąjungos institucijos ir organai turėtų užtikrinti elektroninių ryšių konfidencialumą, kaip numatyta Chartijos 7 straipsnyje. Visų pirma, Sąjungos institucijos ir organai turėtų užtikrinti savo elektroninių ryšių tinklų saugumą. Jos turėtų apsaugoti informaciją, susijusią su naudotojų galiniais įrenginiais, kurie turi prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių pagal Europos Parlamento ir Tarybos direktyvą 2002/58/EB (8). Jos taip pat turėtų apsaugoti naudotojų sąrašuose esančius asmens duomenis;

(55)

jei į asmens duomenų pažeidimą tinkamai ir laiku nesureaguojama, fiziniai asmenys gali patirti fizinę, turtinę arba neturtinę žalą. Todėl, vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas turėtų nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, pranešti Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą, nebent duomenų valdytojas gali pagal atskaitomybės principą įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Kai to neįmanoma pranešti per 72 valandas, pranešant turėtų būti pateiktos vėlavimo priežastys ir informacija gali būti pateikiama etapais, daugiau nepagrįstai nedelsiant. Jei vėluojama pranešti pagrįstai, mažiau konfidenciali ar mažiau specifinė informacija apie pažeidimą turėtų būti pateikta kuo anksčiau, užuot prieš pranešant išsamiai išnagrinėjus pagrindinį incidentą;

(56)

duomenų valdytojas nepagrįstai nedelsdamas turėtų pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai dėl to asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, kad jis galėtų imtis reikiamų priemonių užkirsti tam kelią. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Tokie pranešimai duomenų subjektams turėtų būti pateikti kuo greičiau ir glaudžiai bendradarbiaujant su Europos duomenų apsaugos priežiūros pareigūnu, laikantis jo ar kitų atitinkamų valdžios institucijų, tokių kaip teisėsaugos institucijos, pateiktų nurodymų;

(57)

Reglamente (EB) Nr. 45/2001 numatyta bendra duomenų valdytojo pareiga pranešti apie asmens duomenų tvarkymą duomenų apsaugos pareigūnui. Duomenų apsaugos pareigūnas atitinkamai turi tvarkyti praneštų duomenų tvarkymo operacijų registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Greta šios bendros pareigos reikėtų nustatyti veiksmingas procedūras ir mechanizmus siekiant stebėti duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Tokios procedūros, visų pirma, turėtų būti nustatytos tais atvejais, kai duomenų tvarkymo operacijų rūšys apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką. Tokiais atvejais duomenų valdytojas, kad įvertintų didelio pavojaus konkrečią tikimybę ir rimtumą, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus bei pavojaus šaltinius, prieš pradėdamas tvarkyti duomenis, turėtų atlikti poveikio duomenų apsaugai vertinimą. Tame poveikio įvertinime visų pirma turėtų būti nurodytos numatomos priemonės, apsaugos priemonės ir mechanizmai, kuriais tas pavojus būtų sumažinamas, užtikrinama asmens duomenų apsauga ir parodoma, kad laikomasi šio reglamento;

(58)

kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu. Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms. Europos duomenų apsaugos priežiūros pareigūnas į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį. Tačiau tai, kad Europos duomenų apsaugos priežiūros pareigūnas nesureagavo per tą laikotarpį, neturėtų turėti poveikio Europos duomenų apsaugos priežiūros pareigūno intervenciniams veiksmams jam vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitant įgaliojimą uždrausti duomenų tvarkymo operacijas. Vykdant tą konsultacijų procesą, Europos duomenų apsaugos priežiūros pareigūnui gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma, priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

(59)

Europos duomenų apsaugos pareigūnui turėtų būti pranešta apie administracines priemones ir su juo turėtų būti konsultuojamasi dėl Sąjungos institucijų ir organų priimtų vidaus taisyklių su jų veikimu susijusiais klausimais, kai jomis numatytas asmens duomenų tvarkymas, nustatomos duomenų subjektų teisių apribojimų sąlygos arba numatomos atitinkamos duomenų subjektų teisių garantijos siekiant užtikrinti, kad numatomas duomenų tvarkymas atitiktų šį reglamentą, visų pirma, sumažinant duomenų subjektui kylančią riziką;

(60)

Reglamentu (ES) 2016/679 Europos duomenų apsaugos valdyba įsteigta kaip nepriklausoma Sąjungos įstaiga, turinti juridinio asmens statusą. Valdyba turėtų padėti nuosekliai taikyti Reglamentą (ES) 2016/679 ir Direktyvą (ES) 2016/680 visoje Sąjungoje, taip pat teikti Komisijai rekomendacijas. Tuo pat metu Europos duomenų apsaugos priežiūros pareigūnas turėtų ir toliau vykdyti priežiūros ir patariamąsias funkcijas visų Sąjungos institucijų ir organų atžvilgiu, savo iniciatyva ar pagal prašymą. Siekiant užtikrinti duomenų apsaugos taisyklių nuoseklumą visoje Sąjungoje, Komisija, rengdama pasiūlymus ar rekomendacijas, turėtų stengtis konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu. Priėmus teisėkūros procedūra priimtus teisės aktus arba rengiant deleguotuosius aktus ir įgyvendinimo aktus, kaip jie apibrėžti SESV 289, 290 ir 291 straipsniuose, taip pat priėmus rekomendacijas ir pasiūlymus dėl susitarimų su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis, kaip numatyta SESV 218 straipsnyje, turinčius poveikį teisei į asmens duomenų apsaugą, Komisijai turėtų būti privaloma konsultuotis. Tokiais atvejais Komisija turėtų privalėti konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, išskyrus atvejus, kai Reglamente (ES) 2016/679 numatyta, kad privaloma konsultuotis su Europos duomenų apsaugos valdyba, pavyzdžiui, dėl sprendimų dėl tinkamumo ar deleguotųjų aktų dėl standartizuotų piktogramų ir sertifikavimo mechanizmams taikomų reikalavimų. Jei atitinkamas aktas yra ypač svarbus fizinių asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat turėtų turėti galimybę konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos priežiūros pareigūnas, kaip Europos duomenų apsaugos valdybos narys, turėtų koordinuoti savo darbą su šia valdyba, kad priimtų bendrą nuomonę. Europos duomenų apsaugos priežiūros pareigūnas ir, jei taikytina, Europos duomenų apsaugos valdyba rašytinę rekomendaciją turėtų pateikti per aštuonias savaites. Skubiais atvejais arba, pavyzdžiui, kai Komisija rengia deleguotuosius ir įgyvendinimo aktus, tas laikotarpis turėtų būti trumpesnis;

(61)

remiantis Reglamento (ES) 2016/679 75 straipsniu, Europos duomenų apsaugos priežiūros pareigūno įstaiga turėtų teikti Europos duomenų apsaugos valdybos sekretoriato paslaugas;

(62)

visose Sąjungos institucijose ir organuose duomenų apsaugos pareigūnas turėtų užtikrinti, kad būtų taikomos šio reglamento nuostatos, ir dėl įsipareigojimų vykdymo konsultuoti duomenų valdytojus. Tas pareigūnas turėtų turėti ekspertinių žinių duomenų apsaugos teisės ir praktikos srityje, o jo žinių lygis turėtų būti nustatomas, visų pirma, atsižvelgiant į duomenų valdytojo ar duomenų tvarkytojo atliekamas duomenų tvarkymo operacijas ir apsaugą, kurią būtina užtikrinti atitinkamiems asmens duomenims. Tokie duomenų apsaugos pareigūnai savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;

(63)

jei asmens duomenys iš Sąjungos institucijų ir organų perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, turėtų būti užtikrintas Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis. Tos pačios garantijos turėtų būti taikomos ir tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai. Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento ir Chartijoje įtvirtintų pagrindinių teisių ir laisvių. Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

(64)

pagal Reglamento (ES) 2016/679 45 straipsnį arba Direktyvos (ES) 2016/680 36 straipsnį Komisija gali nuspręsti, kad trečioji valstybė, teritorija ar nurodytas sektorius trečiojoje valstybėje arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį. Tokiais atvejais Sąjungos institucijos ar organo perduodami asmens duomenys į tokią trečiąją valstybę gali būti perduodami be papildomo leidimo;

(65)

jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti. Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, Europos duomenų apsaugos priežiūros pareigūno priimtomis standartinėmis duomenų apsaugos sąlygomis arba Europos duomenų apsaugos priežiūros pareigūno pripažintomis sutarties sąlygomis. Jei duomenų tvarkytojas yra ne Sąjungos institucija ar organas, atitinkamos garantijos taip pat gali būti įmonėms privalomos taisyklės, elgesio kodeksai ir sertifikavimo mechanizmai, taikomi tarptautiniam asmens duomenų perdavimui pagal Reglamentą (ES) 2016/679. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje. Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi. Sąjungos institucijos ar organai taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės. Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas Europos duomenų apsaugos priežiūros pareigūno leidimas;

(66)

galimybė duomenų valdytojui arba duomenų tvarkytojui remtis Komisijos ar Europos duomenų apsaugos priežiūros pareigūno priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba duomenų tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis, tokias kaip duomenų tvarkytojo sutartis su kitais duomenų tvarkytojais, ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar Europos duomenų apsaugos priežiūros pareigūno priimtoms standartinėms sutarčių sąlygoms ar nedaro poveikio duomenų subjektų pagrindinėms teisėms ir laisvėms. Duomenų valdytojai ir duomenų tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

(67)

kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti Sąjungos institucijų ir organų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą fizinių asmenų apsaugą. Perduoti asmens duomenis turėtų būti leidžiama tik tuo atveju, jeigu yra tenkinamos šiame reglamente nustatytos duomenų perdavimo į trečiąją valstybę sąlygos. Taip gali būti, be kita ko, kai duomenis būtina atskleisti dėl Sąjungos teisėje pripažįstamos svarbios viešojo intereso priežasties;

(68)

turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenų perdavimas atliekamas nereguliariai ir yra būtinas dėl sutarties ar ieškinio, nepaisant to, ar jis pareikštas teisminėje ar administracinėje, ar bet kokioje kitoje neteisminėje procedūroje, įskaitant procedūras reguliavimo organuose. Taip pat turėtų būti numatyta galimybė perduoti duomenis, kai tai reikalinga dėl svarbių Sąjungos teisėje įtvirtintų viešojo intereso priežasčių, arba kai duomenys perduodami iš teisės aktu įsteigto registro, kuris skirtas naudoti visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų asmens duomenų visuma arba ištisos jų kategorijos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos teisę, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba, jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;

(69)

šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp Sąjungos institucijų ir organų ir konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamąsias ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;

(70)

bet kuriuo atveju, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje valstybėje, duomenų valdytojas arba duomenų tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinamos vykdytinos ir veiksmingos teisės jų duomenų tvarkymo Sąjungoje atžvilgiu, kai tie duomenys yra perduoti, kad jie ir toliau galėtų naudotis pagrindinėmis teisėmis ir apsaugos priemonėmis;

(71)

kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma, apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, nacionalinės priežiūros institucijos ir Europos duomenų apsaugos priežiūros pareigūnas gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų bendradarbiavimą siekiant padėti keistis informacija su užsienio kolegomis;

(72)

Europos duomenų apsaugos priežiūros pareigūno, įgalioto visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas Reglamentu (EB) Nr. 45/2001 yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių. Šiuo reglamentu turėtų būti papildomai sustiprinamas ir patikslinamas jo vaidmuo ir nepriklausomumas. Europos duomenų apsaugos priežiūros pareigūnas turėtų būti asmuo, kurio nepriklausomumas nekelia abejonių ir kuris pripažįstamas turintis patirtį ir gebėjimus, reikalingus Europos duomenų apsaugos priežiūros pareigūno pareigoms atlikti, pavyzdžiui, nes jis priklausė vienai iš pagal Reglamento (ES) 2016/679 51 straipsnį įsteigtų priežiūros institucijų;

(73)

siekiant užtikrinti nuoseklų duomenų apsaugos taisyklių stebėjimą ir įgyvendinimo užtikrinimą visoje Sąjungoje, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti tas pačias užduotis ir veiksmingus įgaliojimus kaip ir nacionalinės priežiūros institucijos, įskaitant įgaliojimus atlikti tyrimus, taisomuosius įgaliojimus ir įgaliojimus skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma, kai skundus pateikia fiziniai asmenys, ir įgaliojimus atkreipti Teisingumo Teismo dėmesį į šio reglamento pažeidimus bei įgaliojimus dalyvauti teismo procesuose pagal pirminę teisę. Tokie įgaliojimai turėtų apimti ir įgaliojimą nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant jo draudimą. Kad atitinkami asmenys, kuriems gali būti padarytas neigiamas poveikis, nepatirtų nereikalingų išlaidų ir pernelyg didelių nepatogumų, kiekviena Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti, kad būtų laikomasi šio reglamento, ja, prieš imantis bet kokios atitinkamos individualios priemonės, turėtų būti atsižvelgiama į kiekvieno konkretaus atvejo aplinkybes ir paisoma kiekvieno asmens teisės būti išklausytam. Kiekviena teisiškai privaloma Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonės paskelbimo data, ją turėtų būti pasirašęs Europos duomenų apsaugos priežiūros pareigūnas, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę;

(74)

siekiant apsaugoti Teisingumo Teismo nepriklausomumą vykdant jo teismines užduotis, įskaitant sprendimų priėmimo nepriklausomumą, Europos duomenų apsaugos priežiūros pareigūno priežiūros kompetencijai neturėtų priklausyti asmens duomenų tvarkymas Teismui vykdant savo teismines funkcijas. Tokių duomenų tvarkymo operacijų atžvilgiu Teismas turėtų nustatyti nepriklausomą priežiūrą pagal Chartijos 8 straipsnio 3 dalį, pavyzdžiui, taikant vidaus mechanizmą;

(75)

kaip apibrėžta šiame reglamente, Europos duomenų apsaugos priežiūros pareigūno veiklos ataskaitoje turėtų būti paskelbti su duomenų tvarkymo veiksmais susiję jo sprendimai dėl išimčių, garantijų, leidimų ir sąlygų. Be skelbiamos metinės veiklos ataskaitos, Europos duomenų apsaugos priežiūros pareigūnas gali paskelbti ataskaitas konkrečiais klausimais;

(76)

Europos duomenų apsaugos priežiūros pareigūnas turėtų laikytis Europos Parlamento ir Tarybos reglamento (EB) Nr. 1049/2001 (9);

(77)

nacionalinės priežiūros institucijos stebi, kaip taikomas Reglamentas (ES) 2016/679, ir padeda jį nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui vidaus rinkoje. Siekiant didinti valstybėse narėse duomenų apsaugos taisyklių ir Sąjungos institucijoms ir organams taikytinų duomenų apsaugos taisyklių taikymo nuoseklumą, Europos duomenų apsaugos priežiūros pareigūnas turėtų veiksmingai bendradarbiauti su nacionalinėmis priežiūros institucijomis;

(78)

tam tikrais atvejais Sąjungos teisėje numatytas koordinuotosios priežiūros modelis, bendrai taikomas Europos duomenų apsaugos priežiūros pareigūnui ir nacionalinėms priežiūros institucijoms. Europos duomenų apsaugos priežiūros pareigūnas yra taip pat ir Europolo priežiūros institucija, ir šiais tikslais buvo nustatytas specialusis bendradarbiavimo su nacionalinėmis priežiūros institucijomis modelis įsteigiant bendradarbiavimo valdybą, kuri atlieka patariamąją funkciją. Siekiant gerinti veiksmingą esminių duomenų apsaugos taisyklių priežiūrą ir įgyvendinimo užtikrinimą, Sąjungoje reikėtų nustatyti vieną bendrą, suderintą koordinuotosios priežiūros modelį. Todėl Komisija, kai tikslinga, turėtų teikti pasiūlymus dėl teisėkūros procedūra priimamų aktų, siekdama iš dalies pakeisti Sąjungos teisės aktus, kuriais numatomas koordinuotosios priežiūros modelis, kad suderintų juos su šiame reglamente nustatytu koordinuotosios priežiūros modeliu. Europos duomenų apsaugos valdyba turėtų veikti kaip vienas bendras forumas, kuriuo valdyboje būtų užtikrinama veiksminga koordinuotoji priežiūra visose srityse;

(79)

kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę Teisingumo Teisme pagal Sutartis, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos, arba jeigu Europos duomenų apsaugos priežiūros pareigūnas nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Europos duomenų apsaugos priežiūros pareigūnas turėtų per pagrįstą laikotarpį informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatus. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su nacionaline priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, Europos duomenų apsaugos priežiūros pareigūnas turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima užpildyti ir elektroniniu būdu, neatmetant galimybių naudotis ir kitomis ryšio priemonėmis;

(80)

bet kuris asmuo, patyręs turtinę arba neturtinę žalą dėl šio reglamento pažeidimo, turėtų turėti teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą laikantis Sutartyse numatytų sąlygų;

(81)

siekiant stiprinti Europos duomenų apsaugos priežiūros pareigūno atliekamą priežiūros funkciją ir veiksmingiau įgyvendinti šį reglamentą, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti įgaliojimus kaip kraštutinę sankciją taikyti administracines baudas. Baudomis turėtų būti siekiama nubausti Sąjungos instituciją ar organą, o ne fizinius asmenis, už šio reglamento nesilaikymą, atgrasyti nuo būsimų šio reglamento pažeidimų ir paskatinti asmens duomenų apsaugos kultūrą Sąjungos institucijose ir organuose. Šiame reglamente reikėtų nurodyti pažeidimus, dėl kurių skiriamos administracinės baudos, bei su tuo susijusių baudų viršutines ribas ir nustatymo kriterijus. Baudą kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. Skirdamas administracinę baudą Sąjungos institucijai ar organui, Europos duomenų apsaugos priežiūros pareigūnas turėtų apsvarstyti baudos dydžio proporcingumą. Per administracinę baudų skyrimo Sąjungos institucijoms ir organams procedūrą reikėtų paisyti bendrųjų Sąjungos teisės principų, kaip juos yra išaiškinęs Teisingumo Teismas;

(82)

jei duomenų subjektas mano, kad pažeidžiamos šiuo reglamentu numatytos jo teisės, jis turėtų teisę įgalioti pagal Sąjungos teisę ar valstybės narės teisę įsteigtą ne pelno įstaigą, organizaciją ar asociaciją, kurios įstatuose numatytais tikslais siekiama viešojo intereso ir kuri veikia asmens duomenų apsaugos srityje, šio asmens vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui. Tokia įstaiga, organizacija ar asociacija taip pat turėtų galėti įgyvendinti teisę į teisminę teisių gynimo priemonę duomenų subjektų vardu arba įgyvendinti teisę duomenų subjektų vardu gauti kompensaciją;

(83)

jei Sąjungos pareigūnas ar kitas tarnautojas nesilaiko šio reglamento įpareigojimų, Europos Sąjungos pareigūnų tarnybos nuostatuose ir kitų tarnautojų įdarbinimo sąlygose, nustatytose Tarybos reglamentu (EEB, Euratomas, EAPB) Nr. 259/68 (10) (toliau – Tarnybos nuostatai) nustatyta tvarka jam turėtų būti taikomos drausminės ar kitos priemonės;

(84)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (11). Nagrinėjimo procedūra turėtų būti taikoma siekiant priimti standartines sutarčių sąlygas, taikomas tarp duomenų valdytojų ir duomenų tvarkytojų ir tarp duomenų tvarkytojų, siekiant patvirtinti duomenų tvarkymo operacijų, kurias atliekant duomenų valdytojams privaloma konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, sąrašą, kai jie tvarko asmens duomenis siekdami atlikti užduotį, kuria siekiama viešojo intereso, taip pat priimant standartines sutarčių sąlygas, kuriose numatytos atitinkamos apsaugos priemonės, taikomos tarptautiniam duomenų perdavimui;

(85)

konfidenciali informacija, kurią Sąjungos ir nacionalinės statistikos institucijos renka oficialiai Europos ir oficialiai nacionalinei statistikai rengti, turėtų būti apsaugota. Europos statistika turėtų būti plėtojama, rengiama ir skleidžiama laikantis statistikos principų, nustatytų SESV 338 straipsnio 2 dalyje. Europos Parlamento ir Tarybos reglamente (EB) Nr. 223/2009 (12) pateikiama papildoma patikslinta informacija apie Europos statistikos konfidencialumą;

(86)

Reglamentas (EB) Nr. 45/2001 ir Europos Parlamento, Tarybos ir Komisijos sprendimas Nr. 1247/2002/EB (13) turėtų būti panaikinti. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą;

(87)

siekiant apsaugoti visišką nepriklausomos priežiūros institucijos narių nepriklausomumą, šis reglamentas neturėtų turėti įtakos esamo Europos duomenų apsaugos priežiūros pareigūno ir esamo jo pavaduotojo kadencijai. Esamas Europos duomenų apsaugos priežiūros pareigūno pavaduotojas turėtų eiti savo pareigas iki savo kadencijos pabaigos, nebent yra įvykdoma viena iš šiame reglamente nustatytų išankstinio Europos duomenų apsaugos priežiūros pareigūno kadencijos pasibaigimo sąlygų. Atitinkamos šio reglamento nuostatos turėtų būti taikomos Europos duomenų apsaugos priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos;

(88)

laikantis proporcingumo principo, kad būtų pasiektas pagrindinis tikslas užtikrinti lygiavertį fizinių asmenų apsaugos tvarkant asmens duomenis lygį ir laisvą asmens duomenų judėjimą visoje Sąjungoje, būtina ir reikalinga nustatyti asmens duomenų tvarkymo Sąjungos institucijose ir organuose taisykles. Šiuo reglamentu remiantis ES sutarties 5 straipsnio 4 dalimi neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(89)

vadovaujantis Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris 2017 m. kovo 15 d. pateikė nuomonę (14),

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir tikslai

1.   Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga Sąjungos institucijoms ir organams tvarkant asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu tarp šių institucijų arba kitiems Sąjungoje įsteigtiems gavėjams.

2.   Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3.   Europos duomenų apsaugos priežiūros pareigūnas stebi šio reglamento nuostatų taikymą visoms Sąjungos institucijos ar organo atliekamoms duomenų tvarkymo operacijoms.

2 straipsnis

Taikymo sritis

1.   Šis reglamentas taikomas visų Sąjungos institucijų ir organų atliekamam asmens duomenų tvarkymui.

2.   Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui taikomi tik šio reglamento 3 straipsnis ir IX skyrius.

3.   Šis reglamentas netaikomas Europolo ir Europos prokuratūros atliekamam operatyvinių asmens duomenų tvarkymui, kol Europos Parlamento ir Tarybos reglamentas (ES) 2016/794 (15) ir Tarybos reglamentas (ES) 2017/1939 (16) nebus pritaikyti, kaip numatyta pagal šio reglamento 98 straipsnį.

4.   Šis reglamentas netaikomas ES sutarties 42 straipsnio 1 dalyje, 43 ir 44 straipsniuose nurodytų misijų atliekamam asmens duomenų tvarkymui.

5.   Šis reglamentas taikomas asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų tvarkymui neautomatizuotomis priemonėmis, kai šie duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje.

3 straipsnis

Terminų apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys:

1.

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (toliau – duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2.

operatyviniai asmens duomenys – visi asmens duomenys, kuriuos tvarko Sąjungos organai, tarnybos ar agentūros, vykdančios veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, kad įgyvendintų tų organų, tarnybų ar agentūrų steigimo teisės aktuose nustatytus tikslus ir uždavinius;

3.

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

4.

duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

5.

profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma, siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

6.

pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

7.

susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

8.

duomenų valdytojas – Sąjungos institucija ar organas arba generalinis direktoratas, arba bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; jei tokio tvarkymo tikslai ir priemonės nustatomi konkrečiu Sąjungos aktu, duomenų valdytojas ar konkretūs jo skyrimo kriterijai gali būti numatyti Sąjungos teisėje;

9.

duomenų valdytojai, kurie nėra Sąjungos institucijos ir organai – duomenų valdytojai, kaip apibrėžta Reglamento (ES) 2016/679 4 straipsnio 7 punkte ir Direktyvos (ES) 2016/680 3 straipsnio 8 punkte;

10.

Sąjungos institucijos ir organai – Sąjungos institucijos, organai, tarnybos ir agentūros, įsteigti ES sutartimi, SESV ar Euratomo sutartimi ar remiantis šiomis Sutartimis;

11.

kompetentinga institucija – valstybės narės valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais;

12.

duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

13.

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdant konkretų tyrimą, duomenų gavėjais nelaikomos; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

14.

trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

15.

duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

16.

asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

17.

genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

18.

biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens unikalią tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

19.

sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

20.

informacinės visuomenės paslauga – paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 (17) 1 straipsnio 1 dalies b punkte;

21.

tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, arba bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu;

22.

nacionalinė priežiūros institucija – valstybės narės pagal Reglamento (ES) 2016/679 51 straipsnį arba pagal Direktyvos (ES) 2016/680 41 straipsnį įsteigta nepriklausoma valdžios institucija;

23.

naudotojas – bet kuris fizinis asmuo, naudojantis tinklą ar galinį įrenginį, eksploatuojamą kontroliuojant Sąjungos institucijai ar organui;

24.

sąrašas – viešai prieinamas naudotojų sąrašas arba vidinis naudotojų sąrašas, kuris yra prieinamas Sąjungos institucijoje ar organe arba kurio duomenimis dalijasi Sąjungos institucijos ir organai, nesvarbu, ar jis būtų spausdintos, ar elektroninės formos;

25.

elektroninių ryšių tinklas – perdavimo sistema, tiek grindžiama, tiek negrindžiama nuolatine infrastruktūra arba centralizuotos administracijos pajėgumais, ir atitinkamais atvejais komutavimo ar maršruto parinkimo įranga bei kiti ištekliai, įskaitant neaktyvius tinklo elementus, kurie leidžia perduoti signalus laidais, radijo, optinėmis ar kitomis elektromagnetinėmis priemonėmis, įskaitant palydovinius tinklus, fiksuoto (linijų ir paketų perjungiamojo, įskaitant internetą) ir judriojo ryšio antžeminius tinklus, elektros perdavimo kabelines sistemas, tokiu mastu, kokiu jos yra naudojamos signalams perduoti, radijo ir televizijos programų transliavimui naudojami tinklai ir kabelinės televizijos tinklai, neatsižvelgiant į perduodamos informacijos pobūdį;

26.

galinis įrenginys – galinis įrenginys, kaip apibrėžta Komisijos direktyvos 2008/63/EB (18) 1 straipsnio 1 punkte.

II SKYRIUS

BENDRIEJI PRINCIPAI

4 straipsnis

Su asmens duomenų tvarkymu susiję principai

1.   Asmens duomenys turi būti:

a)

duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 13 straipsnį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)

adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)

tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo paskirtį, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

e)

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 13 straipsnį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

f)

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

5 straipsnis

Tvarkymo teisėtumas

1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)

tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant Sąjungos institucijai ar organui pavestus viešosios valdžios įgaliojimus;

b)

tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

c)

tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

d)

duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

e)

tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

2.   1 dalies a ir b punktuose nurodytas duomenų tvarkymo pagrindas turi būti nustatytas Sąjungos teisėje.

6 straipsnis

Tvarkymas siekiant kito suderinamo tikslo

Kai duomenų tvarkymas kitu tikslu nei tas, dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 25 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas, siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)

visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)

aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma, susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)

asmens duomenų pobūdį, visų pirma, ar tvarkomi specialių kategorijų asmens duomenys pagal 10 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 11 straipsnį;

d)

numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)

tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

7 straipsnis

Sutikimo sąlygos

1.   Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

2.   Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Jokia tokio pareiškimo dalis, kuria pažeidžiamas šis reglamentas, nėra privaloma.

3.   Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva, kaip jį duoti.

4.   Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

8 straipsnis

Sąlygos, taikomos vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui

1.   Kai taikomas 5 straipsnio 1 dalies d punktas, kiek tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 13 metų amžiaus. Kai vaikas yra jaunesnis nei 13 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas.

2.   Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda pagrįstas pastangas, kad tokiais atvejais patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas.

3.   1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai taisyklėms dėl su vaiku sudaromos sutarties galiojimo, sudarymo arba poveikio.

9 straipsnis

Asmens duomenų perdavimas Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai

1.   Nedarant poveikio 4–6 ir 10 straipsniams, asmens duomenys perduodami Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai, jei:

a)

duomenų gavėjas įrodo, kad tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant gavėjui pavestus viešosios valdžios įgaliojimus, arba

b)

duomenų gavėjas įrodo, jog duomenis būtina perduoti, kad būtų įgyvendintas specialus viešojo intereso tikslas, ir duomenų valdytojas (jei esama bet kokio pagrindo daryti prielaidą, kad gali būti pažeisti duomenų subjekto teisėti interesai), akivaizdžiai palyginęs skirtingų konkuruojančių interesų svarbą, įrodo, kad proporcinga perduoti asmens duomenis atitinkamu konkrečiu tikslu.

2.   Jei duomenų valdytojas inicijuoja duomenų perdavimą pagal šį straipsnį, jis turi įrodyti, kad asmens duomenų perdavimas yra būtinas jų perdavimo tikslais ir proporcingas šiems tikslams, taikydamas šio straipsnio 1 dalies a arba b punktuose nustatytus kriterijus.

3.   Sąjungos institucijos ir organai suderina teisę į asmens duomenų apsaugą su teise susipažinti su dokumentais pagal Sąjungos teisę.

10 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

1.   Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2.   1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)

duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

b)

tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo, socialinio draudimo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos teisėje, kurioje nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

c)

tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

d)

duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekianti ne pelno organizacija, kuri yra į Sąjungos instituciją ar organą integruotas subjektas, vykdydama teisėtą veiklą ir taikydama tinkamas apsaugos priemones, ir su sąlyga, kad tvarkomi tik tos įstaigos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su ja dėl jos siekiamų tikslų, duomenys ir kad asmens duomenys neatskleidžiami už įstaigos ribų be duomenų subjektų sutikimo;

e)

tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)

tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai Teisingumo Teismas vykdo savo teisminius įgaliojimus;

g)

tvarkyti duomenis būtina dėl svarbių viešojo intereso priežasčių, remiantis Sąjungos teise, ir tvarkymas turi būti proporcingas tikslui, kurio siekiama, nepažeidžiant esminių teisės į duomenų apsaugą nuostatų ir užtikrinant tinkamas ir konkrečias duomenų subjekto pagrindinių teisių ir interesų apsaugos priemones;

h)

tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

i)

tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis Sąjungos teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma, profesinė paslaptis, arba

j)

tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais remiantis Sąjungos teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

3.   1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį.

11 straipsnis

Asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas

Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones remiantis 5 straipsnio 1 dalimi tvarkomi tik prižiūrint valdžios institucijai arba kai duomenų tvarkymas leidžiamas pagal Sąjungos teisę, kurioje numatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

12 straipsnis

Duomenų tvarkymas, kai asmens tapatybės nustatyti nereikia

1.   Jeigu dėl tikslų, kuriais duomenų valdytojas tvarko asmens duomenis, duomenų valdytojui nebūtina ar nebėra būtina nustatyti duomenų subjekto tapatybės, duomenų valdytojas nėra įpareigojamas laikyti, gauti ar tvarkyti papildomą informaciją duomenų subjekto tapatybei nustatyti vien tam, kam būtų laikomasi šio reglamento.

2.   Kai šio straipsnio 1 dalyje nurodytais atvejais duomenų valdytojas gali įrodyti, kad neturi galimybės nustatyti duomenų subjekto tapatybės, duomenų valdytojas, jei įmanoma, informuoja apie tai duomenų subjektą. Tokiais atvejais 17–22 straipsniai netaikomi, išskyrus atvejus, kai duomenų subjektas, siekdamas pasinaudoti pagal tuos straipsnius jam suteiktomis teisėmis, pateikia papildomos informacijos, leidžiančios nustatyti jo tapatybę.

13 straipsnis

Apsaugos priemonės, susijusios su duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais

Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal šį reglamentą taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Tomis apsaugos priemonėmis užtikrinama, kad būtų įdiegtos techninės ir organizacinės priemonės, visų pirma, siekiant užtikrinti, kad būtų laikomasi duomenų kiekio mažinimo principo. Tos priemonės gali apimti pseudonimų suteikimą, jeigu tie tikslai gali būti pasiekti tuo būdu. Visais atvejais, kai tuos tikslus galima pasiekti toliau tvarkant duomenis, iš kurių negalima arba nebegalima nustatyti duomenų subjektų tapatybės, tų tikslų siekiama tuo būdu.

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

1 SKIRSNIS

Skaidrumas ir sąlygos

14 straipsnis

Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos

1.   Duomenų valdytojas imasi tinkamų priemonių, kad visą 15 ir 16 straipsniuose nurodytą informaciją ir visus pranešimus pagal 17–24 ir 35 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, jei reikia, taip pat ir elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.

2.   Duomenų valdytojas sudaro palankesnes sąlygas naudotis 17–24 straipsniuose nustatytomis duomenų subjekto teisėmis. 12 straipsnio 2 dalyje nurodytais atvejais duomenų valdytojas neatsisako imtis veiksmų pagal duomenų subjekto prašymą pasinaudoti teisėmis pagal 17–24 straipsnius, nebent duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.

3.   Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 17–24 straipsnius. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

4.   Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui bei pasinaudoti teisių gynimo priemone.

5.   Pagal 15 ir 16 straipsnius teikiama informacija ir visi pranešimai bei visi veiksmai pagal 17–24 ir 35 straipsnius yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, duomenų valdytojas gali atsisakyti imtis veiksmų dėl prašymo. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

6.   Nedarant poveikio 12 straipsniui, kai duomenų valdytojas turi pagrįstų abejonių dėl 17–23 straipsniuose nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

7.   Informacija, kuri duomenų subjektams turi būti teikiama pagal 15 ir 16 straipsnius, gali būti teikiama kartu su standartizuotomis piktogramomis siekiant, kad numatomas duomenų tvarkymas būtų prasmingai apibendrintas lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Kai piktogramos pateikiamos elektronine forma, jos turi būti kompiuterio skaitomos.

8.   Jei Komisija priima deleguotuosius aktus pagal Reglamento (ES) 2016/679 12 straipsnio 8 dalį, kuriais nustatoma, kokia informacija turi būti pateikta piktogramomis, ir standartizuotų piktogramų pateikimo procedūros, Sąjungos institucijos ir organai, jei taikytina, pateikia informaciją pagal šio reglamento 15 ir 16 straipsnius kartu su tokiomis standartizuotomis piktogramomis.

2 SKIRSNIS

Informavimas ir teisė susipažinti su asmens duomenimis

15 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto

1.   Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

a)

duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)

duomenų apsaugos pareigūno kontaktinius duomenis;

c)

duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)

asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas, jei jos yra;

e)

kai taikoma, informaciją apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 48 straipsnyje nurodytų duomenų perdavimų atveju – informaciją apie tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

a)

asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)

teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, o tam tikrais atvejais teisę nesutikti, kad duomenys būtų tvarkomi, arba teisę į duomenų perkeliamumą;

c)

kai duomenų tvarkymas grindžiamas 5 straipsnio 1 dalies d punktu arba 10 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)

teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

e)

tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

f)

tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3.   Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

4.   1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

16 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1.   Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)

duomenų valdytojo tapatybę ir kontaktinius duomenis;

b)

duomenų apsaugos pareigūno kontaktinius duomenis;

c)

duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)

atitinkamų asmens duomenų kategorijas;

e)

asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas, jei jos yra;

f)

kai taikoma, informaciją apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 48 straipsnyje nurodytų duomenų perdavimų atveju – informaciją apie tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)

asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)

teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, o tam tikrais atvejais teisę nesutikti, kad duomenys būtų tvarkomi, arba teisę į duomenų perkeliamumą;

c)

kai duomenų tvarkymas grindžiamas 5 straipsnio 1 dalies d punktu arba 10 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)

teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

e)

tai, koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

f)

tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3.   Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)

per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)

jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu arba

c)

jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4.   Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5.   1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)

duomenų subjektas šią informaciją jau turi;

b)

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma, kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus;

c)

duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos teisėje, kurioje nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės, arba

d)

kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos teise reglamentuojamos profesinės paslapties prievolės, įskaitant teisės aktais nustatytą prievolę saugoti paslaptį.

6.   5 dalies b punkte nurodytais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą.

17 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1.   Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslai;

b)

atitinkamų asmens duomenų kategorijos;

c)

duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma, duomenų gavėjai trečiosiose valstybėse arba tarptautinėse organizacijose;

d)

kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)

teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)

teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui;

g)

kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)

tai, kad esama 24 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2.   Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 48 straipsnį.

3.   Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4.   3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų asmenų teisėms ir laisvėms.

3 SKIRSNIS

Duomenų ištaisymas ir ištrynimas

18 straipsnis

Teisė reikalauti ištaisyti duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

19 straipsnis

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

1.   Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)

asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

b)

asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 5 straipsnio 1 dalies d punktą arba 10 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)

duomenų subjektas nesutinka su duomenų tvarkymu pagal 23 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

d)

asmens duomenys buvo tvarkomi neteisėtai;

e)

asmens duomenys turi būti ištrinti laikantis duomenų valdytojui nustatytos teisinės prievolės;

f)

asmens duomenys buvo surinkti siūlant informacinės visuomenės paslaugas, kaip nurodyta 8 straipsnio 1 dalyje.

2.   Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius asmenų duomenų valdytojus arba duomenų valdytojus, kurie nėra Sąjungos institucijos ir organai, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

3.   1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

a)

siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

b)

siekiant laikytis duomenų valdytojui nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus;

c)

dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 10 straipsnio 2 dalies h bei i punktus ir 10 straipsnio 3 dalį;

d)

archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus, arba

e)

siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

20 straipsnis

Teisė apriboti duomenų tvarkymą

1.   Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą, kai taikomas vienas iš šių atvejų:

a)

asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą, įskaitant jų išsamumą;

b)

asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c)

duomenų valdytojui nebereikia asmens duomenų duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

d)

duomenų subjektas pagal 23 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

2.   Kai duomenų tvarkymas yra apribotas pagal 1 dalį, tokius asmens duomenis galima tvarkyti (išskyrus saugojimą) tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

3.   Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal 1 dalį, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

4.   Automatizuotuose susistemintuose rinkiniuose tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje nurodoma tokiu būdu, kad būtų aišku, jog yra draudžiama naudoti asmens duomenis.

21 straipsnis

Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal 18 straipsnį, 19 straipsnio 1 dalį ir 20 straipsnį, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.

22 straipsnis

Teisė į duomenų perkeliamumą

1.   Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

a)

duomenų tvarkymas yra grindžiamas sutikimu pagal 5 straipsnio 1 dalies d punktą ar 10 straipsnio 2 dalies a punktą arba sutartimi pagal 5 straipsnio 1 dalies c punktą ir

b)

duomenys yra tvarkomi automatizuotomis priemonėmis.

2.   Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę reikalauti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam arba persiųstų duomenų valdytojams, kurie nėra Sąjungos institucijos ir organai, kai tai techniškai įmanoma.

3.   Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 19 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus.

4.   1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų asmenų teisėms ir laisvėms.

4 SKIRSNIS

Teisė nesutikti ir automatizuotas atskirų sprendimų priėmimas

23 straipsnis

Teisė nesutikti

1.   Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 5 straipsnio 1 dalies a punktą, įskaitant profiliavimą remiantis ta nuostata. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2.   Duomenų subjektas apie 1 dalyje nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

3.   Naudojimosi informacinės visuomenės paslaugomis atveju, nedarant poveikio 36 ir 37 straipsniams, duomenų subjektas gali naudotis savo teise nesutikti pasitelkdamas automatizuotas priemones, kurioms naudojamos techninės specifikacijos.

4.   Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

24 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1.   Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį.

2.   1 dalis netaikoma, jeigu sprendimas:

a)

yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

b)

yra leidžiamas Sąjungos teisėje, kurioje taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti, arba

c)

yra pagrįstas aiškiu duomenų subjekto sutikimu.

3.   2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4.   Šio straipsnio 2 dalyje nurodyti sprendimai negrindžiami 10 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 10 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

5 SKIRSNIS

Apribojimai

25 straipsnis

Apribojimai

1.   Teisės aktais, priimtais remiantis Sutartimis, arba Sąjungos institucijų ir organų vidaus taisyklėmis, priimtomis šių institucijų ir organų veikimo klausimais, gali būti apribotas 14–22, 35 ir 36 straipsnių taikymas, taip pat 4 straipsnio taikymas tiek, kiek jo nuostatos atitinka 14–22 straipsniuose numatytas teises ir prievoles, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

a)

valstybių narių valstybės, visuomenės saugumą ar krašto apsaugą;

b)

nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba bausmių vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

c)

kitus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma, Sąjungos bendros užsienio ir saugumo politikos tikslais arba svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

d)

Sąjungos institucijų ir organų vidaus saugumą, įskaitant jų elektroninių ryšių tinklų saugumą;

e)

teismų nepriklausomumo ir teismo proceso apsaugą;

f)

reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos;

g)

stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios įgaliojimų vykdymu a–c punktuose nurodytais atvejais;

h)

duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;

i)

civilinių ieškinių vykdymo užtikrinimą.

2.   Visų pirma visuose 1 dalyje nurodytuose teisės aktuose ar vidaus taisyklėse pateikiamos konkrečios nuostatos, tam tikrais atvejais susijusios su:

a)

duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis;

b)

asmens duomenų kategorijomis;

c)

nustatytų apribojimų apimtimi;

d)

apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui;

e)

duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimais;

f)

saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus, ir

g)

pavojais duomenų subjektų teisėms ir laisvėms.

3.   Kai asmens duomenys tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, Sąjungos teisės aktais, kurie gali apimti vidaus taisykles, Sąjungos institucijų ir organų priimtas su jų veikimu susijusiais klausimais, gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 17, 18, 20 ir 23 straipsniuose nurodytomis teisėmis, jei taikomos 13 straipsnyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

4.   Kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, Sąjungos teisės aktais, kurie gali apimti vidaus taisykles, Sąjungos institucijų ir organų priimtas su jų veikimu susijusiais klausimais, gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 17, 18, 20, 21, 22 ir 23 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 13 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

5.   1, 3 ir 4 dalyse nurodytos vidaus taisyklės turi būti aiškūs ir tikslūs visuotinai taikomi aktai, galintys turėti teisinių padarinių duomenų subjektams, priimti aukščiausiu Sąjungos institucijų ir organų valdymo lygmeniu ir skelbiami Europos Sąjungos oficialiajame leidinyje.

6.   Jeigu yra nustatytas šio straipsnio 1 dalyje numatytas apribojimas, duomenų subjektas pagal Sąjungos teisę yra informuojamas apie pagrindines tokio apribojimo taikymo priežastis ir savo teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui.

7.   Jeigu šio straipsnio 1 dalyje numatytas apribojimas yra nustatytas tam, kad duomenų subjektui nebūtų leista susipažinti su savo asmens duomenimis, Europos duomenų apsaugos priežiūros pareigūnas, tirdamas skundą, tik informuoja duomenų subjektą, ar duomenys buvo tvarkomi tinkamai, o jeigu ne, ar tai buvo ištaisyta.

8.   Šio straipsnio 6 ir 7 dalyse, taip pat 45 straipsnio 2 dalyje nurodytos informacijos pateikimas gal būti atidėtas, ji gali būti nepateikiama arba gali būti atsisakyta ją pateikti, jei dėl jos pateikimo nebeveiktų pagal šio straipsnio 1 dalį nustatytas apribojimas.

IV SKYRIUS

DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 SKIRSNIS

Bendrosios pareigos

26 straipsnis

Duomenų valdytojo atsakomybė

1.   Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2.   Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

3.   Tuo, kad laikomasi patvirtintų sertifikavimo mechanizmų, kaip nurodyta Reglamento (ES) 2016/679 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad vykdomos duomenų valdytojo prievolės.

27 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2.   Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma, tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3.   Patvirtintu sertifikavimo mechanizmu pagal Reglamento (ES) 2016/679 42 straipsnį gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

28 straipsnis

Bendri duomenų valdytojai

1.   Kai du ar daugiau duomenų valdytojų arba vienas ar daugiau duomenų valdytojų kartu su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai, bendrai nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma, susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 15 ir 16 straipsniuose nurodytą informaciją, vykdymą remiantis tarpusavio susitarimu, išskyrus atvejus, kai atitinkama bendrų duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma bendriems duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2.   1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3.   Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.

29 straipsnis

Duomenų tvarkytojas

1.   Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.   Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, taip suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3.   Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriuose nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte, visų pirma, nustatoma, kad duomenų tvarkytojas:

a)

tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

b)

užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;

c)

imasi visų priemonių, kurių reikalaujama pagal 33 straipsnį;

d)

laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;

e)

atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui, taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;

f)

padeda duomenų valdytojui užtikrinti 33–41 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)

pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai pagal Sąjungos ar valstybės narės teisę reikalaujama asmens duomenis saugoti;

h)

pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.

Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

4.   Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma, prievolė pakankamai užtikrinti, jog tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.

5.   Jei duomenų tvarkytojas nėra Sąjungos institucija ar įstaiga, tuo, kad jis laikosi patvirtinto elgesio kodekso, nurodyto Reglamento (ES) 2016/679 40 straipsnio 5 dalyje, arba patvirtinto sertifikavimo mechanizmo, nurodyto Reglamento (ES) 2016/679 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse.

6.   Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant tuos atvejus, kai jos yra duomenų valdytojui, išskyrus Sąjungos instituciją ar įstaigą, pagal Reglamento (ES) 2016/679 42 straipsnį suteikiamo sertifikavimo dalis.

7.   Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 96 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

8.   Europos duomenų apsaugos priežiūros pareigūnas šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas.

9.   Šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, taip pat ir elektronine forma.

10.   Nedarant poveikio 65 ir 66 straipsniams, jei duomenų tvarkytojas, nustatydamas duomenų tvarkymo tikslus ir priemones, pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.

30 straipsnis

Duomenų valdytojui arba duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

31 straipsnis

Duomenų tvarkymo veiklos įrašai

1.   Kiekvienas duomenų valdytojas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)

duomenų valdytojo, duomenų apsaugos pareigūno ir, jei taikoma, duomenų tvarkytojo ir bendro duomenų valdytojo vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

duomenų tvarkymo tikslai;

c)

duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)

duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus valstybėse narėse ar trečiosiose valstybėse arba tarptautines organizacijas, kategorijos;

e)

kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir tinkamų apsaugos priemonių dokumentai;

f)

kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)

kai įmanoma, bendras 33 straipsnyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2.   Kiekvienas duomenų tvarkytojas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)

duomenų tvarkytojo arba duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)

kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir tinkamų apsaugos priemonių dokumentai;

d)

kai įmanoma, bendras 33 straipsnyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3.   1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, taip pat ir elektronine forma.

4.   Sąjungos institucijos ir organai paprašyti pateikia šiuos įrašus Europos duomenų apsaugos priežiūros pareigūnui.

5.   Sąjungos institucijos ir organai savo duomenų tvarkymo veiklos apskaitai vesti naudoja centrinį registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Jie padaro registrą viešai prieinamą.

32 straipsnis

Bendradarbiavimas su Europos duomenų apsaugos priežiūros pareigūnu

Sąjungos institucijos ir organai paprašyti bendradarbiauja su Europos duomenų apsaugos priežiūros pareigūnu, jam atliekant savo užduotis.

2 SKIRSNIS

Asmens duomenų saugumas

33 straipsnis

Duomenų tvarkymo saugumas

1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

a)

pseudonimų suteikimą asmens duomenims ir jų šifravimą;

b)

gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

c)

gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

d)

reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

2.   Nustatant tinkamo lygio saugumą, visų pirma, atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma, dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

3.   Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos teisę.

4.   Tuo, kad laikomasi patvirtinto sertifikavimo mechanizmo, nurodyto Reglamento (ES) 2016/679 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad vykdomi šio straipsnio 1 dalyje nustatyti reikalavimai.

34 straipsnis

Pranešimas Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą

1.   Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Europos duomenų apsaugos priežiūros pareigūnui, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

2.   Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

3.   1 dalyje nurodytame pranešime turi būti bent:

a)

aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)

nurodytas duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

c)

aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)

aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

4.   Kai ir jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

5.   Duomenų valdytojas praneša duomenų apsaugos pareigūnui apie asmens duomenų pažeidimą.

6.   Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasis tais dokumentais, Europos duomenų apsaugos priežiūros pareigūnas turi galėti patikrinti, ar laikomasi šio straipsnio.

35 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1.   Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2.   Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 34 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3.   1 dalyje nurodyto pranešimo duomenų subjektui pateikti nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

a)

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma, tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)

duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)

tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4.   Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Europos duomenų apsaugos priežiūros pareigūnas, apsvarstęs, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 SKIRSNIS

Elektroninių pranešimų konfidencialumas

36 straipsnis

Elektroninių pranešimų konfidencialumas

Sąjungos institucijos ir organai užtikrina elektroninių pranešimų konfidencialumą, visų pirma, apsaugodami savo elektroninių ryšių tinklus.

37 straipsnis

Į paslaugų gavėjų galinius įrenginius perduodamos, juose saugomos, su šiais įrenginiais susijusios, juose apdorojamos ir iš jų renkamos informacijos apsauga

Sąjungos institucijos ir organai apsaugo į paslaugų gavėjų galinius įrenginius, turinčius prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių, perduodamą, tokiuose įrenginiuose saugomą, su šiais įrenginiais susijusią, juose apdorojamą ir iš jų renkamą informaciją, laikantis Direktyvos 2002/58/EB 5 straipsnio 3 dalies.

38 straipsnis

Naudotojų sąrašai

1.   Naudotojų sąrašuose nurodyti asmens duomenys ir teisė pasinaudoti tokiais naudotojų sąrašais griežtai apribojama tokia apimtimi, kuri būtina konkrečiais sąrašų tikslais.

2.   Sąjungos institucijos ir organai imasi visų priemonių, būtinų, kad į tuos sąrašus įtraukti asmens duomenys nebūtų naudojami tiesioginės rinkodaros tikslais, nepaisant to, ar jie yra viešai prieinami, ar ne.

4 SKIRSNIS

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

39 straipsnis

Poveikio duomenų apsaugai vertinimas

1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2.   Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu.

3.   1 dalyje nurodytas poveikio duomenų apsaugai vertinimas, visų pirma, turi būti atliekamas, kai vykdomas:

a)

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)

10 straipsnyje nurodytų specialių kategorijų duomenų ar 11 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu arba

c)

sistemingas viešos vietos stebėjimas dideliu mastu.

4.   Europos duomenų apsaugos priežiūros pareigūnas sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą.

5.   Europos duomenų apsaugos priežiūros pareigūnas taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

6.   Prieš patvirtindamas šio straipsnio 4 ir 5 dalyse nurodytus sąrašus, Europos duomenų apsaugos priežiūros pareigūnas paprašo Reglamento (ES) 2016/679 68 straipsniu įsteigtos Europos duomenų apsaugos valdybos išnagrinėti tokius sąrašus pagal to reglamento 70 straipsnio 1 dalies e punktą, jei tokie sąrašai yra susiję su duomenų tvarkymo operacijomis, kurias duomenų valdytojas atlieka bendrai su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai.

7.   Įvertinime pateikiama bent jau:

a)

sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai;

b)

duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)

1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas ir

d)

pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8.   Vertinant duomenų tvarkytojų, kurie nėra Sąjungos institucijos ir organai, vykdomų duomenų tvarkymo operacijų poveikį, visų pirma, atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų tvarkytojai laikosi Reglamento (ES) 2016/679 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9.   Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10.   Jeigu duomenų tvarkymas pagal 5 straipsnio 1 dalies a arba b punktą turi teisinį pagrindą pagal Sutartis priimtame teisės akte, kuris reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas vykdant bendrą poveikio vertinimą prieš priimant tą teisės aktą, šio straipsnio 1–6 dalys netaikomos, išskyrus atvejus, kai tame teisės akte numatyta kitaip.

11.   Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

40 straipsnis

Išankstinės konsultacijos

1.   Kai iš poveikio duomenų apsaugai vertinimo, atlikto pagal 39 straipsnį, paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą duomenų valdytojas konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu. Duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu dėl išankstinės konsultacijos poreikio.

2.   Jeigu Europos duomenų apsaugos priežiūros pareigūnas laikosi nuomonės, kad 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą, visų pirma, tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, Europos duomenų apsaugos priežiūros pareigūnas ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Europos duomenų apsaugos priežiūros pareigūnas informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratęsimą per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu nurodydamas vėlavimo priežastis. Tie laikotarpiai gali būti sustabdyti iki Europos duomenų apsaugos priežiūros pareigūnui gavus informaciją, kurios jis buvo paprašęs konsultacijų tikslais.

3.   Konsultuodamasis su Europos duomenų apsaugos priežiūros pareigūnu pagal 1 dalį, duomenų valdytojas Europos duomenų apsaugos priežiūros pareigūnui nurodo:

a)

kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis;

b)

numatyto duomenų tvarkymo tikslus ir priemones;

c)

nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal šį reglamentą;

d)

duomenų apsaugos pareigūno kontaktinius duomenis;

e)

39 straipsnyje numatytą poveikio duomenų apsaugai vertinimą ir

f)

bet kurią kitą Europos duomenų apsaugos priežiūros pareigūno prašomą informaciją.

4.   Komisija gali įgyvendinimo aktu sudaryti sąrašą atvejų, kai duomenų valdytojai turi konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu ir gauti išankstinį jo leidimą dėl asmens duomenų tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas atlieka siekdamas viešojo intereso, įskaitant tokių duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos tikslais.

5 SKIRSNIS

Informavimas ir konsultavimasis teisėkūros klausimais

41 straipsnis

Informavimas ir konsultavimasis

1.   Sąjungos institucijos ir organai Europos duomenų apsaugos priežiūros pareigūną informuoja apie rengiamas administracines priemones ir vidaus taisykles, susijusias su atskiros Sąjungos institucijos ar organo ar kartu su kitomis institucijomis tvarkomais asmens duomenimis.

2.   Rengdami 25 straipsnyje nurodytas vidaus taisykles, Sąjungos institucijos ir organai konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

42 straipsnis

Konsultacijos teisėkūros klausimais

1.   Priėmus pasiūlymus dėl teisėkūros procedūra priimamų aktų ir rekomendacijų ar pasiūlymų Tarybai pagal SESV 218 straipsnį ar rengiant deleguotuosius ar įgyvendinimo aktus, turinčius poveikį asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu.

2.   Jei šio straipsnio 1 dalyje nurodytas aktas yra labai svarbus asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat gali konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos valdyba ir Europos duomenų apsaugos priežiūros pareigūnas koordinuoja savo darbą siekdami pateikti bendrą nuomonę.

3.   Šio straipsnio 1 ir 2 dalyse nurodyta konsultacija pateikiama raštu ne vėliau kaip per aštuonias savaites nuo 1 ir 2 dalyse nurodyto prašymo suteikti konsultaciją gavimo dienos. Skubiais atvejais ar kitais atvejais, kai to reikia, Komisija gali sutrumpinti šį terminą.

4.   Šis straipsnis netaikomas, jei Komisija pagal Reglamentą (ES) 2016/679 privalo konsultuotis su Europos duomenų apsaugos valdyba.

6 SKIRSNIS

Duomenų apsaugos pareigūnas

43 straipsnis

Duomenų apsaugos pareigūno skyrimas

1.   Kiekviena Sąjungos institucija ar organas paskiria duomenų apsaugos pareigūną.

2.   Sąjungos institucijos ir organai gali paskirti vieną duomenų apsaugos pareigūną kelioms iš jų, atsižvelgdami į savo organizacinę struktūrą ir dydį.

3.   Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 45 straipsnyje nurodytas užduotis.

4.   Duomenų apsaugos pareigūnas yra Sąjungos institucijos ar organo personalo narys. Atsižvelgiant į tų institucijų ar organų dydį ir jei nepasinaudojama 2 dalyje nurodyta galimybe, Sąjungos institucijos ir organai gali paskirti duomenų apsaugos pareigūną, kuris savo užduotis atliktų pagal paslaugų teikimo sutartį.

5.   Sąjungos institucijos ir organai paskelbia duomenų apsaugos pareigūno kontaktinius duomenis ir praneša juos Europos duomenų apsaugos priežiūros pareigūnui.

44 straipsnis

Duomenų apsaugos pareigūno statusas

1.   Sąjungos institucijos ir organai užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2.   Sąjungos institucijos ir organai padeda duomenų apsaugos pareigūnui atlikti 45 straipsnyje nurodytas užduotis, suteikdami toms užduotims atlikti būtinus išteklius, taip pat suteikdami galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

3.   Sąjungos institucijos ir organai užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl tų užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.

4.   Duomenų subjektai gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais jų asmens duomenų tvarkymu ir naudojimusi savo teisėmis pagal šį reglamentą.

5.   Duomenų apsaugos pareigūnas ir jo personalas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jų užduočių vykdymu, laikydamasis Sąjungos teisės.

6.   Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

7.   Bet kuriuo reglamento aiškinimo ar taikymo klausimu su duomenų apsaugos pareigūnu gali konsultuotis duomenų valdytojas ir duomenų tvarkytojas, atitinkamas darbuotojų komitetas ir bet kuris asmuo, nesikreipdamas į oficialius kanalus. Nė vienas asmuo negali nukentėti dėl to, kad atkreipė kompetentingo duomenų apsaugos pareigūno dėmesį į klausimą tvirtindamas, jog buvo pažeistos šio reglamento nuostatos.

8.   Duomenų apsaugos pareigūnas skiriamas 3–5 metų kadencijai ir gali būti paskirtas dar kartą. Duomenų apsaugos pareigūną paskyrusi Sąjungos institucija ar organas gali atleisti jį iš šių pareigų, jeigu duomenų apsaugos pareigūnas nebeatitinka jo pareigoms nustatytų sąlygų, ir tik Europos duomenų apsaugos priežiūros pareigūno sutikimu.

9.   Duomenų apsaugos pareigūną paskyrusi Sąjungos institucija ar organas po jo paskyrimo jį užregistruoja Europos duomenų apsaugos priežiūros pareigūno institucijoje.

45 straipsnis

Duomenų apsaugos pareigūno užduotys

1.   Duomenų apsaugos pareigūnas atlieka šias užduotis:

a)

informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šį reglamentą ir kitas Sąjungos apsaugos nuostatas ir konsultuoja juos šiais klausimais;

b)

nepriklausomai užtikrina vidinį šio reglamento taikymą ir stebi, kaip laikomasi šio reglamento, kitų taikytinų Sąjungos teisės aktų, kuriuose yra duomenų apsaugos nuostatų, ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

c)

užtikrina, kad duomenų valdytojai ir duomenų subjektai būtų informuoti apie reglamente nustatytas jų teises ir įsipareigojimus;

d)

paprašius teikia konsultacijas dėl būtinumo pateikti pranešimą apie asmens duomenų pažeidimą pagal 34 ir 35 straipsnius;

e)

paprašius teikia konsultacijas dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal 39 straipsnį ir konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu, jei abejoja dėl poreikio atlikti poveikio duomenų apsaugai vertinimą;

f)

paprašius teikia konsultacijas dėl poreikio iš anksto konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu pagal 40 straipsnį, konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu kilus abejonių dėl išankstinės konsultacijos poreikio;

g)

atsako į Europos duomenų apsaugos priežiūros pareigūno prašymus ir, kiek leidžia jo kompetencija, Europos duomenų apsaugos priežiūros pareigūno prašymu arba savo iniciatyva bendradarbiauja ir konsultuojasi su juo;

h)

užtikrina, kad duomenų tvarkymo operacijos nedarytų neigiamo poveikio duomenų subjektų teisėms ir laisvėms.

2.   Duomenų apsaugos pareigūnas gali teikti rekomendacijas dėl duomenų valdytojo ar duomenų tvarkytojo praktinio duomenų apsaugos gerinimo ir konsultuoti juos klausimais, susijusiais su duomenų apsaugos nuostatų taikymu. Be to, jis savo iniciatyva arba duomenų valdytojo ar duomenų tvarkytojo, atitinkamo darbuotojų komiteto ar bet kurio asmens prašymu gali ištirti klausimus ir tiesiogiai su jo darbu susijusius atvejus, apie kuriuos jis sužinojo, bei atsakyti atitinkamai tyrimą užsakiusiam asmeniui, duomenų valdytojui arba duomenų tvarkytojui.

3.   Kiekviena Sąjungos institucija ar organas priima papildomas įgyvendinimo taisykles, susijusias su duomenų apsaugos pareigūnu. Įgyvendinimo taisyklėse pirmiausia turi būti nustatyti duomenų apsaugos pareigūno uždaviniai, pareigos ir įgaliojimai.

V SKYRIUS

ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES ARBA TARPTAUTINĖMS ORGANIZACIJOMS

46 straipsnis

Bendras duomenų perdavimo principas

Asmens duomenys, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją valstybę arba tarptautinei organizacijai, perduodami tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, lakantis kitų šio reglamento nuostatų, laikosi šiame skyriuje nustatytų sąlygų, be kita ko, susijusių su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai. Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nebūtų pakenkta šiuo reglamentu garantuojamam fizinių asmenų apsaugos lygiui.

47 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1.   Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba Direktyvos (ES) 2016/680 36 straipsnio 3 dalį nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą ir jei asmens duomenys perduodami vien tam, kad būtų galima atlikti duomenų valdytojo kompetencijai priskirtinas užduotis.

2.   Sąjungos institucijos ir organai informuoja Komisiją ir Europos duomenų apsaugos priežiūros pareigūną apie atvejus, kai jie mano, kad trečioji šalis, teritorija arba vienas ar daugiau konkrečiai nurodytų trečiosios šalies sektorių arba tarptautinė organizacija neužtikrina tinkamo lygio apsaugos, kaip apibrėžta 1 dalyje.

3.   Sąjungos institucijos ir organai imasi visų priemonių, būtinų siekiant laikytis Komisijos sprendimų, kai ji pagal Reglamento (ES) 2016/679 45 straipsnio 3 ar 5 dalį arba pagal Direktyvos (ES) 2016/680 36 straipsnio 3 arba 5 dalį nustato, kad trečioji šalis, teritorija arba vienas ar daugiau konkrečiai nurodytų trečiosios šalies sektorių arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą arba jos nebeužtikrina.

48 straipsnis

Duomenų perdavimas taikant tinkamas apsaugos priemones

1.   Jeigu nėra priimtas sprendimas pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba Direktyvos (ES) 2016/680 36 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

2.   1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus Europos duomenų apsaugos priežiūros pareigūno leidimo, gali būti nustatomos:

a)

teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

b)

standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 96 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

c)

standartinėmis duomenų apsaugos sąlygomis, kurias priima Europos duomenų apsaugos priežiūros pareigūnas ir pagal 96 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

d)

jei duomenų tvarkytojas nėra Sąjungos institucija ar organas, įmonėms privalomomis taisyklėmis, elgesio kodeksais ar sertifikavimo mechanizmais pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalies b, e ir f punktus.

3.   Gavus Europos duomenų apsaugos priežiūros pareigūno leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

a)

duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis arba

b)

nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

4.   Leidimai, kuriuos Europos duomenų apsaugos priežiūros pareigūnas suteikė remdamasis Reglamento (EB) Nr. 45/2001 9 straipsnio 7 dalimi, lieka galioti tol, kol Europos duomenų apsaugos priežiūros pareigūnas prireikus juos iš dalies pakeičia, pakeičia naujais leidimais arba panaikina.

5.   Sąjungos institucijos ir organai praneša Europos duomenų apsaugos priežiūros pareigūnui apie atvejų, kai buvo taikomas šis straipsnis, kategorijas.

49 straipsnis

Sąjungos teisėje neleidžiamas duomenų perdavimas ar atskleidimas

Bet kuris teismo sprendimas ir bet kuris trečiosios valstybės administracinės institucijos sprendimas, kuriuo reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, gali būti bet kuriuo būdu pripažįstamas arba vykdytinas, tik jei jis grindžiamas tarptautiniu susitarimu, pavyzdžiui, galiojančia prašymą pateikusios trečiosios valstybės ir Sąjungos savitarpio teisinės pagalbos sutartimi, nedarant poveikio kitiems duomenų perdavimo pagrindams pagal šį skyrių.

50 straipsnis

Nukrypti leidžiančios nuostatos konkrečiais atvejais

1.   Jeigu nepriimtas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį arba Direktyvos (ES) 2016/680 36 straipsnio 3 dalį arba nenustatytos tinkamos apsaugos priemonės pagal šio reglamento 48 straipsnį, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atliekami tik su viena iš šių sąlygų:

a)

duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

b)

duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;

c)

duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

d)

duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;

e)

duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

f)

duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo, arba

g)

duomenys perduodami iš registro, kuris pagal Sąjungos teisę yra skirtas teikti visuomenei informaciją ir kuriuo gali naudotis plačioji visuomenė arba bet kuris asmuo, galintis įrodyti savo teisėtą interesą, tačiau tik tiek, kiek kiekvienu konkrečiu atveju yra įvykdytos Sąjungos teisėje nustatytos sąlygos dėl susipažinimo su informacija.

2.   1 dalies a, b, ir c punktai netaikomi veiklai, kurią Sąjungos institucijos ir organai atlieka vykdydami savo viešuosius įgaliojimus.

3.   1 dalies d punkte nurodytas viešasis interesas turi būti pripažįstamas Sąjungos teisėje.

4.   Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys, nebent tai leidžiama pagal Sąjungos teisę. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai.

5.   Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų asmens duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos.

6.   Sąjungos institucijos ir organai praneša Europos duomenų apsaugos priežiūros pareigūnui apie atvejų, kai buvo taikomas šis straipsnis, kategorijas.

51 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Europos duomenų apsaugos priežiūros pareigūnas, bendradarbiaudamas su Komisija ir Europos duomenų apsaugos valdyba, imasi tinkamų veiksmų trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu, kuriais siekiama:

a)

sukurti tarptautinius bendradarbiavimo mechanizmus, kad būtų sudarytos palankesnės sąlygos veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

b)

teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų bei kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c)

atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – prisidėti prie tarptautinio bendradarbiavimo užtikrinant asmens duomenų apsaugos teisės aktų vykdymą;

d)

skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais ir juos dokumentuoti, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis klausimais.

VI SKYRIUS

EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS

52 straipsnis

Europos duomenų apsaugos priežiūros pareigūnas

1.   Šiuo straipsniu įsteigiamas Europos duomenų apsaugos priežiūros pareigūnas.

2.   Europos duomenų apsaugos priežiūros pareigūnas atsako už tai, kad būtų užtikrinta, jog Sąjungos institucijos ir organai, tvarkydami asmens duomenis, gerbtų fizinių asmenų pagrindines teises ir laisves, svarbiausia – jų teisę į duomenų apsaugą.

3.   Europos duomenų apsaugos priežiūros pareigūnas atsako už šio reglamento ir visų kitų Sąjungos aktų, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą Sąjungos institucijai ar organui tvarkant asmens duomenis, nuostatų vykdymo priežiūrą ir užtikrina jų taikymą bei Sąjungos institucijų, organų ir duomenų subjektų konsultavimą visais su asmens duomenų tvarkymu susijusiais klausimais. Tuo tikslu Europos duomenų apsaugos priežiūros pareigūnas atlieka 57 straipsnyje nustatytas užduotis ir įgyvendina 58 straipsniu suteiktus įgaliojimus.

4.   Europos duomenų apsaugos priežiūros pareigūno turimiems dokumentams taikomas Reglamentas (EB) Nr. 1049/2001. Europos duomenų apsaugos priežiūros pareigūnas priima išsamias taisykles dėl Reglamento (EB) Nr. 1049/2001 taikymo tokiems dokumentams.

53 straipsnis

Europos duomenų apsaugos priežiūros pareigūno paskyrimas

1.   Europos Parlamentas ir Taryba, vadovaudamiesi Komisijos parengtu sąrašu, bendru sutarimu paskiria Europos duomenų apsaugos priežiūros pareigūną penkerių metų kadencijai po šioms pareigoms eiti paskelbto viešo konkurso. Visi suinteresuotieji subjektai iš visos Sąjungos gali pateikti paraiškas dalyvauti konkurse šioms pareigoms eiti. Komisijos parengtas kandidatų sąrašas skelbiamas viešai ir jį turi sudaryti bent trys kandidatai. Remdamasis Komisijos sudarytu sąrašu, kompetentingas Europos Parlamento komitetas gali nuspręsti surengti klausymą, kad galėtų nuspręsti, kuriam kandidatui teikti pirmenybę.

2.   Į 1 dalyje nurodytą kandidatų sąrašą turi būti įtraukti asmenys, kurių nepriklausomumas nekelia abejonių ir kurie pripažįstami turintys dalykinių žinių duomenų apsaugos srityje, taip pat patirtį ir gebėjimus, reikalingus Europos duomenų apsaugos priežiūros pareigūno pareigoms atlikti.

3.   Europos duomenų apsaugos priežiūros pareigūno kadencija gali būti pratęsta vieną kartą.

4.   Europos duomenų apsaugos priežiūros pareigūnas nustoja eiti pareigas toliau nurodytais atvejais:

a)

jei Europos duomenų apsaugos priežiūros pareigūnas pakeičiamas;

b)

jei Europos duomenų apsaugos priežiūros pareigūnas atsistatydina;

c)

jei Europos duomenų apsaugos priežiūros pareigūnas atleidžiamas iš pareigų arba privalo išeiti į pensiją.

5.   Teisingumo Teismas Europos Parlamento, Tarybos ar Komisijos prašymu gali Europos duomenų apsaugos priežiūros pareigūną atleisti iš pareigų arba atimti iš jo teisę į pensiją arba kitas išmokas, jeigu jis nebeatitinka jo pareigoms nustatytų sąlygų arba yra kaltas dėl rimto nusižengimo.

6.   Jeigu Europos duomenų apsaugos priežiūros pareigūnas yra pakeičiamas įprasta tvarka arba savanoriškai atsistatydina iš pareigų, nepaisant to, jis ir toliau eina savo pareigas, kol yra pakeičiamas.

7.   Europos duomenų apsaugos priežiūros pareigūnui taip pat yra taikomi Europos Sąjungos Privilegijų ir imunitetų protokolo 11–14 ir 17 straipsniai.

54 straipsnis

Nuostatai ir bendrosios sąlygos, reglamentuojančios Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą, darbuotojus ir finansinius išteklius

1.   Europos duomenų apsaugos priežiūros pareigūnui nustatomas toks atlyginimas, priemokos, senatvės pensija ir kitos vietoje atlyginimo gaunamos išmokos, kokie nustatyti Teisingumo Teismo teisėjui.

2.   Biudžeto valdymo institucija užtikrina, kad Europos duomenų apsaugos priežiūros pareigūnui jo darbams atlikti būtų paskirti būtini darbuotojai ir skirtos atitinkamos lėšos.

3.   Europos duomenų apsaugos priežiūros pareigūno biudžetas turi būti nurodytas Sąjungos bendrojo biudžeto skirsnyje, susijusiame su administracinėmis išlaidomis, atskira biudžeto eilute.

4.   Europos duomenų apsaugos priežiūros pareigūnui padeda sekretoriatas. Europos duomenų apsaugos priežiūros pareigūnas skiria sekretoriato pareigūnus ir kitus tarnautojus, kuriems vadovauja Europos duomenų apsaugos priežiūros pareigūnas. Šie pareigūnai ir tarnautojai vykdo tik Europos duomenų apsaugos priežiūros pareigūno nurodymus. Jų skaičius yra nustatomas kiekvienais metais planuojant biudžetą. Reglamento (ES) 2016/679 75 straipsnio 2 dalis taikoma Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojams, kurie vykdo pagal Sąjungos teisę Europos duomenų apsaugos valdybai nustatytas užduotis.

5.   Europos duomenų apsaugos priežiūros sekretoriato pareigūnai ir kiti darbuotojai laikosi Sąjungos pareigūnams ir kitiems tarnautojams taikomų taisyklių ir nuostatų.

6.   Europos duomenų apsaugos priežiūros pareigūno būstinė yra Briuselyje.

55 straipsnis

Nepriklausomumas

1.   Europos duomenų apsaugos priežiūros pareigūnas, atlikdamas savo užduotis ir įgyvendindamas savo įgaliojimus pagal šį reglamentą, veikia visiškai nepriklausomai.

2.   Europos duomenų apsaugos priežiūros pareigūnas, atlikdamas savo užduotis ir naudodamasis savo įgaliojimais pagal šį reglamentą, nepatiria nei tiesioginės, nei netiesioginės išorės įtakos ir neprašo bei nepriima jokių nurodymų.

3.   Europos duomenų apsaugos priežiūros pareigūnas nesiima jokių su jo pareigomis nesuderinamų veiksmų ir savo kadencijos metu negali dirbti jokio mokamo ar nemokamo darbo.

4.   Pasibaigus jo kadencijai, Europos duomenų apsaugos priežiūros pareigūnas elgiasi sąžiningai ir diskretiškai, sutikdamas dirbti kitose pareigose ir gauti atlyginimą.

56 straipsnis

Profesinė paslaptis

Europos duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

57 straipsnis

Užduotys

1.   Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, Europos duomenų apsaugos priežiūros pareigūnas:

a)

prižiūri ir užtikrina, kad Sąjungos institucijos ir organai taikytų šį reglamentą, išskyrus Teisingumo Teismo atliekamą asmens duomenų tvarkymą, kai jis vykdo teismo funkcijas;

b)

skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

c)

skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

d)

bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su nacionalinėmis priežiūros institucijomis;

e)

nagrinėja skundus, kuriuos pagal 67 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma, tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

f)

atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remdamasis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

g)

savo iniciatyva arba gavęs prašymą konsultuoja visas Sąjungos institucijas ir organus dėl teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

h)

stebi susijusius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų raidą;

i)

priima standartines sutarčių sąlygas, nurodytas 29 straipsnio 8 dalyje ir 48 straipsnio 2 dalies c punkte;

j)

sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 39 straipsnio 4 dalį;

k)

dalyvauja Europos duomenų apsaugos valdybos veikloje;

l)

teikia sekretoriato paslaugas Europos duomenų apsaugos valdybai pagal Reglamento (ES) 2016/679 75 straipsnį;

m)

teikia konsultacijas dėl 40 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

n)

duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 48 straipsnio 3 dalyje;

o)

tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 58 straipsnio 2 dalį;

p)

vykdo visas kitas su asmens duomenų apsauga susijusias užduotis ir

q)

nustato savo darbo tvarkos taisykles.

2.   Europos duomenų apsaugos priežiūros pareigūnas palengvina šio straipsnio 1 dalies e punkte nurodytų skundų pateikimą, pateikdamas skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdamas galimybę naudotis ir kitomis ryšio priemonėmis.

3.   Europos duomenų apsaugos priežiūros pareigūno paslaugos duomenų subjektui teikiamos nemokamai.

4.   Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, Europos duomenų apsaugos priežiūros pareigūnas gali atsisakyti imtis veiksmų pagal prašymą. Europos duomenų apsaugos priežiūros pareigūnui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

58 straipsnis

Įgaliojimai

1.   Europos duomenų apsaugos priežiūros pareigūnui suteikiami tokie tyrimo įgaliojimai:

a)

nurodyti duomenų valdytojui ir duomenų tvarkytojui pateikti visą jo užduotims atlikti reikalingą informaciją;

b)

atlikti tyrimus, kurie atliekami duomenų apsaugos audito forma;

c)

pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

d)

iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais asmens duomenimis ir visa informacija, kurie būtini jo užduotims atlikti;

e)

laikantis Sąjungos teisės, gauti leidimą patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių.

2.   Europos duomenų apsaugos priežiūros pareigūnui suteikiami įgaliojimai imtis tokių taisomųjų veiksmų:

a)

įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

b)

pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

c)

perduoti klausimą atitinkamam duomenų valdytojui ar duomenų tvarkytojui, o prireikus – Europos Parlamentui, Tarybai ir Komisijai;

d)

nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

e)

nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

f)

nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

g)

nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

h)

nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 18, 19 ir 20 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 19 straipsnio 2 dalį ir 21 straipsnį;

i)

skirti administracinę baudą pagal 66 straipsnį tuo atveju, kai Sąjungos institucija ar organas nesilaiko vienos iš šios dalies d–h ir j punktuose nurodytų priemonių, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

j)

nurodyti sustabdyti duomenų srautus duomenų gavėjui valstybėje narėje, trečiojoje valstybėje arba tarptautinei organizacijai.

3.   Europos duomenų apsaugos priežiūros pareigūnas turi tokius leidimų suteikimo ir konsultavimo įgaliojimus;

a)

konsultuoti duomenų subjektus jų teisių įgyvendinimo klausimais;

b)

konsultuoti duomenų valdytoją pagal 40 straipsnyje nurodytą išankstinės konsultacijos procedūrą, laikantis 41 straipsnio 2 dalies;

c)

savo iniciatyva arba paprašytas pateikti nuomones Sąjungos institucijoms ir organams ir visuomenei bet kuriuo klausimu, susijusiu su asmens duomenų apsauga;

d)

patvirtinti 29 straipsnio 8 dalyje ir 48 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas;

e)

duoti leidimą taikyti 48 straipsnio 3 dalies a punkte nurodytas sutarčių sąlygas;

f)

duoti leidimą taikyti 48 straipsnio 3 dalies b punkte nurodytus administracinius susitarimus;

g)

duoti leidimą atlikti duomenų tvarkymo operacijas arba neduoti tokio leidimo pagal įgyvendinimo aktus, priimtus laikantis 40 straipsnio 4 dalies.

4.   Europos duomenų apsaugos priežiūros pareigūnui suteikiami įgaliojimai perduoti klausimą Teisingumo Teismui Sutartyse numatytomis sąlygomis ir įstoti į Teisingumo Teisme nagrinėjamas bylas.

5.   Naudojimuisi pagal šį straipsnį Europos duomenų apsaugos priežiūros pareigūnui suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos teisėje.

59 straipsnis

Duomenų valdytojų ir tvarkytojų pareiga reaguoti į kaltinimus

Kai Europos duomenų apsaugos priežiūros pareigūnas įgyvendina 58 straipsnio 2 dalies a, b ir c punktuose numatytus įgaliojimus, atitinkamas duomenų valdytojas arba duomenų tvarkytojas per pagrįstą terminą, kurį nustato Europos duomenų apsaugos priežiūros pareigūnas, praneša Europos duomenų apsaugos priežiūros pareigūnui savo nuomonę, atsižvelgdamas į kiekvieno atvejo aplinkybes. Atsakyme taip pat nurodomos priemonės, kurių, atsižvelgiant į Europos duomenų apsaugos priežiūros pareigūno pastabas, buvo imtasi, jeigu iš viso buvo imtasi.

60 straipsnis

Veiklos ataskaita

1.   Europos duomenų apsaugos priežiūros pareigūnas Europos Parlamentui, Tarybai ir Komisijai pateikia metinę savo veiklos ataskaitą, tuo pačiu metu ją paskelbdamas viešai.

2.   Europos duomenų apsaugos priežiūros pareigūnas siunčia 1 dalyje nurodytą ataskaitą kitoms Sąjungos institucijoms ir organams, kurie gali pateikti pastabas, kad ataskaitą galimai išnagrinėtų Europos Parlamentas.

VII SKYRIUS

BENDRADARBIAVIMAS IR NUOSEKLUMAS

61 straipsnis

Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų bendradarbiavimas

Europos duomenų apsaugos priežiūros pareigūnas bendradarbiauja su nacionalinėmis priežiūros institucijomis ir su jungtine priežiūros institucija, įsteigta pagal Tarybos sprendimo 2009/917/TVR (19) 25 straipsnį, kiek to reikia, kad jie galėtų įgyvendinti atitinkamas savo pareigas, visų pirma teikiant vieni kitiems reikalingą informaciją, prašant vienas kito įgyvendinti įgaliojimus ir atsakant į vienas kito prašymus.

62 straipsnis

Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų atliekama koordinuotoji priežiūra

1.   Jei Sąjungos akte daroma nuoroda į šį straipsnį, Europos duomenų apsaugos priežiūros pareigūnas ir nacionalinės priežiūros institucijos, veikdami pagal savo atitinkamą kompetenciją ir vykdydami savo pareigas, aktyviai bendradarbiauja, kad būtų užtikrinta veiksminga didelio masto IT sistemų ir Sąjungos organų, tarnybų ir agentūrų priežiūra.

2.   Veikdami pagal savo atitinkamus įgaliojimus ir vykdydami savo pareigas jie prireikus keičiasi reikalinga informacija, padeda vieni kitiems atlikti auditą ir patikras, nagrinėja šio reglamento ir kitų taikytinų Sąjungos aktų aiškinimo ir taikymo sunkumus, tiria problemas, susijusias su nepriklausomos priežiūros įgyvendinimu arba duomenų subjektų naudojimusi savo teisėmis, rengia suderintus pasiūlymus dėl bet kokių problemų sprendimo ir skatina informuotumą apie duomenų apsaugos teises.

3.   Šio straipsnio 2 dalyje išdėstytais tikslais Europos duomenų apsaugos priežiūros pareigūnas ir nacionalinės priežiūros institucijos bent du kartus per metus susitinka Europos duomenų apsaugos valdyboje. Šiais tikslais Europos duomenų apsaugos valdyba prireikus gali parengti kitus darbo metodus.

4.   Europos duomenų apsaugos valdyba kas dvejus metus Europos Parlamentui, Tarybai ir Komisijai siunčia bendrą koordinuotosios priežiūros veiklos ataskaitą.

VIII SKYRIUS

TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

63 straipsnis

Teisė pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui

1.   Neapribojant galimybių imtis kitų teisminių, administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui, jei duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Europos duomenų apsaugos priežiūros pareigūnas informuoja skundą pateikusį asmenį apie skundo nagrinėjimo eigą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 64 straipsnį.

3.   Jei Europos duomenų apsaugos priežiūros pareigūnas neišnagrinėja skundo arba per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo eigą ar rezultatą, laikoma, kad Europos duomenų apsaugos priežiūros pareigūnas priėmė neigiamą sprendimą.

64 straipsnis

Teisė į veiksmingą teisminę teisių gynimo priemonę

1.   Teisingumo Teismas turi jurisdikciją nagrinėti visus ginčus, susijusius su šio reglamento nuostatomis, įskaitant ieškinius atlyginti žalą.

2.   Ieškiniai dėl Europos duomenų apsaugos priežiūros pareigūno sprendimų, įskaitant 63 straipsnio 3 dalyje nurodytus sprendimus, pateikiami Teisingumo Teisme.

3.   Teisingumo Teismas turi neribotą jurisdikciją peržiūrėti 66 straipsnyje nurodytas administracines baudas. Jis gali panaikinti, sumažinti arba padidinti tas baudas laikydamasis 66 straipsnyje nustatytų ribų.

65 straipsnis

Teisė į kompensaciją

Bet kuris asmuo, patyręs turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš Sąjungos institucijos ar organo gauti kompensaciją už patirtą žalą laikantis Sutartyse nustatytų sąlygų.

66 straipsnis

Administracinės baudos

1.   Europos duomenų apsaugos priežiūros pareigūnas gali skirti administracines baudas Sąjungos institucijoms ir organams, atsižvelgdamas į kiekvieno konkretaus atvejo aplinkybes, jei Sąjungos institucija ar organas nesilaiko Europos duomenų apsaugos priežiūros pareigūno nurodymo pagal 58 straipsnio 2 dalies d–h ir j punktus. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)

pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)

bet kuriuos veiksmus, kurių Sąjungos institucija ar organas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

c)

Sąjungos institucijos ar organo atsakomybės dydį, atsižvelgiant į jų pagal 27 ir 33 straipsnius įgyvendintas technines ir organizacines priemones;

d)

bet kuriuos anksčiau Sąjungos institucijos ar organo padarytus panašius pažeidimus;

e)

bendradarbiavimo su Europos duomenų apsaugos priežiūros pareigūnu siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį;

f)

asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

g)

tai, kokiu būdu Europos duomenų apsaugos priežiūros pareigūnas sužinojo apie pažeidimą, visų pirma, tai, ar Sąjungos institucija ar organas pranešė apie pažeidimą (jei taip – kokiu mastu);

h)

atitinkamai Sąjungos institucijai ar organui dėl to paties dalyko anksčiau taikytų 58 straipsnyje nurodytų priemonių laikymąsi. Baudų skyrimo procedūros vykdomos per pagrįstą laikotarpį atsižvelgiant į bylos aplinkybes ir 69 straipsnyje nurodytas atitinkamas bylas ir procedūras.

2.   Už Sąjungos institucijai ar organui tenkančių įpareigojimų pažeidimus pagal 8, 12, 27–35, 39, 40, 43, 44 ir 45 straipsnius, laikantis šio straipsnio 1 dalies, skiriamos administracinės baudos iki 25 000 EUR už vieną pažeidimą ir iš viso ne daugiau kaip 250 000 EUR per metus.

3.   Už toliau nurodytų nuostatų pažeidimus Sąjungos institucijai ar organui laikantis šio straipsnio 1 dalies skiriamos administracinės baudos iki 50 000 EUR už vieną pažeidimą ir iš viso ne daugiau kaip 500 000 EUR per metus:

a)

pagrindinių duomenų tvarkymo principų, įskaitant sutikimo sąlygas, kaip numatyta pagal 4, 5, 7 ir 10 straipsnius;

b)

duomenų subjekto teisių pagal 14–24 straipsnius;

c)

asmens duomenų perdavimo duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 46–50 straipsnius.

4.   Jei Sąjungos institucija ar organas, atlikdamas tą pačią tvarkymo operaciją arba susijusias ar tęstines tvarkymo operacijas, pažeidžia kelias šio reglamento nuostatas arba tą pačią reglamento nuostatą kelis kartus, bendra administracinės baudos suma negali viršyti sumos, nustatytos už sunkiausią pažeidimą.

5.   Prieš priimdamas sprendimus pagal šį straipsnį, Europos duomenų apsaugos priežiūros pareigūnas suteikia Sąjungos institucijai ar organui, dėl kurio Europos duomenų apsaugos priežiūros pareigūnas pradėjo procedūrą, galimybę būti išklausytam klausimais, dėl kurių Europos duomenų apsaugos priežiūros pareigūnas pateikė prieštaravimus. Europos duomenų apsaugos priežiūros pareigūnas savo sprendimus grindžia tik tais prieštaravimais, dėl kurių atitinkamos šalys galėjo pateikti pastabas. Pareiškėjai turi būti įtraukti į bylos nagrinėjimą.

6.   Proceso metu turi būti gerbiama šalių teisė į gynybą. Jiems turi būti suteikta teisė susipažinti su Europos duomenų apsaugos priežiūros pareigūno byla, atsižvelgiant į fizinių asmenų ar įmonių teisėtą interesą, kad būtų apsaugoti jų asmens duomenys ar verslo paslaptys.

7.   Lėšos, surinktos paskyrus šiame straipsnyje numatytas baudas, laikomos Sąjungos bendrojo biudžeto pajamomis.

67 straipsnis

Atstovavimas duomenų subjektams

Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal Sąjungos ar valstybės narės teisę, kurios įstatais nustatyti tikslai atitinka viešąjį interesą ir kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui, jo vardu naudotis 63 ir 64 straipsniuose nurodytomis teisėmis ir jo vardu naudotis 65 straipsnyje nurodyta teise gauti kompensaciją.

68 straipsnis

Sąjungos tarnautojų skundai

Sąjungos institucijoje ar organe dirbantis asmuo gali pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui dėl įtariamo šio reglamento nuostatų pažeidimo, taip pat ir neoficialiais kanalais. Niekas neturi nukentėti dėl to, kad Europos duomenų apsaugos priežiūros pareigūnui pateikė skundą, kuriame nurodomas įtariamas pažeidimas.

69 straipsnis

Sankcijos

Jeigu pareigūnas ar kitas Sąjungos tarnautojas tyčia ar dėl aplaidumo nevykdo šiame reglamente nustatytų įsipareigojimų, atitinkamam pareigūnui arba kitam tarnautojui pagal Tarnybos nuostatuose nustatytas taisykles ir procedūras gali būti iškelta drausminė ar kita byla.

IX SKYRIUS

SĄJUNGOS ORGANŲ, TARNYBŲ IR AGENTŪRŲ, VYKDANČIŲ VEIKLĄ, KURIAI TAIKOMAS SESV TREČIOSIOS DALIES V ANTRAŠTINĖS DALIES 4 SKYRIUS AR 5 SKYRIUS, ATLIEKAMAS OPERATYVINIŲ ASMENS DUOMENŲ TVARKYMAS

70 straipsnis

Skyriaus taikymo sritis

Šis skyrius taikomas tik Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui, nedarant poveikio tiems Sąjungos organams, tarnyboms ar agentūroms taikomoms specialiosioms duomenų apsaugos taisyklėms.

71 straipsnis

Su operatyvinių asmens duomenų tvarkymu susiję principai

1.   Operatyviniai asmens duomenys turi būti:

a)

tvarkomi teisėtai ir sąžiningai (teisėtumo ir sąžiningumo principas);

b)

renkami nustatytais, aiškias ir teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu (tikslo apribojimo principas);

c)

adekvatūs, tinkami ir neviršijantys to, ko reikia siekiant tikslų, kuriais jie tvarkomi (duomenų kiekio mažinimo principas);

d)

tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad operatyviniai asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

e)

saugomi tokiu būdu, kad būtų galima nustatyti duomenų subjektų tapatybę, ne ilgiau nei reikia pasiekti tikslus, kuriais operatyviniai asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);

f)

tvarkomi taip, kad taikant tinkamas technines arba organizacines priemones būtų užtikrintas tinkamas operatyvinių asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo ar neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2.   Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais Sąjungos organo, tarnybos ar agentūros steigimo teisės akte nurodytais tikslais, kurie nesutampa su tikslu, kuriuo renkami operatyviniai asmens duomenys, leidžiama, jeigu:

a)

duomenų valdytojui pagal Sąjungos teisę leidžiama tvarkyti tokius operatyvinius asmens duomenis tokiu tikslu ir

b)

duomenų tvarkymas pagal Sąjungos teisę yra būtinas ir proporcingai atitinka tą kitą tikslą.

3.   To paties ar kito duomenų valdytojo vykdomas duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso ar naudojimą mokslinių, statistinių ar istorinių tyrimų tikslais, siekiant Sąjungos organo, tarnybos ar agentūros steigimo teisės akte nurodytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

4.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1, 2 ir 3 dalių, ir turi sugebėti tai įrodyti.

72 straipsnis

Operatyvinių asmens duomenų tvarkymo teisėtumas

1.   Operatyvinių asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, užduočiai atlikti ir jeigu jis vykdomas tik tokiu mastu, kokiu reikia, ir pagrįstas Sąjungos teise.

2.   Konkrečiuose Sąjungos teisės aktuose, kuriais reglamentuojamas duomenų tvarkymas pagal šį skyrių, nurodomi bent tvarkymo tikslai, tvarkytini operatyviniai asmens duomenys, tvarkymo paskirtis ir operatyvinių asmens duomenų saugojimo terminai arba periodinės peržiūros siekiant nustatyti, ar būtina toliau saugoti operatyvinius asmens duomenis, atlikimo terminai.

73 straipsnis

Skirtingų kategorijų duomenų subjektų atskyrimas

Duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskiria skirtingų kategorijų duomenų subjektų operatyvinius asmens duomenis, pavyzdžiui, vadovaudamasis Sąjungos organų, tarnybų ir agentūrų steigimo teisės aktuose nurodytomis kategorijomis.

74 straipsnis

Operatyvinių asmens duomenų skirstymas ir operatyvinių asmens duomenų kokybės patikrinimas

1.   Duomenų valdytojas, kiek įmanoma, atskiria faktais pagrįstus operatyvinius asmens duomenis nuo asmeniniais vertinimais pagrįstų operatyvinių asmens duomenų.

2.   Duomenų valdytojas imasi visų pagrįstų priemonių, siekdamas užtikrinti, kad operatyviniai asmens duomenys, kurie yra netikslūs, neišsamūs arba nebeaktualūs, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu duomenų valdytojas, jei reikia ir kiek įmanoma, tikrina operatyvinių asmens duomenų kokybę (pavyzdžiui, konsultuodamasis su duomenis pateikusia kompetentinga valdžios institucija) prieš juos persiunčiant arba prieš suteikiant galimybę jais naudotis. Kiekvienu operatyvinių asmens duomenų perdavimo atveju, kiek tai įmanoma, duomenų valdytojas prideda būtiną informaciją, kuri suteikia galimybę gavėjui įvertinti operatyvinių asmens duomenų tikslumo, išsamumo ir patikimumo laipsnį, taip pat jų naujumą.

3.   Paaiškėjus, kad buvo persiųsti neteisingi operatyviniai asmens duomenys arba kad operatyviniai asmens duomenys buvo persiųsti neteisėtai, duomenų gavėjas nedelsiant apie tai informuojamas. Tokiu atveju atitinkami operatyviniai asmens duomenys pagal 82 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

75 straipsnis

Konkrečios duomenų tvarkymo sąlygos

1.   Kai pagal Sąjungos teisę, taikytiną duomenis perduodančiam duomenų valdytojui, numatytos konkrečios duomenų tvarkymo sąlygos, duomenų valdytojas informuoja tokių operatyvinių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

2.   Duomenų valdytojas laikosi konkrečių tvarkymo sąlygų, kurias duomenis perduodančios kompetentingos institucijos duomenų tvarkymui nustato pagal Direktyvos (ES) 2016/680 9 straipsnio 3 ir 4 dalis.

76 straipsnis

Specialių kategorijų operatyvinių asmens duomenų tvarkymas

1.   Operatyvinių asmens duomenų tvarkymas, kuriuo atskleidžiama rasinė arba etninė kilmė, politinės pažiūros, religiniai arba filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant vienareikšmiškai nustatyti fizinio asmens tapatybę, arba operatyvinių asmens duomenų apie asmens sveikatą ar lytinį gyvenimą ir seksualinę orientaciją tvarkymas leidžiamas tik tada, kai tai tikrai būtina operatyviniais tikslais ir atitinkamam Sąjungos organui, tarnybai ar agentūrai vykdant savo įgaliojimus, jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Draudžiama diskriminuoti fizinius asmenis remiantis tokiais asmens duomenimis.

2.   Duomenų apsaugos pareigūnas nepagrįstai nedelsiant informuojamas apie šio straipsnio taikymą.

77 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1.   Draudžiama priimti bet kokį sprendimą, grindžiamą tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris turi jam didelės įtakos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos teisę, kuri taikoma duomenų valdytojui ir kuria nustatytos tinkamos duomenų subjekto teisių ir laisvių, bent teisė reikalauti iš duomenų valdytojo žmogaus įsikišimo, apsaugos priemonės.

2.   Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami 76 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

3.   Profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis 76 straipsnyje nurodytais specialių kategorijų asmens duomenimis, pagal Sąjungos teisę draudžiamas.

78 straipsnis

Pranešimas ir duomenų subjektų naudojimosi savo teisėmis sąlygos

1.   Duomenų valdytojas imasi pagrįstų priemonių, kad visa 79 straipsnyje nurodyta informacija ir visi 80–84 ir 92 straipsniuose nurodyti pranešimai, susiję su duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama bet kokiomis tinkamomis priemonėmis, taip pat ir elektroniniu būdu. Paprastai duomenų valdytojas pateikia informaciją tokia pačia forma kaip ir prašymą.

2.   Duomenų valdytojas sudaro palankesnes sąlygas naudotis 79–84 straipsniuose nustatytomis duomenų subjekto teisėmis.

3.   Duomenų valdytojas nepagrįstai nedelsdamas raštu informuoja duomenų subjektą apie su jo prašymu susijusius tolesnius veiksmus, bet kuriuo atveju vėliausiai po trijų mėnesių nuo duomenų subjekto prašymo gavimo.

4.   Pagal 79 straipsnį teikiamą informaciją ir visus pagal 80–84 ir 92 straipsnius teikiamus pranešimus ar atliekamus veiksmus duomenų valdytojas teikia ir vykdo nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, duomenų valdytojas gali atsisakyti imtis veiksmų dėl prašymo. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

5.   Jei duomenų valdytojas turi pagrįstų abejonių dėl 80 arba 82 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

79 straipsnis

Informacija, kuri turi būti padaroma prieinama arba pateikta duomenų subjektui

1.   Duomenų valdytojas duomenų subjektui padaro prieinama bent šią informaciją:

a)

Sąjungos organo, tarnybos ar agentūros tapatybę ir kontaktinius duomenis;

b)

duomenų apsaugos pareigūno kontaktinius duomenis;

c)

duomenų tvarkymo tikslus, kuriems operatyviniai asmens duomenys yra skirti;

d)

informaciją apie teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui ir jo kontaktinius duomenis;

e)

informaciją apie duomenų subjekto teisę iš duomenų valdytojo reikalauti, kad pastarasis leistų susipažinti su duomenų subjekto operatyviniais asmens duomenimis, juos ištaisytų ar ištrintų ir apribotų jo operatyvinių asmens duomenų tvarkymą.

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas konkrečiais pagal Sąjungos teisę numatytais atvejais duomenų subjektui pateikia toliau nurodytą informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

a)

duomenų tvarkymo teisinį pagrindą;

b)

operatyvinių asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

c)

kai taikoma, operatyvinių asmens duomenų gavėjų kategorijas, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;

d)

prireikus papildomą informaciją, visų pirma tais atvejais, kai operatyviniai asmens duomenys renkami apie tai nežinant duomenų subjektui.

3.   Duomenų valdytojas gali atidėti informacijos teikimą duomenų subjektui pagal 2 dalį, jį apriboti arba jo nepaisyti tiek, kiek ir tol, kol tokia priemonė, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant:

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

nepakenkti nusikalstamų veikų prevencijai, atskleidimui, tyrimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)

apsaugoti valstybių narių viešąjį saugumą;

d)

apsaugoti valstybių narių nacionalinį saugumą;

e)

apsaugoti kitų asmenų, kaip antai nukentėjusiųjų ir liudytojų, teises ir laisves.

80 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję operatyviniai asmens duomenys yra tvarkomi, o jei tokie operatyviniai asmens duomenys yra tvarkomi, turi teisę susipažinti su operatyviniais asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslai ir teisinis pagrindas;

b)

atitinkamų operatyvinių asmens duomenų kategorijos;

c)

duomenų gavėjai arba duomenų gavėjų, kuriems buvo atskleisti operatyviniai asmens duomenys, visų pirma, duomenų gavėjų trečiosiose valstybėse arba tarptautinėse organizacijose, kategorijos;

d)

kai įmanoma, numatomas operatyvinių asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)

tai, jog duomenų subjektas turi teisę iš duomenų valdytojo reikalauti, kad pastarasis ištaisytų ar ištrintų duomenų subjekto operatyvinius asmens duomenis arba apribotų tų operatyvinių asmens duomenų tvarkymą;

f)

teisė pateikti skundą Europos duomenų apsaugos pareigūnui ir jo kontaktiniai duomenys;

g)

pranešimas, kokie operatyviniai asmens duomenys yra tvarkomi, ir visa turima informacija apie jų kilmę.

81 straipsnis

Teisės susipažinti su duomenimis apribojimai

1.   Duomenų valdytojas gali visiškai arba iš dalies apriboti duomenų subjekto teisę susipažinti su duomenimis tiek, kiek ir kol toks dalinis arba visiškas apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant:

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

išvengti kenkimo nusikalstamų veikų prevencijai, atskleidimui, tyrimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)

apsaugoti valstybių narių viešąjį saugumą;

d)

apsaugoti valstybių narių nacionalinį saugumą;

e)

apsaugoti kitų asmenų, pavyzdžiui, aukų ir liudytojų, teises ir laisves.

2.   1 dalyje nurodytais atvejais duomenų valdytojas nepagrįstai nedelsdamas raštu informuoja duomenų subjektą apie bet kokį atsisakymą leisti susipažinti su duomenimis arba tokios teisės apribojimą ir tokio atsisakymo arba apribojimo priežastis. Tokia informacija gali būti nesuteikta, jei jos pateikimas pakenktų tikslui, kurio siekiama 1 dalimi. Duomenų valdytojas informuoja duomenų subjektą apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Teisingumo Teisme. Duomenų valdytojas dokumentuoja faktines arba teisines priežastis, kuriomis pagrįstas sprendimas. Gavus prašymą, tokia informacija pateikiama Europos duomenų apsaugos priežiūros pareigūnui.

82 straipsnis

Teisė reikalauti ištaisyti ar ištrinti operatyvinius asmens duomenis ir apriboti jų tvarkymą

1.   Bet kuris duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius operatyvinius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs operatyviniai asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

2.   Duomenų valdytojas nepagrįstai nedelsdamas ištrina operatyvinius asmens duomenis ir duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius operatyvinius asmens duomenis, jeigu duomenų tvarkymu pažeidžiamas 71 straipsnis, 72 straipsnio 1 dalis arba 76 straipsnis arba jeigu operatyviniai asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui.

3.   Duomenų valdytojas apriboja duomenų tvarkymą jų neištrindamas, jeigu:

a)

duomenų subjektas ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba

b)

asmens duomenys turi būti išsaugoti įrodymų tikslais.

Jeigu duomenų tvarkymas ribojamas pagal pirmos pastraipos a punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

Apriboti duomenys tvarkomi tik tuo tikslu, dėl kurio jie buvo neištrinti.

4.   Duomenų valdytojas raštu informuoja duomenų subjektą, jei jis atsisako ištaisyti ar ištrinti operatyvinius asmens duomenis arba apriboti jų tvarkymą bei apie tokio atsisakymo priežastis. Duomenų valdytojas gali visiškai arba iš dalies apriboti tokios informacijos teikimą tiek, kiek toks apribojimas, tinkamai paisant atitinkamo fizinio asmens pagrindinių teisių ir teisėtų interesų, yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant:

a)

netrukdyti atlikti oficialius arba teisinius nagrinėjimus, tyrimus ar procedūras;

b)

išvengti kenkimo nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas arba bausmių vykdymui;

c)

apsaugoti valstybių narių viešąjį saugumą;

d)

apsaugoti valstybių narių nacionalinį saugumą;

e)

apsaugoti kitų asmenų, kaip antai nukentėjusiųjų ir liudytojų, teises ir laisves.

Duomenų valdytojas informuoja duomenų subjektą apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Teisingumo Teisme.

5.   Duomenų valdytojas praneša apie netikslių operatyvinių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs operatyviniai asmens duomenys buvo gauti.

6.   Tais atvejais, kai operatyviniai asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas pagal 1, 2 ar 3 dalis, duomenų valdytojas informuoja duomenų gavėjus ir jiems praneša, kad jie turi ištaisyti ar ištrinti operatyvinius asmens duomenis arba apriboti operatyvinių asmens duomenų tvarkymą, kai asmens duomenų tvarkymas priklauso jų atsakomybei.

83 straipsnis

Teisė susipažinti su duomenimis baudžiamuosiuose tyrimuose ir baudžiamosiose bylose

Tais atvejais, kai operatyviniai asmens duomenys buvo gauti iš kompetentingos institucijos, Sąjungos organų, tarnybų ir agentūrų, prieš priimdamos sprendimą dėl duomenų subjekto teisės susipažinti su duomenimis, kreipiasi į atitinkamą kompetentingą instituciją siekdamos patikrinti, ar tokie asmens duomenys nėra nurodomi teismo sprendime, nuosprendžių registre arba byloje vykdant nusikalstamų veikų tyrimus ir baudžiamąjį procesą kompetentingos institucijos valstybėje narėje. Jei tie asmens duomenys nurodomi minėtu būdu, sprendimas dėl teisės susipažinti su duomenimis priimamas konsultuojantis ir glaudžiai bendradarbiaujant su atitinkama kompetentinga institucija.

84 straipsnis

Duomenų subjekto naudojimasis teisėmis ir Europos duomenų apsaugos priežiūros pareigūno atliekamas patikrinimas

1.   79 straipsnio 3 dalyje, 81 straipsnyje ir 82 straipsnio 4 dalyje nurodytais atvejais duomenų subjekto teisėmis taip pat gali būti naudojamasi per Europos duomenų apsaugos priežiūros pareigūną.

2.   Duomenų valdytojas informuoja duomenų subjektą apie galimybę pasinaudoti jo teisėmis per Europos duomenų apsaugos priežiūros pareigūną pagal 1 dalį.

3.   Kai naudojamasi 1 dalyje nurodyta teise, Europos duomenų apsaugos priežiūros pareigūnas bent jau praneša duomenų subjektui, kad jis atliko visus būtinus patikrinimus ar peržiūrą. Europos duomenų apsaugos priežiūros pareigūnas taip pat informuoja duomenų subjektą apie jo teisę teismine tvarka apskųsti sprendimą Teisingumo Teisme.

85 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, kurį kelia duomenų tvarkymas, duomenų valdytojas tiek duomenų tvarkymo priemonių nustatymo metu, tiek paties tvarkymo metu turi įgyvendinti tinkamas technines ir organizacines priemones, pavyzdžiui, pseudonimų suteikimą, skirtas tam, kad būtų veiksmingai įgyvendinami duomenų apsaugos principai, pavyzdžiui, duomenų kiekio mažinimas, ir kad į duomenų tvarkymo procesą būtų integruotos reikiamos apsaugos priemonės, siekiant įvykdyti šio reglamento ir duomenų valdytojo steigimo teisės akto reikalavimus ir apsaugoti duomenų subjektų teises.

2.   Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrinama, kad standartizuotai būtų tvarkomi tik tie operatyviniai asmens duomenys, kurie yra tinkami, aktualūs ir ne pernelyg išsamūs tikslo, kuriuo jie tvarkomi, atžvilgiu. Ta prievolė taikoma surinktų operatyvinių asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma, tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su operatyviniais asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

86 straipsnis

Bendri duomenų valdytojai

1.   Kai du ar daugiau duomenų valdytojų arba vienas ar daugiau duomenų valdytojų kartu su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai, bendrai nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 79 straipsnyje nurodytą informaciją, vykdymą remiantis tarpusavio susitarimu, išskyrus atvejus, kai atitinkama bendrų duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma bendriems duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2.   1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjekto atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3.   Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.

87 straipsnis

Duomenų tvarkytojas

1.   Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento ir duomenų valdytojo steigimo teisės akto reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.   Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, taip suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3.   Duomenų tvarkytojo atliekamą duomenų tvarkymą reglamentuoja sutartis arba kitas teisės aktas pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriais nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, operatyvinių asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte, visų pirma, nustatoma, kad duomenų tvarkytojas:

a)

veikia tik pagal duomenų valdytojo nurodymus;

b)

užtikrina, kad operatyvinius asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė;

c)

visomis tinkamomis priemonėmis padeda duomenų valdytojui užtikrinti, kad būtų laikomasi nuostatų dėl duomenų subjekto teisių;

d)

pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus operatyvinius asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos teisėje ar valstybės narės teisėje reikalaujama operatyvinius asmens duomenis saugoti;

e)

pateikia duomenų valdytojui visą informaciją, būtiną norint parodyti, kad laikomasi šiame straipsnyje nustatytų prievolių;

f)

laikosi 2 dalyje ir šioje dalyje nurodytų sąlygų, kurios taikomos siekiant pasitelkti kitą duomenų tvarkytoją.

4.   3 dalyje nurodyta sutartis arba kitas teisės aktas sudaromi raštu, be kita ko, ir elektronine forma.

5.   Jeigu duomenų tvarkytojas, nustatydamas duomenų tvarkymo tikslus ir priemones, pažeidžia šį reglamentą ar duomenų valdytojo steigimo teisės aktą, to duomenų tvarkymo atžvilgiu tas duomenų tvarkytojas laikomas duomenų valdytoju.

88 straipsnis

Registracijos įrašai

1.   Duomenų valdytojas saugo registracijos įrašus apie visas šias automatizuotose duomenų tvarkymo sistemose atliekamas duomenų tvarkymo operacijas: operatyvinių asmens duomenų rinkimą, keitimą, prieigą prie jų, susipažinimą su jais, jų atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Susipažinimo ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokias operacijas pagrindžiančias priežastis ir jų atlikimo datą ir laiką, taip pat nustatyti asmens, kuris susipažino su operatyviniais asmens duomenimis arba juos atskleidė, tapatybę ir, kiek tai įmanoma, tokių operatyvinių asmens duomenų gavėjų tapatybę.

2.   Registracijos įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti operatyvinių asmens duomenų vientisumą bei saugumą ir baudžiamojo proceso tikslais. Tokie įrašai ištrinami po trejų metų, išskyrus atvejus, kai jų reikia tęstinei kontrolei vykdyti.

3.   Duomenų valdytojas, gavęs prašymą, tuos registracijos įrašus pateikia savo duomenų apsaugos pareigūnui ir Europos duomenų apsaugos priežiūros pareigūnui.

89 straipsnis

Poveikio duomenų apsaugai vertinimas

1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, prieš pradėdamas vykdyti duomenų tvarkymą, atlieka numatytų duomenų tvarkymo operacijų poveikio operatyvinių asmens duomenų apsaugai vertinimą.

2.   1 dalyje nurodytame vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tam pavojui pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama operatyvinių asmens duomenų apsauga ir įrodoma, kad laikomasi duomenų apsaugos taisyklių, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

90 straipsnis

Išankstinės konsultacijos su Europos duomenų apsaugos priežiūros pareigūnu

1.   Duomenų valdytojas iš anksto konsultuojasi su Europos duomenų apsaugos priežiūros pareigūnu prieš pradėdamas tvarkyti duomenis, kurie bus įtraukti į naują susistemintą rinkinį, kuris turi būti sukurtas, jeigu:

a)

poveikio duomenų apsaugai vertinime pagal 89 straipsnį nurodyta, kad atliekant duomenų tvarkymą kiltų didelis pavojus tuo atveju, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti, arba

b)

dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, mechanizmus ar taikant naujas procedūras, kyla didelis pavojus duomenų subjektų teisėms ir laisvėms.

2.   Europos duomenų apsaugos priežiūros pareigūnas gali parengti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 1 dalį, sąrašą.

3.   Duomenų valdytojas pateikia Europos duomenų apsaugos priežiūros pareigūnui 89 straipsnyje nurodytą poveikio duomenų apsaugai vertinimą ir, gavęs prašymą, bet kokią kitą informaciją, kad Europos duomenų apsaugos priežiūros pareigūnas galėtų įvertinti, ar duomenų tvarkymas atitinka reikalavimus, visų pirma pavojų duomenų subjekto operatyvinių asmens duomenų apsaugai ir susijusias apsaugos priemones.

4.   Jeigu Europos duomenų apsaugos priežiūros pareigūnas laikosi nuomonės, kad šio straipsnio 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą arba teisės aktą, steigiantį Sąjungos organą, tarnybą ar agentūrą, visų pirma, tais atvejais, kai duomenų valdytojas yra nepakankamai nustatęs arba nepakankamai sumažinęs pavojų, Europos duomenų apsaugos priežiūros pareigūnas ne vėliau kaip per šešias savaites nuo prašymo dėl konsultacijos gavimo raštu pateikia duomenų valdytojui rekomendacijas. Tas laikotarpis gali būti pratęstas vienu mėnesiu, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Europos duomenų apsaugos priežiūros pareigūnas informuoja duomenų valdytoją apie bet kokį tokio laikotarpio pratęsimą per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo, taip pat ir apie vėlavimo priežastis.

91 straipsnis

Operatyvinių asmens duomenų tvarkymo saugumas

1.   Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdami į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma, kiek tai susiję su specialių kategorijų operatyvinių asmens duomenų tvarkymu.

2.   Automatizuoto duomenų tvarkymo srityje duomenų valdytojas ir duomenų tvarkytojas, atlikę rizikos vertinimą, įgyvendina priemones, kuriomis siekiama:

a)

nesuteikti leidimo neturintiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos duomenims tvarkyti (prieigos prie įrangos kontrolė);

b)

užkirsti kelią neteisėtam duomenų laikmenų skaitymui, kopijavimui, keitimui arba pašalinimui (duomenų laikmenų kontrolė);

c)

užkirsti kelią neteisėtam operatyvinių asmens duomenų įvedimui ir neteisėtam saugomų operatyvinių asmens duomenų tikrinimui, keitimui ar ištrynimui (saugojimo kontrolė);

d)

neleisti leidimo neturintiems asmenims, kurie naudojasi duomenų perdavimo įranga, naudotis automatizuotomis duomenų tvarkymo sistemomis (naudotojo kontrolė);

e)

užtikrinti, kad asmenys, kuriems suteiktas leidimas naudotis automatizuota duomenų tvarkymo sistema, turėtų prieigą tik prie tų operatyvinių asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos prie duomenų kontrolė);

f)

užtikrinti, kad būtų galima patikrinti ir nustatyti, kurioms įstaigoms operatyviniai asmens duomenys buvo arba gali būti persiųsti, arba kurioms buvo arba gali būti suteikta galimybė su jais susipažinti naudojant duomenų perdavimo įrangą (perdavimo kontrolė);

g)

užtikrinti, kad vėliau būtų galima patikrinti ir nustatyti, kokie operatyviniai asmens duomenys buvo įvesti į automatizuotas duomenų tvarkymo sistemas, ir nustatyti, kada ir kas tuos operatyvinius asmens duomenis įvedė (įvedimo kontrolė);

h)

užkirsti kelią neteisėtam operatyvinių asmens duomenų skaitymui, kopijavimui, keitimui arba ištrynimui operatyvinių asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (siuntimo kontrolė);

i)

užtikrinti, kad įdiegtos sistemos pertraukties atveju galėtų būti atkurtos (atgaminimas);

j)

užtikrinti, kad sistemos funkcijos veiktų, kad apie pastebėtas funkcionavimo klaidas būtų pranešama (patikimumas) ir kad saugomi operatyviniai asmens duomenys negalėtų būti iškraipyti dėl blogo sistemos veikimo (vientisumas).

92 straipsnis

Pranešimas Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą

1.   Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Europos duomenų apsaugos priežiūros pareigūnui, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, kartu su pranešimu nurodomos vėlavimo priežastys.

2.   1 dalyje nurodytame pranešime turi būti bent:

a)

aprašomas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų operatyvinių asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)

nurodomas duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

c)

aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)

aprašomos priemonės, kurių ėmėsi duomenų valdytojas, arba kurių siūloma, kad jis imtųsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones siekiant sumažinti jo galimą neigiamą poveikį.

3.   Jeigu 2 dalyje nurodytos informacijos nėra įmanoma pateikti tuo pačiu metu, informaciją galima teikti etapais, toliau nepagrįstai nedelsiant.

4.   Duomenų valdytojas turi dokumentuoti visus 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius su asmens duomenų saugumo pažeidimu, jo poveikį ir taisomuosius veiksmus, kurių imtasi. Remdamasis tais dokumentais, Europos duomenų apsaugos priežiūros pareigūnas turi galėti patikrinti, ar laikomasi šio straipsnio.

5.   Tais atvejais, kai asmens duomenų saugumo pažeidimas yra susijęs su operatyviniais asmens duomenimis, kurie buvo persiųsti kompetentingų institucijų arba kompetentingoms institucijoms, duomenų valdytojas nepagrįstai nedelsdamas pateikia 2 dalyje nurodytą informaciją atitinkamoms kompetentingoms institucijoms.

93 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1.   Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2.   Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 92 straipsnio 2 dalies b, c ir d punktuose nurodyta informacija ir rekomendacijos.

3.   1 dalyje nurodyto pranešimo duomenų subjektui pateikti nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

a)

duomenų valdytojas įgyvendino tinkamas technologines ir organizacines apsaugos priemones ir tos priemonės taikytos operatyviniams asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma, tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su operatyviniais asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)

duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)

tam prireiktų neproporcingai daug pastangų. Tokiu atveju pranešimas skelbiamas viešai arba taikoma panaši priemonė, kuria duomenų subjektai informuojami taip pat veiksmingai.

4.   Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Europos duomenų apsaugos priežiūros pareigūnas, apsvarstęs, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

5.   Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti laikantis 79 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

94 straipsnis

Operatyvinių asmens duomenų perdavimas trečiosioms valstybėms ir tarptautinėms organizacijoms

1.   Duomenų valdytojas, laikydamasis Sąjungos organo, tarnybos ar agentūros steigimo teisės aktuose nustatytų apribojimų ir sąlygų, gali perduoti operatyvinius asmens duomenis trečiosios šalies institucijai arba tarptautinei organizacijai, jeigu toks perdavimas yra būtinas duomenų valdytojo užduotims atlikti ir tik jeigu yra tenkinamos šiame skyriuje nustatytos sąlygos, būtent:

a)

Komisija pagal Direktyvos (ES) 2016/680 36 straipsnio 3 dalį yra priėmusi tinkamumo sprendimą, kuriuo nustatoma, kad trečioji valstybė arba teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamą apsaugos lygį;

b)

nesant Komisijos sprendimo dėl tinkamumo pagal a punktą, remiamasi Sąjungos ir tos trečiosios valstybės ar tarptautinės organizacijos tarptautiniu susitarimu, sudarytu pagal SESV 218 straipsnį, kuriuo užtikrinamas pakankamas privatumo ir pagrindinių asmens teisių ir laisvių apsaugos lygis;

c)

nesant Komisijos sprendimo dėl tinkamumo pagal a punktą ar b punkte nurodyto tarptautinio susitarimo, iki atitinkamo Sąjungos organo, tarnybos ar agentūros steigimo teisės akto taikymo dienos buvo sudarytas to Sąjungos organo, tarnybos ar agentūros ir atitinkamos trečiosios valstybės bendradarbiavimo susitarimas, kuriuo leidžiama keistis operatyviniais asmens duomenimis.

2.   Sąjungos organų, tarnybų ir agentūrų steigimo teisės aktuose gali būti išlaikytos arba numatytos konkretesnės nuostatos dėl tarptautinio operatyvinių asmens duomenų perdavimo, visų pirma, dėl asmens duomenų perdavimo taikant tinkamas apsaugos priemones, ir su konkrečiomis situacijomis susijusios nukrypti leidžiančios nuostatos.

3.   Duomenų valdytojas savo interneto svetainėje skelbia ir nuolat atnaujina sprendimų dėl tinkamumo, nurodytų 1 dalies a punkte, susitarimų, administracinių susitarimų ir kitų dokumentų, susijusių su operatyvinių asmens duomenų perdavimu pagal 1 dalį, sąrašą.

4.   Duomenų valdytojas detaliai registruoja visus pagal šį straipsnį atliekamo duomenų perdavimo atvejus.

95 straipsnis

Teisminių tyrimų ir baudžiamojo proceso slaptumas

Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, steigimo teisės aktų taisyklėmis gali būti nustatytas įpareigojimas Europos duomenų apsaugos priežiūros pareigūnui, kad jis, naudodamasis savo priežiūros įgaliojimais, kiek įmanoma labiau paisytų teisminio tyrimo ir baudžiamojo proceso slaptumo, kaip numatyta pagal Sąjungos arba valstybės narės teisę.

X SKYRIUS

ĮGYVENDINIMO AKTAI

96 straipsnis

Komiteto procedūra

1.   Komisijai padeda komitetas, įsteigtas pagal Reglamento (ES) 2016/679 93 straipsnį. Tas komitetas – tai komitetas, kaip nustatyta Reglamente (ES) Nr. 182/2011.

2.   Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

XI SKYRIUS

PERŽIŪRA

97 straipsnis

Peržiūros nuostata

Ne vėliau kaip 2022 m. balandžio 30 d. ir po to kas penkerius metus Komisija Europos Parlamentui ir Tarybai pateikia ataskaitą dėl šio reglamento taikymo ir prireikus prideda atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų.

98 straipsnis

Sąjungos teisės aktų peržiūra

1.   Ne vėliau kaip 2022 m. balandžio 30 d. Komisija atlieka teisės aktų, priimtų remiantis Sutartimis ir reglamentuojančių Sąjungos organų, tarnybų ar agentūrų atliekamą operatyvinių asmens duomenų tvarkymą vykdant veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, peržiūrą, siekdama:

a)

įvertinti jų atitiktį Direktyvai (ES) 2016/680 ir šio reglamento IX skyriui;

b)

nustatyti bet kokius skirtumus, dėl kurių Sąjungos organams, tarnyboms ar agentūroms, vykdantiems veiklą nurodytose srityse, ir kompetentingoms valdžios institucijoms gali būti trukdoma keistis operatyviniais asmens duomenimis, ir

c)

nustatyti bet kokius skirtumus, dėl kurių gali atsirasti Sąjungos duomenų apsaugos teisės aktų teisinė fragmentacija.

2.   Atsižvelgdama į šią peržiūrą ir norėdama užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant duomenis, Komisija gali pateikti atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų visų pirma siekdama, kad šio reglamento IX skyrius būtų taikomas Europolui ir Europos prokuratūrai, ir įskaitant pasiūlymus pritaikyti šio reglamento IX skyrių, kai tinkama.

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

99 straipsnis

Reglamento (EB) Nr. 45/2001 ir Sprendimo Nr. 1247/2002/EB panaikinimas

Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB panaikinami nuo 2018 m. gruodžio 11 d. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą.

100 straipsnis

Pereinamojo laikotarpio priemonės

1.   Šis reglamentas neturi įtakos Europos Parlamento ir Tarybos sprendimui 2014/886/ES (20) ir dabartinei Europos duomenų apsaugos priežiūros pareigūno bei jo pavaduotojo kadencijai.

2.   Europos duomenų apsaugo priežiūros pareigūno pavaduotojui nustatomas toks atlyginimas, priemokos, senatvės pensija ir kitos vietoje atlyginimo gaunamos išmokos, kokie nustatyti Teisingumo Teismo kancleriui.

3.   Šio reglamento 53 straipsnio 4, 5 ir 7 dalys ir 55 bei 56 straipsniai taikomi dabartiniam Europos duomenų apsaugo priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos.

4.   Europos duomenų apsaugos priežiūros pareigūno pavaduotojas padeda Europos duomenų apsaugos priežiūros pareigūnui atlikti pareigas ir pavaduoja jį, kai Europos duomenų apsaugos priežiūros pareigūno nėra ar kai jis negali eiti savo pareigų, iki dabartinio Europos duomenų apsaugos priežiūros pareigūno pavaduotojo kadencijos pabaigos.

101 straipsnis

Įsigaliojimas ir taikymas

1.   Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2.   Tačiau Eurojusto atliekamam asmens duomenų tvarkymui šis reglamentas taikomas nuo 2019 m. gruodžio 12 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Strasbūre 2018 m. spalio 23 d.

Europos Parlamento vardu

Pirmininkas

A. TAJANI

Tarybos vardu

Pirmininkė

K. EDTSTADLER


(1)  OL C 288, 2017 8 31, p. 107.

(2)  2018 m. rugsėjo 13 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2018 m. spalio 11 d. Tarybos sprendimas.

(3)  2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(4)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(5)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).

(6)  1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

(7)  2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70).

(8)  2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(9)  2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).

(10)  OL L 56, 1968 3 4, p. 1.

(11)  2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(12)  2009 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 223/2009 dėl Europos statistikos, panaikinantis Europos Parlamento ir Tarybos reglamentą (EB, Euratomas) Nr. 1101/2008 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai, Tarybos reglamentą (EB) Nr. 322/97 dėl Bendrijos statistikos ir Tarybos sprendimą 89/382/EEB, Euratomas, įsteigiantį Europos Bendrijų statistikos programų komitetą (OL L 87, 2009 3 31, p. 164).

(13)  2002 m. liepos 1 d. Europos Parlamento, Tarybos ir Komisijos sprendimas Nr. 1247/2002/EB dėl Europos duomenų apsaugos priežiūros pareigūno pareigų atlikimą reglamentuojančių nuostatų ir bendrųjų sąlygų (OL L 183, 2002 7 12, p. 1).

(14)  OL C 164, 2017 5 24, p. 2.

(15)  2016 m. gegužės 11 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/794 dėl Europos Sąjungos teisėsaugos bendradarbiavimo agentūros (Europolo), kuriuo pakeičiami ir panaikinami Tarybos sprendimai 2009/371/TVR, 2009/934/TVR, 2009/935/TVR, 2009/936/TVR ir 2009/968/TVR (OL L 135, 2016 5 24, p. 53).

(16)  2017 m. spalio 12 d. Tarybos reglamentas (ES) 2017/1939, kuriuo įgyvendinamas tvirtesnis bendradarbiavimas Europos prokuratūros įsteigimo srityje (OL L 283, 2017 10 31, p. 1).

(17)  2015 m. rugsėjo 9 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/1535, kuria nustatoma informacijos apie techninius reglamentus ir informacinės visuomenės paslaugų taisykles teikimo tvarka (OL L 241, 2015 9 17, p. 1).

(18)  2008 m. birželio 20 d. Komisijos direktyva 2008/63/EB dėl konkurencijos telekomunikacijų galinių įrenginių rinkose (OL L 162, 2008 6 21, p. 20).

(19)  2009 m. lapkričio 30 d. Tarybos sprendimas 2009/917/TVR dėl informacinių technologijų naudojimo muitinės tikslais (OL L 323, 2009 12 10, p. 20).

(20)  2014 m. gruodžio 4 d. Europos Parlamento ir Tarybos sprendimas 2014/886/ES, kuriuo skiriamas Europos duomenų apsaugos priežiūros pareigūnas ir priežiūros pareigūno pavaduotojas (OL L 351, 2014 12 9, p. 9).


21.11.2018   

LT

Europos Sąjungos oficialusis leidinys

L 295/99


EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2018/1726

2018 m. lapkričio 14 d.

dėl Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūros (eu-LISA), kuriuo iš dalies keičiamas Reglamentas (EB) Nr. 1987/2006 ir Tarybos sprendimas 2007/533/TVR bei panaikinamas Reglamentas (ES) Nr. 1077/2011

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 74 straipsnį, 77 straipsnio 2 dalies a ir b punktus, 78 straipsnio 2 dalies e punktą, 79 straipsnio 2 dalies c punktą, 82 straipsnio 1 dalies d punktą, 85 straipsnio 1 dalį, 87 straipsnio 2 dalies a punktą ir 88 straipsnio 2 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

laikydamiesi įprastos teisėkūros procedūros (1),

kadangi:

(1)

Šengeno informacinė sistema (SIS II) sukurta Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1987/2006 (2) ir Tarybos sprendimu 2007/533/TVR (3). Pagal Reglamentą (EB) Nr. 1987/2006 ir Sprendimą 2007/533/TVR už centrinės sistemos SIS II (toliau – centrinė SIS II) operacijų valdymą pereinamuoju laikotarpiu turi būti atsakinga Komisija. Pasibaigus pereinamajam laikotarpiui, už centrinės SIS II operacijų valdymą ir tam tikrus ryšių infrastruktūros aspektus turi būti atsakinga valdymo institucija;

(2)

Vizų informacinė sistema (VIS) sukurta Tarybos sprendimu 2004/512/EB (4). Pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 767/2008 (5) už VIS operacijų valdymą pereinamuoju laikotarpiu turi būti atsakinga Komisija. Pasibaigus pereinamajam laikotarpiui, už centrinės VIS operacijų valdymą, nacionalines sąsajas ir tam tikrus ryšių infrastruktūros aspektus turi būti atsakinga valdymo institucija;

(3)

„Eurodac“ sukurta Tarybos reglamentu (EB) Nr. 2725/2000 (6). Tarybos reglamente (EB) Nr. 407/2002 (7) nustatytos būtinos įgyvendinimo taisyklės. Tie teisės aktai nuo 2015 m. liepos 20 d. buvo panaikinti ir pakeisti Europos Parlamento ir Tarybos reglamentu (ES) Nr. 603/2013 (8);

(4)

Europos didelės apimties informacinių technologijų (toliau – IT) sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra, paprastai vadinama eu-LISA, įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1077/2011 (9), siekiant užtikrinti SIS, VIS ir „Eurodac“ ir tam tikrų jų ryšių infrastruktūros aspektų operacijų valdymą ir galbūt kitų didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymą, jei bus priimti atskiri Sąjungos teisės aktai. Reglamentas (ES) Nr. 1077/2011 buvo iš dalies pakeistas Reglamentu (ES) Nr. 603/2013, siekiant atsižvelgti į padarytus „Eurodac“ pakeitimus;

(5)

kadangi valdymo institucijai turėjo būti suteiktas teisinis, administracinis ir finansinis savarankiškumas, ji buvo įsteigta kaip teisinį subjektiškumą turinti reguliavimo agentūra (toliau – Agentūra). Kaip buvo susitarta, Agentūros būstinė įsteigta Taline (Estija). Tačiau su techniniu plėtojimu ir pasirengimu valdyti SIS II ir VIS operacijas susijusios užduotys jau buvo vykdomos Strasbūre (Prancūzija), o tų sistemų atsarginė stotis įrengta Pongau Sankt Johane (Austrija) – tai taip pat atitinka SIS II ir VIS sistemų vietas, kaip nustatyta pagal atitinkamus Sąjungos teisės aktus, taip turėtų būti ir toliau. Tos dvi stotys turėtų toliau būti vietos, kuriose atitinkamai yra vykdomos su „Eurodac“ operacijų valdymu susijusios užduotys ir yra įrengta „Eurodac“ atsarginė stotis. Tos dvi stotys taip pat turėtų būti vietos, skirtos atitinkamai kitų didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje techniniam plėtojimui ir operacijų valdymui ir atsarginei stočiai, kuri būtų pajėgi užtikrinti didelės apimties IT sistemos veikimą tos didelės apimties IT sistemos gedimo atveju. Siekiant užtikrinti kuo didesnes atsarginės stoties naudojimo galimybes, ta stotis galėtų būti taip pat tuo pačiu metu naudojama sistemų operacijoms vykdyti, jeigu ji ir toliau pajėgs užtikrinti jų veikimą vienos ar kelių sistemų gedimo atveju. Atsižvelgiant į sistemų didelio saugumo, pajėgumų reikalaujantį ir ypatingos svarbos pobūdį, jeigu esamų techninių stočių prieglobos pajėgumo nebepakanka, Agentūros valdyba (toliau – Valdančioji taryba) turėtų turėti galimybę, jeigu tai pagrįsta nepriklausomu poveikio vertinimu ir sąnaudų ir naudos analize, pasiūlyti įsteigti antrą atskirą techninę stotį arba Strasbūre, arba Pongau Sankt Johane, arba abiejose vietose (priklausomai nuo poreikio), kad ji galėtų teikti sistemų prieglobą. Valdančioji taryba turėtų pasikonsultuoti su Komisija ir atsižvelgti į Komisijos nuomonę, prieš pranešdama Europos Parlamentui ir Tarybai (toliau – biudžeto institucija) apie savo ketinimą įgyvendinti bet kokį projektą, susijusį su nekilnojamą turtą liečiančiais klausimais;

(6)

2012 m. gruodžio 1 d. pradėjusi veikti Agentūra perėmė su VIS susijusias užduotis, pavestas valdymo institucijai Reglamentu (EB) Nr. 767/2008 ir Tarybos sprendimu 2008/633/TVR (10). 2013 m. balandžio mėn. Agentūra taip pat perėmė su SIS II susijusias užduotis, pavestas valdymo institucijai Reglamentu (EB) Nr. 1987/2006 ir Sprendimu 2007/533/TVR, kai SIS II ėmė veikti, o 2013 m. birželio mėn. perėmė su „Eurodac“ susijusias užduotis, pavestas Komisijai pagal reglamentus (EB) Nr. 2725/2000 ir (EB) Nr. 407/2002;

(7)

2015–2016 m. laikotarpiu atlikus pirmąjį Agentūros darbo įvertinimą, grindžiamą nepriklausomu išorės įvertinimu, padaryta išvada, kad Agentūra veiksmingai užtikrina didelės apimties IT sistemų operacijų valdymą ir kitų jai pavestų užduočių vykdymą, o taip pat Reglamente (ES) Nr. 1077/2011 reikia padaryti tam tikrus pakeitimus, pavyzdžiui, Komisijos vykdomas ryšių infrastruktūros užduotis perduoti Agentūrai. Remdamasi išorės įvertinimu, Komisija atsižvelgė į politikos, teisinių ir faktinių aplinkybių pokyčius ir pirmiausia savo 2017 m. birželio 29 d. ataskaitoje dėl Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūros (eu-LISA) veikimo (toliau – įvertinimo ataskaita) pasiūlė išplėsti Agentūros įgaliojimus, kad ji vykdytų užduotis, atsirandančias dėl teisės aktų leidėjų priimtų teisėkūros procedūra priimamo akto pasiūlymų patikėti naujas sistemas Agentūrai bei užduotis, nurodytas 2016 m. balandžio 6 d. Komisijos komunikate dėl patikimesnių ir pažangesnių sienų ir saugumo informacinės sistemos, 2017 m. gegužės 11 d. galutinėje Aukšto lygio informacinių sistemų ir sąveikumo ekspertų grupės ataskaitoje ir 2017 m. gegužės 16 d. Komisijos komunikate „Septintoji pažangos, padarytos kuriant tikrą ir veiksmingą saugumo sąjungą, ataskaita“, priimant atitinkamus Sąjungos teisės aktus, jei reikalinga. Visų pirma, Agentūrai turėtų būti pavesta užduotis plėtoti sprendimus, susijusius su sąveikumu, 2016 m. balandžio 6 d. komunikate apibrėžtu kaip informacinių sistemų gebėjimas keistis duomenimis ir sudaryti sąlygas keistis informacija.

Kai tinkama, vykdant bet kokius su sąveikumu susijusius veiksmus, turėtų būti remiamasi 2017 m. kovo 23 d. Komisijos komunikatu „Europos sąveikumo sistema. Įgyvendinimo strategija“. To komunikato 2 priede pateikiamos bendrosios gairės, rekomendacijos ir geriausios patirties pavyzdžiai, kaip užtikrinti sąveikumą arba bent sukurti tam tikrą aplinką, siekiant geresnio sąveikumo, kuriant, įgyvendinant ir valdant Europos viešąsias paslaugas;

(8)

įvertinimo ataskaitoje taip pat padaryta išvada, kad Agentūros įgaliojimai turėtų būti išplėsti, kad ji galėtų patarti valstybėms narėms dėl nacionalinių sistemų prijungimo prie Agentūros valdomų didelės apimties IT sistemų centrinių sistemų (toliau – sistemos) ir, kai prašoma, valstybėms narėms teikti ad hoc pagalbą ir paramą, ir Komisijos tarnyboms teikti pagalbą ir paramą techniniais klausimais, susijusiais su naujomis sistemomis;

(9)

todėl Agentūra turėtų būti atsakinga už atvykimo ir išvykimo sistemos (AIS), sukurtos Europos Parlamento ir Tarybos reglamentu (ES) 2017/2226 (11), parengimą, plėtojimą ir operacijų valdymą;

(10)

Agentūrai taip pat turėtų būti patikėta valdyti pagal Tarybos reglamento (EB) Nr. 1560/2003 (12) 18 straipsnį sukurtos, atskiros, saugios, elektroninių ryšių priemonės, skirtos duomenų perdavimui, „DubliNet“, kuria valstybių narių kompetentingos prieglobsčio institucijos turėtų naudotis, keičiantis informacija apie tarptautinės apsaugos prašančius asmenis, operacijas;

(11)

dar Agentūra turėtų būti atsakinga už Europos kelionių informacijos ir leidimų sistemos (ETIAS), sukurtos Europos Parlamento ir Tarybos reglamentu (ES) 2018/1240 (13) parengimą, plėtojimą ir operacijų valdymą;

(12)

pagrindinė Agentūros funkcija turėtų būti ir toliau vykdyti SIS II, VIS, „Eurodac“, AIS, „DubliNet“, ETIAS ir, jei priimamas atitinkamas sprendimas, kitų didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo užduotis. Agentūra taip pat turėtų būti atsakinga už technines priemones, reikalingas jai pavestoms nenorminio pobūdžio užduotims atlikti. Tos pareigos turėtų nedaryti poveikio norminėms užduotims, kurios pavestos vykdyti vien Komisijai ar Komisijai, padedant komitetui, pagal atitinkamus Sąjungos teisės aktus, kuriais reglamentuojamos sistemos;

(13)

Agentūra turėtų galėti įgyvendinti techninius sprendimus, kad būtų tenkinami prieinamumo reikalavimai, nustatyti Sąjungos teisės aktuose, kuriais reglamentuojamos sistemos, visapusiškai laikantis konkrečių tų teisės aktų nuostatų, susijusių su atitinkamų sistemų technine architektūra. Kai dėl tokių techninių sprendimų reikia dubliuoti sistemą arba sistemos komponentus, turėtų būti atliktas nepriklausomas poveikio vertinimas ir sąnaudų ir naudos analizė, ir Valdančioji taryba, pasikonsultavusi su Komisija, turėtų priimti sprendimą. Atliekant tą poveikio vertinimą, taip pat turėtų būti išnagrinėta, kokia yra esamų techninių stočių prieglobos pajėgumų paklausa, susijusi su tokių techninių sprendimų plėtojimu, ir kokie yra galimi rizikos veiksniai, susiję su esama veikimo sąranka;

(14)

nebėra pagrindo Komisijai toliau vykdyti tam tikras su sistemų ryšių infrastruktūra susijusias užduotis, todėl tos užduotys turėtų būti perduotos Agentūrai, siekiant pagerinti ryšių infrastruktūros valdymo darnumą. Tačiau, kalbant apie sistemas, kurios naudoja „EuroDomain“, saugią ryšių infrastruktūrą, užtikrinamą TESTA-ng (naujos kartos Europinės telematinių tinklų paslaugos valstybės valdymo institucijoms) ir įsteigtą, kaip ISA programos, kuri buvo nustatyta Europos Parlamento ir Tarybos sprendimu Nr. 922/2009/EB (14), dalį, ir tęstą, kaip ISA2 programos, nustatytos Europos Parlamento ir Tarybos sprendimu (ES) 2015/2240 (15), dalį, už su biudžeto vykdymu, įsigijimu ir atnaujinimu ir sutartiniais reikalais susijusių užduočių vykdymą turėtų ir toliau būti atsakinga Komisija;

(15)

su ryšių infrastruktūros įdiegimu, konfigūravimu, priežiūra ir stebėsena susijusias užduotis Agentūra turėtų galėti patikėti privačiojo sektoriaus subjektams ar įstaigoms iš išorės, laikydamasi Europos Parlamento ir Tarybos reglamento (ES, Euratomas) 2018/1046 (16). Agentūra turėtų turėti pakankamai biudžeto ir žmogiškųjų išteklių, kad poreikis užduotis ir pareigas perleisti privataus sektoriaus subjektams ar įstaigoms iš išorės būtų kuo mažesnis;

(16)

Agentūra taip pat turėtų toliau vykdyti užduotis, susijusias su SIS II, VIS, „Eurodac“ ir kitų sistemų, kurios gali būti jai patikėtos ateityje, techninio naudojimo mokymu;

(17)

siekdama prisidėti prie įrodymais grindžiamos Sąjungos migracijos ir saugumo politikos formavimo ir prie tinkamo sistemų veikimo stebėsenos, Agentūra turėtų rengti ir skelbti statistinius duomenis, rengti statistines ataskaitas ir leisti su jomis susipažinti atitinkamiems subjektams pagal Sąjungos teisės aktus, kuriais reglamentuojamos sistemos, pavyzdžiui, siekiant stebėti Tarybos reglamento (ES) Nr. 1053/2013 (17) įgyvendinimą, ir atlikti rizikos analizę ir pažeidžiamumo vertinimą pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/1624 (18);

(18)

be to, Agentūrai taip pat turėtų būti galima suteikti atsakomybę už papildomų didelės apimties IT sistemų parengimą, plėtojimą ir operacijų valdymą, taikant Sutarties dėl Europos Sąjungos veikimo (SESV) 67–89 straipsnius. Galimi tokių sistemų pavyzdžiai galėtų būti: centralizuota valstybių narių, turinčių informacijos apie priimtus trečiųjų šalių piliečių arba asmenų be pilietybės apkaltinamuosius nuosprendžius, nustatymo sistema (toliau – ECRIS-TCN sistema) arba kompiuterizuota sistema tarpvalstybiniam teisminių institucijų bendravimui civilinių ir baudžiamųjų bylų srityje (e. CODEX). Visgi tokios sistemos Agentūrai turėtų būti patikėtos tik vėliau priimtais, atskirais Sąjungos teisės aktais, prieš tai atlikus poveikio vertinimą;

(19)

Agentūros įgaliojimai, susiję su moksliniais tyrimais, turėtų būti išplėsti, siekiant padidinti jos gebėjimą aktyviau siūlyti svarbius ir būtinus techninius jai patikėtų IT sistemų pakeitimus. Agentūra ne tik turėtų galėti stebėti mokslinių tyrimų veiklą, aktualią sistemų operacijų valdymui, bet ir prisidėti prie atitinkamų Europos Sąjungos bendrosios mokslinių tyrimų ir inovacijų programos dalių įgyvendinimo, kai Komisija Agentūrai deleguoja atitinkamus įgaliojimus. Agentūra turėtų bent kartą per metus siųsti su tokia stebėsena susijusią informaciją Europos Parlamentui, Tarybai, o su asmens duomenų tvarkymu susijusiais atvejais – ir Europos duomenų apsaugos priežiūros pareigūnui;

(20)

Komisija turėtų turėti galimybę patikėti Agentūrai atsakomybę už eksperimentinio pobūdžio bandomųjų projektų, skirtų veiksmų įgyvendinamumui ir naudingumui patikrinti, kurie pagal Reglamentą (ES, Euratomas) 2018/1046 galėtų būti įgyvendinti, nesiremiant pagrindiniu aktu, vykdymą. Be to, informavusi Europos Parlamentą, Komisija turėtų turėti galimybę pavesti Agentūrai biudžeto vykdymo užduotis, susijusias su koncepcijų pagrįstumo įrodymu, finansuojama pagal išorės sienų ir vizų finansinės paramos priemonę, nustatytą Europos Parlamento ir Tarybos reglamente (ES) Nr. 515/2014 (19), pagal Reglamentą (ES, Euratomas) 2018/1046. Agentūra taip pat turėtų turėti galimybę planuoti ir įgyvendinti bandomąją veiklą, tačiau ji turi būti susijusi tik su tais klausimais, kuriuos apima šis reglamentas ir Sąjungos teisės aktai, kuriais reglamentuojamas sistemų plėtojimas, sukūrimas, veikimas ir naudojimas, pavyzdžiui, išmėginti virtualizavimo koncepcijas. Gavusi užduotį vykdyti bandomąjį projektą, Agentūra ypatingą dėmesį turėtų skirti Europos Sąjungos informacijos valdymo strategijai;

(21)

valstybėms narėms paprašius, Agentūra turėtų jas konsultuoti nacionalinių sistemų prijungimo prie centrinių sistemų, numatytų sistemas reglamentuojančiuose Sąjungos teisės aktuose, klausimais;

(22)

valstybėms narėms paprašius, Agentūra, laikydamasi šiame reglamente nustatytos tvarkos, taip pat turėtų joms teikti ad hoc paramą, kai to reikia dėl neeilinių su saugumu ar migracija susijusių iššūkių ar poreikių. Visų pirma, valstybė narė turėtų galėti prašyti ir tikėtis operatyvinio ir techninio pastiprinimo, kai ta valstybė narė susiduria su specifiniais ir neproporcingais, su migracija susijusiais iššūkiais, pasižyminčiais dideliu imigracijos srautų antplūdžiais tam tikrose vietose prie jos išorės sienų. Tokį pastiprinimą migrantų antplūdžio vietose turėtų teikti migracijos valdymo rėmimo grupės, sudarytos iš atitinkamų Sąjungos agentūrų ekspertų. Jei tokiomis aplinkybėmis reikia Agentūros paramos klausimais, susijusiais su jos valdomomis sistemomis, atitinkama valstybė narė prašymą suteikti paramą turėtų siųsti Komisijai, o ši, įvertinusi, ar tokia parama yra deramai pagrįsta, turėtų nedelsdama perduoti paramos prašymą Agentūrai. Agentūra apie tokius prašymus turėtų informuoti Valdančiąją tarybą. Komisija taip pat turėtų stebėti, ar Agentūra laiku reaguoja į prašymus suteikti ad hoc paramą. Agentūros metinėje veiklos ataskaitoje turėtų būti išsamiai nurodyta, kokių veiksmų Agentūra ėmėsi, kad suteiktų ad hoc paramą valstybėms narėms, ir kokių patirta su tuo susijusių išlaidų;

(23)

kai prašoma, Agentūra taip pat turėtų padėti Komisijos tarnyboms techniniais klausimais, susijusiais su esamomis arba naujomis sistemomis, visų pirma, rengiant naujus pasiūlymus dėl didelės apimties IT sistemų, kurios turėtų būti patikėtos Agentūrai;

(24)

taip pat valstybių narių grupė turėtų turėti galimybę patikėti Agentūrai plėtoti, valdyti bendrą IT komponentą ir (arba) teikti jo prieglobą, siekiant joms padėti įgyvendinti techninius pareigų, nustatytų Sąjungos teisės aktuose dėl decentralizuotų IT sistemų laisvės, saugumo ir teisingumo erdvėje, aspektus. Tuo neturėtų būti daromas poveikis tų valstybių narių pareigoms pagal taikytinus Sąjungos teisės aktus, visų pirma, pareigoms, susijusioms su tų sistemų architektūra. Tam turėtų būti gautas išankstinis Komisijos patvirtinimas, priimtas teigiamas Valdančiosios tarybos sprendimas; tai turėtų būti įtraukta į atitinkamų valstybių narių ir Agentūros delegavimo susitarimą ir finansuojama vien tik iš atitinkamų valstybių narių lėšų. Agentūra turėtų informuoti Europos Parlamentą ir Tarybą apie patvirtintą delegavimo susitarimą ir bet kokius jo pakeitimus. Kitos valstybės narės turėtų turėti galimybę dalyvauti tokių bendrų IT sprendimų projekte, jei tokia galimybė yra numatyta delegavimo susitarime ir atliekami reikiami to susitarimo pakeitimai. Ši užduotis neturėtų neigiamai veikti Agentūros vykdomo sistemų operacijų valdymo;

(25)

tai, kad Agentūrai patikimas didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymas, neturėtų daryti poveikio specialiosioms taisyklėms, taikomoms toms sistemoms. Visų pirma, visa apimtimi taikomos specialiosios taisyklės, susijusios su kiekvienos tokios sistemos tikslu, prieigos teisėmis, saugumo priemonėmis ir papildomais duomenų apsaugos reikalavimais;

(26)

siekiant efektyviai stebėti Agentūros veikimą, Valdančiojoje taryboje turėtų būti atstovaujama valstybėms narėms ir Komisijai. Valdančiajai tarybai turėtų būti patikėtos reikiamos funkcijos, visų pirma: priimti metinę darbo programą, vykdyti su Agentūros biudžetu susijusias funkcijas, priimti Agentūrai taikytinas finansines taisykles ir nustatyti vykdomojo direktoriaus sprendimų, susijusių su Agentūros veiklos užduotimis, priėmimo tvarką. Valdančioji taryba šias užduotis turėtų vykdyti efektyviai ir skaidriai. Be to, Komisijai surengus deramą atrankos procedūrą ir įvykus siūlomų kandidatų klausymui kompetentingame (-uose) Europos Parlamento komitete (-uose), Valdančioji taryba turėtų paskirti vykdomąjį direktorių;

(27)

atsižvelgiant į tai, kad Agentūrai patikėtų didelės apimties IT sistemų skaičius iki 2020 m. gerokai padidės ir kad Agentūros užduotys yra labai plečiamos, atitinkamai iki 2020 m. labai išaugs Agentūros darbuotojų skaičius. Todėl ir atsižvelgiant į tai, kad dėl užduočių, susijusių su sistemų plėtojimu ir operacijų valdymu, reikės didesnės ir specialios priežiūros, ir į tai, kad Agentūros būstinė ir techninės stotys yra trijose valstybėse narėse, reikėtų įsteigti Agentūros vykdomojo direktoriaus pavaduotojo etatą. Vykdomojo direktoriaus pavaduotoją turėtų skirti Valdančioji taryba;

(28)

Agentūra turėtų būti valdoma ir veikti, atsižvelgiant į 2012 m. liepos 19 d. Europos Parlamento, Tarybos ir Komisijos patvirtintus Bendrajame požiūryje į Sąjungos decentralizuotas agentūras įtvirtintus principus;

(29)

kalbant apie SIS II, Europos Sąjungos teisėsaugos bendradarbiavimo agentūra (Europolas) ir Europos teisminio bendradarbiavimo padalinys (Eurojustas), kurie abu pagal Sprendimą 2007/533/TVR turi prieigos prie SIS II sistemoje įkeltų duomenų ir tiesioginės jų paieškos toje sistemoje teisę, turėtų turėti stebėtojo statusą Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su to sprendimo taikymu susijęs klausimas. Europos sienų ir pakrančių apsaugos agentūrai, turinčiai prieigos prie SIS II ir paieškos joje teisę pagal Reglamentą (ES) 2016/1624, turėtų būtų suteiktas stebėtojo statusas Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su to reglamento taikymu susijęs klausimas. Europolas, Eurojustas ir Europos sienų ir pakrančių apsaugos agentūra turėtų turėti galimybę skirti po atstovą į SIS II patariamąją grupę, įsteigtą pagal šį reglamentą;

(30)

kalbant apie VIS, Europolui turėtų būti suteiktas stebėtojo statusas Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su Tarybos sprendimo 2008/633/TVR taikymu susijęs klausimas. Europolas turėtų turėti galimybę skirti atstovą į VIS patariamąją grupę, įsteigtą pagal šį reglamentą;

(31)

kalbant apie „Eurodac“, Europolui turėtų būti suteiktas stebėtojo statusas Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su Reglamento (ES) Nr. 603/2013 taikymu susijęs klausimas. Europolas turėtų turėti galimybę skirti atstovą į „Eurodac“ patariamąją grupę, įsteigtą pagal šį reglamentą;

(32)

kalbant apie AIS, Europolui turėtų būti suteiktas stebėtojo statusas Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su Reglamentu (ES) 2017/2226 susijęs klausimas;

(33)

kalbant apie ETIAS, Europolui turėtų būti suteiktas stebėtojo statusas Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su Reglamentu (ES) 2018/1240 susijęs klausimas. Europos sienų ir pakrančių apsaugos agentūrai taip pat turėtų būti suteiktas stebėtojo statusas Valdančiosios tarybos posėdžiuose, kuriuose svarstomas su ETIAS susijęs klausimas dėl to Reglamento taikymo. Europolas ir Europos sienų ir pakrančių apsaugos agentūra turėtų turėti galimybę skirti po atstovą į šiuo reglamentu įsteigtą AIS ir ETIAS patariamąją grupę;

(34)

valstybės narės Valdančiojoje taryboje turėtų turėti teisę balsuoti dėl didelės apimties IT sistemų, jeigu jos pagal Sąjungos teisę yra saistomos Sąjungos teisės akto, kuriuo reglamentuojamas tos konkrečios sistemos plėtojimas, sukūrimas, veikimas ir naudojimas. Danija taip pat turėtų turėti teisę balsuoti dėl didelės apimties IT sistemos, jeigu ji pagal Protokolo Nr. 22 dėl Danijos pozicijos, pridėto prie Europos Sąjungos sutarties (toliau – ES sutartis) ir SESV, 4 straipsnį nusprendžia savo nacionalinėje teisės sistemoje įgyvendinti Sąjungos teisės aktą, kuriuo reglamentuojamas tos konkrečios sistemos plėtojimas, sukūrimas, veikimas ir naudojimas;

(35)

valstybės narės turėtų paskirti narį į didelės apimties IT sistemos patariamąją grupę, jeigu jos pagal Sąjungos teisę yra saistomos Sąjungos teisės akto, kuriuo reglamentuojamas tos konkrečios sistemos plėtojimas, sukūrimas, veikimas ir naudojimas. Danija papildomai turėtų paskirti narį į didelės apimties IT sistemos patariamąją grupę, jeigu ji pagal Protokolo Nr. 22 4 straipsnį nusprendžia savo nacionalinėje teisės sistemoje įgyvendinti Sąjungos teisės aktą, kuriuo reglamentuojamas tos konkrečios didelės apimties IT sistemos plėtojimas, sukūrimas, veikimas ir naudojimas. Prireikus patariamosios grupės turėtų bendradarbiauti tarpusavyje;

(36)

siekiant užtikrinti visišką Agentūros savarankiškumą ir nepriklausomumą ir sudaryti jai sąlygas tinkamai pasiekti šiuo reglamentu jai nustatytus tikslus ir atlikti paskirtas užduotis, Agentūrai turėtų būti skirtas pakankamas ir atskiras biudžetas, kurį sudaro Sąjungos bendrojo biudžeto lėšos. Kaip nurodyta 2013 m. gruodžio 2 d. Europos Parlamento, Tarybos ir Komisijos tarpinstitucinio susitarimo dėl biudžetinės drausmės, bendradarbiavimo biudžeto klausimais ir patikimo finansų valdymo (20) 31 punkte, Agentūros finansavimui turėtų pritarti Europos Parlamentas ir Taryba. Turėtų būti taikomos Sąjungos biudžeto ir biudžeto įvykdymo patvirtinimo procedūros. Audito Rūmai turėtų vykdyti sąskaitų ir pagal jas atliktų operacijų teisėtumo ir tvarkingumo auditą;

(37)

kad galėtų vykdyti savo misiją ir tiek, kiek tai būtina jai pavestoms užduotims įvykdyti, Agentūra į šio reglamento ir Sąjungos teisės aktų, kuriais reglamentuojamas sistemų plėtojimas, sukūrimas, veikimas ir naudojimas, taikymo sritį patenkančiais klausimais pagal darbo tvarkos susitarimus, sudarytus, remiantis Sąjungos teisės aktais ir politika ir pagal savo atitinkamą kompetenciją, turėtų galėti bendradarbiauti su Sąjungos institucijomis, organais, tarnybomis ir agentūromis, visų pirma, tais, kurie įsteigti laisvės, saugumo ir teisingumo srityje. Jeigu taip nustatyta Sąjungos teisės aktu, Agentūrai turėtų būti leista bendradarbiauti su tarptautinėmis organizacijomis ir kitais atitinkamais subjektais ir ji turėtų galėti tuo tikslu sudaryti darbo tvarkos susitarimus. Dėl tų darbo tvarkos susitarimų turėtų būti gautas išankstinis Komisijos pritarimas ir Valdančiosios tarybos leidimas. Taip pat, kai tikslinga, Agentūra turėtų konsultuotis su Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA), įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 526/2013 (21), tinklų ir informacijos apsaugos klausimais ir atsižvelgti į jos rekomendacijas;

(38)

užtikrindama sistemų plėtojimą ir operacijų valdymą, Agentūra turėtų laikytis Europos ir tarptautinių standartų, atsižvelgdama į aukščiausius profesinius reikalavimus, visų pirma, į Europos Sąjungos informacijos valdymo strategiją;

(39)

Agentūros vykdomam asmens duomenų tvarkymui turėtų būti taikomas Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 (22), nedarant poveikio duomenų apsaugos nuostatoms, nustatytoms Sąjungos teisės aktuose, kuriais reglamentuojamas sistemų plėtojimas, sukūrimas, veikimas ir naudojimas, kurie turėtų derėti su Reglamentu (ES) 2018/1725. Siekiant užtikrinti saugumą ir užkirsti kelią asmens duomenų tvarkymui, pažeidžiant Reglamentą (ES) 2018/1725 ir Sąjungos teisės aktus, kuriais reglamentuojamos sistemos, Agentūra turėtų įvertinti su duomenų tvarkymu susijusius rizikos veiksnius ir įgyvendinti jų mažinimo priemones, pavyzdžiui, šifravimą. Tos priemonės turėtų užtikrinti tinkamą saugumo lygį, įskaitant konfidencialumą, atsižvelgiant į technikos išsivystymo lygį ir įgyvendinimo sąnaudas, priklausomai nuo rizikos veiksnių ir saugotinų asmens duomenų pobūdžio. Vertinant su duomenų saugumu susijusius rizikos veiksnius, reikėtų atsižvelgti į rizikos veiksnius, kurie kyla dėl asmens duomenų tvarkymo, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to, visų pirma, gali būti padaryta fizinė, turtinė ar neturtinė žala. Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti galimybę iš Agentūros gauti prieigą prie visos informacijos, kurios reikia jo tyrimams. Remdamasi Europos Parlamento ir Tarybos reglamento (EB) Nr. 45/2001 (23), Komisija konsultavosi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė savo nuomonę 2017 m. spalio 10 d.;

(40)

siekiant užtikrinti skaidrią Agentūros veiklą, Agentūrai turėtų būti taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 (24). Agentūra savo veiklos atžvilgiu turėtų užtikrinti kuo didesnį skaidrumą, nekeldama grėsmės savo operacijų tikslų įgyvendinimui. Ji turėtų viešai skelbti informaciją apie visą savo veiklą. Ji taip pat turėtų užtikrinti, kad visuomenei ir bet kuriam suinteresuotajam subjektui būtų sparčiai suteikta informacija, susijusi su jos veikla;

(41)

remiantis SESV 228 straipsniu, Agentūros veiklą turėtų tikrinti Europos ombudsmenas;

(42)

Agentūrai turėtų būti taikomas Europos Parlamento ir Tarybos reglamentas (ES, Euratomas) Nr. 883/2013 (25) ir ji turėtų prisijungti prie 1999 m. gegužės 25 d. tarpinstitucinio susitarimo tarp Europos Parlamento, Europos Sąjungos Tarybos ir Europos Bendrijų Komisijos dėl Europos kovos su sukčiavimu tarnybos (OLAF) atliekamų vidaus tyrimų (26);

(43)

Agentūrai turėtų būti taikomas Tarybos reglamentas (ES) 2017/1939 (27) dėl Europos prokuratūros įsteigimo;

(44)

siekiant užtikrinti atviras ir skaidrias darbo sąlygas ir vienodą požiūrį į darbuotojus, Agentūros darbuotojams (įskaitant Agentūros vykdomąjį direktorių ir vykdomojo direktoriaus pavaduotoją) turėtų būti taikomi Europos Sąjungos pareigūnų tarnybos nuostatai (toliau – Pareigūnų tarnybos nuostatai) ir kitų Europos Sąjungos tarnautojų įdarbinimo sąlygos (toliau – Kitų tarnautojų įdarbinimo sąlygos), nustatyti Tarybos reglamente (EEB, Euratomas, EAPB) Nr. 259/68 (28) (toliau kartu – Tarnybos nuostatai), įskaitant profesinę paslaptį ar kitus lygiaverčius konfidencialumo įsipareigojimus reglamentuojančias taisykles;

(45)

kadangi Agentūra yra Sąjungos įsteigta įstaiga Reglamento (ES, Euratomas) 2018/1046 prasme, Agentūra turėtų atitinkamai priimti savo finansines taisykles;

(46)

Agentūrai turėtų būti taikomas Komisijos deleguotasis reglamentas (ES) Nr. 1271/2013 (29);

(47)

šiuo reglamentu įsteigta Agentūra pakeičia Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūrą, įsteigtą Reglamentu (ES) Nr. 1077/2011, ir perima jos teises ir pareigas. Todėl ji turėtų būti visų Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūros, įsteigtos Reglamentu (ES) Nr. 1077/2011, sudarytų sutarčių, prisiimtų įsipareigojimų ir įgyto turto teisių perėmėja. Šis reglamentas turėtų nedaryti poveikio Reglamentu (ES) Nr. 1077/2011 įsteigtos agentūros sudarytų susitarimų, darbo tvarkos susitarimų ir susitarimo memorandumų teisinei galiai, nedarant poveikio jų pakeitimams, kaip reikalaujama pagal šį reglamentą;

(48)

siekiant suteikti Agentūrai galimybę toliau kuo geriau atlikti Reglamentu (ES) Nr. 1077/2011 įsteigtos Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūros užduotis, turėtų būti nustatytos pereinamojo laikotarpio priemonės, visų pirma, susijusios su Valdančiąja taryba, patariamosiomis grupėmis, vykdomuoju direktoriumi ir Valdančiosios tarybos priimtomis vidaus taisyklėmis;

(49)

šiuo reglamentu siekiama iš dalies pakeisti ir išplėsti Reglamento (ES) Nr. 1077/2011 nuostatas. Kadangi pakeitimų, kuriuos reikia padaryti šiuo reglamentu, yra daug ir jie yra esminiai, siekiant aiškumo Reglamentas (ES) Nr. 1077/2011 turėtų būti pakeistas visa apimtimi nauju reglamentu, taikomu valstybėms narėms, kurioms privalomas šis reglamentas. Šiuo reglamentu įsteigta Agentūra turėtų pakeisti Reglamentu (ES) Nr. 1077/2011 įsteigtą agentūrą ir perimti jos funkcijas, ir dėl šios priežasties tas reglamentas turėtų būti panaikintas;

(50)

kadangi šio reglamento tikslų, t. y. Sąjungos lygmeniu įsteigti agentūrą, atsakingą už didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymą ir atitinkamais atvejais plėtojimą, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi ES sutarties 5 straipsnyje nustatyto subsidiarumo principo, Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(51)

pagal Protokolo Nr. 22 1 ir 2 straipsnius Danija nedalyvauja, priimant šį reglamentą ir ji nėra jo saistoma ar jai taikomas. Kadangi šis reglamentas, kiek tai susiję su SIS II ir VIS, AIS ir ETIAS, grindžiamas Šengeno acquis, remdamasi to protokolo 4 straipsniu, per šešis mėnesius po to, kai Taryba nusprendžia dėl šio reglamento, Danija turi nuspręsti, ar jį įgyvendins savo nacionalinėje teisėje. Remiantis Europos bendrijos ir Danijos Karalystės susitarimo dėl valstybės narės, atsakingos už Danijoje ar kitoje Europos Sąjungos valstybėje narėje pateikto prieglobsčio prašymo nagrinėjimą, nustatymo kriterijų ir mechanizmų ir „Eurodac“ sistemos, skirtos pirštų atspaudams lyginti, siekiant veiksmingai taikyti Dublino konvenciją (30), 3 straipsniu, Danija turi pranešti Komisijai, ar ji savo nacionalinėje teisėje įgyvendins šio reglamento turinį tiek, kiek jis susijęs su „Eurodac“ ir „DubliNet“;

(52)

kiek jo nuostatos susijusios su SIS II, kuri reglamentuojama Sprendimu 2007/533/TVR, Jungtinė Karalystė dalyvauja priimant šį reglamentą pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 19 dėl į Europos Sąjungos sistemą integruotos Šengeno acquis 5 straipsnio 1 dalį ir Tarybos sprendimo 2000/365/EB (31) 8 straipsnio 2 dalį. Kiek jo nuostatos susijusios su SIS II, kuri reglamentuojama Reglamentu (EB) Nr. 1987/2006, ir su VIS, AIS ir ETIAS, šiuo reglamentu plėtojamos Šengeno acquis nuostatos, kurias įgyvendinant Jungtinė Karalystė nedalyvauja pagal Sprendimą 2000/365/EB; Jungtinė Karalystė 2018 m. liepos 19 d. laišku Tarybos pirmininkui pateikė prašymą leisti dalyvauti taikant šį reglamentą pagal Protokolo Nr. 19 4 straipsnį. Pagal Tarybos sprendimo (ES) 2018/1600 (32) 1 straipsnį Jungtinei Karalystei buvo leista dalyvauti taikant šį reglamentą. Be to, tiek, kiek jo nuostatos susijusios su „Eurodac“ ir „DubliNet“, 2017 m. spalio 23 d. laišku Jungtinė Karalystė pagal prie Europos Sąjungos sutarties ir Sutarties dėl Europos Sąjungos veikimo pridėto Protokolo Nr. 21 dėl Jungtinės Karalystės ir Airijos pozicijos dėl laisvės, saugumo ir teisingumo erdvės 3 straipsnį Tarybos pirmininkui pranešė apie savo pageidavimą dalyvauti, priimant ir taikant šį reglamentą. Todėl Jungtinė Karalystė dalyvauja priimant šį reglamentą ir jis yra jai privalomas ir taikomas;

(53)

kiek jo nuostatos susijusios su SIS II, kuri reglamentuojama Sprendimu 2007/533/TVR, Airija iš principo galėtų dalyvauti priimant šį reglamentą pagal Protokolo Nr. 19 5 straipsnio 1 dalį ir Tarybos sprendimo 2002/192/EB (33) 6 straipsnio 2 dalį. Kiek jo nuostatos susijusios su SIS II, kuri reglamentuojama Reglamentu (EB) Nr. 1987/2006, ir su VIS, AIS ir ETIAS, šiuo reglamentu plėtojamos Šengeno acquis nuostatos, kurias įgyvendinant Airija nedalyvauja pagal Sprendimą 2002/192/EB; Airija nepateikė prašymo leisti dalyvauti, priimant šį reglamentą, pagal Protokolo Nr. 19 4 straipsnį. Todėl Airija nedalyvauja, priimant šį reglamentą, ir ji nėra jo saistoma ar jis jai taikomas tiek, kiek jo taikymas plėtoja Šengeno acquis nuostatas, nes jos susijusios su SIS II, kuri reglamentuojama Reglamentu (EB) Nr. 1987/2006, ir su VIS, AIS ir ETIAS. Be to, tiek, kiek jo nuostatos susijusios su „Eurodac“ ir „DubliNet“, pagal prie ES sutarties ir SESV pridėto Protokolo Nr. 21 1 ir 2 straipsnius ir 4a straipsnio 1 dalį, Airija nedalyvauja, priimant šį reglamentą, ir jis nėra jai privalomas ar taikomas. Kadangi, atsižvelgiant į šias aplinkybes, negalima užtikrinti, kad, kaip reikalaujama pagal SESV 288 straipsnį, šis reglamentas bus Airijai taikomas visas, nedarant poveikio jos teisėms pagal Protokolus Nr. 19 ir Nr. 21, Airija nedalyvauja priimant šį reglamentą ir jis nėra jai privalomas ar taikomas;

(54)

Islandijos ir Norvegijos atžvilgiu tiek, kiek tai susiję su SIS II ir VIS, AIS ir ETIAS, šiuo reglamentu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės susitarime dėl šių dviejų valstybių asociacijos, įgyvendinant, taikant ir plėtojant Šengeno acquis (34), kurios patenka į Tarybos sprendimo 1999/437/EB (35) 1 straipsnio A, B ir G punktuose nurodytą sritį. Kalbant apie „Eurodac“ ir „DubliNet“, šiuo reglamentu nustatoma nauja priemonė, kaip apibrėžta Europos bendrijos ir Islandijos Respublikos bei Norvegijos Karalystės susitarime dėl valstybės, atsakingos už prieglobsčio prašymo, pateikto valstybėje narėje arba Islandijoje ar Norvegijoje, nagrinėjimą, nustatymo kriterijų ir mechanizmų (36). Todėl, jeigu jos nuspręstų įtraukti ją į savo vidaus teisę, Islandijos Respublikos ir Norvegijos Karalystės delegacijos turėtų dalyvauti Agentūros valdančiosios tarybos veikloje. Siekdamos nustatyti tolesnes Islandijos Respublikos ir Norvegijos Karalystės dalyvavimo Agentūros veikloje išsamias taisykles, Sąjunga ir šios valstybės turėtų sudaryti papildomą susitarimą;

(55)

Šveicarijos atžvilgiu tiek, kiek tai susiję su SIS II ir VIS, AIS ir ETIAS, šiuo reglamentu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (37), kurios patenka į Sprendimo 1999/437/EB 1 straipsnio A, B ir G punktuose nurodytą sritį, minėtą sprendimą taikant kartu su Tarybos sprendimo 2008/146/EB (38) 3 straipsniu. Kalbant apie „Eurodac“ ir „DubliNet“, šiuo reglamentu nustatoma nauja priemonė, kaip apibrėžta Europos bendrijos ir Šveicarijos Konfederacijos susitarime dėl kriterijų ir mechanizmų, padedančių nustatyti valstybę, atsakingą už valstybėje narėje ar Šveicarijoje pateikto prieglobsčio prašymo nagrinėjimą (39). Todėl, jeigu ji nuspręstų įtraukti ją į savo vidaus teisę, Šveicarijos Konfederacijos delegacija turėtų dalyvauti Agentūros valdančiosios tarybos veikloje. Siekdamos nustatyti tolesnes Šveicarijos Konfederacijos dalyvavimo Agentūros veikloje išsamias taisykles, Sąjunga ir Šveicarijos Konfederacija turėtų sudaryti papildomą susitarimą;

(56)

Lichtenšteino atžvilgiu tiek, kiek tai susiję su SIS II ir VIS, AIS ir ETIAS, šiuo reglamentu plėtojamos Šengeno acquis nuostatos, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis (40), kurios patenka į Sprendimo 1999/437/EB 1 straipsnio A, B ir G punktuose nurodytą sritį, minėtą sprendimą taikant kartu su Tarybos sprendimo 2011/350/ES (41) 3 straipsniu.

Kalbant apie „Eurodac“ ir „DubliNet“, šis reglamentas yra nauja priemonė, kaip apibrėžta Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl kriterijų ir mechanizmų, padedančių nustatyti valstybę, atsakingą už valstybėje narėje ar Šveicarijoje pateikto prieglobsčio prašymo nagrinėjimą (42). Todėl, jeigu ji nuspręstų įtraukti ją į savo vidaus teisę, Lichtenšteino Kunigaikštystės delegacija turėtų dalyvauti Agentūros valdančiosios tarybos veikloje. Siekdamos nustatyti tolesnes Lichtenšteino Kunigaikštystės dalyvavimo Agentūros veikloje išsamias taisykles, Sąjunga ir Lichtenšteino Kunigaikštystė turėtų sudaryti papildomą susitarimą,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

DALYKAS IR TIKSLAI

1 straipsnis

Dalykas

1.   Įsteigiama Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra (toliau – Agentūra).

2.   Šiuo reglamentu įsteigta Agentūra pakeičia Europos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūrą, įsteigtą Reglamentu (ES) Nr. 1077/2011, ir perima jos teises ir pareigas.

3.   Agentūra yra atsakinga už Šengeno informacinės sistemos (toliau – SIS II), Vizų informacinės sistemos (toliau – VIS) ir „Eurodac“ operacijų valdymą.

4.   Agentūra yra atsakinga už atvykimo ir (arba) išvykimo sistemos (toliau – AIS), „DubliNet“ ir Europos kelionių informacijos ir leidimų sistemos (toliau – ETIAS) parengimą, plėtojimą ir operacijų valdymą.

5.   Agentūrai gali būti suteikta atsakomybė už didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje, kurios nėra nurodytos šio straipsnio 3 ir 4 dalyse, įskaitant esamas sistemas, parengimą, plėtojimą arba operacijų valdymą tik tuo atveju, jeigu tai numatyta tas sistemas reglamentuojančiais atitinkamais Sąjungos teisės aktais, remiantis SESV 67–89 straipsniais, atitinkamais atvejais atsižvelgiant į šio reglamento 14 straipsnyje minimą mokslinių tyrimų eigą ir šio reglamento 15 straipsnyje minimus bandomųjų projektų ir koncepcijų pagrįstumo įrodymų rezultatus.

6.   Operacijų valdymas apima visas užduotis, kurias būtina vykdyti didelės apimties IT sistemų veikimui užtikrinti pagal konkrečias kiekvienai iš jų taikomas nuostatas, įskaitant atsakomybę už jų naudojamą ryšių infrastruktūrą. Tos didelės apimties IT sistemos nesikeičia duomenimis ir nesudaro sąlygų keistis informacija ar žiniomis, išskyrus atvejus, kai tai numatyta konkrečiame Sąjungos teisės akte.

7.   Agentūrai taip pat pavedamos šios užduotys:

a)

užtikrinti duomenų kokybę pagal 12 straipsnį;

b)

plėtoti būtinus veiksmus, kad būtų galima užtikrinti sąveikumą pagal 13 straipsnį;

c)

vykdyti mokslinių tyrimų veiklą pagal 14 straipsnį;

d)

vykdyti bandomuosius projektus, koncepcijų pagrįstumo įrodymus ir bandomąją veiklą pagal 15 straipsnį ir

e)

teikti paramą valstybėms narėms ir Komisijai pagal 16 straipsnį.

2 straipsnis

Tikslai

Nedarant poveikio atitinkamoms Komisijos ir valstybių narių prievolėms pagal didelės apimties IT sistemas reglamentuojančius Sąjungos teisės aktus, Agentūra užtikrina:

a)

didelės apimties IT sistemų plėtojimą, naudodama tinkamą projektų valdymo struktūrą, skirtą veiksmingai plėtoti tokias sistemas;

b)

efektyvų, saugų ir nepertraukiamą didelės apimties IT sistemų veikimą;

c)

efektyvų ir finansiškai atskaitingą didelės apimties IT sistemų valdymą;

d)

deramai aukštą paslaugų kokybę didelės apimties IT sistemų naudotojams;

e)

tęstinumą ir paslaugų nenutrūkstamumą;

f)

aukštą duomenų apsaugos lygį, atitinkantį Sąjungos duomenų apsaugos teisės aktus, įskaitant konkrečias, kiekvienai didelės apimties IT sistemai taikomas nuostatas;

g)

tinkamą duomenų apsaugos ir fizinio saugumo lygį, atitinkantį taikytinas taisykles, įskaitant konkrečias kiekvienai didelės apimties IT sistemai taikomas nuostatas.

II SKYRIUS

AGENTŪROS UŽDUOTYS

3 straipsnis

Su SIS II susijusios užduotys

SIS II atžvilgiu Agentūra vykdo:

a)

užduotis, nustatytas valdymo institucijai Reglamentu (EB) Nr. 1987/2006 ir Sprendimu 2007/533/TVR, ir

b)

užduotis, susijusias su SIS II techninio naudojimo mokymais, kurie, visų pirma, skirti SIRENE darbuotojams (SIRENE – papildomos informacijos prašymas, atvykstant prie nacionalinių sienų), ir su SIS II techninių aspektų pagal Šengeno įvertinimą ekspertų mokymais.

4 straipsnis

Su VIS susijusios užduotys

VIS atžvilgiu Agentūra vykdo:

a)

užduotis, nustatytas valdymo institucijai Reglamentu (EB) Nr. 767/2008 ir Sprendimu 2008/633/TVR, ir

b)

užduotis, susijusias su VIS techninio naudojimo mokymais ir su VIS techninių aspektų pagal Šengeno įvertinimą ekspertų mokymu.

5 straipsnis

Su „Eurodac“ susijusios užduotys

„Eurodac“ atžvilgiu Agentūra vykdo:

a)

užduotis, kurios jai pavestos Reglamentu (ES) Nr. 603/2013, ir

b)

užduotis, susijusias su „Eurodac“ techninio naudojimo mokymais.

6 straipsnis

Su AIS susijusios užduotys

AIS atžvilgiu Agentūra vykdo:

a)

užduotis, pavestas jai Reglamentu (ES) 2017/2226, ir

b)

užduotis, susijusias su AIS techninio naudojimo mokymais ir su AIS techninių aspektų pagal Šengeno įvertinimą ekspertų mokymu.

7 straipsnis

Su ETIAS susijusios užduotys

ETIAS atžvilgiu Agentūra vykdo:

a)

užduotis, pavestas jai Reglamentu (ES) 2018/1240, ir

b)

užduotis, susijusias su ETIAS techninio naudojimo mokymais ir su ETIAS techninių aspektų pagal Šengeno įvertinimą ekspertų mokymu.

8 straipsnis

Su „DubliNet“ susijusios užduotys

„DubliNet“ atžvilgiu Agentūra vykdo:

a)

„DubliNet“, atskiros, saugios, elektroninių ryšių priemonės, skirtos duomenų perdavimui tarp valstybių narių institucijų, sukurtos pagal Reglamento (EB) Nr. 1560/2003 18 straipsnį Europos Parlamento ir Tarybos reglamento (ES) Nr. 604/2013 (43) 31, 32 ir 34 straipsnių tikslais, operacijų valdymo užduotis ir

b)

užduotis, susijusias su „DubliNet“ techninio naudojimo mokymais.

9 straipsnis

Užduotys, susijusios su kitų didelės apimties IT sistemų parengimu, plėtojimu ir operacijų valdymu

Tais atvejais, kai Agentūrai pavedamas kitų didelės apimties IT sistemų, nurodytų 1 straipsnio 5 dalyje, parengimas, plėtojimas arba operacijų valdymas, ji atitinkamai vykdo užduotis, jai pavestas Sąjungos teisės aktais, kuriais reglamentuojama atitinkama sistema, taip pat užduotis, susijusias su techninio tų sistemų naudojimo mokymu.

10 straipsnis

Techniniai sprendimai, kuriems įgyvendinti reikia specialių sąlygų

Kai Sąjungos teisės aktuose, kuriais reglamentuojamos sistemos, reikalaujama, kad Agentūra laikytų šias sistemas veikiančias kasdien, 24 valandas per parą, nedarant poveikio tų Sąjungos teisės aktų taikymui, Agentūra įgyvendina techninius sprendimus, kad įvykdytų tuos reikalavimus. Kai dėl tokių techninių sprendimų reikia dubliuoti sistemą arba sistemos komponentus, jie įgyvendinami jeigu buvo atliktas Agentūros užsakytas nepriklausomas poveikio vertinimas ir sąnaudų ir naudos analizė, pasikonsultavus su Komisija ir Valdančiajai tarybai priėmus teigiamą sprendimą. Atliekant poveikio vertinimą taip pat turi būti išnagrinėta, kokie yra esami ir būsimi su tokių techninių sprendimų plėtojimu susiję poreikiai, atsižvelgiant į esamų techninių stočių prieglobos pajėgumą, ir kokie yra galimi rizikos veiksniai, susiję su esama veikimo sąranka.

11 straipsnis

Su ryšių infrastruktūra susijusios užduotys

1.   Agentūra vykdo visas su ryšių infrastruktūra susijusias užduotis, jai pavestas Sąjungos teisės aktais, kuriais reglamentuojamos sistemos, išskyrus tas sistemas, kurių ryšių infrastruktūra pagrįsta „EuroDomain“. Tų sistemų, kurios naudojasi „EuroDomain“, atžvilgiu Komisija atsako už biudžeto vykdymo, įsigijimo ir atnaujinimo užduočių, taip pat sutartinių aspektų vykdymą. Pagal Sąjungos teisės aktus, kuriais reglamentuojamos sistemos, naudojančios „EuroDomain“, su ryšių infrastruktūra susijusias užduotis, įskaitant operacijų valdymą ir saugumą, turi būti padalytos tarp Agentūros ir Komisijos. Siekiant užtikrinti joms patikėtų prievolių vykdymo darną, Agentūra ir Komisija sudaro darbo tvarkos susitarimus, kurie turi būti įtraukti į susitarimo memorandumą.

2.   Ryšių infrastruktūra turi būti deramai valdoma ir kontroliuojama tokiu būdu, kad ji būtų apsaugota nuo grėsmių ir užtikrintas jos ir sistemų, įskaitant duomenų, kuriais keičiamasi per ryšių infrastruktūrą, saugumas.

3.   Agentūra patvirtina atitinkamas priemones, įskaitant saugumo planus, kad, inter alia, būtų užkirstas kelias neleistinam asmens duomenų skaitymui, kopijavimui, keitimui ar ištrynimui, perduodant asmens duomenis ar transportuojant duomenų laikmenas, visų pirma, naudojant tinkamus šifravimo būdus. Visa ryšių infrastruktūroje esanti, su sistemos veikimu susijusi informacija turi būti užšifruota.

4.   Su ryšių infrastruktūros pristatymu, įrengimu, priežiūra ir stebėsena susijusios užduotys gali būti pavestos privačiojo sektoriaus subjektams ar įstaigoms iš išorės, laikantis Reglamento (ES, Euratomas) 2018/1046. Agentūra atsako už tokių užduočių vykdymą ir atidžiai prižiūri jų atlikimą.

Visiems pirmoje pastraipoje nurodytas užduotis vykdantiems privačiojo sektoriaus subjektams ar įstaigoms iš išorės, įskaitant tinklo paslaugų teikėjus, privalomos 3 dalyje nurodytos saugumo priemonės ir jie negali turėti prieigos prie jokių sistemose saugomų arba per ryšių infrastruktūrą perduodamų operatyvinių duomenų ar prie SIRENE duomenų, susijusių su SIS II.

5.   Šifravimo kodų valdymas toliau priklauso Agentūros kompetencijai ir negali būti patikėtas jokiam privačiojo sektoriaus subjektui iš išorės. Tai nedaro poveikio galiojančioms sutartims dėl SIS II, VIS ir „Eurodac“ ryšių infrastruktūrų.

12 straipsnis

Duomenų kokybė

Nedarant poveikio valstybių narių prievolėms, susijusioms su duomenimis, įvestais į sistemas, Agentūra, glaudžiai įtraukdama savo patariamąsias grupes, drauge su Komisija imasi veiksmų, kad visoms toms sistemoms sukurtų automatizuotus duomenų kokybės kontrolės mechanizmus, nustatytų bendrus duomenų kokybės rodiklius ir sukurtų centrinę ataskaitų ir statistinių duomenų saugyklą, kurioje būtų laikomi tik nuasmeninti duomenys, atsižvelgiant į konkrečias Sąjungos teisės aktų, kuriais reglamentuojamas sistemų plėtojimas, sukūrimas, veikimas ir naudojimas, nuostatas.

13 straipsnis

Sąveikumas

Kai didelės apimties IT sistemų sąveikumas yra įtrauktas atitinkamo Sąjungos teisės akto nuostatose, Agentūra plėtoja tam sąveikumui užtikrinti būtinus veiksmus.

14 straipsnis

Mokslinių tyrimų stebėsena

1.   Agentūra stebi SIS II, VIS, „Eurodac“, AIS, ETIAS, „DubliNet“ ir kitų 1 straipsnio 5 dalyje nurodytų, didelės apimties IT sistemų operacijų valdymui svarbių mokslinių tyrimų eigą.

2.   Agentūra gali prisidėti prie Europos Sąjungos bendrosios mokslinių tyrimų ir inovacijų programos dalių, susijusių su didelės apimties IT sistemomis laisvės, saugumo ir teisingumo erdvėje, įgyvendinimo. Tuo tikslu ir atvejais, kai Komisija yra delegavusi atitinkamus įgaliojimus Agentūrai, Agentūra vykdo šias užduotis:

a)

vadovauja tam tikriems programos įgyvendinimo etapams ir tam tikriems konkrečių projektų etapams, remdamasi Komisijos patvirtintomis atitinkamomis darbo programomis;

b)

nustato biudžeto vykdymo ir pajamų bei išlaidų priemones ir įgyvendina visus programai valdyti būtinus veiksmus ir

c)

teikia paramą, įgyvendinant programą.

3.   Agentūra reguliariai, tačiau ne rečiau kaip kartą per metus, informuoja Europos Parlamentą, Tarybą, Komisiją, o su asmens duomenų tvarkymu susijusiais atvejais – Europos duomenų apsaugos priežiūros pareigūną, apie šiame straipsnyje nurodytų mokslinių tyrimų eigą, nedarant poveikio ataskaitų teikimo reikalavimams, susijusiems su tam tikrų 2 dalyje nurodytos Europos Sąjungos bendrosios mokslinių tyrimų ir inovacijų programos dalių įgyvendinimu.

15 straipsnis

Bandomieji projektai, koncepcijų pagrįstumo įrodymai ir bandomoji veikla

1.   Jeigu Komisija pateikia konkretų ir aiškų prašymą, bent prieš tris mėnesius iki tokio prašymo pateikimo jai informavus Europos Parlamentą ir Tarybą, o Valdančioji taryba priima teigiamą sprendimą, laikantis šio reglamento 19 straipsnio 1 dalies u punkto, delegavimo susitarimo pagrindu Agentūrai gali būti patikėta įgyvendinti bandomuosius projektus, kaip nurodyta Reglamento (ES, Euratomas) 2018/1046 58 straipsnio 2 dalies a punkte, skirtus didelės apimties IT sistemoms plėtoti arba jų operacijoms valdyti pagal SESV 67–89 straipsnius, laikantis Reglamento (ES, Euratomas) 2018/1046 62 straipsnio 1 dalies c punkto.

Agentūra reguliariai informuoja Europos Parlamentą, Tarybą, o su asmens duomenų tvarkymu susijusiais at