(1)

vidaus rinka yra vienas didžiausių Sąjungos laimėjimų. Leidžiant asmenims, prekėms, paslaugoms ir kapitalui joje laisvai judėti, ja piliečiams ir verslininkams suteikiamos naujos galimybės. Šis reglamentas yra svarbus bendrosios rinkos strategijos, kuri buvo nustatyta 2015 m. spalio 28 d. Komisijos komunikatu „Bendrosios rinkos tobulinimas: daugiau galimybių piliečiams ir įmonėms“, elementas. Ta strategija siekiama padėti piliečiams ir verslininkams lengviau judėti Sąjungoje, prekiauti, steigtis ir plėsti savo verslą kitose valstybėse ir taip atskleisti visas vidaus rinkos teikiamas galimybes;

(2)

2015 m. gegužės 6 d. Komisijos komunikate „Europos bendrosios skaitmeninės rinkos strategija“ buvo pripažintas interneto ir skaitmeninių technologijų vaidmuo keičiant mūsų gyvenimą ir būdus, kuriais piliečiai ir verslininkai gauna prieigą prie informacijos, įgyja žinių, perka prekes ir paslaugas, dalyvauja rinkoje ir dirba, taip sukuriant labai didelių inovacijų, augimo ir darbo vietų kūrimo galimybių. Tame komunikate ir keliose Europos Parlamento priimtose rezoliucijose buvo pripažinta, kad piliečių ir verslininkų poreikiai savo valstybėje ir tarpvalstybinės veiklos poreikiai galėtų būti geriau tenkinami išplečiant ir integruojant esamus Europos lygmens portalus, interneto svetaines, tinklus, paslaugas ir sistemas ir susiejant juos su įvairiais nacionaliniais sprendimais, tokiu būdu sukuriant bendruosius skaitmeninius vartus, kurie atlieka Europos vienos bendros prieigos funkcijas (toliau – vartai). 2016 m. balandžio 19 d. Komisijos komunikate „2016–2020 m. ES e. valdžios veiksmų planas. Valdžios skaitmeninių permainų spartinimas“ vartai buvo įtraukti į sąrašą kaip vienas jos 2017 m. veiksmų. 2017 m. sausio 24 d. Komisijos ataskaitoje „Piliečių teisių stiprinimas demokratinių pokyčių Sąjungoje. 2017 m. ES pilietybės ataskaita“ vartai buvo laikomi prioritetu Sąjungos piliečių teisių atžvilgiu;

(3)

Europos Parlamentas ir Taryba ne kartą ragino parengti išsamesnį ir naudotojams lengvai naudojamą informacijos ir pagalbos priemonių rinkinį, kad piliečiai ir verslininkai galėtų lengviau orientuotis vidaus rinkoje, taip pat ragino stiprinti ir racionalizuoti vidaus rinkos priemones siekiant geriau patenkinti piliečių ir verslininkų poreikius, susijusius su jų tarpvalstybine veikla;

(4)

šiuo reglamentu reaguojama į tuos raginimus ir piliečiams bei verslininkams suteikiama lengva prieiga prie informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, kurių jiems reikia, kad jie galėtų naudotis savo teisėmis vidaus rinkoje. Vartai gali padėti užtikrinti didesnį su skirtingais verslo ir gyvenimo įvykiais susijusių taisyklių ir nuostatų skaidrumą tokiose srityse, kaip antai kelionės, pensija, švietimas, užimtumas, sveikatos priežiūra, vartotojų teisės ir šeimos teisės. Be to, jie galėtų padėti didinti vartotojų pasitikėjimą, spręsti žinių trūkumo apie vartotojų apsaugą ir vidaus rinkos taisykles problemą ir mažinti verslininkų reikalavimų laikymosi išlaidas. Šiuo reglamentu sukuriami lengvai naudojami ir interaktyvūs vartai, kurie, atsižvelgiant į naudotojų poreikius, turėtų juos nukreipti link tinkamiausių paslaugų. Tokiomis aplinkybėmis, Komisija ir valstybės narės turėtų atlikti svarbų vaidmenį siekiant tų tikslų;

(5)

vartai turėtų palengvinti piliečių ir verslininkų ryšius su kompetentingomis institucijomis, suteikiant prieigą prie internetinių priemonių, palengvindami kasdienę piliečių ir verslininkų veiklą ir mažinant kliūtis, su kuriomis susiduriama vidaus rinkoje. Bendrųjų skaitmeninių vartų, suteikiančių internete prieigą prie tikslios ir atnaujintos informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, buvimas galėtų padėti didinti naudotojų informuotumą apie įvairias esamas internetines paslaugas ir taupyti jų laiką bei išlaidas;

(6)

šiuo reglamentu tikslingai siekiama trijų tikslų, t. y. sumažinti bet kokią papildomą administracinę naštą, tenkančią piliečiams ir verslininkams, kurie naudojasi arba nori naudotis vidaus rinkos teikiamomis teisėmis, įskaitant laisvą piliečių judėjimą, visiškai laikantis nacionalinių taisyklių ir procedūrų, panaikinti diskriminaciją ir užtikrinti vidaus rinkos veikimą, kiek tai susiję su informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų teikimu. Kadangi jis apima laisvą piliečių judėjimą, o tai negali būti laikoma vien papildomu aspektu, šis reglamentas turėtų būti grindžiamas Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 21 straipsnio 2 dalimi ir 114 straipsnio 1 dalimi;

(7)

kad Sąjungos piliečiai ir verslininkai galėtų naudotis laisvo judėjimo teise vidaus rinkoje, Sąjunga turėtų priimti specialias nediskriminacines priemones, kurios leistų piliečiams ir verslininkams gauti lengvą prieigą prie pakankamai išsamios ir patikimos informacijos apie jų teises pagal Sąjungos teisę ir informacijos apie taikytinas nacionalines taisykles ir procedūras, kurių jie turi laikytis, kai jie juda, gyvena ar studijuoja, arba kai jie steigia ar vykdo verslą ne savo valstybėje, bet kitoje valstybėje narėje. Informacija turėtų būti laikoma pakankamai išsamia, jeigu ji apima visą informaciją, kuri yra naudotojams būtina, kad jie suprastų, kokios yra jų teisės ir pareigos ir nurodo taisykles, kurios jiems taikomos veiklos, kurią jie nori vykdyti kaip tarpvalstybiniai naudotojai, atžvilgiu. Informacija turėtų būti pateikiama aiškiai, glaustai ir suprantamai ir būti susijusi su veikla ir deramai pritaikyta tikslinių naudotojų grupei. Informacija apie procedūras turėtų apimti visus numatomus naudotojui aktualius procedūrų etapus. Piliečiams ir verslininkams, susiduriantiems su sudėtinga reguliavimo aplinka, kaip antai veikiantiems e. prekybos ir dalijimosi ekonomikos srityje, yra svarbu, kad jie galėtų lengvai rasti taikytinas taisykles ir tai, kaip jos taikomos jų veiklai. Lengva ir naudotojams patogi prieiga prie informacijos suprantama kaip galimybė naudotojams lengvai rasti informaciją, lengvai nustatyti, kuri tos informacijos dalis yra aktuali jo konkrečiu atveju, ir tą aktualią informaciją lengvai suprasti. Nacionaliniu lygmeniu teiktina informacija turėtų būti susijusi ne tik su nacionalinėmis taisyklėmis, kuriomis įgyvendinama Sąjungos teisė, bet ir su bet kokiomis kitomis nacionalinėmis taisyklėmis, kurios taikomos tiek netarpvalstybiniams, tiek ir tarpvalstybiniams naudotojams;

(8)

šio reglamento taisyklės dėl informacijos teikimo neturėtų būti taikomos nacionalinių teismų sistemoms, nes tarpvalstybiniams naudotojams aktuali tos srities informacija jau yra įtraukta į e. teisingumo portalą. Kai kuriais atvejais, kuriems taikomas šis reglamentas, teismai turėtų būti laikomi kompetentingomis institucijomis, pavyzdžiui, tais atvejais, kai teismai tvarko verslo registrus. Be to, nediskriminavimo principas turėtų būti taikomas ir internetinėms procedūroms, suteikiančioms prieigą į teismo procedūrą;

(9)

aišku tai, kad kitų valstybių narių piliečiai ir verslininkai gali atsidurti mažiau palankioje padėtyje dėl to, kad nėra susipažinę su nacionalinėmis taisyklėmis ir administracinėmis sistemomis, kad naudojamos skirtingos kalbos ir kad jie yra geografiniu požiūriu toli nuo kitoje nei jų valstybėje narėje esančių kompetentingų institucijų. Efektyviausiai sumažinti susijusias kliūtis, trukdančias naudotis vidaus rinkos teikiamomis galimybėmis, – suteikti tarpvalstybiniams ir netarpvalstybiniams naudotojams prieigą prie internetinės informacijos ta kalba, kuri jiems yra suprantama, kad jie galėtų atlikti procedūras, kuriomis užtikrinamas nacionalinių taisyklių laikymasis, visa apimtimi internete ir suteikti pagalbą, jei taisyklės ir procedūros nėra pakankamai aiškios arba jei kyla naudojimosi savo teisėmis kliūčių;

(10)

keletu Sąjungos teisės aktų jau bandyta pateikti sprendimų sukuriant sektoriams skirtus vieno langelio principu veikiančius centrus, įskaitant kontaktinius centrus, sukurtus pagal Europos Parlamento ir Tarybos direktyvą 2006/123/EB (3), kurie teikia internete informaciją ir pagalbos paslaugas bei suteikia prieigą prie procedūrų, kurios aktualios teikiant paslaugas; gaminių kontaktinius centrus, įsteigtus Europos Parlamento ir Tarybos reglamentu (EB) Nr. 764/2008 (4) ir statybos gaminių kontaktinius centrus, įsteigtus Europos Parlamento ir Tarybos reglamentu (ES) Nr. 305/2011 (5), kurie užtikrina prieigą prie konkretiems produktams skirtų techninių taisyklių; ir nacionalinius profesinių kvalifikacijų pripažinimo pagalbos centrus, įsteigtus Europos Parlamento ir Tarybos direktyva 2005/36/EB (6), kurie siekia palengvinti specialistų tarpvalstybinį judėjimą. Be to, sukurta tinklų, kaip antai Europos vartotojų centrų, siekiant skatinti žinias apie teises, kuriomis naudojasi Sąjungos vartotojai, ir suteikti pagalbą nagrinėjant skundus dėl kitose valstybėse narėse keliaujant arba internetu atliktų pirkimų. Be to, SOLVIT, kaip nurodyta Komisijos rekomendacijoje 2013/461/ES (7), stengiasi pateikti asmenims ir verslininkams greitų, veiksmingų ir neformalių sprendimų, jei valdžios institucijos nepripažįsta jų teisių vidaus rinkoje. Galiausiai, siekiant informuoti naudotojus apie Sąjungos ir nacionalines taisykles, sukurta keletas informacijos portalų, kaip antai „Jūsų Europa“ (vidaus rinkos klausimai) ir e. teisingumo portalas (teisingumo srities klausimai);

(11)

kadangi tie Sąjungos teisės aktai yra sektorinio pobūdžio, šiuo metu internetinės informacijos ir pagalbos bei problemų sprendimo paslaugos piliečiams ir verslininkams tebeteikiamos labai padrikai, o internetinės procedūros taip pat yra nenuoseklios. Kartais pateikiama informacija ir esamos procedūros nesutampa, paslaugų kokybė yra nepakankamai gera, o visuomenė yra menkai informuota apie tos informacijos ir tų pagalbos bei problemų sprendimo paslaugų teikimą. Tarpvalstybiniai naudotojai taip pat patiria keblumų bandydami rasti paslaugas ir jomis naudotis;

(12)

šiuo reglamentu turėtų būti sukurti bendrieji skaitmeniniai vartai veikiantys kaip viena bendra prieiga, per kurią piliečiai ir verslininkai galėtų gauti informaciją apie taisykles ir reikalavimus, kurių jie privalo laikytis pagal Sąjungos arba nacionalinę teisę. Vartai turėtų supaprastinti piliečių ir verslininkų kontaktą su Sąjungos arba nacionaliniu lygmeniu sukurtų pagalbos bei problemų sprendimo paslaugų teikėjais ir turėtų būti užtikrintas didesnis to kontakto veiksmingumas. Vartais turėtų būti suteikta patogesnė prieiga prie internetinių procedūrų ir galimybė jas atlikti. Šiuo reglamentu neturėtų būti daromas joks poveikis esamoms teisėms ir pareigoms pagal Sąjungos arba nacionalinę teisę, nustatytoms tose politikos srityse. Atliekant procedūras, išvardytas šio reglamento II priede, ir procedūras, numatytas direktyvose 2005/36/EB ir 2006/123/EB bei Europos Parlamento ir Tarybos direktyvose 2014/24/ES (8) ir 2014/25/ES (9), šiuo reglamentu turėtų būti remiamas vienkartinio duomenų pateikimo principo taikymas ir visapusiškai gerbiama pagrindinė teisė į asmens duomenų apsaugą, įvairių valstybių narių kompetentingoms institucijoms keičiantis įrodymais;

(13)

vartai ir jų turinys turėtų būti orientuoti į naudotojus ir turėtų būti jiems patogūs naudotis. Vartai turėtų siekti išvengti sutapimo ir turėtų nurodyti ryšius su esamomis paslaugomis. Juose turėtų būti užtikrinta galimybė piliečiams ir verslininkams palaikyti ryšį su valdžios įstaigomis nacionaliniu ir Sąjungos lygmeniu – piliečiams ir verslininkams turėtų būti suteikta galimybė pateikti grįžtamąją informaciją apie paslaugas, suteiktas per vartus, ir apie savo patirtį, susijusią su vidaus rinkos veikimu. Grįžtamosios informacijos rinkimo priemonės turėtų naudotojui leisti nurodyti pastebėtas problemas, trūkumus ir poreikius, kad būtų skatinama nuolat tobulinti paslaugų kokybę, tokiu būdu, kad būtų išlaikomas naudotojo anonimiškumas;

(14)

vartų sėkmę lems bendros Komisijos ir valstybių narių pastangos. Vartuose turėtų veikti bendroji naudotojų sąsaja, kuri integruota į esamą portalą „Jūsų Europa“, ir ją turės administruoti Komisija. Bendrojoje naudotojų sąsajoje turėtų būti pateiktos nuorodos į informaciją, procedūras ir į pagalbos bei problemų sprendimo paslaugas, kurios teikiamos per valstybių narių kompetentingų institucijų ir Komisijos administruojamus portalus. Kad būtų lengviau naudotis vartais, bendroji naudotojų sąsaja turėtų būti prieinama visomis Sąjungos institucijų oficialiosiomis kalbomis (toliau — Sąjungos oficialiosios kalbos). Esamas portalas „Jūsų Europa“ ir jo pagrindinis prieigos tinklalapis, pritaikytas prie vartų reikalavimų, turėtų išlaikyti šios teikiamos informacijos daugiakalbį pobūdį. Vartų veikimas turėtų būti palaikomas techninėmis priemonėmis, kurias sukuria Komisija glaudžiai bendradarbiaudama su valstybėmis narėmis;

(15)

chartijoje dėl elektroninių kontaktinių centrų pagal Direktyvą 2006/123/EB, kurią 2013 m. patvirtino Taryba, valstybės narės savanoriškai įsipareigojo teikdamos informaciją per kontaktinius centrus laikytis į naudotoją orientuoto požiūrio, kad būtų teikiama verslininkams ypač svarbių sričių informacija, įskaitant su PVM, pajamų mokesčiais, socialine apsauga arba darbo teisės reikalavimais susijusią informaciją. Remiantis chartija ir atsižvelgiant į patirtį, įgytą naudojantis portalu „Jūsų Europa“, ta informacija taip pat turėtų įtraukti pagalbos bei problemų sprendimo paslaugų aprašymą. Piliečiai ir verslininkai turėtų turėti galimybę kreiptis dėl tokių paslaugų, kai jiems kyla neaiškumų dėl pateiktos informacijos, dėl tos informacijos taikymo savo padėčiai arba procedūrų atlikimo;

(16)

šiame reglamente turėtų būti išvardijamos informacijos sritys, kurios yra aktualios piliečiams ir verslininkams, besinaudojantiems savo teisėmis ir vykdantiems savo pareigas vidaus rinkoje. Tų sričių pakankamai išsami informacija turėtų būti teikiama nacionaliniu lygmeniu, įskaitant regioninį ir vietos lygmenis, ir Sąjungos lygmeniu, paaiškinant taikytinas taisykles ir pareigas, procedūras, kurias piliečiai ir verslininkai turi atlikti, kad laikytųsi tų taisyklių ir vykdytų tas pareigas. Siekiant užtikrinti siūlomų paslaugų kokybę, per vartus teikiama informacija turėtų būti aiški, tiksli ir atnaujinta, turėtų būti kuo labiau mažinamas sudėtingų terminų naudojimas, o akronimai turėtų atspindėti supaprastintus ir lengvai suprantamus terminus, kurių supratimui nereikia iš anksto išmanyti klausimo ar teisės srities. Ta informacija turėtų būti pateikta taip, kad naudotojai galėtų lengvai suprasti pagrindines taisykles ir reikalavimus, taikytinus jų atvejui tokiose srityse. Taip pat naudotojai turėtų būtį informuoti apie tai, kad kai kuriose valstybėse narėse nėra nacionalinių taisyklių I priede išvardytose informacijos srityse, ypač kai toms sritims taikomos kitų valstybių narių taisyklės. Tokia informacija apie nacionalinių taisyklių netaikymą galėtų būti įtraukta į portalą „Jūsų Europa“;

(17)

kai tai įmanoma, informacija, kurią Komisija jau surinko iš valstybių narių pagal esamą Sąjungos teisę arba savanoriškus susitarimus, kaip antai informacija, surinkta EURES portalui, sukurtam Europos Parlamento ir Tarybos reglamentu (ES) 2016/589 (10), e. teisingumo portalui, sukurtam Tarybos sprendimu 2001/470/EB (11), arba reglamentuojamųjų profesijų duomenų bazei, sukurtai Direktyva 2005/36/EB, turėtų būti naudojama padengti dalį informacijos, kuri Sąjungos ir nacionaliniu lygmeniu turi būti prieinama piliečiams ir verslininkams pagal šį reglamentą. Valstybės narės neprivalo savo nacionalinėse interneto svetainėse teikti informacijos, kuri jau pateikta atitinkamose Komisijos tvarkomose duomenų bazėse. Kai valstybės narės pagal Sąjungos aktus, kaip antai pagal Europos Parlamento ir Tarybos direktyvą 2014/67/ES (12), jau turi teikti informaciją internetu, turėtų pakakti to, kad valstybės narės pateikia nuorodas į esamą informaciją internete. Tais atvejais, kai tam tikros politikos sritys jau yra visiškai suderintos pagal Sąjungos teisę, pavyzdžiui, vartotojų teisės, Sąjungos lygmeniu teikiamos informacijos paprastai turėtų naudotojams pakakti, kad jie suprastų savo atitinkamas teises ir pareigas. Tokiais atvejais valstybės narės turėtų privalėti pateikti tik papildomą informaciją apie savo nacionalines administracines procedūras ir pagalbos paslaugas ar bet kurias kitas nacionalines administracines taisykles, jei tai aktualu naudotojams. Informacija, pavyzdžiui, apie vartotojų teises, neturėtų daryti poveikio sutarčių teisei, o veikiau ja naudotojai turėtų būti informuojami apie savo teises pagal Sąjungos ir nacionalinę teisę komercinių sandorių kontekste;

(18)

šis reglamentas turėtų sustiprinti su vidaus rinka susijusį internetinių procedūrų aspektą ir taip prisidėti prie vidaus rinkos skaitmeninimo, taikant bendrąjį nediskriminavimo principą, inter alia, piliečių arba verslininkų prieigos prie internetinių procedūrų, kurios jau yra įsteigtos nacionaliniu lygmeniu remiantis Sąjungos arba nacionaline teise, ir procedūrų, kurias turi būti galima visa apimtimi atlikti internete pagal šį reglamentą, atžvilgiu. Kai naudotojas, kurio situacija yra išimtinai susijusi su viena valstybe nare, toje valstybėje narėje turi prieigą prie procedūros internete ir ją atlieka srityje, kuriai taikomas šis reglamentas, tarpvalstybinis naudotojas taip pat turėtų be jokių diskriminuojamojo pobūdžio kliūčių turėti prieigą internete prie procedūros ir ją atlikti taikant arba tą patį techninį sprendimą, arba alternatyvų, techniškai skirtingą sprendimą, kurio rezultatas būtų toks pats. Tokios kliūtys galėtų būti nacionaliniu lygmeniu sukurti sprendimai, kaip antai reikalavimas formų laukeliuose nurodyti nacionalinius telefono numerius, nacionalinius telefono kodus arba nacionalinius pašto kodus, reikalavimas sumokėti mokesčius suteikiant galimybę tai padaryti tik per sistemas, per kurias negali būti atliekami tarpvalstybiniai mokėjimai, išsamių paaiškinimų nepateikimas tarpvalstybiniams naudotojams suprantama kalba, galimybių pateikti elektroninius įrodymus iš kitose valstybėse narėse esančių institucijų nebuvimas ir kitų valstybių narių išduotų elektroninių atpažinties priemonių nepripažinimas. Valstybės narės turėtų rasti tų kliūčių sprendimus;

(19)

kai naudotojai internetu atlieka procedūras už valstybės ribų, jie turėtų turėti galimybę gauti visus reikiamus paaiškinimus Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų. Tai nereiškia, kad valstybės narės privalo išversti savo administracines formas, susijusias su procedūra, ar tos procedūros rezultatus į tą kalbą. Tačiau valstybės narės skatinamos naudoti techninius sprendimus, kurie leistų naudotojams, tiek atvejų, kiek tai įmanoma, atlikti procedūras ta kalba, kartu laikantis valstybių narių taisyklių dėl kalbų naudojimo;

(20)

nacionalinės procedūros internete, kurios yra aktualios tarpvalstybiniams naudotojams, kad jie galėtų naudotis vidaus rinkos jiems teikiamomis teisėmis, priklauso nuo to, ar jie gyvena arba yra įsisteigę atitinkamoje valstybėje narėje, ar jie nori naudotis prieiga prie tos valstybės narės procedūrų gyvendami arba būdami įsisteigę kitoje valstybėje narėje. Šiuo reglamentu valstybėms narėms neturėtų būti draudžiama reikalauti, kad jų teritorijoje gyvenantys arba įsisteigę tarpvalstybiniai naudotojai, norėdami gauti prieigą prie nacionalinių procedūrų internete, gautų nacionalinį identifikavimo numerį, su sąlyga, kad dėl to tiems naudotojams nesukuria nepagrįstos papildomos naštos ar išlaidų. Tarpvalstybinių naudotojų, kurie negyvena arba nėra įsisteigę atitinkamoje valstybėje narėje, atveju nacionalinės procedūros internete, kurios nėra aktualios naudojantis vidaus rinkos jiems teikiamomis teisėmis, pavyzdžiui, registracija norint gauti vietos paslaugas, kaip antai atliekų surinkimas ir leidimas statyti automobilius, neprivalo būti visa apimtimi prieinamos internete;

(21)

šis reglamentas turėtų būti grindžiamas Europos Parlamento ir Tarybos reglamentu (ES) Nr. 910/2014 (13), kuriame yra nustatytos sąlygos, kuriomis valstybės narės pripažįsta tam tikras elektronines fizinių ir juridinių asmenų, kuriems taikoma kitos valstybės narės elektroninės atpažinties sistemą, apie kurią pranešta, atpažinties priemones. Reglamente (ES) Nr. 910/2014 yra nustatytos sąlygos, kuriomis naudotojams leidžiama naudotis savo elektroninėmis atpažinties ir tapatumo nustatymo priemonėmis, kai jie nori tarpvalstybinėse situacijose turėti prieigą prie viešųjų paslaugų internete. Sąjungos institucijos, organai, tarnybos ir agentūros skatinami priimti procedūrų, už kurias jie yra atsakingi, elektronines atpažinties ir tapatumo nustatymo priemones;

(22)

keliuose atskiriems sektoriams skirtuose Sąjungos teisės aktuose, kaip antai direktyvose 2005/36/EB, 2006/123/EB, 2014/24/ES ir 2014/25/ES, reikalaujama, kad būtų užtikrinta galimybė procedūras visa apimtimi atlikti internete. Šiuo reglamentu turėtų būti reikalaujama užtikrinti galimybę internete visa apimtimi atlikti keletą kitų procedūrų, kurios itin svarbios daugumai piliečių ir verslininkų, besinaudojančių savo teisėmis ir vykdančių savo pareigas už savo valstybės ribų;

(23)

kad piliečiai ir verslininkai galėtų, nepatirdami papildomos administracinės naštos, tiesiogiai naudotis vidaus rinkos teikiamais pranašumais, šiuo reglamentu turėtų būti reikalaujama visiškai suskaitmeninti tam tikrų šio reglamento II priede išvardytų pagrindinių procedūrų, skirtų tarpvalstybiniams naudotojams, naudotojų sąsają. Taip pat šis reglamentas turėtų nustatyti kriterijus, kuriais remiantis nustatoma, ar tos procedūros laikomos visiškai internetinėmis. Pareiga tokią procedūrą padaryti visiškai prieinama internete turėtų būti taikoma tik tais atvejais, kai tokia procedūra buvo įsteigta atitinkamoje valstybėje narėje. Šis reglamentas neturėtų apimti pirminio verslo veiklos registravimo, procedūrų, kurias būtina atlikti steigiant bendroves arba įmones kaip juridinius asmenis arba tokioms bendrovėms ar įmonėms vėliau atliekant registravimą, nes tokioms procedūroms turi būti taikomas visapusiškas požiūris, kuriuo siekiama palengvinti skaitmeninių sprendimų diegimą per visą bendrovės gyvavimo ciklą. Kitoje valstybėje narėje įsisteigę verslininkai privalo registruotis socialinės apsaugos sistemoje ir draudimo sistemoje, kad galėtų užregistruoti savo darbuotojus ir mokėti įmokas į abi sistemas. Jie gali turėti pranešti apie savo verslo veiklą, gauti leidimus ar registruoti savo verslo veiklos pokyčius. Tos procedūros yra vienodos daugelyje ekonomikos sektorių veiklą vykdantiems verslininkams, todėl tikslinga reikalauti, kad būtų užtikrinta galimybė internete atlikti tas registravimo procedūras;

(24)

šiame reglamente turėtų būti paaiškinta, ką reiškia galimybė procedūrą visa apimtimi atlikti internete. Procedūra turėtų būti laikoma visa apimtimi atliekama internete, jei naudotojas gali elektroniniu būdu, per atstumą ir naudodamasis internetine paslauga, atlikti visus veiksmus, t. y. nuo prieigos prie tos procedūros iki jos atlikimo, bendradarbiaudamas su kompetentinga institucija („tiesioginio aptarnavimo padalinio“). Teikiant šią paslaugą internete, naudotojas turėtų būti nukreipiamas į reikalavimų, kurie turi būti įvykdyti, ir pagrindžiančių įrodymų, kurie turi būti pateikti, sąrašą, ir naudotojui turėtų būti suteikta galimybė pateikti visą informaciją bei atitikties visiems tokiems reikalavimams įrodymus ir naudotojui turėtų būti automatiškai patvirtinta, kad informacija buvo gauta, nebent procedūros rezultatai būtų pateikiami iškart. Tai neturėtų trukdyti kompetentingoms institucijoms tiesiogiai susisiekti su naudotojais, kai tai būtina siekiant gauti tolesnių paaiškinimų dėl procedūros. Procedūros rezultatus, kaip nustatyta šiame reglamente, taip pat turėtų pateikti kompetentingos institucijos naudotojui elektroniniu būdu, jei tai įmanoma pagal taikomą Sąjungos ir nacionalinę teisę;

(25)

šis reglamentas neturėtų daryti poveikio II priede išvardytų procedūrų, nustatytų nacionaliniu, regioniniu ar vietos lygmeniu, esmei ir jame nenustatomos materialinės ar procesinės teisės normos II priede nurodytose srityse, įskaitant apmokestinimo sritį. Šio reglamento tikslas – nustatyti techninius reikalavimus siekiant užtikrinti, kad tokias procedūras, jei jos yra nustatytos atitinkamoje valstybėje narėje, būtų galima visa apimtimi atlikti internetu;

(26)

šis reglamentas neturėtų daryti poveikio nacionalinių institucijų kompetencijai bet kokios procedūros metu, įskaitant pateiktos informacijos ar įrodymo tikslumo ir pagrįstumo tikrinimą, taip pat autentiškumo tikrinimą, jei įrodymas pateiktas kitomis priemonėmis nei vienkartinio duomenų pateikimo principu pagrįsta technine sistema. Šis reglamentas taip pat neturėtų daryti poveikio procedūriniams darbo srautams jų kompetentingose institucijose („netiesioginio aptarnavimo padalinyje“), nesvarbu ar jie yra skaitmeninti, ar ne. Kai būtina, vykdant kai kurias verslo veiklos pokyčių registravimo procedūras, valstybės narės turėtų ir toliau galėti reikalauti, kad dalyvautų notarai arba teisininkai, kurie galėtų pageidauti naudotis tikrinimo priemonėmis, įskaitant vaizdo konferencijas ar kitas internetines priemones, kuriomis užtikrinamas garso ir vaizdo ryšys tikruoju laiku. Vis dėlto toks dalyvavimas neturėtų trukdyti visa apimtimi atlikti tokių pokyčių registravimo procedūrų internetu;

(27)

kai kuriais atvejais gali būti reikalaujama, kad naudotojai pateiktų įrodymus, įrodančius faktus, kurių negalima nustatyti internetinėmis priemonėmis. Tokiais įrodymais gali būti medicininės pažymos, įrodymas, kad asmuo yra gyvas, motorinių transporto priemonių techninės apžiūros pažyma ar važiuoklės numerio patvirtinimas. Jei tokie įrodymai gali būti pateikiami elektroniniu formatu, tuo nebūtų nukrypstama nuo principo suteikti galimybę procedūrą visa apimtimi atlikti internete. Kitais atvejais vis dar gali prireikti, atliekant procedūrą internete, patiems nuvykti į kompetentingą instituciją. Bet kokios tokios išimtys, išskyrus nustatytąsias Sąjungos teisėje, turėtų būti taikomos tik tada, kai tai pagrįsta privalomomis viešojo intereso priežastimis tokiose srityse kaip visuomenės saugumas, visuomenės sveikata arba kova su sukčiavimu. Kad būtų užtikrintas skaidrumas, valstybės narės turėtų su Komisija ir kitomis valstybėmis narėmis dalintis informacija apie tokias išimtis ir priežastis bei aplinkybes, kuriomis jos gali būti taikomos. Valstybėms narėms neturėtų būti taikomas reikalavimas pranešti apie kiekvieną atskirą atvejį, kuriuo išimties tvarka buvo reikalaujamas fizinis dalyvavimas, tačiau jos turėtų pranešti apie savo nacionalines nuostatas, kurios numato tokius atvejus. Vartų koordinavimo grupėje turėtų būti reguliariai aptariama geriausia nacionalinė patirtis ir techniniai pokyčiai, suteikiantys tolesnio skaitmeninimo galimybių;

(28)

tarpvalstybinių situacijų atveju, pasikeitusio adreso registracijos procedūrą gali sudaryti dvi atskiros procedūros: viena – kilmės valstybėje narėje, skirta paprašyti išsiregistruoti iš senojo adreso, o kita – paskirties valstybėje narėje, skirta paprašyti užregistruoti naujuoju adresu. Šis reglamentas turėtų būti taikomas abiem procedūroms;

(29)

kadangi reikalavimų, procedūrų ir formalumų, susijusių su profesinių kvalifikacijų pripažinimu, skaitmeninimui jau taikoma Direktyva 2005/36/EB, šis reglamentas turėtų būti taikomas tik procedūros, pagal kurią prašoma akademiškai pripažinti pradėti ar tęsti studijas pageidaujančio asmens diplomus, pažymėjimus ar kitus baigtų kursų įrodymus arba prašoma leisti naudoti akademinį laipsnį, skaitmeninimui, kiek jo neapima su profesinių kvalifikacijų pripažinimu susiję formalumai;

(30)

šiuo reglamentu neturėtų būti daromas poveikis socialinės apsaugos koordinavimo taisyklėms, nustatytoms Europos Parlamento ir Tarybos reglamentuose (EB) Nr. 883/2004 (14) ir (EB) Nr. 987/2009 (15), kuriomis yra nustatytos apdraustųjų asmenų ir socialinės apsaugos institucijų teisės ir pareigos, taip pat socialinės apsaugos koordinavimo srityje taikytinos procedūros;

(31)

siekiant padėti piliečiams ir verslininkams vykdyti tarpvalstybinę veiklą, Sąjungos ir nacionaliniu lygmenimis yra sukurta keletas tinklų ir paslaugų. Svarbu, kad tos paslaugos, įskaitant visas esamas pagalbos ar problemų sprendimo tarnybas, nustatytas Sąjungos lygmeniu, kaip antai, Europos vartotojų centrus, „Jūsų Europos patarėją“, SOLVIT, intelektinės nuosavybės teisių pagalbos tarnybą, „Europe Direct“ ir Europos įmonių tinklą, būtų įtrauktos į vartus, kad visi galimi naudotojai galėtų jas rasti. III priede išvardytos paslaugos buvo įsteigtos privalomais Sąjungos aktais, o kitos paslaugos teikiamos savanorišku pagrindu. Privalomais Sąjungos aktais nustatytoms paslaugoms turėtų būti taikomi šiame reglamente nustatyti kokybės reikalavimai. Savanoriškumo pagrindu teikiamos paslaugos turėtų atitikti kokybės reikalavimus, jei siekiama, kad jos būtų prieinamos per vartus. Šiuo reglamentu neturėtų būti keičiama tų paslaugų apimtis ir pobūdis, jų valdymo tvarka, esami laiko terminai ir savanoriškas, sutartinis ar kitoks pagrindas, kuriuo remiantis jie veikia. Pavyzdžiui, jei jų teikiama pagalba yra neformalaus pobūdžio, šiuo reglamentu tokia pagalba neturėtų būti paversta į privalomojo pobūdžio teisines konsultacijas;

(32)

be to, valstybės narės ir Komisija turėtų galėti šiame reglamente nustatytomis sąlygomis į vartus įtraukti ir kitas kompetentingų institucijų arba privačių ar pusiau privačių subjektų arba valdžios įstaigų, kaip antai, prekybos ir pramonės rūmų ar nevyriausybinių pagalbos piliečiams tarnybų, teikiamas nacionalines pagalbos bei problemų sprendimo paslaugas. Iš esmės kompetentingos institucijos turėtų būti atsakingos už pagalbos teikimą piliečiams ir verslininkams visais jiems rūpimais su taikomomis taisyklėmis ir procedūromis susijusiais klausimais, kurie negali būti visiškai išspręsti naudojantis internetinėmis paslaugomis. Tačiau jei paslaugos yra teikiamos labai specializuotose srityse ir jei privačių arba pusiau privačių subjektų teikiamomis paslaugomis yra patenkinami naudotojų poreikiai, valstybės narės gali siūlyti Komisijai, kad ji įtrauktų šias paslaugas į vartus, su sąlyga, kad tos paslaugos atitinka visas šiame reglamente nustatytas sąlygas ir jei jomis nebūtų dubliuojamos jau įtrauktos pagalbos arba problemų sprendimo paslaugos;

(33)

kad naudotojai galėtų lengviau rasti tinkamą paslaugą, šiame reglamente turėtų būti nustatyta pagalbos paslaugų radimo priemonė, kuri automatiškai nukreiptų naudotojus į tinkamą paslaugą;

(34)

būtiniausių kokybės reikalavimų laikymasis yra labai svarbus sėkmingam vartų veikimui, siekiant užtikrinti, kad teikiama informacija arba paslaugos būtų patikimos, nes priešingu atveju būtų padaryta didelė žala šių vartų, kaip sistemos, patikimumui. Bendresnis tikslas, kurio siekiama laikantis reikalavimų – užtikrinti, kad informacija arba paslauga būtų pateikiama aiškiai ir naudotojui patogiu būdu. Valstybėms narėms tenka atsakomybė nustatyti, kaip pateikti informaciją visame naudotojo maršrute, kad būtų pasiektas šis tikslas. Pavyzdžiui, nors prieš pradedant vykdyti procedūrą naudinga informuoti naudotojus apie bendrai prieinamas teisių gynimo priemones, kuriomis galima naudotis esant neigiamam procedūros rezultatui, naudotojams būtų paprasčiau, jei būtų teikiama konkreti informacija apie veiksmus, kurių tokiais atvejais galima imtis procedūros pabaigoje;

(35)

būtų galima gerokai padidinti tarpvalstybinių naudotojų galimybes gauti informaciją, jei informacija būtų teikiama Sąjungos oficialiąja kalba, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų. Daugeliu atvejų tai turėtų būti užsienio kalba, kurią Sąjungoje plačiausiai mokosi naudotojai, tačiau tam tikrais ypatingais atvejais, visų pirma, kai informaciją vietos lygmeniu turi teikti nedidelės savivaldybės, esančios netoli valstybės narės sienos, tinkamiausia kalba gali būti kalba, kurią kaip pirmąją kalbą naudoja tarpvalstybiniai naudotojai kaimyninėje valstybėje narėje. Vertime iš atitinkamos valstybės narės oficialiosios kalbos arba kalbų į kitą Sąjungos oficialiąją kalbą turėtų būti tiksliai perteikiamas originalia kalba arba kalbomis pateiktos informacijos turinys. Į kitą kalbą gali būti verčiama tik informacija, kurios reikia, kad naudotojai galėtų suprasti pagrindines jų atveju taikomas taisykles ir reikalavimus. Nors valstybės narės turėtų būti skatinamos kiek galima daugiau informacijos išversti į Sąjungos oficialiąją kalbą, kurią plačiai supranta kuo daugiau tarpvalstybinių naudotojų, informacijos, kuri turi būti išversta pagal šį reglamentą, kiekis priklausys nuo šiam tikslui skirtų, visų pirma iš Sąjungos biudžeto, finansinių išteklių. Komisija turėtų imtis atitinkamų priemonių, kad užtikrintų veiksmingą išverstos informacijos pateikimą valstybėms narėms, joms paprašius. Vartų koordinavimo grupė turėtų aptarti ir teikti gaires Sąjungos oficialiąja (-iosiomis) kalba (-omis), į kurią (-ias) tokia informacija turėtų būti išversta;

(36)

pagal Europos Parlamento ir Tarybos direktyvą (ES) 2016/2102 (16) valstybės narės privalo užtikrinti, kad jų valdžios įstaigų interneto svetainės būtų prieinamos vadovaujantis suvokimo, galimybės naudotis, suprantamumo ir tvarumo principais ir kad jos atitiktų toje direktyvoje nustatytus reikalavimus. Komisija ir valstybės narės turėtų užtikrinti Jungtinių Tautų neįgaliųjų teisių konvencijos, visų pirma, jos 9 ir 21 straipsnių, laikymąsi, ir, siekiant užtikrinti geresnę prieigą prie informacijos protinę negalią turintiems asmenims, turėtų būti kuo didesniu mastu užtikrintos lengvai skaitomos kalbos alternatyvos, laikantis proporcingumo principo. Valstybės narės ratifikuodamos, o Sąjunga sudarydama tą konvenciją (17) prisiėmė įsipareigojimus, imantis tinkamų priemonių, užtikrinti asmenims su negalia, kaip ir kitiems asmenims, prieigą prie naujų informacinių ir ryšių technologijų ir sistemų, įskaitant internetą, sudarant palankias sąlygas geresnei prieigai prie informacijos protinę negalią turintiems asmenims ir kuo didesniu mastu ir proporcingai teikiant alternatyvas lengvai skaitoma kalba;

(37)

Direktyva (ES) 2016/2102 netaikoma Sąjungos institucijų, organų, tarnybų ir agentūrų interneto svetainėms ir mobiliosioms programoms, tačiau Komisija turėtų užtikrinti, kad bendroji naudotojų sąsaja ir tinklalapiai, už kuriuos ji yra atsakinga ir kurie turi būti įtrauktos į vartus, būtų prieinamos asmenims su negalia, t. y. būtų suvokiamos, suteikiant galimybę jomis naudotis, suprantamos ir tvarios. Suvokimas reiškia, kad informacija ir bendrosios naudotojo sąsajos komponentai turi būti pateikiami vartotojams jiems suvokiamais būdais; galimybė naudoti reiškia, kad bendrojo naudotojo sąsajos komponentus ir naršymo priemones turi būti įmanoma naudoti; suprantamumas reiškia, kad informacija ir bendrosios naudotojo sąsajos naudojimas turi būti suprantam, o tvarumas reiškia, kad turinys turi būti pakankamai tvarus, kad jį būtų galima patikimai aiškinti naudojant įvairias naudotojo programas, įskaitant pagalbines technologijas. Dėl terminų „suvokimas“, „galimybė“, „suprantamumas“ ir „tvarumas“, Komisija skatinama laikytis atitinkamų suderintų standartų;

(38)

kad būtų lengviau sumokėti mokesčius, kurių reikalaujama atliekant procedūras internete arba už pagalbos ar problemų sprendimo paslaugų teikimą, tarpvalstybiniai naudotojai turėtų turėti galimybę naudoti kredito pervedimus arba tiesioginį debetą, kaip nurodyta Europos Parlamento ir Tarybos reglamente (ES) Nr. 260/2012 (18), arba kitas paprastai naudojamas tarpvalstybines mokėjimo priemones, įskaitant debeto ar kredito korteles;

(39)

naudinga naudotojus informuoti apie numatomą laiką, kurį procedūra gali užtrukti. Todėl naudotojai turėtų būti informuojami apie taikomus terminus arba savaiminio patvirtinimo arba administracinės tylos tvarką, arba, jei jie netaikomi, bent jau apie vidutinį, numatomą ar apytikslį laiką, kurio paprastai prireikia aptariamai procedūrai. Toks numatomas laikas ar apytikslis įvertinimas turėtų tik padėti naudotojams planuoti savo veiklą ar tolesnius administracinius veiksmus ir neturėtų sukelti jokių teisinių pasekmių;

(40)

šiuo reglamentu taip pat turėtų būti leidžiama patikrinti naudotojų elektroniniu formatu pateiktus įrodymus, jei jie pateikti be juos išdavusios kompetentingos institucijos elektroninio spaudo arba patvirtinimo, arba jei nėra galimybės naudotis pagal šį reglamentą nustatyta technine priemone ar kita sistema, suteikiančiomis galimybę skirtingų valstybių narių kompetentingoms institucijoms tiesiogiai keistis įrodymais arba juos patikrinti. Šiame reglamente turėtų būti numatytas veiksmingas tokiais atvejais taikytinas valstybių narių kompetentingų institucijų administracinio bendradarbiavimo mechanizmas, grindžiamas Vidaus rinkos informacine sistema (toliau – IMI), sukurta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1024/2012 (19). Tokiais atvejais kompetentingos institucijos sprendimas naudotis IMI turėtų būti savanoriškas, tačiau kai ta institucija per IMI jau yra pateikusi prašymą suteikti informaciją arba bendradarbiauti, kompetentinga institucija, į kurią kreiptasi, turėtų privalėti bendradarbiauti ir pateikti atsakymą. Prašymas per IMI gali būti siunčiamas kompetentingai institucijai, išduodančiai įrodymą, arba centrinei institucijai, paskirtai valstybės narės, remiantis jos pačios administracinėmis taisyklėmis. Siekiant išvengti nereikalingo dubliavimosi ir atsižvelgiant į tai, kad Europos Parlamento ir Tarybos reglamentas (ES) 2016/1191 (20) taikomas daliai įrodymų, kurie aktualūs procedūroms, kurioms taikomas šis reglamentas, su IMI susijusios bendradarbiavimo priemonės, nustatytos Reglamente (ES) 2016/1191, taip pat gali būti naudojamos kitiems įrodymams, kurių reikia procedūroms, kurioms taikomas šis reglamentas. Kad Sąjungos organai, tarnybos arba agentūros galėtų naudotis IMI, Reglamentas (ES) Nr. 1024/2012 turėtų būti iš dalies pakeistas;

(41)

kompetentingų institucijų teikiamos internetinės paslaugos nepaprastai svarbios didinant piliečiams ir verslininkams teikiamų paslaugų kokybę ir saugumą. Valstybių narių viešosios administravimo įstaigos vis dažniau ieško galimybių pakartotinai naudotis duomenimis nebereikalaudamos, kad piliečiai ir verslininkai kelis kartus pateiktų tą pačią informaciją. Siekiant sumažinti papildomą naštą, turėtų būti sudaromos sąlygos tarpvalstybiniams naudotojams pakartotinai naudotis duomenimis;

(42)

siekiant sudaryti sąlygas teisėtam tarpvalstybiniam keitimuisi įrodymais ir informacija taikant visos Sąjungos vienkartinio duomenų pateikimo principą, šis reglamentas ir šis principas turėtų atitikti taikytinas duomenų apsaugos taisykles įskaitant duomenų kiekio mažinimo, tikslumo, saugojimo ribojimo, vientisumo ir konfidencialumo, būtinumo, proporcingumo ir tikslo ribojimo principus. Jį įgyvendinant taip pat turėtų būti visapusiškai laikomasi pritaikyto integruotojo saugumo ir integruotosios privatumo apsaugos principų ir gerbiamos pagrindinės asmenų teisės, įskaitant tas teises, kurios susijusios su sąžiningumu ir skaidrumu;

(43)

valstybės narės turėtų užtikrinti, kad naudotojams būtų pateikta aiški informacija apie tai, kaip su jais susiję asmens duomenys bus tvarkomi pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (21) 13 ir 14 straipsnius bei Reglamento (ES) 2018/1725 (22) 15 ir 16 straipsnius;

(44)

kad būtų lengviau atlikti internetines procedūras, šiame reglamente, laikantis vienkartinio duomenų pateikimo principo, turėtų būti nustatytas pagrindas, kad būtų galima parengti ir naudoti visapusiškai veikiančias ir saugias technines sistemas, skirtas tarpvalstybiniam keitimuisi įrodymais automatizuotu būdu tarp procedūroje dalyvaujančių subjektų, kai to aiškiai reikalauja piliečiai ir verslininkai. Kai keitimasis įrodymais apima asmens duomenis, prašymas turėtų būti laikomas aiškiu, jei jame laisva valia ir turint visą informaciją pateikiama nurodyta, konkreti ir nedviprasmiška nuoroda apie asmens pageidavimus keistis atitinkamais asmens duomenimis, išreiškiant valią pareiškimu arba tvirtinamaisiais veiksmais. Jei naudotojas nėra asmuo, susijęs su tais duomenimis, internetinė procedūra neturėtų daryti poveikio jo teisėms pagal Reglamentą (ES) 2016/679. Taikant vienkartinio duomenų pateikimo principą tarpvalstybiniu lygmeniu piliečiai ir verslininkai neturėtų valdžios institucijoms pateikti tų pačių duomenų daugiau nei vieną kartą ir tuos duomenis naudotojo prašymu turėtų būti galima naudoti ir tarpvalstybinių internetinių procedūrų, kuriose dalyvauja tarpvalstybiniai naudotojai, atlikimo tikslais. Pareiga naudoti techninę sistemą, per kurią įvairios valstybės narės galėtų automatizuotu būdu keistis įrodymais, išduodančiajai kompetentingai institucijai taikomas, tik jei institucijos teisėtai savo valstybėje narėje išduoda įrodymus elektroniniu formatu, kurį taikant galima vykdyti tokį keitimąsi įrodymais automatizuotu būdu;

(45)

bet kuris tarpvalstybinis keitimasis įrodymais turėtų būti grindžiamas tinkamu teisiniu pagrindu, kaip antai, direktyvomis 2005/36/EB, 2006/123/EB, 2014/24/ES arba 2014/25/ES, o II priede išvardytų procedūrų atveju – kitais taikytinais Sąjungos ar nacionalinės teisės aktais;

(46)

tinkama, kad šis reglamentu nustato bendrąją taisyklę, kad tarpvalstybinis keitimasis įrodymais automatizuotu būdu atliekamas gavus aiškų naudotojo prašymą. Tačiau šis reikalavimas neturėtų būti taikomas tais atvejais, kai atitinkamuose Sąjungos ar nacionalinės teisės aktuose yra numatyta galimybė keistis duomenimis automatizuotu būdu tarpvalstybiniu lygmeniu negavus aiškaus naudotojo prašymo;

(47)

naudotis pagal šį reglamentą įsteigta technine sistema ir toliau turėtų būti leidžiama savanoriškai, o naudotojas turėtų turėti galimybę įrodymus pateikti kitais būdais nei naudojantis technine sistema. Naudotojas turėtų turėti galimybę peržiūrėti įrodymą ir teisę nuspręsti nesikeisti įrodymais tais atvejais, kai naudotojas, peržiūrėjęs įrodymus, kuriais turi būti keičiamasi, nustato, kad informacija yra netiksli, pasenusi arba viršija tai, kas būtina siekiant atitinkamos procedūros tikslų. Į peržiūrimą medžiagą įtraukti duomenys neturėtų būti saugomi ilgiau nei tai būtina techniniu požiūriu;

(48)

be to, saugi techninė sistema, kuri turėtų būti sukurta, kad būtų galima pagal šį reglamentą keistis įrodymais, turėtų suteikti prašančiosioms kompetentingoms institucijoms tikrumo, kad įrodymus pateikė tinkama išduodančioji institucija. Prieš priimdama informaciją, kurią naudotojas pateikė vykdant procedūrą, kompetentinga institucija turėtų galėti patikrinti informaciją, jei dėl jos kyla abejonių, ir padaryti išvadą, kad ji tiksli;

(49)

egzistuoja kai kurie sudedamieji elementai, kurie suteikia pagrindinių pajėgumų ir kurie gali būti panaudoti techninei sistemai kurti, kaip antai Europos infrastruktūros tinklų priemonė, nustatyta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1316/2013 (23), ir sudedamieji e. pristatymo ir e. tapatybės atpažinties elementai, kurie sudaro tų priemonių dalį. Tuos sudedamuosius elementus sudaro techninės specifikacijos, programinės įrangos šablonai ir pagalbinės paslaugos, ir jais siekiama užtikrinti skirtingose valstybėse narėse esamų informacijos ir ryšių technologijų (IRT) sistemų sąveikumą, kad piliečiai, verslininkai ir administravimo įstaigos galėtų sklandžiai naudotis skaitmeninėmis viešosiomis paslaugomis, nesvarbu, kurioje Sąjungos vietoje jie bebūtų;

(50)

šiuo reglamentu įsteigta techninė sistema turėtų būti taikoma kartu su kitomis sistemomis, kuriomis nustatomi institucijų bendradarbiavimo mechanizmai, kaip antai IMI, ir ji neturėtų daryti poveikio kitoms sistemoms, įskaitant sistemą, numatytą Reglamente (EB) Nr. 987/2009, Europos bendrąjį viešųjų pirkimų dokumentą pagal Europos Parlamento ir Tarybos direktyvą 2014/24/ES, elektroninius socialinės apsaugos informacijos mainus pagal Reglamentą (EB) Nr. 987/2009, Europos profesinę kortelę pagal Direktyvą 2005/36/EB, nacionalinių registrų sujungimą, centrinių, komercinių ir bendrovių registrų sujungimą pagal Europos Parlamento ir Tarybos direktyvą (ES) 2017/1132 (24) ir nemokumo registrų sujungimą pagal Europos Parlamento ir Tarybos reglamentą (ES) 2015/848 (25);

(51)

siekiant užtikrinti vienodas techninės sistemos, kuria suteikiama galimybė keistis įrodymais automatizuotu būdu, įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, kad ji galėtų nustatyti, visų pirma, išsamias naudotojo prašymo apsikeisti įrodymais tvarkymo sistemos technines ir veikimo specifikacijas ir tų įrodymų persiuntimo tvarką, taip pat nustatyti taisykles, būtinas užtikrinti perduodamų duomenų vientisumą ir konfidencialumą. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (26);

(52)

siekiant užtikrinti, kad techninės sistemos užtikrintų aukšto lygio saugumą tarpvalstybiniu mastu taikant vienkartinio duomenų pateikimo principą, Komisija, priimdama įgyvendinimo aktus, kuriais nustatomos tos techninės sistemos specifikacijos, turėtų deramai atsižvelgti į standartus ir technines specifikacijas, kurias parengė Europos ir tarptautinės standartizacijos organizacijos ir įstaigos, visų pirma Europos standartizacijos komitetas (CEN), Europos telekomunikacijų standartų institutas (ETSI), Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė telekomunikacijų sąjunga (ITU), bei į saugos standartus, nurodytus Reglamento (ES) 2016/679 32 straipsnyje ir Reglamento (ES) 2018/1725 22 straipsnyje;

(53)

jei reikia, siekiant užtikrinti techninės sistemos, už kurią atsakinga Komisija, komponentų kūrimą, naudojimą, techninę priežiūrą, priežiūrą, stebėseną ir saugumo valdymą, Komisija turėtų prašyti Europos duomenų apsaugos priežiūros pareigūno konsultacijos;

(54)

kompetentingos institucijos ir Komisija turėtų užtikrinti, kad informacija, procedūros ir paslaugos, už kurias ji yra atsakinga, atitiktų kokybės kriterijus. Pagal šį reglamentą paskirti nacionaliniai koordinatoriai ir Komisija turėtų reguliariai prižiūrėti, kaip atitinkamai nacionaliniu ir Sąjungos lygmenimis yra užtikrinama atitiktis kokybės ir saugumo kriterijams, ir spręsti kylančias problemas. Be to, nacionaliniai koordinatoriai turėtų padėti Komisijai stebėti, kaip veikia techninė sistema, sudaranti sąlygas keistis įrodymais tarpvalstybiniu mastu. Šiuo reglamentu Komisijai turėtų būti suteikiama priemonių, kurių ji galėtų imtis blogėjant per vartus teikiamų paslaugų kokybei, atsižvelgdama į tokio blogėjimo problemos rimtumą ir trukmę, prireikus, įtraukiant vartų koordinavimo grupę. Tai neturėtų daryti įtakos bendrai Komisijos atsakomybei, susijusiai su šio reglamento laikymosi stebėsena;

(55)

šiame reglamente turėtų būti nustatytos pagrindinės techninių priemonių, kuriomis palaikomas vartų veikimas, funkcijos; visų pirma turėtų būti nustatytos bendrosios naudotojų sąsajos, nuorodų saugyklos ir bendros pagalbos paslaugų radimo priemonės funkcijos. Bendroji naudotojų sąsaja turėtų užtikrinti, kad naudotojai galėtų lengvai rasti informaciją, procedūras, pagalbą ir problemų sprendimo paslaugas nacionalinėse ir Sąjungos lygmens interneto svetainėse. Valstybės narės ir Komisija turėtų siekti teikti nuorodas į vieną bendrą vartams reikalingos informacijos šaltinį, kad naudotojams nekiltų painiavos dėl skirtingų, visiškai arba iš dalies besidubliuojančių tos pačios informacijos šaltinių. Tai neturėtų atimti galimybės pateikti nuorodas į tą pačią informaciją, kurią teikia vietos arba regioninės kompetentingos institucijos, ir kuri susijusi su skirtingomis geografinėmis vietovėmis. Dėl to taip pat neturėtų būti neleidžiama tam tikru mastu dubliuoti informacijos, kai tai neišvengiama ar pageidautina, pavyzdžiui, kai tam tikros Sąjungos teisės, pareigos ir taisyklės yra pakartojamos arba aprašomos nacionalinėse interneto svetainėse siekiant didesnio patogumo naudotojui. Siekiant kuo labiau sumažinti žmogaus įsikišimą atnaujinant nuorodas, skirtas naudoti bendrojoje naudotojų sąsajoje, turėtų būti nustatytas, jeigu tai techniškai įmanoma, tiesioginis ryšys tarp valstybių narių atitinkamų techninių sistemų ir nuorodų saugyklos. Siekiant palengvinti sąveikumą su nacionalinių paslaugų katalogais ir semantika, bendrose IRT pagalbinėse priemonėse gali būti naudojamas pagrindinių viešųjų paslaugų žodynas (CPSV). Valstybės narės turėtų būti skatinamos naudoti CPSV, tačiau jos turėtų galėti nuspręsti naudoti nacionalinius sprendimus. Nuorodų saugykloje laikoma informacija turėtų būti viešai skelbiama atviru, bendrai naudojamu ir kompiuterio skaitomu formatu, pavyzdžiui, programų sąsaja (API), kad ją būtų galima naudoti pakartotinai;

(56)

bendrosios naudotojų sąsajos paieškos priemonė turėtų naudotojus nukreipti į informaciją, kurios jiems reikia, kad ir kur ji būtų – Sąjungos ar nacionalinio lygmens interneto svetainėse. Be to, kaip alternatyvus būdas nukreipti naudotojus į naudingą informaciją, ji toliau bus naudinga kuriant esamų ir papildomų interneto svetainių arba tinklalapių sąsajas, kurios juos kuo labiau racionalizuos ir sugrupuos, ir kuriant Sąjungos ir nacionalinio lygmens tinklalapių ir interneto svetainių, kuriomis teikiama prieiga prie internetinių paslaugų ir informacijos, sąsajas;

(57)

šiame reglamente taip pat turėtų būti tiksliai apibrėžti bendrosios naudotojų sąsajos kokybės reikalavimai. Komisija turėtų užtikrinti, kad bendroji naudotojų sąsaja atitiktų tuos reikalavimus ir kad sąsaja visų pirma būtų prieinama internete įvairiais kanalais ir ją būtų lengva naudoti;

(58)

siekiant užtikrinti vienodas techninių sprendimų, kuriais palaikomas vartų veikimas, įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai nustatyti, prireikus, taikytinus standartus ir sąveikumo reikalavimus, kad būtų lengviau galima rasti informaciją apie taisykles ir pareigas, apie procedūras ir apie pagalbą ir problemų sprendimo paslaugas, už kurias atsako valstybės narės ir Komisija. Tais įgaliojimais turėtų būti naudojamasi laikantis Reglamento (ES) Nr. 182/2011;

(59)

be to, šiame reglamente turėtų būti aiškiai paskirstytos Komisijos ir valstybių narių pareigos, susijusios su IRT taikomųjų programų, kuriomis palaikomas vartų veikimas, kūrimu, prieinamumu, priežiūra ir saugumu. Vykdydamos priežiūros užduotis, Komisija ir valstybės narės turėtų reguliariai stebėti, ar tos IRT taikomosios programos veikia tinkamai;

(60)

kad būtų galima išnaudoti visas galimybes, kurių atsiranda teikiant įvairių sričių informaciją, atliekant procedūras ir teikiant pagalbos bei problemų sprendimo paslaugas, kurios turėtų būti įtrauktos į vartus, būtina iš esmės padidinti tikslinės auditorijos informuotumą apie šios informacijos, procedūrų ir paslaugų teikimą ir taikymą. Jei ši informacija, procedūros ir paslaugos būtų įtrauktos į vartus, naudotojams turėtų būti daug lengviau rasti jiems reikalingą informaciją, procedūras ir pagalbos bei problemų sprendimo paslaugas, net jei jie apie jas nieko nežino. Be to, siekiant užtikrinti, kad visos Sąjungos piliečiai ir verslininkai būtų informuoti apie galimybę naudotis vartais ir apie šių vartų teikiamus pranašumus, reikės bendromis pastangomis koordinuotai juos propaguoti. Tokia propagavimo veikla turėtų apimti paieškos sistemų optimizavimą ir kitus informuotumo didinimo internete veiksmus, nes jie yra ekonomiškai efektyviausi ir turi potencialą pasiekti didžiausią įmanomą tikslinę auditoriją. Kad būtų pasiektas didžiausias efektyvumas, tie propagavimo veiksmai turėtų būti koordinuojami vartų koordinavimo grupėje, o valstybės narės turėtų priderinti savo vykdomus propagavimo veiksmus, kad visais atitinkamais atvejais būtų daroma nuoroda į tą patį ženklą, taip pat turėtų būti numatyta galimybė su bendrųjų skaitmeninių vartų ženklu naudoti nacionalinių iniciatyvų ženklus;

(61)

visos Sąjungos institucijos, organai ir agentūros turėtų būti skatinamos propaguoti vartus, įtraukiant į visus atitinkamus tinklalapius, už kuriuos jie yra atsakingi, nuorodas į vartus ir jų logotipą;

(62)

pavadinimas, iš kurio atpažįstami vartai ir kuriuo jie propaguojami plačiajai visuomenei, turėtų būti „Your Europe“. Bendroji naudotojų sąsaja turėtų būti aiškiai ir lengvai randama, ypač atitinkamuose Sąjungos ir nacionaliniuose tinklalapiuose. Vartų logotipas turėtų būti matomas atitinkamose Sąjungos ir nacionalinėse interneto svetainėse;

(63)

siekiant gauti tinkamos informacijos, kuria remiantis būtų galima įvertinti ir gerinti bendrųjų skaitmeninių vartų taikymo rezultatus, šiame reglamente turėtų būti reikalaujama, kad kompetentingos institucijos ir Komisija rinktų ir analizuotų duomenis, susijusius su per vartus teikiama įvairių sričių informacija, procedūromis ir paslaugomis. Renkant statistinius duomenis apie naudotojus, kaip antai duomenis, susijusius su apsilankymų konkrečiuose tinklalapiuose skaičiumi, naudotojų iš tos pačios valstybės narės skaičiumi, palyginti su naudotojų iš kitų valstybių narių skaičiumi, naudotais paieškos žodžiais, daugiausiai kartų aplankytais tinklalapiais, svetainėmis, per kurių nuorodas apsilankyta, arba pagalbos prašymų skaičiumi, kilme ir tematika, turėtų būti pagerintas vartų veikimas, padedant nustatyti auditoriją, plėtoti propagavimo veiklą ir gerinti siūlomų paslaugų kokybę. Renkant tokius duomenis turėtų būti atsižvelgiama į Komisijos atliekamą kasmetinį e. valdžios lyginamąjį tyrimą, kad būtų išvengta bet kokio dubliavimo;

(64)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlyga, Komisijai turėtų būti suteikti įgaliojimai priimti įgyvendinimo aktus, siekiant nustatyti vienodas statistinių duomenų apie naudotojus rinkimo ir keitimosi jais taisykles. Tais įgaliojimais turėtų būti naudojamasi laikantis Reglamento (ES) Nr. 182/2011;

(65)

vartų kokybė priklauso nuo Sąjungos ir nacionalinių paslaugų, teikiamų per vartus, kokybės. Todėl informacijos, procedūrų ir pagalbos bei problemų sprendimo paslaugų, kurias galima gauti per vartus, kokybė taip pat turėtų būti reguliariai stebima, be kita ko, per naudotojų grįžtamosios informacijos rinkimo priemonę, kurią taikant naudotojų bus prašoma įvertinti informacijos, procedūros arba pagalbos bei problemų sprendimo paslaugos, kuria jie naudojosi, aprėptį ir kokybę ir teikti grįžtamąją informaciją. Ši grįžtamoji informacija turėtų būti laikoma bendroje priemonėje, o prieiga prie šios priemonės turėtų būti užtikrinta Komisijai, kompetentingoms institucijoms ir nacionaliniams koordinatoriams. Siekiant užtikrinti vienodas šio reglamento taikymo sąlygas, kiek tai susiję su bendromis naudotojų grįžtamosios informacijos rinkimo priemonių funkcijomis ir su išsamia naudotojų grįžtamosios informacijos rinkimo ir dalijimosi šia informacija tvarka, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Reglamento (ES) Nr. 182/2011. Komisija turėtų skelbti anonimines internetines suvestines problemų, nustatytų remiantis informacija, pagrindine statistika apie naudotojus ir pagrindinių naudotojų grįžtamąja informacija, surinktas laikantis šio reglamento, apžvalgas;

(66)

be to, į vartus turėtų būti įtraukta grįžtamosios informacijos priemonė, kad naudotojai galėtų savanoriškai ir anonimiškai pranešti apie problemas ir sunkumus, kurių jiems kyla naudojantis vidaus rinkos teikiamomis teisėmis. Ši priemonė turėtų būti laikoma tik skundų nagrinėjimo mechanizmą papildančia priemone, nes, ją taikant, nėra galimybės pateikti individualiems naudotojams pritaikytų atsakymų. Gauta informacija turėtų būti sujungta su suvestine pagalbos bei problemų sprendimo paslaugų teikėjų pateikta informacija apie jų nagrinėtus atvejus, kad būtų galima parengti naudotojų patirtimi pagrįstą vidaus rinkos apžvalgą ir nustatyti problemines sritis, kad būtų galima ateityje imtis veiksmų siekiant pagerinti vidaus rinkos veikimą. Ta apžvalga turėtų būti susieta su esamomis ataskaitų teikimo priemonėmis, pavyzdžiui, Vidaus rinkos rezultatų suvestine;

(67)

šiuo reglamentu neturėtų būti daromas poveikis valstybių narių teisei nuspręsti, kas turėtų atlikti nacionalinio koordinatoriaus vaidmenį. Valstybės narės turėtų turėti galimybę su vartais susijusias nacionalinių koordinatorių funkcijas ir pareigas pritaikyti prie savo vidaus administracinių struktūrų. Valstybės narės turėtų turėti galimybę skirti papildomus nacionalinius koordinatorius, kurie vykdytų užduotis pagal šį reglamentą pavieniui arba kartu su kitais, atsakingais už administracijos padalinį ar geografinį regioną arba atitinkančiais kitus kriterijus. Valstybės narės turėtų pranešti Komisijai apie vieną bendrą nacionalinį koordinatorių, kurį jos paskyrė ryšiams su Komisija palaikyti;

(68)

kad būtų lengviau taikyti šį reglamentą, turėtų būti sukurta iš nacionalinių koordinatorių sudaryta vartų koordinavimo grupė, kuriai pirmininkautų Komisija; visų pirma, šioje grupėje turėtų būti keičiamasi geriausia patirtimi ir bendradarbiaujama siekiant užtikrinti, kad informacija būtų pateikiama nuosekliau, kaip reikalaujama šiuo reglamentu. Vartų koordinavimo grupės darbe turėtų būti atsižvelgiama į metinėje darbo programoje, kurią Komisija turėtų pateikti jai apsvarstyti, nustatytus tikslus. Metinė darbo programa turėtų būti parengta kaip gairės arba rekomendacijos, kurios neturi privalomojo poveikio valstybėms narėms. Komisija, Europos Parlamentui paprašius, gali nuspręsti paprašyti Parlamento atsiųsti ekspertus dalyvauti vartų koordinavimo grupės posėdžiuose;

(69)

šiame reglamente turėtų būti paaiškinta, kurios vartų dalys turi būti finansuojamos iš Sąjungos biudžeto, o už kurias turi būti atsakingos valstybės narės. Komisija turėtų padėti valstybėms narėms nustatyti pakartotinai panaudojamus IRT sudedamuosius elementus ir finansavimą, kurį galima gauti iš įvairių Sąjungos lygmens fondų bei programų, galinčių prisidėti padengiant IRT pritaikymo ir plėtojimo, reikalingo nacionaliniu lygmeniu siekiant laikytis šio reglamento, išlaidas. Šio reglamento įgyvendinimui reikalingas biudžetas turėtų būti suderinamas su taikytina daugiamete finansine programa;

(70)

valstybės narės raginamos koordinuoti veiksmus, keistis informacija ir glaudžiau bendradarbiauti viena su kita, siekiant padidinti savo strateginius, veiklos, mokslinių tyrimų ir technologinės plėtros pajėgumus kibernetinio saugumo srityje, visų pirma įgyvendinant Tinklų ir informacijos saugumo sistemą direktyvą, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje (ES) 2016/1148 (27) jų viešojo administravimo ir paslaugų saugumui ir atsparumui sustiprinti. Valstybės narės raginamos padidinti operacijų saugumą ir užtikrinti pakankamą pasikliovimo elektroninėmis priemonėmis lygmenį pasitelkiant Elektroninės atpažinties reglamento (EAR) sistemą, nustatytą Reglamentu (ES) Nr. 910/2014 ir užtikrinant visų pirma tinkamo lygio patikimumą. Valstybės narės gali imtis priemonių pagal Sąjungos teisę, kad užtikrintų kibernetinį saugumą ir užkirstų kelią tapatybės klastojimui ar kitų formų sukčiavimui;

(71)

kai taikant šį reglamentą atliekamas asmens duomenų tvarkymas, jis turėtų būti vykdomos laikantis Sąjungos teisės aktų dėl asmens duomenų apsaugos, visų pirma Reglamento (ES) 2016/679 ir Reglamento (ES) 2018/1725 Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (28) taip pat turėtų būti taikoma įgyvendinant šį reglamentą. Kaip numatyta Reglamente (ES) 2016/679, valstybės narės gali palikti galioti arba nustatyti papildomas sąlygas, įskaitant apribojimus, taikomas sveikatos duomenų tvarkymui, ir jos taip pat gali nustatyti konkretesnes taisykles dėl darbuotojų asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste;

(72)

šiuo reglamentu turėtų būti skatinamas ir palengvinamas paslaugų, kurias apima vartai, valdymo tvarkos racionalizavimas. Šiuo tikslu Komisija turėtų, glaudžiai bendradarbiaudama su valstybėmis narėmis, peržiūrėti esamą valdymo tvarką ir prireikus ją pritaikyti, kad būtų išvengta dubliavimosi ir neefektyvumo;

(73)

šio reglamento tikslas – užtikrinti, kad kitose valstybėse narėse veiklą vykdantiems naudotojams būtų suteikta internetinė prieiga prie išsamios, patikimos, prieinamos ir suprantamos Sąjungos lygmens ir nacionalinės informacijos apie teises, taisykles ir pareigas, prieiga prie internetinių procedūrų, kurias galima visa apimtimi atlikti tarpvalstybiniu lygmeniu, taip pat prieiga prie pagalbos bei problemų sprendimo paslaugų. Kadangi valstybės narės to tikslo negali tinkamai pasiekti, o dėl šio reglamento masto ir poveikio, to tikslo būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu nereikalaujama daugiau, nei būtina nurodytam tikslui pasiekti;

(74)

kad valstybės narės ir Komisija galėtų sukurti ir įgyvendinti priemones, kurios reikalingos šiam reglamentui įgyvendinti, tam tikros jo nuostatos turėtų būti taikomos praėjus dvejiems metams po jo įsigaliojimo dienos. Savivaldos institucijoms turėtų būti suteikta galimybė per ketverius metus po šio reglamento įsigaliojimo dienos pateikti informaciją apie į jų atsakomybės sritį patenkančias taisykles, procedūras ir pagalbos bei problemų sprendimo paslaugas. Šio reglamento nuostatos dėl procedūrų, kurias galima visa apimtimi atlikti internete, tarpvalstybinės prieigos prie internetinių procedūrų ir techninės sistemos, skirtos tarpvalstybiniam keitimuisi įrodymais automatizuotu būdu, laikantis vienkartinio duomenų pateikimo principo, turėtų būti įgyvendintos ne vėliau kaip per penkerius metus po šio reglamento įsigaliojimo dienos;

(75)

šiuo reglamentu gerbiamos pagrindinės teisės ir principai, visų pirma nustatyti Europos Sąjungos pagrindinių teisių chartijoje, ir šis reglamentas turėtų būti įgyvendinamas atsižvelgiant į tas teises ir principus;

(76)

pagal Reglamento (EB) Nr. 45/2001 (29) 28 straipsnio 2 dalį buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis 2017 m. rugpjūčio 1 d. pateikė nuomonę (30),

(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą. Ši teisė taip pat užtikrinta Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsniu;

(2)

Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001 (3) fiziniams asmenims nustatytos teisės, kurias jie gali teisiškai įgyvendinti, Bendrijos institucijų ir organų duomenų valdytojams nustatomi duomenų tvarkymo įpareigojimai ir įsteigiama nepriklausoma priežiūros institucija – Europos duomenų apsaugos priežiūros pareigūnas, atsakingas už Sąjungos institucijose ir organuose atliekamą asmens duomenų tvarkymą. Tačiau jis netaikomas duomenų tvarkymui, Sąjungos institucijoms ir organams vykdant veiklą, kuriai netaikoma Sąjungos teisė;

(3)

Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (4) ir Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (5) buvo priimti 2016 m. balandžio 27 d. Reglamente nustatomos bendrosios fizinių asmenų apsaugos taisyklės, kurios yra susijusios su asmens duomenų tvarkymu ir kuriomis siekiama užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, o direktyva nustatomos specialiosios fizinių asmenų apsaugos taisyklės, tvarkant asmens duomenis ir užtikrinant laisvą asmens duomenų judėjimą Sąjungoje teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse;

(4)

Reglamente (ES) 2016/679 numatoma pritaikyti Reglamentą (EB) Nr. 45/2001 siekiant užtikrinti tvirtą ir suderintą duomenų apsaugos sistemą Sąjungoje ir suteikti galimybę jį taikyti tuo pačiu metu su Reglamentu (ES) 2016/679;

(5)

siekiant laikytis suderinto požiūrio į asmens duomenų apsaugą visoje Sąjungoje ir į laisvą asmens duomenų judėjimą Sąjungoje, reikėtų kuo labiau suderinti Sąjungos institucijoms, organams, tarnyboms ir agentūroms taikomas duomenų apsaugos taisykles, patvirtintas valstybių narių viešajame sektoriuje. Jei šio reglamento nuostatos grindžiamos tomis pačiomis sąvokomis kaip ir tos, kurios vartojamos Reglamente (ES) 2016/679, laikantis Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) praktikos, abi nuostatas reikėtų aiškinti vienodai, visų pirma todėl, kad šio reglamento sistemą reikėtų laikyti lygiaverte Reglamento (ES) 2016/679 sistemai;

(6)

turėtų būti ginami asmenys, kurių asmens duomenis Sąjungos institucijos ir organai, nesvarbu, kokiomis aplinkybėmis jie būtų tvarkomi, pavyzdžiui, todėl, kad jie dirba tose institucijose ir organuose. Šis reglamentas neturėtų būti taikomas mirusių asmenų asmens duomenų tvarkymui. Šis reglamentas neapima juridinių asmenų ir, visų pirma, juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo;

(7)

siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų;

(8)

šis reglamentas turėtų būti taikomas visų Sąjungos institucijų, organų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui. Jis turėtų būti taikomas asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų tvarkymui ne automatizuotomis priemonėmis, kai šie duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

(9)

Deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo. Todėl atskiras šio reglamento skyrius, apimantis bendrąsias taisykles, turėtų būti taikomas tokiam operatyvinių asmens duomenų tvarkymui, kaip, pavyzdžiui, Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą teisminio bendradarbiavimo, baudžiamųjų bylų ir policijos bendradarbiavimo srityje, baudžiamojo tyrimo tikslais atliekamas asmens duomenų tvarkymas;

(10)

Direktyvoje (ES) 2016/680 nustatytos suderintos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir laisvo tokių duomenų judėjimo, įskaitant apsaugos priemones ir grėsmių visuomenės saugumui prevenciją, taisyklės. Siekiant užtikrinti vienodą fizinių asmenų apsaugos lygį, šiuo tikslu suteikiant jiems teisiškai įgyvendinamas teises visoje Sąjungoje, ir užkirsti kelią skirtumams, dėl kurių Sąjungos organams, tarnyboms ar agentūroms, vykdančioms veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, ir kompetentingoms valdžios institucijoms trukdoma keistis asmens duomenimis, tokių Sąjungos organų, tarnybų ar agentūrų tvarkomų operatyvinių asmens duomenų apsauga ir laisvas jų judėjimas turėtų atitikti Direktyvą (ES) 2016/680;

(11)

atskirame šio reglamento skyriuje dėl operatyvinių asmens duomenų tvarkymo išdėstytos bendrosios taisyklės turėtų būti taikomos nedarant poveikio specialiosioms taisyklėms, taikomoms Sąjungos organų, tarnybų ir agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui. Šios specialiosios taisyklės turėtų būti laikomos lex specialis šio reglamento skyriaus dėl operatyvinių asmens duomenų tvarkymo nuostatų atžvilgiu (lex specialis derogat legi generali). Siekiant sumažinti teisinę fragmentaciją, specialiosios taisyklės, taikomos Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam operatyvinių asmens duomenų tvarkymui, turėtų būti suderintos su principais, kuriais grindžiamas šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo, ir šio reglamento nuostatomis dėl nepriklausomos priežiūros, teisių gynimo priemonių, atsakomybės ir sankcijų;

(12)

šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo turėtų būti taikomas Sąjungos organams, tarnyboms ir agentūroms, vykdančioms veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, kai jos tokią veiklą kaip savo pagrindinę arba papildomą užduotį vykdo nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas tikslais. Vis dėlto šis skyrius neturėtų būti taikomas Europolui ar Europos prokuratūrai, kol teisės aktai kuriais įsteigiamas Europolas ir Europos prokuratūra, nebus iš dalies pakeisti siekiant nustatyti, kad, pritaikius, jiems taikomas šio reglamento skyrius dėl operatyvinių asmens duomenų tvarkymo su pakeitimais;

(13)

Komisija turėtų atlikti šio reglamento, ypač atskiro šio reglamento skyriaus dėl operatyvinių asmens duomenų tvarkymo, peržiūrą. Be to, Komisija turėtų atlikti kitų teisės aktų, priimtų remiantis Sutartimis ir reglamentuojančių Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamą operatyvinių asmens duomenų tvarkymą, peržiūrą. Po tokios peržiūros Komisija turėtų turėti galimybę teikti atitinkamus pasiūlymus dėl teisėkūros procedūra priimamų aktų, įskaitant pasiūlymus prireikus pritaikyti šio reglamento skyrių dėl operatyvinių asmens duomenų tvarkymo, norėdama užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant asmens duomenis, ir šiuo tikslu siekdama, kad jis būtų taikomas Europolui ir Europos prokuratūrai. Atliekant tokį pritaikymą, turėtų būti atsižvelgiama į nuostatas dėl nepriklausomos priežiūros, teisių gynimo priemonių, atsakomybės ir sankcijų;

(14)

šis reglamentas turėtų būti taikomas Sąjungos organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas SESV Trečiosios dalies V antraštinės dalies 4 skyrius ar 5 skyrius, atliekamam administracinių asmens duomenų, pavyzdžiui, personalo duomenų, tvarkymui;

(15)

šis reglamentas turėtų būti taikomas Sąjungos institucijų, organų, tarnybų ar agentūrų, vykdančių veiklą, kuriai taikomas Europos Sąjungos sutarties (toliau – ES sutartis) V antraštinės dalies 2 skyrius, atliekamam asmens duomenų tvarkymui. Šis reglamentas neturėtų būti taikomas ES sutarties 42 straipsnio 1 dalyje, 43 ir 44 straipsniuose nurodytų misijų, kurias vykdant įgyvendinama bendra saugumo ir gynybos politika, atliekamam asmens duomenų tvarkymui. Prireikus turėtų būti pateikti atitinkami pasiūlymai siekiant toliau reglamentuoti asmens duomenų tvarkymą bendros saugumo ir gynybos politikos srityje;

(16)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui, pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos, siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant tvarkymą statistiniais ar tyrimų tikslais;

(17)

pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

(18)

fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais ar slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie, visų pirma, kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

(19)

sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui, raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo. Duomenų subjektas taip pat turėtų turėti teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo prieš sutikimo atšaukimą teisėtumui. Siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais. Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų. Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

(20)

bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas, visų pirma, susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma, konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi. Tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui ir užkertant kelią neteisėtam jų atskleidimui, kai jie perduodami;

(21)

jei Sąjungos institucijos ir organai perduoda asmens duomenis tos pačios Sąjungos institucijos ar organo viduje ir gavėjas nėra duomenų valdytojo dalis, arba kitoms Sąjungos institucijoms ar organams, pagal atskaitomybės principą jos turėtų patikrinti, ar tokie asmens duomenys yra reikalingi siekiant teisėtai atlikti gavėjo kompetencijai priklausančias užduotis. Visų pirma, gavęs gavėjo asmens duomenų perdavimo prašymą, duomenų valdytojas turėtų patikrinti, ar yra atitinkamas pagrindas teisėtai tvarkyti asmens duomenis, ir gavėjo kompetenciją. Duomenų valdytojas taip pat turėtų preliminariai įvertinti duomenų perdavimo būtinybę. Kilus abejonėms dėl tokios būtinybės, duomenų valdytojas prašo duomenų gavėją perduoti papildomą informaciją. Duomenų gavėjas turėtų užtikrinti, kad duomenų perdavimo būtinybė vėliau galėtų būti patikrinta;

(22)

tam, kad asmens duomenų tvarkymas būtų teisėtas, jie turėtų būti tvarkomi remiantis Sąjungos institucijų ar organų būtinybe atlikti užduotį, kurią jie atlieka siekdami viešojo intereso arba įgyvendindami viešosios valdžios įgaliojimus, būtinybe laikytis duomenų valdytojui taikomos teisinės prievolės ar kurio nors kito teisėto pagrindo pagal šį reglamentą, įskaitant atitinkamo duomenų subjekto sutikimą, būtinybę įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Dėl viešojo intereso atliekamas Sąjungos institucijų ir organų asmens duomenų tvarkymas apima asmens duomenų, būtinų toms institucijoms ir organams valdyti bei jiems dirbti, tvarkymą. Asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės, kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

(23)

Sąjungos teisė, nurodyta šiame reglamente turėtų būti aiški ir tiksli, o jos taikymą laikantis Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytų reikalavimų turėtų galėti numatyti asmenys, kuriems ji turi būti taikoma;

(24)

šiame reglamente nurodytos vidaus taisyklės turėtų būti aiškūs ir tikslūs visuotinai taikomi aktai, galintys turėti teisinių padarinių duomenų subjektams. Jie turėtų būti priimti aukščiausiu Sąjungos institucijų ir organų valdymo lygmeniu pagal jų kompetenciją ir su jų veikimu susijusiais klausimais. Jie turėtų būti paskelbti Europos Sąjungos oficialiajame leidinyje. Tų taisyklių taikymą pagal Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytus reikalavimus turėtų galėti numatyti asmenys, kuriems jos turi būti taikomos. Vidaus taisyklės gali būti priimamos sprendimų forma, visų pirma, tais atvejais, kai jas priima Sąjungos institucijos;

(25)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į: sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų; aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams; tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose;

(26)

kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Visų pirma, kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, jog duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Laikantis Tarybos direktyvos 93/13/EEB (6), duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotu laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

(27)

vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti taikoma virtualios asmenybės profilio kūrimui ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis, siūlomomis Sąjungos institucijų ir organų interneto svetainėse, pavyzdžiui, asmenų tarpusavio susirašinėjimo ar elektroninės bilietų prekybos paslaugomis ir tais atvejais, kai asmens duomenų tvarkymas grindžiamas sutikimu;

(28)

kai Sąjungoje įsteigti gavėjai, kurie nėra Sąjungos institucijos ir organai, norėtų, kad Sąjungos institucijos ir organai perduotų jiems asmens duomenis, tie gavėjai turėtų įrodyti, kad duomenys yra būtini siekiant atlikti viešojo intereso labui jų vykdomą užduotį arba vykdant jiems pavestus viešosios valdžios įgaliojimus. Kitu atveju tie gavėjai turėtų įrodyti, jog duomenų perdavimas yra būtinas, kad būtų įgyvendintas specialus viešojo intereso tikslas, o duomenų valdytojas turėtų nustatyti, ar nesama pagrindo daryti prielaidą, jog gali būti pažeisti duomenų subjekto teisėti interesai. Tokiais atvejais duomenų valdytojas turėtų akivaizdžiai palyginti skirtingų konkuruojančių interesų svarbą, kad galėtų įvertinti prašomo asmens duomenų perdavimo proporcingumą. Specialūs viešojo intereso tikslai galėtų būti susiję su Sąjungos institucijų ir organų skaidrumu. Be to, laikydamosi skaidrumo ir gero administravimo principo, Sąjungos institucijos ir organai turėtų įrodyti šią būtinybę, jei pačios inicijuoja duomenų perdavimą. Šiame reglamente nustatyti reikalavimai dėl perdavimo Sąjungoje įsteigtiems gavėjams, kurie nėra Sąjungos institucijos ir organai, turėtų būti suprantami kaip papildantys teisėto duomenų tvarkymo sąlygas;

(29)

asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tokie asmens duomenys neturėtų būti tvarkomi, nebent būtų tenkinamos šiame reglamente nustatytos konkrečios sąlygos. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą. Nuotraukų tvarkymas neturėtų būti sistemingai laikomas specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą. Kartu su specialiais neskelbtinų duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis. Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

(30)

specialių kategorijų asmens duomenys, kuriems taikytina aukštesnio lygio apsauga, su sveikata susijusiais tikslais turėtų būti tvarkomi tik tais atvejais, kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas. Todėl šiame reglamente turėtų būti numatytos suderintos specialių kategorijų asmens sveikatos duomenų tvarkymo sąlygos, atsižvelgiant į specialius poreikius, visų pirma, kai tokius duomenis tam tikrais su sveikata susijusiais tikslais tvarko asmenys, kuriems taikoma teisinė prievolė saugoti profesinę paslaptį. Sąjungos teisėje turėtų būti numatytos konkrečios ir tinkamos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti;

(31)

visuomenės sveikatos srityje gali reikėti specialių kategorijų asmens duomenis dėl viešojo intereso priežasčių tvarkyti be duomenų subjekto sutikimo. Tokie duomenys turėtų būti tvarkomi taikant tinkamas ir specialias priemones, kad būtų apsaugotos fizinių asmenų teisės ir laisvės. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 (7), ir reikšti visus elementus, susijusius su sveikata, t. y. sveikatos būklę, įskaitant sergamumą ir neįgalumą, veiksnius, darančius poveikį tai sveikatos būklei, sveikatos priežiūros poreikius, sveikatos priežiūrai skirtus išteklius, sveikatos priežiūros paslaugų teikimą ir jų visuotinį prieinamumą, sveikatos priežiūros išlaidas ir finansavimą, taip pat mirtingumo priežastis. Dėl to, kad sveikatos duomenys tvarkomi dėl viešojo intereso priežasčių, asmens duomenys neturėtų būti tvarkomi kitais tikslais;

(32)

jeigu asmens duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, duomenų valdytojas neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kad būtų laikomasi kurios nors šio reglamento nuostatos. Tačiau duomenų valdytojas neturėtų atsisakyti priimti papildomą informaciją, kurią duomenų subjektas pateikia, kad pagrįstų naudojimąsi savo teisėmis. Tapatybės nustatymas turėtų apimti duomenų subjekto tapatybės nustatymą skaitmeninėmis priemonėmis, pavyzdžiui, pasitelkiant tokį tapatumo nustatymo mechanizmą kaip tie patys kredencialai, kuriuos duomenų subjektas naudoja, kad prisijungtų prie internetinės paslaugos, kurią siūlo duomenų valdytojas;

(33)

tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, turėtų būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal šį reglamentą. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų įgyvendintos techninės ir organizacinės priemonės siekiant užtikrinti, visų pirma, duomenų kiekio mažinimo principą. Asmens duomenys archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti toliau tvarkomi po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip, pavyzdžiui, pseudonimų suteikimas asmens duomenims). Sąjungos institucijos ir organai turėtų Sąjungos teisėje, kuri gali apimti vidaus taisykles, kurias Sąjungos institucijos ir organai yra priėmę su jų veikimu susijusiais klausimais, numatyti tinkamas apsaugos priemones, taikomas tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais;

(34)

turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais, visų pirma, nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti. Duomenų valdytojas taip pat turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų;

(35)

pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. Be to, duomenų subjektas turėtų būti informuotas apie tai, kad vykdomas profiliavimas, ir apie tokio profiliavimo pasekmes. Kai asmens duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti asmens duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ta informacija gali būti pateikiama kartu su standartizuotomis piktogramomis, siekiant lengvai matomai, suprantamai ir aiškiai įskaitomai pateikti prasmingą numatomo tvarkymo apžvalgą. Jei piktogramos pateikiamos elektronine forma, jos turėtų būti kompiuterio skaitomos;

(36)

informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti jam suteikta duomenis renkant arba, kai asmens duomenys gaunami ne iš duomenų subjekto, o iš kito šaltinio, per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai asmens duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo asmens duomenų atskleidimo jų gavėjui metu. Jeigu asmens duomenų valdytojas ketina tvarkyti duomenis kitu tikslu nei tikslas, kuriuo jie buvo renkami, prieš taip toliau tvarkydamas duomenis, duomenų valdytojas turėtų pateikti duomenų subjektui informaciją apie tą kitą tikslą ir kitą būtiną informaciją. Tais atvejais, kai asmens duomenų kilmė duomenų subjektui negali būti nurodyta dėl to, kad buvo naudoti įvairūs šaltiniai, turėtų būti pateikta bendro pobūdžio informacija;

(37)

duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, visų pirma, apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra asmens duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

(38)

duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos teisę, kuri taikoma duomenų valdytojui. Duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento. Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimuisi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

(39)

siekiant sustiprinti teisę būti pamirštam internetinėje aplinkoje, teisė prašyti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius asmens duomenis tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus. Tai darydamas, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir jam prieinamas priemones, įskaitant technines priemones, turėtų imtis pagrįstų veiksmų, kad apie duomenų subjekto prašymą informuotų duomenis tvarkančius asmens duomenų valdytojus;

(40)

būdai, kuriais ribojamas asmens duomenų tvarkymas, galėtų, inter alia, būti tokie: laikinai perkelti atrinktus duomenis į kitą tvarkymo sistemą, padaryti atrinktus asmens duomenis neprieinamus naudotojams arba laikinai išimti paskelbtus duomenis iš interneto svetainės. Automatiniuose susistemintuose rinkiniuose duomenų tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebebūtų galima pakeisti. Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje turėtų būti aiškiai nurodyta;

(41)

kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį. Ta teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus. Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos. Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą. Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini. Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

(42)

kai asmens duomenys galėtų būti tvarkomi teisėtai, nes tai būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

(43)

duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas (arba priemonė), kuriuo vertinami su juo susiję asmeniniai aspektai ir kuris grindžiamas tik automatizuotu duomenų tvarkymu ir jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, pavyzdžiui, elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima profiliavimą, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma, siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį.

Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos teisėje. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku. Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas, visų pirma, užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir užkirsti kelią, inter alia, diskriminaciniam poveikiui fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba duomenų tvarkymui tokiu būdu, dėl kurio atsiranda tokį poveikį turinčios priemonės. Automatizuotas sprendimų priėmimas ir tam tikromis asmens duomenų kategorijomis grindžiamas profiliavimas turėtų būti leidžiamas tik konkrečiomis sąlygomis;

(44)

teisės aktuose, priimtuose remiantis Sutartimis, arba Sąjungos institucijų ir organų priimtose vidaus taisyklėse su jų veikimu susijusiais klausimais gali būti nustatyti apribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištaisyti ar ištrinti asmens duomenis, teisė į duomenų perkeliamumą, elektroninių ryšių duomenų konfidencialumas ir duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės, jeigu toks ribojimas būtinas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba bausmių vykdymą. Tai apima ir apsaugą nuo grėsmių visuomenės saugumui ir šių grėsmių prevenciją, žmonių gyvybių apsaugą, ypač reaguojant į gaivalines ar žmogaus sukeltas nelaimes, Sąjungos institucijų ir organų vidaus saugumą, kitus Sąjungos arba valstybės narės svarbius bendruoju viešuoju interesu grindžiamus tikslus, visų pirma Sąjungos bendros užsienio ir saugumo politikos tikslus arba svarbų Sąjungos arba valstybės narės ekonominį arba finansinį interesą ir viešųjų registrų turėjimą bendrojo viešojo intereso tikslais arba duomenų apsaugą paisant kitų asmenų teisių ir laisvių, įskaitant socialinę apsaugą, visuomenės sveikatą ir humanitarinius tikslus;

(45)

turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms;

(46)

įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, dėl kurio galėtų būti padaryta fizinė, turtinė arba neturtinė žala, visų pirma, tokiais atvejais: kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma, nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

(47)

pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;

(48)

siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių, kad būtų laikomasi šio reglamento reikalavimų. Kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų. Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui. Vykdant viešuosius konkursus taip pat turėtų būti atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

(49)

Reglamente (ES) 2016/679 nustatyta, jog duomenų valdytojai turi įrodyti atitiktį šiam reglamentui, laikydamiesi patvirtintų sertifikavimo mechanizmų. Atitinkamai Sąjungos institucijos ir organai turėtų galėti įrodyti, kad laikosi šio reglamento, gaudami sertifikatą pagal Reglamento (ES) 2016/679 42 straipsnį;

(50)

atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

(51)

siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamas garantijas, susijusias, visų pirma, su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo. Tuo, kad duomenų tvarkytojai, kurie nėra Sąjungos institucijos ir organai, laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad duomenų valdytojas vykdo savo prievoles. Duomenų tvarkytojo, kuris nėra Sąjungos institucija ar organas, atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi arba, kai duomenų tvarkytojai yra Sąjungos institucijos ir organai, sutartimi ar kitu teisės aktu pagal Sąjungos teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms. Duomenų valdytojas ir duomenų tvarkytojas turėtų turėti galimybę pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba Europos duomenų apsaugos priežiūros pareigūnas, o vėliau patvirtina Komisija. Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

(52)

kad įrodytų, jog laikosi šio reglamento, duomenų valdytojai turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingi, įrašus, o duomenų tvarkytojai turėtų tvarkyti duomenų tvarkymo veiklos kategorijų, už kurias jie yra atsakingi, įrašus. Sąjungos institucijos ir organai turėtų būti įpareigoti bendradarbiauti su Europos duomenų apsaugos priežiūros pareigūnu ir jo prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas. Sąjungos institucijos ir organai turėtų turėti galimybę sukurti centrinį jų duomenų tvarkymo veiklos įrašų registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Skaidrumo sumetimais jos turėtų turėti galimybę padaryti šį registrą viešą;

(53)

siekiant užtikrinti saugumą ir užkirsti kelią šį reglamentą pažeidžiančiam duomenų tvarkymui, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir įgyvendinti jų mažinimo priemones, pavyzdžiui, šifravimą. Šiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, atsižvelgiant į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, priklausomai nuo pavojų ir saugotinų asmens duomenų pobūdžio. Vertinant pavojų duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant asmens duomenis, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to visų pirma gali būti padaryta fizinė, turtinė ar neturtinė žala;

(54)

Sąjungos institucijos ir organai turėtų užtikrinti elektroninių ryšių konfidencialumą, kaip numatyta Chartijos 7 straipsnyje. Visų pirma, Sąjungos institucijos ir organai turėtų užtikrinti savo elektroninių ryšių tinklų saugumą. Jos turėtų apsaugoti informaciją, susijusią su naudotojų galiniais įrenginiais, kurie turi prieigą prie jų viešai prieinamų interneto svetainių ir mobiliųjų programėlių pagal Europos Parlamento ir Tarybos direktyvą 2002/58/EB (8). Jos taip pat turėtų apsaugoti naudotojų sąrašuose esančius asmens duomenis;

(55)

jei į asmens duomenų pažeidimą tinkamai ir laiku nesureaguojama, fiziniai asmenys gali patirti fizinę, turtinę arba neturtinę žalą. Todėl, vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas turėtų nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, pranešti Europos duomenų apsaugos priežiūros pareigūnui apie asmens duomenų saugumo pažeidimą, nebent duomenų valdytojas gali pagal atskaitomybės principą įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Kai to neįmanoma pranešti per 72 valandas, pranešant turėtų būti pateiktos vėlavimo priežastys ir informacija gali būti pateikiama etapais, daugiau nepagrįstai nedelsiant. Jei vėluojama pranešti pagrįstai, mažiau konfidenciali ar mažiau specifinė informacija apie pažeidimą turėtų būti pateikta kuo anksčiau, užuot prieš pranešant išsamiai išnagrinėjus pagrindinį incidentą;

(56)

duomenų valdytojas nepagrįstai nedelsdamas turėtų pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai dėl to asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, kad jis galėtų imtis reikiamų priemonių užkirsti tam kelią. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Tokie pranešimai duomenų subjektams turėtų būti pateikti kuo greičiau ir glaudžiai bendradarbiaujant su Europos duomenų apsaugos priežiūros pareigūnu, laikantis jo ar kitų atitinkamų valdžios institucijų, tokių kaip teisėsaugos institucijos, pateiktų nurodymų;

(57)

Reglamente (EB) Nr. 45/2001 numatyta bendra duomenų valdytojo pareiga pranešti apie asmens duomenų tvarkymą duomenų apsaugos pareigūnui. Duomenų apsaugos pareigūnas atitinkamai turi tvarkyti praneštų duomenų tvarkymo operacijų registrą, nebent tai būtų netikslinga atsižvelgiant į Sąjungos institucijos ar organo dydį. Greta šios bendros pareigos reikėtų nustatyti veiksmingas procedūras ir mechanizmus siekiant stebėti duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Tokios procedūros, visų pirma, turėtų būti nustatytos tais atvejais, kai duomenų tvarkymo operacijų rūšys apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką. Tokiais atvejais duomenų valdytojas, kad įvertintų didelio pavojaus konkrečią tikimybę ir rimtumą, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus bei pavojaus šaltinius, prieš pradėdamas tvarkyti duomenis, turėtų atlikti poveikio duomenų apsaugai vertinimą. Tame poveikio įvertinime visų pirma turėtų būti nurodytos numatomos priemonės, apsaugos priemonės ir mechanizmai, kuriais tas pavojus būtų sumažinamas, užtikrinama asmens duomenų apsauga ir parodoma, kad laikomasi šio reglamento;

(58)

kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu. Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms. Europos duomenų apsaugos priežiūros pareigūnas į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį. Tačiau tai, kad Europos duomenų apsaugos priežiūros pareigūnas nesureagavo per tą laikotarpį, neturėtų turėti poveikio Europos duomenų apsaugos priežiūros pareigūno intervenciniams veiksmams jam vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitant įgaliojimą uždrausti duomenų tvarkymo operacijas. Vykdant tą konsultacijų procesą, Europos duomenų apsaugos priežiūros pareigūnui gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma, priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

(59)

Europos duomenų apsaugos pareigūnui turėtų būti pranešta apie administracines priemones ir su juo turėtų būti konsultuojamasi dėl Sąjungos institucijų ir organų priimtų vidaus taisyklių su jų veikimu susijusiais klausimais, kai jomis numatytas asmens duomenų tvarkymas, nustatomos duomenų subjektų teisių apribojimų sąlygos arba numatomos atitinkamos duomenų subjektų teisių garantijos siekiant užtikrinti, kad numatomas duomenų tvarkymas atitiktų šį reglamentą, visų pirma, sumažinant duomenų subjektui kylančią riziką;

(60)

Reglamentu (ES) 2016/679 Europos duomenų apsaugos valdyba įsteigta kaip nepriklausoma Sąjungos įstaiga, turinti juridinio asmens statusą. Valdyba turėtų padėti nuosekliai taikyti Reglamentą (ES) 2016/679 ir Direktyvą (ES) 2016/680 visoje Sąjungoje, taip pat teikti Komisijai rekomendacijas. Tuo pat metu Europos duomenų apsaugos priežiūros pareigūnas turėtų ir toliau vykdyti priežiūros ir patariamąsias funkcijas visų Sąjungos institucijų ir organų atžvilgiu, savo iniciatyva ar pagal prašymą. Siekiant užtikrinti duomenų apsaugos taisyklių nuoseklumą visoje Sąjungoje, Komisija, rengdama pasiūlymus ar rekomendacijas, turėtų stengtis konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu. Priėmus teisėkūros procedūra priimtus teisės aktus arba rengiant deleguotuosius aktus ir įgyvendinimo aktus, kaip jie apibrėžti SESV 289, 290 ir 291 straipsniuose, taip pat priėmus rekomendacijas ir pasiūlymus dėl susitarimų su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis, kaip numatyta SESV 218 straipsnyje, turinčius poveikį teisei į asmens duomenų apsaugą, Komisijai turėtų būti privaloma konsultuotis. Tokiais atvejais Komisija turėtų privalėti konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, išskyrus atvejus, kai Reglamente (ES) 2016/679 numatyta, kad privaloma konsultuotis su Europos duomenų apsaugos valdyba, pavyzdžiui, dėl sprendimų dėl tinkamumo ar deleguotųjų aktų dėl standartizuotų piktogramų ir sertifikavimo mechanizmams taikomų reikalavimų. Jei atitinkamas aktas yra ypač svarbus fizinių asmenų teisių ir laisvių apsaugai tvarkant asmens duomenis, Komisija taip pat turėtų turėti galimybę konsultuotis su Europos duomenų apsaugos valdyba. Tokiais atvejais Europos duomenų apsaugos priežiūros pareigūnas, kaip Europos duomenų apsaugos valdybos narys, turėtų koordinuoti savo darbą su šia valdyba, kad priimtų bendrą nuomonę. Europos duomenų apsaugos priežiūros pareigūnas ir, jei taikytina, Europos duomenų apsaugos valdyba rašytinę rekomendaciją turėtų pateikti per aštuonias savaites. Skubiais atvejais arba, pavyzdžiui, kai Komisija rengia deleguotuosius ir įgyvendinimo aktus, tas laikotarpis turėtų būti trumpesnis;

(61)

remiantis Reglamento (ES) 2016/679 75 straipsniu, Europos duomenų apsaugos priežiūros pareigūno įstaiga turėtų teikti Europos duomenų apsaugos valdybos sekretoriato paslaugas;

(62)

visose Sąjungos institucijose ir organuose duomenų apsaugos pareigūnas turėtų užtikrinti, kad būtų taikomos šio reglamento nuostatos, ir dėl įsipareigojimų vykdymo konsultuoti duomenų valdytojus. Tas pareigūnas turėtų turėti ekspertinių žinių duomenų apsaugos teisės ir praktikos srityje, o jo žinių lygis turėtų būti nustatomas, visų pirma, atsižvelgiant į duomenų valdytojo ar duomenų tvarkytojo atliekamas duomenų tvarkymo operacijas ir apsaugą, kurią būtina užtikrinti atitinkamiems asmens duomenims. Tokie duomenų apsaugos pareigūnai savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;

(63)

jei asmens duomenys iš Sąjungos institucijų ir organų perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, turėtų būti užtikrintas Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis. Tos pačios garantijos turėtų būti taikomos ir tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai. Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento ir Chartijoje įtvirtintų pagrindinių teisių ir laisvių. Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

(64)

pagal Reglamento (ES) 2016/679 45 straipsnį arba Direktyvos (ES) 2016/680 36 straipsnį Komisija gali nuspręsti, kad trečioji valstybė, teritorija ar nurodytas sektorius trečiojoje valstybėje arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį. Tokiais atvejais Sąjungos institucijos ar organo perduodami asmens duomenys į tokią trečiąją valstybę gali būti perduodami be papildomo leidimo;

(65)

jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti. Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, Europos duomenų apsaugos priežiūros pareigūno priimtomis standartinėmis duomenų apsaugos sąlygomis arba Europos duomenų apsaugos priežiūros pareigūno pripažintomis sutarties sąlygomis. Jei duomenų tvarkytojas yra ne Sąjungos institucija ar organas, atitinkamos garantijos taip pat gali būti įmonėms privalomos taisyklės, elgesio kodeksai ir sertifikavimo mechanizmai, taikomi tarptautiniam asmens duomenų perdavimui pagal Reglamentą (ES) 2016/679. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje. Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi. Sąjungos institucijos ar organai taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės. Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas Europos duomenų apsaugos priežiūros pareigūno leidimas;

(66)

galimybė duomenų valdytojui arba duomenų tvarkytojui remtis Komisijos ar Europos duomenų apsaugos priežiūros pareigūno priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba duomenų tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis, tokias kaip duomenų tvarkytojo sutartis su kitais duomenų tvarkytojais, ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar Europos duomenų apsaugos priežiūros pareigūno priimtoms standartinėms sutarčių sąlygoms ar nedaro poveikio duomenų subjektų pagrindinėms teisėms ir laisvėms. Duomenų valdytojai ir duomenų tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

(67)

kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti Sąjungos institucijų ir organų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą fizinių asmenų apsaugą. Perduoti asmens duomenis turėtų būti leidžiama tik tuo atveju, jeigu yra tenkinamos šiame reglamente nustatytos duomenų perdavimo į trečiąją valstybę sąlygos. Taip gali būti, be kita ko, kai duomenis būtina atskleisti dėl Sąjungos teisėje pripažįstamos svarbios viešojo intereso priežasties;

(68)

turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenų perdavimas atliekamas nereguliariai ir yra būtinas dėl sutarties ar ieškinio, nepaisant to, ar jis pareikštas teisminėje ar administracinėje, ar bet kokioje kitoje neteisminėje procedūroje, įskaitant procedūras reguliavimo organuose. Taip pat turėtų būti numatyta galimybė perduoti duomenis, kai tai reikalinga dėl svarbių Sąjungos teisėje įtvirtintų viešojo intereso priežasčių, arba kai duomenys perduodami iš teisės aktu įsteigto registro, kuris skirtas naudoti visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų asmens duomenų visuma arba ištisos jų kategorijos, išskyrus tuos atvejus, kai tai leidžiama pagal Sąjungos teisę, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba, jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;

(69)

šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp Sąjungos institucijų ir organų ir konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamąsias ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;

(70)

bet kuriuo atveju, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje valstybėje, duomenų valdytojas arba duomenų tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinamos vykdytinos ir veiksmingos teisės jų duomenų tvarkymo Sąjungoje atžvilgiu, kai tie duomenys yra perduoti, kad jie ir toliau galėtų naudotis pagrindinėmis teisėmis ir apsaugos priemonėmis;

(71)

kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma, apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, nacionalinės priežiūros institucijos ir Europos duomenų apsaugos priežiūros pareigūnas gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį Europos duomenų apsaugos priežiūros pareigūno ir nacionalinių priežiūros institucijų bendradarbiavimą siekiant padėti keistis informacija su užsienio kolegomis;

(72)

Europos duomenų apsaugos priežiūros pareigūno, įgalioto visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas Reglamentu (EB) Nr. 45/2001 yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių. Šiuo reglamentu turėtų būti papildomai sustiprinamas ir patikslinamas jo vaidmuo ir nepriklausomumas. Europos duomenų apsaugos priežiūros pareigūnas turėtų būti asmuo, kurio nepriklausomumas nekelia abejonių ir kuris pripažįstamas turintis patirtį ir gebėjimus, reikalingus Europos duomenų apsaugos priežiūros pareigūno pareigoms atlikti, pavyzdžiui, nes jis priklausė vienai iš pagal Reglamento (ES) 2016/679 51 straipsnį įsteigtų priežiūros institucijų;

(73)

siekiant užtikrinti nuoseklų duomenų apsaugos taisyklių stebėjimą ir įgyvendinimo užtikrinimą visoje Sąjungoje, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti tas pačias užduotis ir veiksmingus įgaliojimus kaip ir nacionalinės priežiūros institucijos, įskaitant įgaliojimus atlikti tyrimus, taisomuosius įgaliojimus ir įgaliojimus skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma, kai skundus pateikia fiziniai asmenys, ir įgaliojimus atkreipti Teisingumo Teismo dėmesį į šio reglamento pažeidimus bei įgaliojimus dalyvauti teismo procesuose pagal pirminę teisę. Tokie įgaliojimai turėtų apimti ir įgaliojimą nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant jo draudimą. Kad atitinkami asmenys, kuriems gali būti padarytas neigiamas poveikis, nepatirtų nereikalingų išlaidų ir pernelyg didelių nepatogumų, kiekviena Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti, kad būtų laikomasi šio reglamento, ja, prieš imantis bet kokios atitinkamos individualios priemonės, turėtų būti atsižvelgiama į kiekvieno konkretaus atvejo aplinkybes ir paisoma kiekvieno asmens teisės būti išklausytam. Kiekviena teisiškai privaloma Europos duomenų apsaugos priežiūros pareigūno priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonės paskelbimo data, ją turėtų būti pasirašęs Europos duomenų apsaugos priežiūros pareigūnas, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę;

(74)

siekiant apsaugoti Teisingumo Teismo nepriklausomumą vykdant jo teismines užduotis, įskaitant sprendimų priėmimo nepriklausomumą, Europos duomenų apsaugos priežiūros pareigūno priežiūros kompetencijai neturėtų priklausyti asmens duomenų tvarkymas Teismui vykdant savo teismines funkcijas. Tokių duomenų tvarkymo operacijų atžvilgiu Teismas turėtų nustatyti nepriklausomą priežiūrą pagal Chartijos 8 straipsnio 3 dalį, pavyzdžiui, taikant vidaus mechanizmą;

(75)

kaip apibrėžta šiame reglamente, Europos duomenų apsaugos priežiūros pareigūno veiklos ataskaitoje turėtų būti paskelbti su duomenų tvarkymo veiksmais susiję jo sprendimai dėl išimčių, garantijų, leidimų ir sąlygų. Be skelbiamos metinės veiklos ataskaitos, Europos duomenų apsaugos priežiūros pareigūnas gali paskelbti ataskaitas konkrečiais klausimais;

(76)

Europos duomenų apsaugos priežiūros pareigūnas turėtų laikytis Europos Parlamento ir Tarybos reglamento (EB) Nr. 1049/2001 (9);

(77)

nacionalinės priežiūros institucijos stebi, kaip taikomas Reglamentas (ES) 2016/679, ir padeda jį nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui vidaus rinkoje. Siekiant didinti valstybėse narėse duomenų apsaugos taisyklių ir Sąjungos institucijoms ir organams taikytinų duomenų apsaugos taisyklių taikymo nuoseklumą, Europos duomenų apsaugos priežiūros pareigūnas turėtų veiksmingai bendradarbiauti su nacionalinėmis priežiūros institucijomis;

(78)

tam tikrais atvejais Sąjungos teisėje numatytas koordinuotosios priežiūros modelis, bendrai taikomas Europos duomenų apsaugos priežiūros pareigūnui ir nacionalinėms priežiūros institucijoms. Europos duomenų apsaugos priežiūros pareigūnas yra taip pat ir Europolo priežiūros institucija, ir šiais tikslais buvo nustatytas specialusis bendradarbiavimo su nacionalinėmis priežiūros institucijomis modelis įsteigiant bendradarbiavimo valdybą, kuri atlieka patariamąją funkciją. Siekiant gerinti veiksmingą esminių duomenų apsaugos taisyklių priežiūrą ir įgyvendinimo užtikrinimą, Sąjungoje reikėtų nustatyti vieną bendrą, suderintą koordinuotosios priežiūros modelį. Todėl Komisija, kai tikslinga, turėtų teikti pasiūlymus dėl teisėkūros procedūra priimamų aktų, siekdama iš dalies pakeisti Sąjungos teisės aktus, kuriais numatomas koordinuotosios priežiūros modelis, kad suderintų juos su šiame reglamente nustatytu koordinuotosios priežiūros modeliu. Europos duomenų apsaugos valdyba turėtų veikti kaip vienas bendras forumas, kuriuo valdyboje būtų užtikrinama veiksminga koordinuotoji priežiūra visose srityse;

(79)

kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę Teisingumo Teisme pagal Sutartis, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos, arba jeigu Europos duomenų apsaugos priežiūros pareigūnas nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. Tyrimas gavus skundą turėtų būti vykdomas paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Europos duomenų apsaugos priežiūros pareigūnas turėtų per pagrįstą laikotarpį informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatus. Jeigu konkrečiu atveju reikia tęsti tyrimą arba derinti veiksmus su nacionaline priežiūros institucija, duomenų subjektui turėtų būti suteikta tarpinė informacija. Kad būtų lengviau teikti skundus, Europos duomenų apsaugos priežiūros pareigūnas turėtų imtis priemonių, pavyzdžiui, pateikti skundo pateikimo formą, kurią būtų galima užpildyti ir elektroniniu būdu, neatmetant galimybių naudotis ir kitomis ryšio priemonėmis;

(80)

bet kuris asmuo, patyręs turtinę arba neturtinę žalą dėl šio reglamento pažeidimo, turėtų turėti teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą laikantis Sutartyse numatytų sąlygų;

(81)

siekiant stiprinti Europos duomenų apsaugos priežiūros pareigūno atliekamą priežiūros funkciją ir veiksmingiau įgyvendinti šį reglamentą, Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti įgaliojimus kaip kraštutinę sankciją taikyti administracines baudas. Baudomis turėtų būti siekiama nubausti Sąjungos instituciją ar organą, o ne fizinius asmenis, už šio reglamento nesilaikymą, atgrasyti nuo būsimų šio reglamento pažeidimų ir paskatinti asmens duomenų apsaugos kultūrą Sąjungos institucijose ir organuose. Šiame reglamente reikėtų nurodyti pažeidimus, dėl kurių skiriamos administracinės baudos, bei su tuo susijusių baudų viršutines ribas ir nustatymo kriterijus. Baudą kiekvienu konkrečiu atveju turėtų nustatyti kompetentinga priežiūros institucija, atsižvelgdama į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgdama visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant, kad būtų laikomasi šiame reglamente nustatytų prievolių, ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. Skirdamas administracinę baudą Sąjungos institucijai ar organui, Europos duomenų apsaugos priežiūros pareigūnas turėtų apsvarstyti baudos dydžio proporcingumą. Per administracinę baudų skyrimo Sąjungos institucijoms ir organams procedūrą reikėtų paisyti bendrųjų Sąjungos teisės principų, kaip juos yra išaiškinęs Teisingumo Teismas;

(82)

jei duomenų subjektas mano, kad pažeidžiamos šiuo reglamentu numatytos jo teisės, jis turėtų teisę įgalioti pagal Sąjungos teisę ar valstybės narės teisę įsteigtą ne pelno įstaigą, organizaciją ar asociaciją, kurios įstatuose numatytais tikslais siekiama viešojo intereso ir kuri veikia asmens duomenų apsaugos srityje, šio asmens vardu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui. Tokia įstaiga, organizacija ar asociacija taip pat turėtų galėti įgyvendinti teisę į teisminę teisių gynimo priemonę duomenų subjektų vardu arba įgyvendinti teisę duomenų subjektų vardu gauti kompensaciją;

(83)

jei Sąjungos pareigūnas ar kitas tarnautojas nesilaiko šio reglamento įpareigojimų, Europos Sąjungos pareigūnų tarnybos nuostatuose ir kitų tarnautojų įdarbinimo sąlygose, nustatytose Tarybos reglamentu (EEB, Euratomas, EAPB) Nr. 259/68 (10) (toliau – Tarnybos nuostatai) nustatyta tvarka jam turėtų būti taikomos drausminės ar kitos priemonės;

(84)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (11). Nagrinėjimo procedūra turėtų būti taikoma siekiant priimti standartines sutarčių sąlygas, taikomas tarp duomenų valdytojų ir duomenų tvarkytojų ir tarp duomenų tvarkytojų, siekiant patvirtinti duomenų tvarkymo operacijų, kurias atliekant duomenų valdytojams privaloma konsultuotis su Europos duomenų apsaugos priežiūros pareigūnu, sąrašą, kai jie tvarko asmens duomenis siekdami atlikti užduotį, kuria siekiama viešojo intereso, taip pat priimant standartines sutarčių sąlygas, kuriose numatytos atitinkamos apsaugos priemonės, taikomos tarptautiniam duomenų perdavimui;

(85)

konfidenciali informacija, kurią Sąjungos ir nacionalinės statistikos institucijos renka oficialiai Europos ir oficialiai nacionalinei statistikai rengti, turėtų būti apsaugota. Europos statistika turėtų būti plėtojama, rengiama ir skleidžiama laikantis statistikos principų, nustatytų SESV 338 straipsnio 2 dalyje. Europos Parlamento ir Tarybos reglamente (EB) Nr. 223/2009 (12) pateikiama papildoma patikslinta informacija apie Europos statistikos konfidencialumą;

(86)

Reglamentas (EB) Nr. 45/2001 ir Europos Parlamento, Tarybos ir Komisijos sprendimas Nr. 1247/2002/EB (13) turėtų būti panaikinti. Nuorodos į panaikintą reglamentą ir sprendimą laikomos nuorodomis į šį reglamentą;

(87)

siekiant apsaugoti visišką nepriklausomos priežiūros institucijos narių nepriklausomumą, šis reglamentas neturėtų turėti įtakos esamo Europos duomenų apsaugos priežiūros pareigūno ir esamo jo pavaduotojo kadencijai. Esamas Europos duomenų apsaugos priežiūros pareigūno pavaduotojas turėtų eiti savo pareigas iki savo kadencijos pabaigos, nebent yra įvykdoma viena iš šiame reglamente nustatytų išankstinio Europos duomenų apsaugos priežiūros pareigūno kadencijos pasibaigimo sąlygų. Atitinkamos šio reglamento nuostatos turėtų būti taikomos Europos duomenų apsaugos priežiūros pareigūno pavaduotojui iki jo kadencijos pabaigos;

(88)

laikantis proporcingumo principo, kad būtų pasiektas pagrindinis tikslas užtikrinti lygiavertį fizinių asmenų apsaugos tvarkant asmens duomenis lygį ir laisvą asmens duomenų judėjimą visoje Sąjungoje, būtina ir reikalinga nustatyti asmens duomenų tvarkymo Sąjungos institucijose ir organuose taisykles. Šiuo reglamentu remiantis ES sutarties 5 straipsnio 4 dalimi neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(89)

vadovaujantis Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris 2017 m. kovo 15 d. pateikė nuomonę (14),