EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 31995L0046

Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti

OJ L 281, 23.11.1995, p. 31–50 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 13 Volume 015 P. 355 - 374
Special edition in Estonian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Latvian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Lithuanian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Hungarian Chapter 13 Volume 015 P. 355 - 374
Special edition in Maltese: Chapter 13 Volume 015 P. 355 - 374
Special edition in Polish: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovak: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovene: Chapter 13 Volume 015 P. 355 - 374
Special edition in Bulgarian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Romanian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Croatian: Chapter 13 Volume 007 P. 88 - 107

Legal status of the document No longer in force, Date of end of validity: 24/05/2018; Atcelts ar 32016R0679

ELI: http://data.europa.eu/eli/dir/1995/46/oj

31995L0046



Oficiālais Vēstnesis L 281 , 23/11/1995 Lpp. 0031 - 0050


Eiropas Parlamenta un Padomes Direktīva 95/46/EK

(1995. gada 24. oktobris)

par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un jo īpaši tā 100.a pantu,

ņemot vērā Komisijas priekšlikumu [1],

ņemot vērā Ekonomikas un sociālo lietu komitejas atzinumu [2],

saskaņā ar Līguma 189.b pantā minēto procedūru [3],

(1) tā kā Kopienas mērķi, kas noteikti Līgumā un kas grozīti ar Līgumu par Eiropas Savienību, ietver arvien ciešākas Eiropas tautu savienības izveidi, attīstot ciešākas attiecības starp Kopienas dalībvalstīm, nodrošinot ekonomisko un sociālo attīstību, kopējiem spēkiem likvidējot šķēršļus, kuri sadala Eiropu, veicinot pastāvīgu tās tautu dzīves apstākļu uzlabošanos, saglabājot un stiprinot mieru un brīvību un sekmējot demokrātiju, pamatojoties uz dalībvalstu likumos un konstitūcijās un Eiropas Konvencijā par cilvēka tiesību un pamatbrīvību aizsardzību atzītajām pamattiesībām;

(2) tā kā datu apstrādes sistēmas ir paredzētas tam, lai kalpotu cilvēkam; tā kā tām neatkarīgi no fizisku personu pilsonības vai pastāvīgas dzīves vietas jārespektē viņu pamattiesības un brīvības, jo īpaši privātās dzīves neaizskaramības tiesības, un jāveicina ekonomiskā un sociālā attīstība, tirdzniecības paplašināšana un personu labklājība;

3) tā kā iekšējā tirgus, kurā saskaņā ar Līguma 7.a pantu ir nodrošināta preču, personu, pakalpojumu un kapitāla brīva aprite, izveide un darbība prasa, lai tiktu nodrošināta ne tikai personas datu brīva plūsma no vienas dalībvalsts uz citu, bet arī tiktu garantētas personu pamatbrīvības;

(4) tā kā Kopienā arvien biežāk vēršas pie personas datu apstrādes dažādās ekonomiskās un sociālās darbības sfērās; tā kā informācijas tehnoloģijas sasniegumi ievērojami atvieglo šādu datu apstrādi un apmaiņu;

5) tā kā no iekšējā tirgus izveides un funkcionēšanas izrietošā ekonomiskā un sociālā integrācija Līguma 7.a panta nozīmē neizbēgami novedīs pie visu dalībvalstīs privātā vai sabiedriskā statusā ekonomiskā un sociālā darbībā iesaistīto personu datu plūsmas pāri robežai ievērojama pieauguma; tā kā personu datu apmaiņai starp dažādu dalībvalstu uzņēmumiem ir paredzams pieaugt; tā kā, pamatojoties uz Kopienas tiesībām, dažādo dalībvalstu iestādes tiek aicinātas sadarboties un apmainīties ar personas datiem, lai varētu izpildīt savus pienākumus vai veikt uzdevumus citas dalībvalsts iestādes interesēs iekšējā tirgus izveidotajās teritorijās, kurā nav iekšējo robežu;

(6) tā kā turklāt zinātniskās un tehniskās sadarbības pieaugums un jaunu telekomunikāciju tīklu koordinēta ieviešana Kopienā padara par nepieciešamu un atvieglina personas datu plūsmu pāri robežai;

(7) tā kā atšķirība personas tiesību un brīvību, jo īpaši tiesību uz privātās dzīves neaizskaramību, aizsardzības līmeņos attiecībā uz dalībvalstīs sniegto personas datu apstrādi var aizkavēt šo datu pārsūtīšanu no vienas dalībvalsts teritorijas uz otru; tā kā šī atšķirība tādēļ var radīt šķērsli, lai iesaistītos virknē ekonomisku darbību Kopienas līmenī, var radīt konkurences traucējumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Kopienas tiesību aktos; tā kā šo atšķirību aizsardzības līmeņos ir radījusi valstu normatīvo un administratīvo aktu lielā dažādība;

(8) tā kā, lai likvidētu šķēršļus personu datu plūsmām, personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi jābūt visās dalībvalstīs vienādam; tā kā šis mērķis ir būtiski svarīgs iekšējam tirgum, bet to nevar sasniegt dalībvalstis vienas pašas, jo sevišķi, ņemot vērā starp attiecīgajiem likumiem dalībvalstīs pašlaik esošo atšķirību mērogu un vajadzību koordinēt dalībvalstu likumus, lai nodrošinātu, ka personas datu plūsmu pāri robežai konsekventi reglamentē atbilstība iekšējā tirgus mērķim, kā to paredz Līguma 7.a pants; tā kā tādēļ ir vajadzīga Kopienas rīcība šo likumu tuvināšanai;

(9) tā kā, saņemot līdzvērtīgu aizsardzību, kas izriet no valstu likumu tuvināšanas, dalībvalstis vairs nevarēs kavēt personas datu brīvu apriti starp tām, pamatojoties uz personas tiesību un brīvību aizsardzību, un jo sevišķi uz privātās dzīves neaizskaramības tiesībām; tā kā dalībvalstīm tiks atstāta nosacīta rīcības brīvība, kuru saistībā ar šīs direktīvas ieviešanu var izmantot arī biznesa un sociālie partneri; tā kā dalībvalstis tādēļ varēs precizēt savās tiesībās vispārējos nosacījumus, kas reglamentē datu apstrādes likumību; tā kā, šādi rīkojoties, dalībvalstis cenšas uzlabot savu tiesību aktu pašlaik sniegto aizsardzību; tā kā nosacītās rīcības brīvības robežās un saskaņā ar Kopienas tiesību aktiem varētu rasties būtiskas atšķirības šīs direktīvas ieviešanā, un tas varētu ietekmēt datu apriti kā dalībvalstī, tā arī Kopienā;

(10) tā kā valstu likumu par personas datu apstrādi mērķis ir aizsargāt pamattiesības un brīvības, īpaši privātās dzīves neaizskaramības tiesības, ko atzīst gan Eiropas Konvencijas par cilvēka tiesību un pamatbrīvību aizsardzību 8. pants, gan Kopienas tiesību vispārīgie principi; tā kā šā iemesla dēļ valstu likumu tuvināšanas rezultāts nedrīkst būt jebkādas to sniegtās aizsardzības samazinājums, bet gan tieši pretēji, tiem jācenšas nodrošināt Kopienā augstu aizsardzības līmeni;

(11) tā kā šajā direktīvā iekļautie personas tiesību un brīvību, jo īpaši privātās dzīves neaizskaramības tiesību, aizsardzības principi būtisko un paplašina Eiropas Padomes 1981. gada 28. janvāra Konvencijā par personas aizsardzību attiecībā uz personas datu automatizēto apstrādi iekļautos principus;

(12) tā kā aizsardzības principus jāpiemēro jebkuras personas, kuras darbību reglamentē Kopienas tiesību akti, personas datu visu veidu apstrādei; tā kā no šīs jomas būtu jāizslēdz fiziskas personas veiktā datu apstrāde, realizējot vienīgi un tikai personiska vai sadzīves rakstura pasākumus, tādus kā sarakste un adrešu reģistri;

(13) tā kā Kopienas tiesību akti neattiecas uz Līguma par Eiropas Savienību V un VI sadaļā norādītajām darbībām attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību vai valsts pasākumiem krimināltiesību jomā, neierobežojot saskaņā ar Eiropas Kopienas dibināšanas līguma 56. panta 2. punktu, 57. pantu vai 100.a pantu dalībvalstīm uzliktās saistības; tā kā šī direktīva, kurā datu apstrāde attiecas uz valsts drošības jautājumiem, neattiecas uz valsts ekonomiskās labklājības nodrošināšanai nepieciešamo personas datu apstrādi;

(14) tā kā, ņemot vērā uz fiziskām personām attiecināmo skaņas un attēlu datu ieguves, pārraides, apstrādes, reģistrācijā, uzkrāšanā vai paziņošanā izmantojamo tehnisko paņēmienu izstrādes attīstību informācijas sabiedrības sistēmā, šai direktīvai vajadzētu būt piemērojamai šādu datu apstrādei;

(15) tā kā šī direktīva attiecas uz šādu datu apstrādi tikai tādā gadījumā, ja apstrāde ir automatizēta vai, ja apstrādātie dati ir iekļauti vai tos paredzēts iekļaut sistematizētā kartotēkā, kuru izveido atbilstoši uz personām attiecināmiem īpašiem kritērijiem, lai nodrošinātu vieglu piekļuvi attiecīgajiem personas datiem;

(16) tā kā šī direktīva neattiecas uz skaņas un attēlu datu, kā video novērošanas gadījumos, apstrādi, ja tā tiek realizēta sabiedriskās drošības, aizsardzības, valsts drošības nolūkos vai valsts pasākumu, kas attiecas uz krimināltiesību jomu, vai citu pasākumu, uz kuriem neattiecas Kopienas tiesību akti, norises laikā;

(17) tā kā, ciktāl realizētā skaņas un attēlu datu apstrāde attiecas uz žurnālistiku vai literāro vai māksliniecisko izteiksmi, šīs direktīvas principus piemēro ierobežoti saskaņā ar 9. pantā izklāstītajiem noteikumiem;

(18) tā kā, lai nodrošinātu, ka personas nezaudē aizsardzību, uz kuru viņām ir tiesības saskaņā ar šo direktīvu, jebkura personas datu apstrāde Kopienā jāveic saskaņā ar kādas dalībvalsts likumiem; tā kā šajā sakarā dalībvalstī reģistrēta personas datu apstrādātāja veiktu apstrādi būtu jāreglamentē ar šīs dalībvalsts likumiem;

(19) tā kā nodibinājums dalībvalsts teritorijā paredz efektīvu un reālu darbības veikšanu ar stabilu pasākumu starpniecību; tā kā šāda nodibinājuma juridiskā forma, vienalga, vai tā būtu vienkārši nodaļa vai filiāle kā juridiska persona, šajā sakarā nav noteicošais faktors; tā kā gadījumos, kad vairāku dalībvalstu teritorijās ir noteikta viena datu apstrādes iestāde, jo īpaši kā filiāles, tai, lai izvairītos no jebkādas valsts noteikumu apiešanas, jānodrošina, ka katra iestāde pilda tās darbībai piemērojamās attiecīgās valsts tiesību uzliktās saistības;

(20) tā kā fakts, ka datu apstrādi veic persona, kura reģistrēta trešajā valstī, nedrīkst būt pretrunā ar šajā direktīvā paredzēto personu aizsardzību; tā kā šajos gadījumos apstrādi jāreglamentē ar valsts, kurā atrodas izmantojamie līdzekļi, likumiem un būtu jābūt garantijām, ka šajā direktīvā paredzētās tiesības un pienākumus ievēro praksē;

(21) tā kā šī direktīva neierobežo krimināla rakstura jautājumos piemērojamos teritorialitātes noteikumus;

(22) tā kā dalībvalstīm likumos, kurus tās ievieš, vai pasākumos, kurus tās veic saskaņā ar šo direktīvu, precīzāk jādefinē vispārējie apstākļi, kuros apstrāde ir likumīga; tā kā īpaši 5. pants saistībā ar 7. un 8. pantu atļauj dalībvalstīm neatkarīgi no vispārējiem noteikumiem paredzēt speciālus apstrādes nosacījumus konkrētām nozarēm un dažādajām datu kategorijām, uz kurām attiecas 8. pants;

(23) tā kā dalībvalstīm ir piešķirtas pilnvaras nodrošināt personu aizsardzības īstenošanu gan ar vispārējām tiesībām par personas aizsardzību attiecībā uz personas datu apstrādi, gan ar nozaru likumiem, kas attiecas, piemēram, uz statistikas institūtiem;

(24) tā kā šī direktīva neiespaido tiesību aktus, kas attiecas uz juridisku personu aizsardzību attiecībā uz tādu datu apstrādi, kuri attiecas uz šīm personām;

(25) tā kā aizsardzības principi jāatspoguļo, no vienas puses, personām, valsts iestādēm, uzņēmumiem, institūcijām vai citām par apstrādi atbildīgajām organizācijām uzliktajos pienākumos, īpaši attiecībā uz datu kvalitāti, tehnisko drošību, paziņošanu uzraudzības iestādei un uz apstākļiem, kādos apstrādi var realizēt, un, no otras puses, personām, kuru dati ir apstrādes objekts, piešķirtajās tiesībās tikt informētām, ka apstrāde notiek, apspriest šos datus, pieprasīt korekcijas, bet zināmos apstākļos pat iebilst pret apstrādi;

(26) tā kā aizsardzības principus jāpiemēro jebkurai informācijai par identificētu vai identificējamu personu; tā kā, lai noteiktu, vai persona ir identificējama, būtu jāņem vērā visi līdzekļi, kurus, iespējams, pamatoti izmantotu vai nu personas datu apstrādātājs, vai jebkura cita persona, lai identificētu minēto personu; tā kā aizsardzības principus nepiemēro anonīmi iesniegtiem datiem, ja datu subjekts vairs nav identificējams; tā kā 27. pantā paredzētie profesionālās ētikas kodeksi var būt noderīgs līdzeklis norādījumu sniegšanā par veidiem, kādos datus var iesniegt anonīmi un saglabāt tos veidā, kurā datu subjekta identifikācija vairs nav iespējama;

(27) tā kā personu aizsardzība jāpiemēro gan datu automatizētajai, gan manuālajai apstrādei; tā kā šīs aizsardzības darbības sfēra būtībā nedrīkst būt atkarīga no izmantotajiem paņēmieniem, jo pretējā gadījumā tas radītu nopietnu likumu apiešanas risku; tā kā attiecībā uz manuālo apstrādi šī direktīva attiecas tikai uz sistematizētām kartotēkām, nevis uz nesakārtotiem iegrāmatojumiem; tā kā sistematizētas kartotēkas saturs jāsakārto atbilstoši speciāliem kritērijiem attiecībā uz personām, atļaujot vieglu piekļuvi personu datiem; tā kā, atbilstot 2. panta c) apakšpunktā sniegtajai definīcijai, dažādos kritērijus personas datu sakārtota kopuma sastāvdaļu noteikšanai un dažādos kritērijus, kuri reglamentē piekļuvi šādam kopumam, var izvirzīt katra dalībvalsts; tā kā šī direktīva nekādos apstākļos neattiecas uz kartotēkām vai kartotēku kopumiem, kā arī uz to ievadlapām, kuras nav sakārtotas atbilstoši speciāliem kritērijiem;

(28) tā kā jebkurai personas datu apstrādei jābūt likumīgai un godprātīgai pret attiecīgajām personām; tā kā datiem jābūt adekvātiem, piederīgiem un ne pārmērīgiem attiecībā uz nolūkiem, kādiem šie dati tiek apstrādāti; tā kā šādiem nolūkiem jābūt precīzi formulētiem un likumīgiem, un tie jānosaka datu vākšanas laikā; tā kā vākšanai sekojošās apstrādes nolūki nedrīkst būt nesavienojami ar sākotnēji precizētajiem nolūkiem;

(29) tā kā turpmākā personu datu apstrāde vēsturiskiem, statistiskiem vai zinātniskiem nolūkiem vispārēji netiek uzskatīta par nesavienojamu ar nolūkiem, kādiem dati iepriekš tikuši vākti, ar noteikumu, ka dalībvalstis sniedz piemērotas garantijas; tā kā šīm garantijām īpaši jāizslēdz datu izmantošana pasākumu vai lēmumu atbalstam attiecībā uz jebkuru konkrētu personu;

(30) tā kā, lai ievērotu likumību, personas datu apstrāde, piedevām, jāveic ar datu subjekta piekrišanu vai tai jābūt nepieciešamai datu subjektu saistoša līguma noslēgšanai vai izpildei, vai kā juridiskai prasībai, vai sabiedrības interesēs vai dienesta pilnvaru izpildei realizējama uzdevuma veikšanai, vai fiziskas vai juridiskas personas likumīgajās interesēs ar noteikumu, ka datu subjekta tiesības un brīvības nav ignorētas; tā kā, lai saglabātu līdzsvaru starp iesaistītajām interesēm, garantējot efektīvu konkurenci, dalībvalstis var noteikt apstākļus, kuros personas datus var izmantot vai atklāt trešajām personām sakarā ar uzņēmējsabiedrību un citu struktūru likumīgiem parastiem darījumu pasākumiem; tā kā dalībvalstis var līdzīgā kārtā konkretizēt apstākļus, kādos personas datus var atklāt trešajām personām tirdzniecības nolūkiem, kas tiek realizēti vai nu komerciālā veidā, vai to veic labdarības organizācija vai jebkura cita, piemēram, politiska rakstura asociācija vai fonds ar noteikumiem, kuri ļauj datu subjektam, bez redzama iemesla un tos nenorādot, iebilst pret tādu datu apstrādi, kuri attiecas uz šo subjektu;

(31) tā kā personas datu apstrāde tāpat jāuzskata par likumīgu, ja to veic, lai aizsargātu kādu datu subjekta dzīves sfēru, kas tam ir būtiski svarīga;

(32) tā kā valsts tiesību aktiem jānosaka, vai personas datu apstrādātājam, kurš veic sabiedrības interesēs realizējamu vai oficiālu pilnvaru uzdevuma izpildi, vajadzētu būt valsts pārvaldes iestādei vai citai fiziskai vai juridiskai personai, kas ir publisko tiesību subjekts, vai tādai kā profesionālai apvienībai, kas ir privāttiesību subjekts;

(33) tā kā datus, kuri pēc sava rakstura spēj ierobežot pamatbrīvības vai privātās dzīves neaizskaramību, nevajadzētu apstrādāt, ja vien datu subjekts nedod precīzi formulētu piekrišanu; tā kā jāparedz precīzi formulētas atkāpes no šā aizlieguma attiecībā uz specifiskām vajadzībām, īpaši, ja šo datu apstrādi veic personas, uz kurām attiecas juridiskais pienākums ievērot dienesta noslēpumu, konkrētiem ar veselības aizsardzību saistītiem nolūkiem vai konkrētu apvienību vai fondu likumīgas darbības norises laikā, kuras mērķis ir atļaut pamatbrīvību izmantošanu;

(34) tā kā dalībvalstīm, pamatojoties uz svarīgām sabiedrības interesēm, jābūt arī pilnvarotām atkāpties no aizlieguma par slepenu kategoriju datu apstrādi, ja to attaisno svarīgas sabiedriskās intereses tādās jomās kā vispārējā veselības aizsardzība un sociālā aizsardzība – jo sevišķi, lai nodrošinātu pabalstu pieprasījumu un veselības apdrošināšanas sistēmas pakalpojumu risināšanai izmantoto procedūru kvalitāti un rentabilitāti –, zinātniskie pētījumi un valsts statistika; tā kā dalībvalstu pienākums ir sniegt konkrētas un piemērotas garantijas, lai aizsargātu personas pamattiesības un privātās dzīves neaizskaramību;

(35) tā kā turklāt valsts iestāžu veiktā oficiāli atzītu reliģisku apvienību personu datu apstrāde, lai sasniegtu konstitucionālajās tiesībās vai starptautiskajās publiskajās tiesībās paredzētos mērķus, tiek veikta, pamatojoties uz svarīgām sabiedrības interesēm;

(36) tā kā dažās dalībvalstīs vēlēšanu pasākumu laikā demokrātiskās sistēmas darbība prasa, lai politiskās partijas vāktu datus par cilvēku politiskajiem uzskatiem, šādu datu apstrādi var pieļaut, pamatojoties uz svarīgām sabiedrības interesēm, ar noteikumu, ka ir noteiktas attiecīgas garantijas;

(37) tā kā personas datu apstrādei žurnālistikas nolūkiem vai literārās vai mākslinieciskās izteiksmes nolūkiem, īpaši audiovizuālajā jomā, būtu jānosaka atbrīvojums no šīs direktīvas zināmu nosacījumu prasībām, ciktāl tas vajadzīgs, lai saskaņotu personu pamattiesības ar informācijas brīvību un jo īpaši ar tiesībām saņemt un sniegt informāciju, kā to garantē 10. pants Eiropas Konvencijā par cilvēka tiesību un pamatbrīvību aizsardzību; tā kā dalībvalstīm tādēļ būtu jānosaka nepieciešamie atbrīvojumi un atkāpes līdzsvara radīšanai starp pamattiesībām attiecībā uz vispārējiem pasākumiem datu apstrādes likumībā, pasākumiem datu nodošanā trešajām valstīm un uzraudzības iestādes pilnvarām; tā kā tam tomēr nevajadzētu likt dalībvalstīm noteikt atbrīvojumus no pasākumiem datu apstrādes drošības nodrošināšanai; tā kā vismaz par šo nozari atbildīgajai uzraudzības iestādei arī būtu jāsaņem zināmas atpakaļejošas pilnvaras, piemēram, publicēt regulāru ziņojumu vai vērsties tiesu iestādēs;

(38) tā kā, ja datu apstrāde ir godprātīga, datu subjektam ir jāuzzina par datu apstrādes darbību un, ja dati ir ievākti no viņa, tam jāsaņem precīza un pilnīga informācija, paturot prātā vākšanas apstākļus;

(39) tā kā dažas apstrādes darbības iekļauj datus, kurus personas datu apstrādātāji nav ievākuši tieši no datu subjekta; tā kā turklāt datus likumīgi var atklāt trešajām personām, pat ja šī atklāšana netika paredzēta laikā, kad dati tika ievākti no datu subjekta; tā kā visos šajos gadījumos datu subjekts būtu jāinformē, kad dati tiek iereģistrēti vai vismaz kad dati pirmoreiz tiek atklāti trešajām personām;

(40) tā kā šis pienākums nav jāuzliek, ja datu subjektam jau ir šī informācija; tā kā turklāt šāda pienākuma nebūs, ja reģistrēšana vai atklāšana ir īpaši paredzēta likumā vai ja informācijas piegāde datu subjektam izrādās neiespējama, vai arī tā ietvertu nesamērīgas pūles, kā tas varētu būt gadījumā, ja apstrāde notiek vēsturiskiem, statistiskiem vai zinātniskiem nolūkiem; tā kā šai sakarā var ņemt vērā datu subjektu skaitu, datu vecumu un jebkurus paredzētos kompensācijas pasākumus;

(41) tā kā jebkurai personai jādod iespēja izmantot piekļuves tiesības apstrādāšanā esošiem datiem, kas attiecas uz šo personu, lai konkrēti pārbaudītu šo datu precizitāti un apstrādes likumību; tā kā šo pašu iemeslu dēļ katram datu subjektam jābūt arī tiesībām zināt datu, kas uz viņu attiecas, automātiskajā apstrādē ietverto loģiku, vismaz 15. panta 1. punktā norādīto automatizēto lēmumu gadījumā; tā kā šīs tiesības nedrīkst nelabvēlīgi iespaidot uzņēmējdarbības noslēpumus vai intelektuālo īpašumu un jo īpaši programmatūru aizsargājošās autortiesības; tā kā šie apsvērumi tomēr nedrīkst izvērsties tā, ka datu subjektam atsaka visu informāciju;

(42) tā kā dalībvalstis datu subjekta interesēs vai arī, lai aizsargātu citu personu tiesības un brīvības, var ierobežot piekļuves un informācijas tiesības; tā kā dalībvalstis var, piemēram, precizēt, ka piekļūšanu medicīniskiem datiem var iegūt tikai ar profesionāla veselības aizsardzības darbinieka starpniecību;

(43) tā kā dalībvalstis var līdzīgā kārtā uzlikt ierobežojumus piekļuves un informācijas tiesībām un personas datu apstrādātāja konkrētiem pienākumiem, ciktāl šie ierobežojumi ir nepieciešami, lai garantētu, piemēram, valsts drošību, aizsardzību, sabiedrisko drošību vai dalībvalsts vai Savienības svarīgas ekonomiskas un finansiālas intereses, kā arī kriminālās izmeklēšanas un kriminālvajāšanas un prasības attiecībā uz ētikas pārkāpumiem reglamentētās profesijās; tā kā izņēmumu un ierobežojumu uzskaitījumam būtu jāiekļauj pastāvīgas kontroles, pārbaudes vai reglamentēšanas uzdevumi pēdējās trijās pieminētajās jomās, kuras attiecas uz sabiedrisko drošību, ekonomiskajām vai finansiālajām interesēm un noziedzības profilaksi; tā kā uzdevumu uzskaitījums šajās trijās jomās neiespaido valsts drošības vai aizsardzības motivēto izņēmumu vai ierobežojumu likumību;

(44) tā kā dalībvalstis, pamatojoties uz Kopienas tiesību aktiem, var arī atkāpties no šīs direktīvas noteikumiem, kas attiecas uz piekļuves tiesībām, pienākumu informēt personas un datu kvalitāti, lai neapdraudētu kādu no iepriekš minētajiem nolūkiem;

(45) tā kā gadījumos, kad datus varētu likumīgi apstrādāt, pamatojoties uz sabiedrības interesēm, oficiālām pilnvarām vai fiziskas vai juridiskas personas likumīgām interesēm, jebkuram datu subjektam, pamatojoties uz likumīgiem un nepārvaramiem iemesliem attiecībā uz šā subjekta konkrēto situāciju, tomēr ir jābūt tiesībām iebilst pret jebkādu uz viņu attiecināmu datu apstrādi; tā kā dalībvalstis tomēr var noteikt valsts tiesību aktos pretējo;

(46) tā kā datu subjektu tiesību un brīvību aizsardzība, kas attiecas uz personas datu apstrādi, prasa atbilstošus tehniskus un organizatoriskus pasākumus gan apstrādes sistēmas izveides laikā, gan pašas apstrādes laikā, lai saglabātu šo datu drošību un tādējādi novērstu jebkādu nesankcionētu apstrādi; tā kā dalībvalstīm ir pienākums nodrošināt, ka personas datu apstrādātājiem attiecas šie pasākumi; tā kā šiem pasākumiem jānodrošina attiecīga drošības pakāpe, ņemot vērā tās pašreizējo līmeni un īstenošanas izmaksas attiecībā uz apstrādei raksturīgajiem riskiem un aizsargājamo datu raksturu;

(47) tā kā personas datus saturošo informatīvo materiālu pārraida ar telekomunikāciju līdzekļiem vai ar elektronisko pastu, kuru darbības vienīgais nolūks ir šādas informācijas pārraide, attiecībā uz informatīvajā materiālā ietvertajiem personas datiem parasti personas datu apstrādātājs, nevis pārraides pakalpojumus sniedzošā persona, tiks uzskatīta par personu, no kuras sākotnēji saņemts informatīvais materiāls; tā kā tomēr šādus pakalpojumus sniedzošās personas parasti tiks uzskatītas par personas datu apstrādātājiem attiecībā uz pakalpojuma procesam nepieciešamo papildu personas datu apstrādi;

(48) tā kā procedūras uzraudzības iestādes informēšanai ir radītas, lai nodrošinātu jebkuras apstrādes darbības nolūku un galveno iezīmju atklāšanu, lai varētu apstiprināt, ka šī darbība atbilst saskaņā ar šo direktīvu valstī veiktajiem pasākumiem;

(49) tā kā, lai izvairītos no nepiemērotām administratīvām formalitātēm, gadījumos, kad apstrāde nevar nelabvēlīgi iespaidot datu subjektu tiesības un brīvības, dalībvalstis var paredzēt atbrīvojumus no pienākuma darīt zināmu un prasītā ziņojuma vienkāršošanu ar noteikumu, ka tas ir saskaņā ar dalībvalsts veikto pasākumu, precizējot apstrādes ierobežojumus; tā kā dalībvalstis līdzīgā kārtā var paredzēt atbrīvojumu vai vienkāršošanu, ja par personas datu apstrādātāju nozīmētā persona nodrošina, ka veiktā apstrāde nekādā gadījumā neiespaido nelabvēlīgi datu subjektu tiesības un brīvības; tā kā šādai datu aizsardzības amatpersonai, vai tā ir vai nav personas datu apstrādātāja nodarbināta persona, jāspēj pildīt savas funkcijas pilnīgi neatkarīgi;

(50) tā kā atbrīvojumu vai vienkāršošanu varētu paredzēt apstrādes operāciju gadījumos, kad to vienīgais nolūks ir paredzētā reģistra uzturēšana un, saskaņā ar attiecīgās valsts tiesību aktiem, nodot informāciju sabiedrībai un atklātai sabiedrības vai jebkuras personas, kura izrāda likumīgu ieinteresētību, apspriešanai;

(51) tā kā tomēr vienkāršošana vai atbrīvojums no paziņošanas pienākuma neatbrīvo personas datu apstrādātāju no jebkurām citām no šīs direktīvas izrietošām saistībām;

(52) tā kā saistībā ar to kompetento iestāžu veikta ex post facto pārbaude parasti jāuzskata par pietiekamu pasākumu;

(53) tā kā dažas apstrādes darbības, pamatojoties uz savu raksturu, jomu vai nolūkiem - tādiem kā personu izslēgšana no tiesībām, pabalsta vai līguma, vai pamatojoties uz jaunu tehnoloģiju specifisku izmantošanu, - var tomēr iespējami radīt konkrētus riskus attiecībā uz datu subjektu tiesībām un brīvībām; tā kā dalībvalstis var pēc vēlēšanās precizēt šādus riskus savos tiesību aktos;

(54) tā kā attiecībā uz visu sabiedrībā veikto datu apstrādi apjomam, kas izraisa šādus konkrētus riskus, jābūt ļoti ierobežotam; tā kā dalībvalstīm jānodrošina, ka uzraudzības iestāde vai datu aizsardzības amatpersona sadarbībā ar šo iestādi pārbauda šādu apstrādi pirms tās realizācijas; tā kā pēc šīs iepriekšējās pārbaudes uzraudzības iestāde saskaņā ar tās valsts tiesību aktiem var sniegt atzinumu vai atļauju attiecībā uz šo apstrādi; tā kā šāda pārbaude vienlīdz var notikt vai nu valsts parlamenta pasākuma vai pasākuma, kas pamatots uz tādu juridiska rakstura pasākumu, kurš nosaka apstrādes raksturu un paredz atbilstošas garantijas, sagatavošanas gaitā;

(55) tā kā, ja personas datu apstrādātājs neievēro datu subjektu tiesības, valsts tiesību aktiem jāparedz tiesiskas aizsardzības līdzeklis; tā kā jebkurus zaudējumus, kurus persona var ciest nelikumīgas apstrādes rezultātā, jākompensē personas datu apstrādātājam, kuru var atbrīvot no atbildības, ja tas pierāda, ka nav atbildīgs par zaudējumiem, īpaši gadījumos, kad tas konstatē datu subjekta vainu vai force majeure gadījumā; tā kā jebkurai personai, vienalga, vai uz to attiecas privātās vai publiskās tiesības, kura nerīkojas atbilstoši valsts pasākumiem, kas veikti saskaņā ar šo direktīvu, jāuzliek sankcijas;

(56) tā kā personas datu pārrobežu plūsmas ir vajadzīgas starptautiskās tirdzniecības paplašināšanai; tā kā šīs direktīvas garantētā personu aizsardzība Kopienā netraucē personas datu pārvedumus uz trešajām valstīm, kuras nodrošina pietiekamu aizsardzības līmeni; tā kā trešās valsts sniegtā aizsardzības līmeņa pietiekamību jānovērtē, ievērojot visus pārveduma operācijas vai pārveduma operāciju kopuma apstākļus;

(57) tā kā, no otras puses, personu datu pārvedumu uz trešo valsti, kura nenodrošina pietiekamu aizsardzības līmeni, jāaizliedz;

(58) tā kā būtu jāizstrādā noteikumi atbrīvojumam no šā aizlieguma zināmos apstākļos, kad datu subjekts ir devis savu piekrišanu, kad pārvedums vajadzīgs sakarā ar līgumu vai juridisku prasību, kad to prasa svarīgu sabiedrības interešu aizsardzība, piemēram, gadījumos par datu starptautisku pārvedumu starp nodokļu vai muitas iestādēm vai starp kompetentajiem dienestiem sociālā nodrošinājuma jautājumos, vai ja pārvedumu veic no reģistra, kas izveidots ar likumu, un paredzēts, lai tajā pēc informācijas grieztos sabiedrība vai likumīgi ieinteresētas personas; tā kā šajā gadījumā pārvedumā nebūtu jāiekļauj reģistrā ieslēgto datu veselums vai datu kategorijas pilnībā, un ja reģistrs ir paredzēts, lai tajā pēc informācijas grieztos likumīgi ieinteresētas personas, pārvedumu jāveic tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas;

(59) tā kā var veikt konkrētus pasākumus, lai kompensētu aizsardzības trūkumu trešā valstī gadījumos, ja personas datu apstrādātājs sniedz atbilstošas garantijas; tā kā bez tam jāparedz procedūras sarunām starp Kopienu un šādām trešajām valstīm;

(60) tā kā jebkurā gadījumā pārvedumus uz trešajām valstīm var realizēt tikai pilnīgā saskaņā ar noteikumiem, ko pieņēmušas dalībvalstis, ievērojot šo direktīvu un jo sevišķi tās 8. pantu;

(61) tā kā dalībvalstīm un Komisijai to attiecīgajās kompetences sfērās jāmudina attiecīgās tirdzniecības apvienības un citas pārstāvniecības organizācija izstrādāt profesionālās ētikas kodeksus, lai veicinātu šīs direktīvas piemērošanu, ņemot vērā konkrētās nozarēs veiktās apstrādes specifiskās iezīmes un ievērojot šīs direktīvas ieviešanai pieņemtos attiecīgo valstu noteikumus;

(62) tā kā uzraudzības iestāžu, kuras pilda savas funkcijas pilnīgi neatkarīgi, izveide dalībvalstīs ir būtiska sastāvdaļa personu aizsardzībā attiecībā uz personas datu apstrādi;

(63) tā kā šādu iestāžu rīcībā jābūt nepieciešamajiem līdzekļiem savu pienākumu veikšanai, ieskaitot pilnvaras veikt izmeklēšanu un iejaukties, jo sevišķi personu sūdzību gadījumos, un pilnvarām iesaistīties tiesvedībā; tā kā šādu iestāžu pienākums ir sniegt palīdzību, lai nodrošinātu apstrādes caurskatāmību dalībvalstīs, kuru jurisdikcijā ir šīs iestādes;

(64) tā kā iestādēm dažādās dalībvalstīs vajadzēs sniegt savstarpēju palīdzību to pienākumu veikšanā, lai nodrošinātu, ka aizsardzības normas atbilstīgi ievēro visā Eiropas Savienībā;

65) tā kā Kopienas līmenī jāizveido savu funkciju veikšanā pilnīgi neatkarīga Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi; tā kā, ņemot vērā tās specifisko raksturu, šai grupai jākonsultē Komisija un jo īpaši jāveicina saskaņā ar šo direktīvu pieņemto attiecīgo valstu normu vienāda piemērošana;

(66) tā kā attiecībā uz datu pārvedumu uz trešajām valstīm šīs direktīvas piemērošana prasa ieviešanas pilnvaru piešķiršanu Komisijai un procedūras izveidi, kā noteikts Padomes Lēmumā 87/373/EEK [4];

(67) tā kā vienošanos par modus vivendi starp Eiropas Parlamentu, Padomi un Komisiju par saskaņā ar EK Līguma 189.b pantā noteikto procedūru pieņemto aktu īstenošanas pasākumiem panāca 1994. gada 20. decembrī;

(68) tā kā šajā direktīva izklāstītos principus attiecībā uz personas tiesību un brīvību, īpaši tiesību uz privātās dzīves neaizskaramību, aizsardzību, kas attiecas uz personas datu apstrādi, var papildināt vai detalizēt ar speciālām uz šiem principiem pamatotām normām, jo sevišķi, ciktāl tie attiecas uz konkrētām nozarēm;

(69) tā kā dalībvalstīm būtu jādod termiņš ne ilgāks par trim gadiem, no šo direktīvu transponējošo attiecīgās valsts pasākumu stāšanās spēkā, kurā pakāpeniski piemērot šādas jaunas attiecīgās valsts normas visām apstrādes darbībām, kas jau notiek; tā kā, lai veicinātu šo normu rentablu ieviešanu, dalībvalstīm pieļaus turpmāku termiņu, kurš beidzas 12 gadus pēc šīs direktīvas pieņemšanas dienas, lai nodrošinātu esošo manuālo kartotēku sistēmu atbilstību konkrētām šīs direktīvas prasībām; tā kā šo kartotēku sistēmās ietvertos datus šajā pagarinātajā pārejas periodā apstrādā ar rokām, šādas apstrādes laikā jānodrošina sistēmu atbilstība šiem noteikumiem;

(70) tā kā pēc saskaņā ar šo direktīvu pieņemto attiecīgās valsts noteikumu stāšanās spēkā datu subjektam nav nepieciešams dot atkārtotu piekrišanu, lai atļautu personas datu apstrādātājam turpināt apstrādāt jebkurus slepenus datus, kuri nepieciešami, lai izpildītu līgumu, kas noslēgts, pamatojoties uz labprātīgu un informētu piekrišanu, pirms šo noteikumu stāšanās spēkā;

(71) tā kā šī direktīva nerada šķēršļus to tirdzniecības darbību regulēšanā, ko dalībvalsts paredz tās teritorijā pastāvīgi dzīvojošiem patērētājiem, ciktāl šāda regulēšana neskar personu aizsardzību attiecībā uz personas datu apstrādi;

(72) tā kā šī direktīva, īstenojot tajā noteiktos principus, atļauj ņemt vērā oficiālu dokumentu atklātas piekļuves principu,

IR PIEŅĒMUŠAS ŠO DIREKTĪVU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Direktīvas mērķis

1. Saskaņā ar šo direktīvu dalībvalstis aizsargā fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi.

2. Dalībvalstis neierobežo un neaizliedz personas datu brīvu plūsmu starp dalībvalstīm, pamatojoties uz 1. punktā paredzēto aizsardzību.

2. pants

Definīcijas

Šajā direktīvā:

a) "personas dati" ir jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu ("datu subjektu"); identificējama persona ir tā, kuru var identificēt tieši vai netieši, norādot reģistrācijas numuru vai vienu vai vairākus šai personai raksturīgus fiziskās, fizioloģiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktorus;

b) "personu datu apstrāde" ("apstrāde") ir jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem - kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana;

c) "personu datu kartotēka" ("kartotēka") ir jebkurš sakārtots personas datu kopums, kurā šie dati ir pieejami saskaņā ar īpašiem kritērijiem – centralizētiem, decentralizētiem vai izkliedētiem, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

d) "personas datu apstrādātājs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka valsts vai Kopienas tiesību akti vai noteikumi, personas datu apstrādātāju vai viņa iecelšanas konkrētos kritērijus var noteikt valsts vai Kopienas tiesību akti;

e) "apstrādātājs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura personas datu apstrādātāja interesēs apstrādā personas datus;

f) "trešās personas" ir jebkura fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura nav datu subjekts, personas datu apstrādātājs, apstrādātājs un personas, kuras ir pilnvarotas apstrādāt datus personas datu apstrādātāja vai apstrādātāja tiešā vadībā;

g) "saņēmējs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kurai tiek atklāti dati, vai tās ir trešās personas vai nav; tomēr iestādes, kuras var saņemt datus saskaņā ar konkrētu pieprasījumu, nav uzskatāmas par saņēmējām;

h) "datu subjekta piekrišana" ir jebkurš labprātīgi sniegts šīs personas vēlmju konkrēts un paziņots norādījumu, ar kuru datu subjekts izsaka savu piekrišanu uz viņu attiecināmu personas datu apstrādei.

3. pants

Darbības joma

1. Šī direktīva attiecas uz personas datu apstrādi pilnībā vai daļēji ar automatizētiem līdzekļiem un uz personas datu, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, apstrādi, kura netiek veikta ar automatizētiem līdzekļiem.

2. Šī direktīva neattiecas uz personas datu apstrādi:

- tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti, kā Līguma par Eiropas Savienību V un VI sadaļā paredzētie pasākumi un, jebkurā gadījumā, uz apstrādes operācijām attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību (ieskaitot valsts ekonomisko labklājību, ja apstrādes operācija attiecas uz valsts drošības jautājumiem) un uz valsts pasākumiem krimināltiesību jomā;

- ko veic fiziska persona tikai un vienīgi personiska vai mājsaimnieciska pasākuma gaitā.

4. pants

Piemērojamās valsts tiesības

1. Katra dalībvalsts piemēro savas valsts noteikumus personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja:

a) apstrādi veic saistībā ar personas datu apstrādātāja pasākumiem dalībvalsts teritorijā; ja viens un tas pats personas datu apstrādātājs ir reģistrēts vairāku dalībvalstu teritorijā, tam jāveic nepieciešamie pasākumi, lai nodrošinātu katras šīs iestādes atbilstību šīs valsts piemērojamo tiesību noteiktajām saistībām;

b) personas datu apstrādātājs ir reģistrēts nevis dalībvalsts teritorijā, bet gan vietā, kur šīs valsts tiesības piemēro, pamatojoties uz starptautiskajām publiskajām tiesībām;

c) personas datu apstrādātājs nav reģistrēts Kopienas teritorijā un personas datu apstrādes nolūkiem izmanto automatizētu un citādu aprīkojumu, kas atrodas minētās dalībvalsts teritorijā, ja vien šis aprīkojums netiek izmantots vienīgi tranzīta nolūkiem caur Kopienas teritoriju.

2. Šā panta 1. punkta c) apakšpunktā minētajos apstākļos personas datu apstrādātājam jānozīmē attiecīgās dalībvalsts teritorijā izveidots pārstāvis, neliekot šķēršļus juridiskām darbībām, kuras varētu uzsākt pret pašu personas datu apstrādātāju.

II NODAĻA

VISPĀRĪGI NOTEIKUMI PAR PERSONAS DATU APSTRĀDES LIKUMĪBU

5. pants

Dalībvalstis saskaņā ar šīs nodaļas noteikumiem precīzāk nosaka apstākļus, kādos personas datu apstrāde ir likumīga.

I IEDAĻA

PRINCIPI, KAS ATTIECAS UZ DATU KVALITĀTI

6. pants

1. Dalībvalstis nosaka to, ka personas datiem jābūt:

a) apstrādātiem godīgi un likumīgi;

b) vāktiem konkrētiem, precīzi formulētiem un likumīgiem nolūkiem, un tos nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā. Turpmāka datu apstrāde vēsturiskiem, statistiskiem vai zinātniskiem nolūkiem nav uzskatāma par nesavienojamu, ar noteikumu, ka dalībvalstis sniedz atbilstošas garantijas;

c) adekvātiem, attiecīgiem un ne pārmērīgā apjomā attiecībā uz nolūkiem, kādiem tie savākti un/vai tālāk apstrādāti;

d) precīziem un nepieciešamības gadījumā atjauninātiem; jāveic visi reālie pasākumi, lai nodrošinātu, ka neprecīzus vai nepilnīgus datus, ņemot vērā to vākšanas vai turpmākās apstrādes nolūkus, dzēš vai izlabo;

e) saglabātiem veidā, kas pieļauj datu subjektu identifikāciju ne ilgāk, kā tas nepieciešams nolūkiem, kuriem datus vāca vai kuriem tos turpmāk apstrādā. Dalībvalstis nosaka atbilstošas garantijas personas datiem, kurus uzglabā ilgāku laiku, lai izmantotu vēsturiskiem, statistiskiem vai zinātniskiem nolūkiem.

2. Personas datu apstrādātājam jānodrošina 1. punkta izpilde.

II IEDAĻA

KRITĒRIJI DATU APSTRĀDES ATZĪŠANAI PAR LIKUMĪGU

7. pants

Dalībvalstis paredz to, ka personas datus var apstrādāt tikai, ja:

a) datu subjekts nepārprotami devis savu piekrišanu;

b) vai apstrāde vajadzīga līguma, kurā datu subjekts ir līgumslēdzēja puse, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c) vai apstrāde vajadzīga, lai izpildītu uz personas datu apstrādātāju attiecināmas juridiskas saistības; vai

d) apstrāde vajadzīga, lai aizsargātu datu subjekta būtiskas intereses;

e) vai apstrāde vajadzīga sabiedrības interesēs realizējama uzdevuma izpildei vai personas datu apstrādātājam vai trešajai personai, kurai dati tiek atklāti, piešķirto oficiālo pilnvaru realizācijai;

f) vai apstrāde vajadzīga personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai, izņemot, ja šīs intereses ignorē, ņemot vērā datu subjekta pamattiesību un brīvību intereses, kurām nepieciešama aizsardzība saskaņā ar 1. panta 1. punktu.

III IEDAĻA

APSTRĀDES ĪPAŠĀS KATEGORIJAS

8. pants

Īpašu kategoriju datu apstrāde

1. Dalībvalstis aizliedz tādu personas datu apstrādi, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, kā arī uz veselību vai seksuālo dzīvi attiecināmu datu apstrādi.

2. Šā panta 1. punktu nepiemēro, ja:

a) datu subjekts ir devis precīzi formulētu piekrišanu šo datu apstrādei, izņemot, ja dalībvalstu likumi paredz, ka 1. punktā minētos aizliegumus nevar atcelt, datu subjektam dodot savu piekrišanu;

b) vai apstrāde vajadzīga, lai realizētu personas datu apstrādātāja pienākumus un īpašās tiesības nodarbinātības tiesību jomā, ciktāl to pieļauj attiecīgās valsts tiesības, paredzot atbilstošas garantijas;

c) vai apstrāde vajadzīga, lai aizsargātu datu subjekta vai citas personas būtiskas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

d) vai apstrādi veic kā likumīgu darbību ar fonda, apvienības vai jebkuras citas bezpeļņas institūcijas, kam ir politisks, filozofisks, reliģisks vai arodbiedrību darbības mērķis, atbilstošām garantijām un ar noteikumu, ka apstrāde attiecas tikai un vienīgi uz šīs struktūras locekļiem vai personām, kurām ir regulāri kontakti ar šo struktūru sakarā ar tās mērķiem, un ka datus neatklāj trešajām personām bez datu subjektu piekrišanas;

e) vai apstrāde attiecas uz datiem, kurus datu subjekts publiski darījis zināmus atklātībai, vai tā vajadzīga juridisku prasību celšanai, realizācijai vai aizstāvībai.

3. Šā panta 1. punktu nepiemēro, ja datu apstrādi pieprasa profilaktiskās medicīnas, medicīniskas diagnozes, aprūpes vai ārstēšanas vai veselības aprūpes pakalpojumu pārvaldības nodrošināšanas nolūkiem un ja šos datus apstrādā veselības aizsardzības darba profesionālis saskaņā ar attiecīgās valsts tiesībām vai valsts kompetento iestāžu ieviestiem noteikumiem par dienesta noslēpuma pienākumu, vai cita persona, uz kuru arī attiecas tāds pat pienākums ievērot slepenību.

4. Saskaņā ar noteikumu par atbilstošām garantijām dalībvalstis, pamatojoties uz būtiskām sabiedrības interesēm, var noteikt izņēmumus papildus 2. punktā minētajiem vai nu ar attiecīgās valsts tiesībām, vai ar uzraudzības iestādes lēmumu.

5. Uz noziedzīgiem nodarījumiem, kriminālas vajāšanas gadījumiem vai drošības pasākumiem attiecināmu datu apstrādi var veikt tikai valsts iestādes kontrolē vai, ja saskaņā ar attiecīgās valsts tiesībām ir paredzētas piemērotas speciālas garantijas atbilstoši dalībvalsts piešķirtam izņēmuma statusam saskaņā ar šīs valsts noteikumiem, kas paredz atbilstīgas speciālas garantijas. Tomēr pilnīgu reģistru par krimināliem notiesājošiem spriedumiem var uzglabāt tikai valsts iestādes kontrolē.

Dalībvalstis var paredzēt to, ka uz administratīvām sankcijām vai lēmumiem civillietās attiecināmus datus arī apstrādā valsts iestādes kontrolē.

6. Atkāpes, kas no 1. punkta paredzētas 4. un 5. punktā, dara zināmas Komisijai.

7. Dalībvalstis paredz nosacījumus, ar kādiem var apstrādāt attiecīgās valsts reģistrācijas numuru vai jebkuru citu vispārēja pielietojuma identifikatoru.

9. pants

Personas datu apstrāde un vārda brīvība

Dalībvalstis nosaka izņēmumus vai atkāpes no šīs nodaļas, IV nodaļas un VI nodaļas noteikumiem personas datu apstrādei, kas veikta tikai un vienīgi žurnālistikas nolūkiem vai mākslinieciskās vai literārās izteiksmes nolūkiem tikai tad, ja tie vajadzīgi, lai saskaņotu tiesības uz privātās dzīves neaizskaramību ar normām, kas reglamentē vārda brīvību.

IV IEDAĻA

DATU SUBJEKTAM SNIEDZAMĀ INFORMĀCIJA

10. pants

Informācija gadījumos, kad datus ievāc no datu subjekta

Dalībvalstis paredz to, ka personas datu apstrādātājs vai viņa pārstāvis sniedz datu subjektam, no kura ievāc datus, kas uz viņu attiecas, vismaz šādu informāciju, ja vien datu subjektam tā nav zināma:

a) personas datu apstrādātāja un viņa pārstāvja, ja tāds ir, personas dati;

b) apstrādes, kurai dati paredzēti, nolūki;

c) jebkura turpmāka informācija, kā

- datu saņēmēji vai datu saņēmēju kategorijas,

- vai atbildes uz jautājumiem ir obligātas vai brīvprātīgas, kā arī atbildes nesniegšanas iespējamās sekas,

- datu piekļuves tiesību un tiesību koriģēt datus, kas uz viņu attiecas, pastāvēšana,

ciktāl šāda turpmāka informācija vajadzīga, ņemot vērā konkrētos apstākļus, kādos dati ievākti, lai garantētu godprātīgu apstrādi attiecībā uz datu subjektu.

11. pants

Informācija, ja dati nav iegūti no datu subjekta

1. Ja dati nav iegūti no datu subjekta, dalībvalstis paredz to, ka personas datu apstrādātājam vai viņa pārstāvim personas datu reģistrācijas pasākuma laikā vai, ja ir paredzēta datu atklāšana trešajai personai, ne vēlāk, kā tad, kad datus pirmoreiz atklāj, jāsniedz datu subjektam vismaz šāda informācija, ja viņam tā jau nav:

- personas datu apstrādātāja un viņa pārstāvja, ja tāds ir, personas dati;

- apstrādes nolūki;

- jebkura turpmāka informācija, kā

- attiecīgo datu kategorijas,

- saņēmēji vai saņēmēju kategorijas,

- datu piekļuves tiesību un tiesību koriģēt datus, kas uz viņu attiecas, pastāvēšana,

ciktāl šāda turpmāka informācija vajadzīga, ņemot vērā konkrētos apstākļus, kādos datus apstrādā, lai nodrošinātu godprātīgu apstrādi attiecībā uz datu subjektu.

2. Šā panta 1. punktu nepiemēro jo īpaši apstrādei statistiskiem nolūkiem vai vēsturiskas vai zinātniskas pētniecības nolūkiem, ja šādas informācijas sniegšana izrādās neiespējama vai radītu nesamērīgas pūles vai ja reģistrēšanu vai atklāšanu konkrēti nosaka attiecīgās valsts tiesības. Šajos gadījumos dalībvalstis nodrošina atbilstošas garantijas.

V IEDAĻA

DATU SUBJEKTA DATU PIEKĻUVES TIESĪBAS

12. pants

Piekļuves tiesības

Dalībvalstis garantē katram datu subjektam tiesības iegūt no personas datu apstrādātāja:

a) bez ierobežojumiem samērīgos termiņos un bez pārmērīgas vilcināšanās vai tiesu izdevumiem:

- apstiprinājumu, vai uz viņu attiecināmos datus apstrādā vai neapstrādā, un informāciju vismaz attiecībā uz apstrādes nolūkiem, attiecīgo datu kategorijām un saņēmējiem vai saņēmēju kategorijām, kuriem datus atklāj,

- paziņojumu datu subjektam saprotamā formā par apstrādē esošajiem datiem un par jebkuru pieejamu informāciju attiecībā uz datu avotu,

- informāciju par datu, kas uz viņu attiecas, jebkurā automatizētā apstrādē ietverto loģiku vismaz 15. panta 1. punktā norādīto automatizēto lēmumu gadījumā,

b) atkarībā no apstākļiem datu izlabošanu, dzēšanu vai piekļuves noslēgšanu, ja šo datu apstrāde neatbilst šīs direktīvas noteikumiem, īpaši datu nepilnības vai neprecizitātes dēļ,

c) paziņojumu trešajām personām, kurām dati atklāti, par jebkuru saskaņā ar b) apakšpunktu veikto izlabošanu, dzēšanu vai piekļuves noslēgšanu, ja vien tas neizrādās neiespējami vai nav saistīts ar nesamērīgām pūlēm.

VI IEDAĻA

ATBRĪVOJUMI UN IEROBEŽOJUMI

13. pants

Atbrīvojumi un ierobežojumi

1. Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu 6. panta 1. punktā, 10. pantā, 11. panta 1. punktā, 12. pantā un 21. pantā paredzēto pienākumu un tiesību jomu, ja šāds ierobežojums ir nepieciešams aizsargpasākums:

a) valsts drošībai;

b) aizsardzībai;

c) sabiedrības drošībai;

d) kriminālsodāmu noziedzīgu nodarījumu vai reglamentētu profesiju ētikas pārkāpumu profilaksei, izziņai, atklāšanai un kriminālvajāšanai;

e) dalībvalsts vai Eiropas Savienības svarīgās ekonomiskās vai finansiālās interesēs, ieskaitot monetāros, budžeta un nodokļu jautājumus;

f) ar oficiālo pilnvaru realizāciju c), d) un e) apakšpunktā minētajos gadījumos pat laiku pa laikam saistītajai uzraudzībai, pārbaudei un reglamentējošām funkcijām;

g) datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai.

2. Saskaņā ar atbilstošām tiesiskām garantijām, jo īpaši to, ka datus neizmanto pasākumu veikšanai vai lēmumu pieņemšanai attiecībā uz kādu konkrētu personu, dalībvalstis, ja nepārprotami nav nekāda riska pārkāpt datu subjekta privātās dzīves neaizskaramību, var ar tiesību akta palīdzību ierobežot 12. pantā paredzētās tiesības, ja datus apstrādā tikai un vienīgi zinātnisku pētījumu nolūkiem vai tos uzglabā personiskajā lietā laika periodu, kas nepārsniedz vienīgi statistikas informācijas radīšanai nepieciešamo laika periodu.

VII IEDAĻA

DATU SUBJEKTA TIESĪBAS IEBILST

14. pants

Datu subjekta tiesības iebilst

Dalībvalstis piešķir datu subjektam tiesības:

a) vismaz 7. panta e) un f) apakšpunktā norādītajos gadījumos jebkurā laikā uz viņa konkrēto situāciju attiecināmu nenoraidāmu likumīgu iemeslu dēļ iebilst pret datu apstrādi, kas attiecas uz viņu, ja vien attiecīgās valsts tiesību akti neparedz citādi. Ja iebildums ir pamatots, personas datu apstrādātāja ierosinātajā apstrādā vairs nedrīkst iesaistīt šos datus;

b) pēc pieprasījuma un bez maksas iebilst pret personas datu, kas uz viņu attiecas, kurus personas datu apstrādātājs paredz apstrādāt tiešas tirdzniecības nolūkiem, apstrādi vai, pirms personas dati pirmoreiz tiek atklāti trešajām personām vai izmantoti tiešas tirdzniecības nolūkiem šo personu interesēs, saņemt informāciju par to, kā arī nepārprotamas tiesības bez maksas iebilst pret šādu datu atklāšanu vai izmantošanu.

Dalībvalstis veic nepieciešamos pasākumus, lai nodrošinātu, ka datu subjekti apzinās b) apakšpunkta pirmajā daļā minēto tiesību esamību.

15. pants

Automatizēti individuāli lēmumi

1. Dalībvalstis katrai personai piešķir tiesības nebūt pakļautām lēmumam, kurš izraisa juridiskas sekas attiecībā uz šo personu vai nozīmīgi iespaido to un kurš ir pamatots tikai un vienīgi uz datu automatizētu apstrādi, kas paredzēta šo personu attiecināmu zināmu personisku aspektu, tādu kā darba izpildes, kredītspējas, uzticamības, uzvedības, utt. novērtējumam.

2. Saskaņā ar šīs direktīvas pārējiem pantiem dalībvalstis paredz to, ka uz personu var attiecināt 1. punktā minētā veida lēmumu, ja šis lēmums:

a) pieņemts slēdzot vai izpildot līgumu, ar noteikumu, ka datu subjekta iesniegtais pieprasījums par līguma noslēgšanu vai izpildi ir apmierināts vai pastāv atbilstoši līdzekļi, lai aizsargātu viņa likumīgās intereses, tādi kā pasākumi, kas atļauj viņam izteikt savu viedokli;

b) vai ir atļauts ar likumu, kurš arī nosaka aizsargpasākumus datu subjekta likumīgajām interesēm.

VIII IEDAĻA

APSTRĀDES KONFIDENCIALITĀTE UN DROŠĪBA

16. pants

Apstrādes konfidencialitāte

Jebkura persona, darbojoties saskaņā ar personas datu apstrādātāja vai apstrādātāja pilnvarām, ieskaitot pašu datu apstrādātāju, kam ir piekļuve personu datiem, nedrīkst apstrādāt šos datus citādi, kā pēc personas datu apstrādātāja norādījumiem, ja vien to darīt nepieprasa likums.

17. pants

Apstrādes drošība

1. Dalībvalstis paredz to, ka personas datu apstrādātājam jāīsteno atbilstoši tehniski un organizatoriski pasākumi, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu pazaudēšanu, pārveidošanu, nesankcionētu atklāšanu vai piekļuvi, īpaši, ja apstrāde ietver datu pārraidi pa elektronisko sakaru tīklu, un pret visām citām nelikumīgām apstrādes formām.

Ņemot vērā tehnisko un organizatorisko pasākumu pašreizējo līmeni un to īstenošanas izmaksas, šādi pasākumi nodrošina apstrādes un aizsargājamo datu raksturīgajiem riskiem atbilstošu drošības pakāpi.

2. Dalībvalstis paredz to, ka personas datu apstrādātājam, ja apstrādi veic viņa interesēs, jāizvēlas datu apstrādātājs, sniedzot pietiekamas garantijas attiecībā par tehniskās drošības pasākumiem un veicamo apstrādi reglamentējošiem organizatoriskajiem pasākumiem, un jānodrošina šo pasākumu izpilde.

3. Apstrādi, kuru veic datu apstrādātājs, jāreglamentē ar līgumu vai tiesību aktu, kurš pakļauj datu apstrādātāju personas datu apstrādātājam un izvirza konkrētus noteikumus, ka:

- datu apstrādātājs darbojas tikai saskaņā ar personas datu apstrādātāja norādījumiem,

- 1. punktā izklāstītie pienākumi, kā to precizē tās dalībvalsts tiesības, kurā datu apstrādātājs ir izveidots, ir saistošas arī datu apstrādātājam.

4. Lai sniegtu apliecinājumu, līguma vai tiesību akta daļām attiecībā uz 1. punktā minētajiem pasākumiem, kas attiecas uz datu aizsardzību un prasībām, jābūt rakstveidā vai kādā citā līdzīgā formā.

IX IEDAĻA

PAZIŅOJUMS

18. pants

Pienākums informēt uzraudzības iestādi

1. Dalībvalstis paredz to, ka personas datu apstrādātājam vai viņa pārstāvim, ja tāds ir, pirms jebkuras pilnībā vai daļēji automatizētas apstrādes darbības vai tādu darbību kopuma, kuras paredzētas vienam nolūkam vai vairākiem saistītiem nolūkiem, jāpaziņo par to 28. pantā minētajai uzraudzības iestādei.

2. Dalībvalstis var paredzēt vienkāršošanu vai atbrīvojumu no paziņojuma tikai šādos gadījumos un ar šādiem nosacījumiem:

- ja apstrādes darbību kategorijas, kurām, ņemot vērā apstrādājamos datus, ir neiespējams nelabvēlīgi iespaidot datu subjektu tiesības un brīvības, precizē apstrādes nolūkus, apstrādei pakļautos datus vai datu kategorijas, datu subjektu kategoriju vai kategorijas, saņēmējus vai saņēmēju kategorijas, kam dati jāatklāj, un laika periodu, cik ilgi dati uzglabājami, un/vai

- ja personas datu apstrādātājs saskaņā ar valsts tiesībām, kuras attiecas uz viņu, ieceļ personu datu aizsardzības amatpersonu, kura ir īpaši atbildīga

- par to, lai nodrošinātu saskaņā ar šo direktīvu pieņemto attiecīgās valsts noteikumu neatkarīgu piemērošanu

- par personas datu apstrādātāja veikto apstrādes darbību uzskaites reģistrāciju, ietverot 21. panta 2. punktā minētās informācijas pozīcijas,

tādējādi nodrošinot, ka datu apstrādes darbībām nav iespējams nelabvēlīgi iespaidot datu subjektu tiesības un brīvības.

3. Dalībvalstis var paredzēt to, ka 1. punkts neattiecas uz datu apstrādi, kuras vienīgais nolūks ir kārtot uzskaites reģistru, kurš saskaņā ar likumiem vai normatīvajiem aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai un kurš ir pieejams, lai gūtu informāciju gan plaša sabiedrība, gan jebkura persona, kura pierāda likumīgas intereses.

4. Dalībvalstis var paredzēt atbrīvojumu no pienākuma darīt zināmu vai paziņojuma vienkāršošanu 8. panta 2. punkta d) apakšpunktā minēto apstrādes darbību gadījumā.

5. Dalībvalstis var izvirzīt noteikumu, lai dažas vai visas neautomatizētas personu datus ietverošas apstrādes darbības tiek paziņotas, vai paredzēt, ka uz šīm apstrādes darbībām attiecas vienkāršots paziņojums.

19. pants

Paziņojuma saturs

1. Dalībvalstis precizē paziņojumā sniedzamo informāciju. Tā ietver vismaz:

a) personas datu apstrādātāja un viņa pārstāvja, ja tāds ir, nosaukumu un adresi;

b) datu apstrādes nolūku vai nolūkus;

c) datu subjektu kategorijas vai kategoriju un uz viņiem attiecināmo datu vai datu kategoriju aprakstu;

d) saņēmējus vai saņēmēju kategorijas, kam datus varētu atklāt;

e) priekšlikumus par datu pārsūtīšanu uz trešajām valstīm;

f) vispārēju aprakstu, kas ļauj iepriekš novērtēt saskaņā ar 17. pantu veikto pasākumu atbilstību datu apstrādes drošības nodrošināšanai.

2. Dalībvalstis precizē kārtību, kādā jebkuras izmaiņas, kuras iespaido 1. punktā minēto informāciju, paziņojamas uzraudzības iestādei.

20. pants

Iepriekšēja kontrole

1. Dalībvalstis nosaka datu apstrādes darbības, kuras iespējami var radīt konkrētus riskus datu subjektu tiesībām un brīvībām, un kontrolē, lai tādēļ šīs apstrādes darbības pirms to uzsākšanas tiktu pārbaudītas.

2. Šādas iepriekšējas pārbaudes realizē uzraudzības iestāde pēc paziņojuma saņemšanas no personas datu apstrādātāja, vai datu aizsardzības amatpersona, kurai šaubu gadījumā jākonsultējas ar uzraudzības iestādi.

3. Dalībvalstis var arī veikt šādas pārbaudes, sagatavojot vai nu attiecīgās valsts parlamenta pasākumu vai pasākumu, kas balstās uz tādu tiesību aktu, kurš nosaka datu apstrādes raksturu un nosaka atbilstošas garantijas.

21. pants

Datu apstrādes darbību nodošana atklātībai

1. Dalībvalstis veic pasākumus, lai nodrošinātu datu apstrādes darbību nodošanu atklātībai.

2. Dalībvalstis nosaka to, ka saskaņā ar 18. pantu paziņoto datu apstrādes darbību reģistrs glabājas uzraudzības iestādē.

Reģistrs ietver vismaz 19. panta 1. punkta a) līdz e) apakšpunktā uzskaitīto informāciju.

Reģistru var apskatīt jebkura persona.

3. Dalībvalstis attiecībā uz datu apstrādes darbībām, uz kurām neattiecas paziņojums, paredz to, ka personas datu apstrādātāji vai cita dalībvalstu nozīmēta struktūra atbilstošā veidā padara pieejamu jebkurai personai pēc pieprasījuma vismaz 19. panta 1. punkta a) līdz e) apakšpunktā minēto informāciju.

Dalībvalstis var paredzēt to, ka šis noteikums neattiecas uz datu apstrādi, kuras vienīgais nolūks ir kārtot datu uzskaites reģistru, kurš saskaņā ar likumiem vai normatīviem aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kurš ir pieejams, lai gūtu informāciju gan plaša sabiedrība, gan jebkura persona, kura var pierādīt likumīgu ieinteresētību.

III NODAĻA

TIESISKAS AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

22. pants

Aizsardzības līdzekļi

Neierobežojot nevienu administratīva rakstura līdzekli, kuru var paredzēt, inter alia, 28. pantā minētajai uzraudzības iestādei pirms vēršanās tiesas iestādē, dalībvalstis nodrošina katras personas tiesības uz tiesiskas aizsardzības līdzekli par jebkuru tiesību, ko šai personai garantē minētajai datu apstrādei piemērojamais attiecīgās valsts likums, pārkāpumu.

23. pants

Atbildība

1. Dalībvalstis paredz to, ka jebkurai personai, kam nodarīts kaitējums sakarā ar nelikumīgu datu apstrādi vai jebkuras attiecīgās valsts noteikumiem, kas pieņemti saskaņā ar šo direktīvu, nesavienojamas rīcības rezultātā, ir tiesības saņemt no personas datu apstrādātāja kompensāciju par šo kaitējumu.

2. Personas datu apstrādātāju var pilnībā vai daļēji atbrīvot no šīs atbildības, ja tas pierāda, ka nav atbildīgs par notikumu, kurš izraisa šo kaitējumu.

24. pants

Sankcijas

Dalībvalstis paredz atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, un īpaši nosaka sankcijas, kas jāuzliek gadījumā, ja tiek pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi.

IV NODAĻA

PERSONAS DATU PĀRSŪTĪŠANA UZ TREŠAJĀM VALSTĪM

25. pants

Principi

1. Dalībvalstis paredz to, ka personas datu, kuri atrodas apstrādē vai ir paredzēti apstrādei pēc pārsūtīšanas, pārsūtīšana var notikt tikai tad, ja, neierobežojot atbilstību attiecīgās valsts noteikumiem, kuri pieņemti saskaņā ar šīs direktīvas pārējiem noteikumiem, attiecīgā trešā valsts nodrošina pietiekamu aizsardzības līmeni.

2. Trešās valsts sniegtās aizsardzības līmeņa pietiekamība jānovērtē, paturot prātā visus ar datu pārsūtīšanas darbību vai datu pārsūtīšanas darbību kopumu cieši saistītos apstākļus; jo īpaši jāapsver datu raksturs, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, izcelsmes valsts un valsts, kura ir galamērķis, attiecīgajā trešajā valstī spēkā esošās gan vispārējo, gan nozaru tiesību normas un šajā valstī ievērotie profesionālie noteikumi un drošības pasākumi.

3. Dalībvalstis un Komisija informē viena otru par gadījumiem, kad tās uzskata, ka trešā valsts nenodrošina pietiekamu aizsardzības līmeni 2. punkta nozīmē.

4. Ja Komisija saskaņā ar 31. panta 2. punktā paredzēto procedūru konstatē, ka trešā valsts nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, dalībvalstis veic vajadzīgos pasākumus, lai aizkavētu jebkādu tāda paša tipa datu pārsūtīšanu uz attiecīgo trešo valsti.

5. Atbilstīgā laikā Komisija sāk sarunas ar nolūku labot situāciju, kura izriet no secinājumiem, kas iegūti saskaņā ar 4. punktu.

6. Saskaņā ar 31. panta 2. punktā minēto procedūru Komisija var konstatēt, ka trešā valsts nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, pamatojoties uz savas valsts tiesībām vai uz starptautiskajām saistībām, kuras tā noslēgusi, jo īpaši uz 5. punktā minēto sarunu par personu privātās dzīves un pamatbrīvību un tiesību aizsardzību atzinumu.

Dalībvalstis veic nepieciešamos pasākumus, lai izpildītu Komisijas lēmumu.

26. pants

Atkāpes

1. Atkāpjoties no 25. panta un tad, ja vien konkrētus gadījumus reglamentējošās iekšējās tiesības neparedz citādi, dalībvalstis paredz to, ka personas datu pārsūtīšana vai pārsūtījumu kopums uz trešo valsti, kura nenodrošina pietiekamu aizsardzības līmeni, 25. panta 2. punkta nozīmē, var notikt ar noteikumu, ka:

a) datu subjekts viennozīmīgi ir devis savu piekrišanu ierosinātajai datu pārsūtīšanai;

b) vai pārsūtīšana vajadzīga, lai izpildītu līgumu starp datu subjektu un personas datu apstrādātāju vai lai īstenotu pēc datu subjekta pieprasījuma veiktos pasākumus, kuriem seko līguma noslēgšana;

c) vai datu pārsūtīšana vajadzīga līguma noslēgšanai starp personas datu apstrādātāju un trešajām personām datu subjekta interesēs vai šāda līguma izpildei;

d) vai datu pārsūtīšana vajadzīga vai ir likumīgi prasīta, pamatojoties uz svarīgām sabiedrības interesēm, vai juridisku prasību pamatojumam, realizācijai vai aizstāvībai;

e) vai datu pārsūtīšana vajadzīga, lai aizsargātu datu subjekta būtiskas intereses;

f) vai pārsūtīšanu izdara no reģistra, kurš saskaņā ar likumiem vai regulējumiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kurš ir pieejams, lai gūtu informāciju, gan plaša sabiedrība, gan jebkura persona, kura var pierādīt likumīgu ieinteresētību, ciktāl likumā par informācijas pieejamību izvirzītie nosacījumi konkrētajā gadījumā tiek izpildīti.

2. Neierobežojot 1. punktu, dalībvalsts var atļaut personas datu pārsūtīšanu vai pārsūtījumu kopumu uz trešo valsti, kura nenodrošina pietiekamu aizsardzības līmeni, 25. panta 2. punkta nozīmē, ja personas datu apstrādātājs sniedz atbilstošas garantijas attiecībā uz personu privātās dzīves un pamattiesību un brīvību aizsardzību un attiecībā uz atbilstošo tiesību izmantošanu; šādas garantijas jo īpaši var izrietēt no attiecīgajiem līguma punktiem.

3. Dalībvalsts informē Komisiju un pārējās dalībvalstis par atļaujām, kuras tā piešķir saskaņā ar 2. punktu.

Ja dalībvalsts vai Komisija pamatoti iebilst saistībā ar personu privātās dzīves neaizskaramības un pamattiesību un brīvību aizsardzību, Komisija veic atbilstošus pasākumus saskaņā ar 31. panta 2. punktā noteikto procedūru.

Dalībvalstis veic nepieciešamos pasākumus, lai izpildītu Komisijas lēmumu.

4. Ja Komisija saskaņā ar 31. panta 2. punktā noteikto procedūru nolemj, ka daži līguma pamatpunkti sniedz pietiekamas garantijas, kā paredzēts 2. punktā, dalībvalstis veic nepieciešamos pasākumus, lai izpildītu Komisijas lēmumu.

V NODAĻA

PROFESIONĀLĀS ĒTIKAS KODEKSI

27. pants

1. Dalībvalstis un Komisija atbalsta tādu profesionālās ētikas kodeksu izstrādi, kas paredzēti, lai veicinātu dalībvalstu saskaņā ar šo direktīvu pieņemto noteikumu atbilstīgu ieviešanu, ņemot vērā dažādo nozaru raksturīgās iezīmes.

2. Dalībvalstis paredz noteikumu, ka tirdzniecības apvienības un citas pārējās personas datu apstrādātāju kategorijas pārstāvošās institūcijas, kuras izstrādājušas attiecīgo valstu kodeksu projektus vai kurām ir nodoms grozīt vai paplašināt esošos attiecīgos kodeksus, var iesniegt tos atzinumam attiecīgās valsts iestādei.

Dalībvalstis paredz, ka šī iestāde bez tam noskaidro, vai tai iesniegtie projekti atbilst saskaņā ar šo direktīvu pieņemtajiem attiecīgās valsts noteikumiem. Ja projekti ir atbilstoši, attiecīgā iestāde pieprasa datu subjektu vai viņu pārstāvju viedokļus.

3. Kopienas kodeksu projektus un esošo Kopienas kodeksu grozījumus vai paplašinājumus var iesniegt 29. pantā minētajai darba grupai. Šī darba grupa cita starpā nosaka, vai tai iesniegtie projekti atbilst saskaņā ar šo direktīvu pieņemtajiem attiecīgo valstu noteikumiem. Ja tie ir atbilstoši, iestāde pieprasa datu subjektu vai viņu pārstāvju viedokļus. Komisija var nodrošināt, ka darba grupas apstiprinātos kodeksus attiecīgi dara zināmus atklātībai.

VI NODAĻA

UZRAUDZĪBAS IESTĀDE UN DARBA GRUPA PERSONU AIZSARDZĪBAI ATTIECĪBĀ UZ PERSONAS DATU APSTRĀDI

28. pants

Uzraudzības iestāde

1. Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā.

Šīs iestādes tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi.

2. Katra dalībvalsts paredz to, ka, izstrādājot administratīva rakstura pasākumus vai regulējumus attiecībā uz personas tiesību un brīvību aizsardzību, kas saistīta ar personas datu apstrādi, apspriežas ar uzraudzības iestādēm.

3. Katrai iestādei ir piešķirtas:

- izmeklēšanas pilnvaras, tādas kā datu, kuri veido apstrādes darbību priekšmetu, piekļuves pilnvaras un pilnvaras ievākt tās uzraudzības pienākumu izpildei visu vajadzīgo informāciju;

- efektīvas iejaukšanās pilnvaras, tādas kā, piemēram, saskaņā ar 20. pantu atzinumu sniegšana pirms datu apstrādes darbību veikšanas un pilnvaras nodrošināt šādu atzinumu atbilstīgu nodošanu atklātībai, likt noslēgt piekļuvi, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, brīdināt vai izteikt aizrādījumu personas datu apstrādātājam vai nodot jautājumu izskatīšanai valstu parlamentiem vai citām politiskām institūcijām;

- pilnvaras uzsākt procesuālas darbības, ja pārkāpti saskaņā ar šo direktīvu pieņemtie attiecīgās valsts noteikumi vai darīt zināmus šos pārkāpumus tiesu iestādēm.

Uzraudzības iestādes lēmumus, kuri dod tiesības uz sūdzību procedūru, var pārsūdzēt tiesā.

4. Katra uzraudzības iestāde uzklausa jebkuras personas vai šo personu pārstāvošas apvienības iesniegtu prasību, kas saistīta ar šīs personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Ieinteresēto personu jāinformē par prasības rezultātu.

Katra uzraudzības iestāde uzklausa jebkuras personas iesniegtās prasības par datu apstrādes likumības pārbaudēm, ja piemērojami saskaņā ar šīs direktīvas 13. pantu pieņemtie attiecīgās valsts noteikumi. Attiecīgo personu katrā ziņā jāinformē, ka pārbaude ir notikusi.

5. Katra uzraudzības iestāde regulāros starplaikos sastāda ziņojumu par savu darbību. Ziņojumu dara zināmu atklātībai.

6. Katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras. Katru uzraudzības iestādi var lūgt citas dalībvalsts iestāde realizēt tās pilnvaras.

Uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei, jo īpaši apmainoties ar visu lietderīgo informāciju.

7. Dalībvalstis paredz to, ka uz uzraudzības iestādes locekļiem un personālu pat pēc viņu nodarbinātības izbeigšanās attiecas profesionālā noslēpuma pienākums attiecībā uz konfidenciālo informāciju, kura viņiem ir pieejama.

29. pants

Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi

1. Ar šo tiek izveidota Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, še turpmāk "Darba grupa".

Grupai ir padomdevējas statuss, un tās darbība ir neatkarīga.

2. Darba grupu veido katras dalībvalsts nozīmētās uzraudzības iestādes vai iestāžu pārstāvis un Kopienas iestādēm un struktūrām izveidotās iestādes vai iestāžu pārstāvis, kā arī Komisijas pārstāvis.

Katru Darba grupas locekli norīko viņa pārstāvētā institūcija, iestāde vai iestādes. Ja dalībvalsts ir izraudzījusies vairāk kā vienu uzraudzības iestādi, tās izvirza kopīgu pārstāvi. Tas pats attiecas uz Kopienas iestādēm un struktūrām izveidotām iestādēm.

3. Darba grupa pieņem lēmumus ar uzraudzības iestāžu pārstāvju vienkāršu balsu vairākumu.

4. Darba grupa ievēl tās priekšsēdētāju. Priekšsēdētāja amata pilnvaras ir divi gadi. Viņu var ievēlēt atkārtoti.

5. Darba grupas sekretariātu nodrošina Komisija.

6. Darba grupa pieņem savu reglamentu.

7. Darba grupa apspriež jautājumus, kurus tās darba kārtībai nosaka priekšsēdētājs vai nu pēc savas iniciatīvas, vai pēc uzraudzības iestāžu pārstāvja vai pēc Komisijas pieprasījuma.

30. pants

1. Darba grupa

a) izskata jebkuru jautājumu, kas attiecas uz attiecīgās valsts pasākumu piemērošanu, kuri pieņemti saskaņā ar šo direktīvu, lai veicinātu šādu pasākumu vienādu piemērošanu;

b) sniedz atzinumu Komisijai par aizsardzības līmeni Kopienā un trešās valstīs;

c) sniedz Komisijai padomu par jebkuru ierosinātu šīs direktīvas grozījumu, jebkuriem papildu vai speciāliem pasākumiem, lai aizsargātu fizisku personu tiesības un brīvības attiecībā uz personas datu apstrādi, un jebkuriem citiem Kopienas ierosinātiem pasākumiem, kas ietekmē šādas tiesības un brīvības;

d) sniedz atzinumu par Kopienas līmenī izstrādātiem profesionālās ētikas kodeksiem.

2. Ja Darba grupa konstatē, ka starp dalībvalstu likumiem vai praksi rodas atšķirības, kuras var ietekmēt personu līdzvērtīgu aizsardzību attiecībā uz personas datu apstrādi Kopienā, tā attiecīgi informē Komisiju.

3. Darba grupa pēc savas iniciatīvas var sniegt ieteikumus par visiem jautājumiem, kas saistīti ar personu aizsardzību attiecībā uz personas datu apstrādi Kopienā.

4. Darba grupas atzinumus un ieteikumus nosūta Komisijai un 31. pantā norādītajai komitejai.

5. Komisija informē Darba grupu par tās uzsākto darbību, atbildot uz šīs grupas atzinumiem un ieteikumiem. Komisija to dara ar ziņojumu, kuru nosūta arī Eiropas Parlamentam un Padomei. Ziņojums jādara zināms atklātībai.

6. Darba grupa izstrādā gada ziņojumu par situāciju attiecībā uz fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienā un trešās valstīs, kuru tā nosūta Komisijai, Eiropas Parlamentam un Padomei. Ziņojums jādara zināms atklātībai.

VII NODAĻA

IEVIEŠANAS PASĀKUMI KOPIENĀ

31. pants

Komiteja

1. Komisijai palīdz no dalībvalstu pārstāvjiem izveidota komiteja, kuras priekšsēdētājs ir Komisijas pārstāvis.

2. Komisijas pārstāvis iesniedz komitejai veicamo pasākumu projektu. Komiteja sniedz atzinumu par projektu termiņā, kuru tās priekšsēdētājs var noteikt atbilstoši jautājuma steidzamībai.

Atzinumu sniedz ar balsu vairākumu, kā noteikts Līguma 148. panta 2. punktā. Dalībvalstu pārstāvju balsis komitejā vērtē, kā norādīts šajā pantā. Priekšsēdētājs nebalso.

Komisija pieņem pasākumus, ko piemēro nekavējoties. Taču, ja šie pasākumi neatbilst komitejas atzinumam, Komisija par to tūlīt paziņo Padomei. Šajā gadījumā:

- Komisija atliek pasākumu, par kuriem tā pieņēmusi lēmumu, piemērošanu uz trim mēnešiem no paziņojuma dienas,

- Padome ar kvalificētu balsu vairākumu var pieņemt atšķirīgu lēmumu pirmajā ievilkumā norādītajā termiņā.

NOBEIGUMA NOTEIKUMI

32. pants

1. Dalībvalstīs stājas spēkā normatīvie un administratīvie akti, kas vajadzīgi, lai izpildītu šīs direktīvas prasības ne vēlāk kā pēc triju gadu laikposma no tās pieņemšanas dienas.

Kad dalībvalstis pieņem šos tiesību aktus, tajos ietver atsauci uz šo direktīvu vai šādu atsauci pievieno to oficiālai publikācijai. Dalībvalstis nosaka paņēmienus, kā izdarīt šādas atsauces.

2. Dalībvalstis nodrošina, ka dienā, kad saskaņā ar šo direktīvu pieņemtie attiecīgās valsts noteikumi stājas spēkā, jau notiekošo datu apstrādi saskaņo ar šiem noteikumiem trīs gados no šīs dienas.

Atkāpjoties no iepriekšējs daļas, dalībvalstis var paredzēt to, ka dienā, kad šīs direktīvas īstenošanai pieņemtie attiecīgās valsts noteikumi stājas spēkā, manuālajās kartotēkās jau ietvertā datu apstrāde saskaņojama ar šīs direktīvas 6., 7. un 8. pantu 12 gados no dienas, kad šī direktīva pieņemta. Tomēr dalībvalstis piešķir datu subjektam tiesības pēc viņa pieprasījuma un konkrēti piekļuves tiesību izmantošanas laikā panākt datu, kuri ir nepilnīgi, neprecīzi vai uzkrāti veidā, kas nav savienojams ar personas datu apstrādātāja likumīgajiem nolūkiem, labojumus, dzēšanu vai piekļuves noslēgšanu.

3. Atkāpjoties no 2. punkta, dalībvalstis var paredzēt, ka, ievērojot atbilstīgas garantijas, tikai un vienīgi vēsturiskiem pētījumiem glabātus datus var nesaskaņot ar šīs direktīvas 6., 7. un 8. pantu.

4. Dalībvalstis paziņo Komisijai to savu tiesību aktus noteikumus, kurus tās pieņem jomā, uz kuru attiecas šī direktīva.

33. pants

Komisija regulāri ziņo Padomei un Eiropas Parlamentam, sākot ne vēlāk, kā trīs gadus pēc 32. panta 1. punktā norādītā datuma, par šīs direktīvas īstenošanu, ja nepieciešams, pievienojot ziņojumam atbilstošus grozījumu priekšlikumus. Ziņojumu dara zināmu atklātībai.

Komisija izskata jo īpaši šīs direktīvas piemērošanu uz fiziskām personām attiecināmu skaņas un attēlu datu apstrādi un iesniedz jebkurus atbilstošus priekšlikumus, kuri izrādās vajadzīgi, ņemot vērā sasniegumus informācijas tehnoloģijā un atbilstoši norises gaitai informācijas sabiedrībā.

34. pants

Šī direktīva ir adresēta dalībvalstīm.

Luksemburgā, 1995. gada 24. oktobrī

Eiropas Parlamenta vārdā –

priekšsēdētājs

K. Hänsch

Padomes vārdā –

priekšsēdētājs

L. Atienza Serna

[1] OV C 277, 5.11.1990., 3. lpp. un OV C 311, 27.11.1992., 30. lpp.

[2] OV C 159, 17.6.1991., 38. lpp.

[3] Eiropas Parlamenta 1992. gada 11. marta atzinums (OV C 94, 13.4.1992., 198. lpp.), apstiprināts 1993. gada 2. decembrī (OV C 342, 20.12.1993., 30. lpp.); Padomes 1995. gada 20. februāra kopējā nostāja (OV C 93, 13.4.1995., 1. lpp.) un Eiropas Parlamenta 1995. gada 15. jūnija lēmums (OV C 166, 3.7.1995.).

[4] OV L 197, 18.7.1987., 33. lpp.

--------------------------------------------------

Top