PASKAIDROJUMA RAKSTS

1. PRIEKŠLIKUMA KONTEKSTS

Šajā paskaidrojuma rakstā sniegts ierosinātā ES jaunā personas datu aizsardzības tiesiskā regulējuma detalizētāks skaidrojums, kā tas izklāstīts Paziņojumā COM(2012)9 final. Tiesiskais regulējums aptver divus tiesību aktu priekšlikumus:

– priekšlikumu Eiropas Parlamenta un Padomes regulai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) un

– priekšlikuma Eiropas Parlamenta un Padomes direktīvai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti.

Šis paskaidrojuma raksts attiecas uz otro no šiem tiesību aktu priekšlikumiem.

Centrālais tiesību akts par personas datu aizsardzību pašreizējā ES tiesiskajā regulējumā ir Direktīva 95/46/EK[1], ko pieņēma 1995. gadā, vēloties sasniegt divus mērķus: aizsargāt pamattiesības uz datu aizsardzību un garantēt personas datu brīvu plūsmu starp dalībvalstīm. To papildina daži instrumenti, ar kuriem nosaka īpašus datu aizsardzības noteikumus policijas un tiesu iestāžu sadarbībai krimināllietās[2] (bijušais trešais pīlārs), tai skaitā Pamatlēmums 2008/977/TI[3].

Eiropadome aicināja Komisiju izvērtēt, kā darbojas ES tiesību akti par datu aizsardzību, un nepieciešamības gadījumā iesniegt jaunus leģislatīvo vai neleģislatīvo aktu priekšlikumus[4]. Eiropas Parlaments Stokholmas programmas rezolūcijā[5] izteicās par labu vispusīgam ES datu aizsardzības regulējumam un cita starpā aicināja pārskatīt Pamatlēmumu. Komisija savā Stokholmas programmas īstenošanas rīcības plānā[6] norādīja, ka ir nepieciešams nodrošināt, lai pamattiesības uz personas datu aizsardzību konsekventi piemērotu visu ES politikas jomu kontekstā. Rīcības plānā tika uzsvērts, ka "globālā sabiedrībā, kurai raksturīgas straujas tehnoloģiskās izmaiņas un kurā informācijas apmaiņai nav robežu, ir īpaši svarīgi saglabāt privātumu. Savienībai jānodrošina, lai tiktu konsekventi piemērotas pamattiesības uz datu aizsardzību. Mums jāstiprina ES nostāja attiecībā uz indivīda personas datu aizsardzību visu ES politikas virzienu kontekstā, tostarp tiesībaizsardzībā un noziegumu novēršanā, kā arī mūsu starptautiskajās attiecībās."

Savā paziņojumā "Vispusīga pieeja personas datu aizsardzībai Eiropas Savienībai"[7], Komisija secināja, ka ES ir vajadzīga vispusīgāka un saskaņotāka politiskā nostāja par pamattiesībām uz personas datu aizsardzību.

Pamatlēmuma 2008/977/TI darbības joma ir ierobežota, jo tas attiecas tikai uz pārrobežu datu apstrādi un nevis uz apstrādes darbībām, ko veic policija un tiesu iestādes tikai valsts līmenī. Tas var radīt grūtības policijai un citām kompetentajām iestādēm tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā. Tās ne vienmēr var viegli nošķirt starp apstrādi, kas notiek tikai valsts līmenī, un pārrobežu apstrādi vai paredzēt to, ka noteikti personas dati vēlāk var kļūt par pārrobežu apmaiņas objektu (skat. 2. iedaļu turpmāk). Turklāt tā būtības un satura dēļ Pamatlēmumā ir atstāta plaša rīcības telpa dalībvalstīm, īstenojot tā noteikumus savos tiesību aktos. Turklāt tajā nav iekļauts mehānisms vai konsultatīvā grupa, kas būtu līdzīga 29. panta darba grupai, kura atbalstītu vienotu tā noteikumu interpretāciju, kā arī tajā nav paredzētas Komisijas īstenošanas pilnvaras, lai nodrošinātu kopēju pieeju tā īstenošanai.

Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punktā nostiprināts princips, ka ikvienai personai ir tiesības uz personas datu aizsardzību. Turklāt ar LESD 16. panta 2. punktu Lisabonas līgums ievieš īpašu juridisko pamatu noteikumu pieņemšanai par personas datu aizsardzību, kas attiecas arī uz policijas un tiesu iestāžu sadarbību krimināllietās. Personas datu aizsardzība ir ietverta ES Pamattiesību hartas 8. pantā, piešķirot tai pamattiesības statusu. LESD 16. pants uzliek pienākumu likumdevējam paredzēt arī noteikumus, kas attiecas uz personu aizsardzību attiecībā uz to datu apstrādi, kas tiek veikta, tiesu iestādēm sadarbojoties krimināllietās un sadarbojoties policijas iestādēm, iekļaujot gan datu pārrobežu apstrādi, gan personas datu apstrādi valsts līmenī. Tas ļaus aizsargāt fizisku personu pamattiesības un pamatbrīvības, jo īpaši to tiesības uz personas datu aizsardzību, vienlaikus nodrošinot personas datu apmaiņu, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus. Tas palīdzēs veicināt sadarbību cīņā ar noziedzību Eiropā.

Tā kā policijas un tiesu iestāžu sadarbība krimināllietās ir specifiska joma, 21. deklarācijā[8] tika atzīts, ka, pamatojoties uz LESD 16. pantu, var būt nepieciešami īpaši noteikumi par šo datu aizsardzību un par to brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā.

2. APSPRIEŠANĀS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMU REZULTĀTI

Šis priekšlikums ir pieņemts pēc plašas apspriešanās ar visām galvenajām ieinteresētajām personām par pastāvošā tiesiskā regulējuma pārskatīšanu attiecībā uz personas datu aizsardzību, kura sastāvēja no diviem sabiedriskās apspriešanas posmiem:

– no 2009. gada 9. jūlija līdz 31. decembrim Consultation on the legal framework for the fundamental right to the protection of personal data (Sabiedriskā apspriešana par pamattiesību uz personas datu aizsardzību tiesisko regulējumu). Komisija saņēma 168 atbildes, no tām 127 atbildes no fiziskām personām, komercsabiedrībām un asociācijām un 12 atbildes no valsts iestādēm. Atbilžu nekonfidenciālās versijas skatīt Komisijas tīmekļa vietnē[9];

– no 2010. gada 4. novembra līdz 2011. gada 15. janvārim Consultation on the Commission's comprehensive approach on personal data protection in the European Union (Sabiedriskā apspriešana par Komisijas vispusīgo pieeju personas datu aizsardzībai Eiropas Savienībā). Komisija saņēma 305 atbildes, no tām 54 atbildes no pilsoņiem, 31 atbildi no valsts iestādēm un 220 no privātām organizācijām, jo īpaši uzņēmumu asociācijām un nevalstiskām organizācijām. Atbilžu nekonfidenciālās versijas skatīt Komisijas tīmekļa vietnē[10].

Paralēli šīm apspriešanām, kas lielākoties notika par Direktīvas 95/46/EK pārskatīšanu, tika veiktas arī mērķorientētas apspriešanas ar ieinteresētajām personām no tiesībaizsardzības nozares: jo īpaši 2010. gada 29. jūnijā kopā ar dalībvalstu iestādēm tika organizēts darbseminārs par datu aizsardzības noteikumu piemērošanu publiskajām iestādēm, ieskaitot policijas un tiesu iestāžu sadarbību krimināllietās. Turklāt Komisija 2011. gada 2. februārī rīkoja darbsemināru ar dalībvalstu iestādēm, lai apspriestu Pamatlēmuma 2008/977/TI īstenošanu un vispārīgākā līmenī arī datu aizsardzības jautājumus, kas saistīti ar policijas un tiesu iestāžu sadarbību krimināllietās.

ES pilsoņu viedoklis tika uzklausīts ar Eirobarometra aptaujas palīdzību, kas norisinājās 2010. gada novembrī un decembrī[11]. Tika veikti vairāki pētījumi[12]. No "29. panta darba grupas"[13] Komisija saņēma vairākus atzinumus un lietderīgus priekšlikumus[14]. Eiropas Datu aizsardzības uzraudzītājs arī sniedza vispusīgu atzinumu par jautājumiem, kas skarti Komisijas 2010.gada novembra paziņojumā[15].

Eiropas Parlaments 2011. gada 6. jūlijā savā rezolūcijā apstiprināja ziņojumu, kas atbalstīja Komisijas pieeju datu aizsardzības regulējuma reformai[16]. Eiropas Savienības Padome 2011. gada 24. februārī pieņēma secinājumus, kuros tā plaši atbalsta Komisijas nolūku reformēt datu aizsardzības regulējumu un piekrīt daudziem Komisijas pieejas elementiem. Eiropas Ekonomikas un sociālo lietu komiteja līdzīgi atbalstīja Komisijas vispārīgo mērķi nodrošināt konsekventāku ES datu aizsardzības noteikumu piemērošanu visās dalībvalstīs un pienācīgi pārskatīt Direktīvu 95/46/EK[17].

Saskaņā ar labāka regulējuma politiku Komisija veica iespējamo politikas alternatīvu ietekmes novērtējumu[18]. Ietekmes novērtējuma pamatā bija trīs politikas mērķi, proti, uzlabot datu aizsardzību iekšējā tirgū, uzlabot to, cik efektīvi indivīdi var izmantot savas tiesības uz datu aizsardzību, un izveidot vispusīgu un saskaņotu regulējumu, kas aptver visas Savienības kompetences jomas, tostarp arī policijas un tiesu iestāžu sadarbību krimināllietās. Jo īpaši attiecībā uz pēdējo no nosauktajiem mērķiem tika izvērtēti divi politikas risinājumi: pirmais risinājums bija datu aizsardzības noteikumu piemērošanas jomas paplašināšana, attiecinot tos arī uz minēto jomu, un robu aizpildīšana, kā arī citu jautājumu risināšana, kas radušies saistībā ar Pamatlēmumu, un otrais, tālejošākais risinājums ietvēra preskriptīvus un stingrus noteikumus, kā rezultātā nekavējoties tiktu grozīti arī citi "bijušie trešā pīlāra" instrumenti. Trešais "minimālais" risinājums galvenokārt balstījās uz skaidrojošiem paziņojumiem un politikas atbalsta pasākumiem, piemēram, finansējuma programmām un tehniskiem instrumentiem, ar minimālu leģislatīvu iejaukšanos un to neuzskatīja par piemērotu, lai pievērstos jautājumiem, kas šajā jomā identificēti saistībā ar datu aizsardzību.

Saskaņā ar Komisijas pieņemto metodoloģiju, katru politikas risinājumu ar dienestu koordinācijas grupas palīdzību novērtēja attiecībā uz tā efektivitāti politikas mērķu sasniegšanai, tā ekonomisko ietekmi uz ieinteresētajām personām (tai skaitā uz ES iestāžu budžetu), tā sociālo ietekmi un ietekmi uz pamattiesībām. Ietekme uz vidi netika novērota.

Kopējās ietekmes novērtējuma rezultātā tika izstrādāts vēlamais politikas risinājums, kas ir iekļauts šajā priekšlikumā. Saskaņā ar novērtējumu tā īstenošana nostiprinās datu aizsardzību šajā politikas jomā, jo īpaši ietverot datu apstrādi valsts līmenī, tādējādi kompetentajām iestādēm palielinot tiesisko noteiktību tiesu iestāžu un policijas iestāžu sadarbības krimināllietās jomā.

Ietekmes novērtējuma padome (IAB) sniedza atzinumu par ietekmes novērtējuma projektu 2011. gada 9. septembrī. Ņemot vērā Ietekmes novērtējuma padomes atzinumu, ietekmes novērtējumā tika veiktas jo īpaši šādas izmaiņas:

– tika precizēti pašreizējā tiesiskā regulējuma mērķi (cik lielā mērā tie ir sasniegti un kas nav panākts) un iecerētās reformas mērķi;

– vairāki pierādījumi un papildus skaidrojumi/precizējumi tika pievienoti iedaļā, kurā formulēta problēma.

Komisija sagatavoja arī īstenošanas ziņojumu par Pamatlēmumu 2008/977/TI, kas balstās uz tā 29. panta 2. punktu; šo ziņojumu pieņems šīs datu aizsardzības paketes ietvaros[19]. Ziņojuma secinājumi, kas balstās uz dalībvalstu sniegto informāciju, arī tika ņemti vērā, sagatavojot ietekmes novērtējumu.

3. PRIEKŠLIKUMA JURIDISKIE ASPEKTI 3.1. Juridiskais pamats

Priekšlikums balstās uz LESD 16. panta 2. punktu, kas ir jauns īpašs juridiskais pamats, ko ieviesa ar Lisabonas līgumu, lai pieņemtu noteikumus par personu aizsardzību attiecībā uz Savienības iestāžu un struktūru veikto personas datu apstrādi, kā arī personas datu apstrādi, ko veic dalībvalstis saistībā ar Savienības tiesību aktu darbības jomu, un noteikumus par šādu datu brīvu apriti.

Šī priekšlikuma mērķis ir nodrošināt konsekventu un augsta līmeņa datu aizsardzību šajā jomā, tādējādi uzlabojot savstarpējo uzticēšanos starp policijas un tiesu iestādēm dažādās dalībvalstīs un veicinot datu brīvu apriti un sadarbību starp policijas un tiesu iestādēm.

3.2. Subsidiaritāte un proporcionalitāte

Saskaņā ar subsidiaritātes principu (LES 5. panta 3. punkts) Savienība rīkojas tikai tad, ja dalībvalstis nevar pietiekami labi īstenot paredzētās darbības mērķus, bet ierosinātās darbības mēroga vai seku dēļ tie ir labāk sasniedzami Savienības līmenī. Ņemot vērā iepriekš aprakstītās problēmas, subsidiaritātes analīze rāda, ka ES līmeņa rīcība attiecībā uz policijas un tiesu iestāžu sadarbību krimināllietās ir nepieciešama šādu iemeslu dēļ:

– Pamattiesību hartas 8. pantā un LESD 16. panta 1. punktā ietvertās tiesības uz personas datu aizsardzību nozīmē, ka ir nepieciešama vienāda līmeņa aizsardzība visā Savienībā. Šajā nolūkā valsts līmenī notiekošai datu apstrādei un apmaiņai ar datiem ir jānodrošina tāda pati aizsardzības pakāpe;

– palielinās tiesībaizsardzības iestāžu nepieciešamība aizvien intensīvāk apstrādāt datus un apmainīties ar datiem, lai novērstu un apkarotu pārrobežu noziedzību. Šajā kontekstā skaidri un konsekventi datu aizsardzības noteikumi ES līmenī palīdzēs veicināt sadarbību starp šādām iestādēm;

– turklāt pastāv praktiskas problēmas datu aizsardzības tiesību aktu izpildes jomā un ir nepieciešama dalībvalstu un to iestāžu sadarbība, kas jāorganizē ES līmenī, lai nodrošinātu, ka Savienības tiesības tiek piemērotas vienādi. Dažās situācijas ES atrodas labākā pozīcijā, lai efektīvi un konsekventi nodrošinātu vienāda līmeņa aizsardzību personām, kad viņu dati tiek nosūtīti uz trešām valstīm;

– dalībvalstis nevar vienas pašas mazināt šobrīd aktuālās problēmas, jo īpaši tās, kas radušās valstu tiesiskā regulējuma sadrumstalotības dēļ. Tādējādi ir īpaša vajadzība izveidot tuvinātu un saskaņotu regulējumu, kas nodrošina raitu personas datu nosūtīšanu pāri robežām ES iekšienē, vienlaikus garantējot efektīvu aizsardzību visām personām visā ES;

– problēmu būtības un mēroga dēļ, kas neskar tikai vienu vai vairākas dalībvalstīs, ierosinātā ES leģislatīvā rīcība ļoti iespējams būs efektīvāka nekā līdzīga rīcība dalībvalstu līmenī.

Saskaņā ar proporcionalitātes principu jebkurai rīcībai ir jābūt mērķtiecīgai un samērīgai ar mērķu sasniegšanai nepieciešamo. Šis princips ir ņemts vērā visā šā priekšlikuma sagatavošanas gaitā, sākot ar alternatīvo politikas risinājumu noteikšanu un novērtēšanu līdz pat tiesību akta priekšlikuma projekta sagatavošanai.

Tādēļ direktīva ir labākais instruments, lai ES līmenī nodrošinātu harmonizāciju šajā jomā, vienlaikus dalībvalstīm atstājot nepieciešamo elastību, lai valsts līmenī īstenotu principus, noteikumus un izņēmumus no tiem. Ņemot vērā valsts noteikumu sarežģītību, kuri pašlaik attiecas uz personas datu aizsardzību, kas tiek apstrādāti, policijai un tiesu iestādēm sadarbojoties krimināllietās, un visaptverošu šo noteikumu tuvināšanu ar šo direktīvu, Komisijai būs jālūdz dalībvalstīm sniegt skaidrojošus dokumentus, kas izskaidro attiecības starp direktīvas komponentiem un valsts transponēšanas instrumentu atbilstošajām daļām, lai tā spētu veikt savu uzdevumu pārraudzīt direktīvas transponēšanu.

3.3. Kopsavilkums par pamattiesību jautājumiem

Tiesības uz personas datu aizsardzību ir noteiktas ES Pamattiesību hartas 8. pantā, LESD 16. pantā, kā arī Eiropas Cilvēktiesību konvencijas 8. pantā. Kā to ir uzsvērusi Eiropas Savienības Tiesa[20], tiesības uz personas datu aizsardzību nav absolūta prerogatīva, bet ir jāņem vērā saistībā ar to funkciju sabiedrībā[21]. Datu aizsardzība ir cieši saistīta ar privātās un ģimenes dzīves neaizskaramību, ko aizsargā Hartas 7. pants. Tas ir atspoguļots Direktīvas 95/46/EK 1. panta 1. punktā, kas paredz, ka dalībvalstis aizsargā fizisku personu pamattiesības un brīvības, un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi.

Citas Hartā aizsargātās pamattiesības, kas potenciāli varētu tikt aizskartas, ir jebkāda veida diskriminācijas aizliegums, tostarp rases, etniskās izcelsmes, ģenētisko īpatnību, reliģijas vai pārliecības, politisko vai jebkuru citu uzskatu, invaliditātes vai dzimumorientācijas dēļ (21. pants), bērnu tiesības (24. pants) un tiesības uz efektīvu tiesību aizsardzību tiesā un tiesības uz taisnīgu tiesu (47. pants).

3.4. Sīks priekšlikuma pārskats 3.4.1. I NODAĻA – VISPĀRĪGI NOTEIKUMI

Pirmajā pantā ir noteikts direktīvas priekšmets, t.i., noteikumi, kas attiecas uz personas datu apstrādi, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, tajā ir noteikts direktīvas divējādais mērķis, t.i., aizsargāt fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību, vienlaikus garantējot augsta līmeņa sabiedrisko drošību, un nodrošināt personas datu apmaiņu starp kompetentām iestādēm Savienībā.

Direktīvas piemērošanas joma ir noteikta 2. pantā. Direktīvas piemērošanas joma neaprobežojas tikai ar datu pārrobežu apstrādi, bet attiecas uz visām apstrādes darbībām, ko "kompetentās iestādes" (kā tās ir definētas 3. panta 14. punktā) veic šīs direktīvas nolūkiem. Direktīvu nepiemēro apstrādei, kas tiek veikta tādas darbības gaitā, kura ir ārpus Savienības tiesību aktu darbības jomas, un Savienības iestāžu, struktūru, biroju un aģentūru veiktai apstrādei, uz kuru attiecas Regula (EK) Nr. 45/2001 un citi īpašie tiesību akti.

Direktīvas 3. pantā ir ietvertas direktīvā izmantoto terminu definīcijas. Dažas definīcijas ir pārņemtas no Direktīvas 95/46/EK un Pamatlēmuma 2008/977/TI, savukārt citas ir pārveidotas vai papildinātas ar papildu elementiem vai jaunievedumiem. Jaunas ir "personas datu aizsardzības pārkāpuma", "ģenētisko datu" un "biometrisko datu", "kompetento iestāžu" (kas balstīta LESD 87. pantu un Pamatlēmuma 2008/977/TI 2. panta h) punktu) definīcijas un "bērna" definīcija, kas balstīta uz ANO Konvenciju par bērna tiesībām[22].

3.4.2. II NODAĻA – PRINCIPI

Direktīvas 4. pantā ir noteikti principi, kas attiecas uz personas datu apstrādi, atspoguļojot Direktīvas 95/46/EK 6. pantu un Pamatlēmuma 2008/977/TI 3. pantu, vienlaikus piemērojot tos direktīvas īpašajam kontekstam.

Direktīvas 5. pantā ir noteikta prasība pēc iespējas nošķirt dažādu datu subjektu kategoriju personas datus. Šis ir jauns noteikums, kas nebija iekļauts ne Direktīvā 95/46/EK, ne Pamatlēmumā 2008/977/TI, bet ko Komisija ierosināja Pamatlēmuma sākotnējā priekšlikumā[23]. To ir iedvesmojis Eiropas Padomes Ieteikums dalībvalstīm Nr. R (87)15. Līdzīgi noteikumi jau pastāv attiecībā uz Eiropas Policijas biroju[24] un Eurojust[25].

Direktīvas 6. pants par dažādām precizitātes un uzticamības pakāpēm atspoguļo 3.2. principu Eiropas Padomes Ieteikumā dalībvalstīm Nr. R (87)15. Līdzīgi noteikumi, kuri arī tika iekļauti Komisijas priekšlikumā Pamatlēmumam, pastāv arī attiecībā uz Eiropas Policijas biroju[26].

Direktīvas 7. pantā ir noteikts likumīgas apstrādes pamatojums, proti, ja tā ir nepieciešama uzdevuma izpildei, ko kompetentā iestāde, balstoties uz valsts tiesību aktiem, veic nolūkā nodrošināt, ka datu pārzinis ievēro tam piemērojamu tiesisku pienākumu, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses vai novērstu tiešus un nopietnus draudus sabiedriskajai drošībai. Cits likumīgas apstrādes pamats, kas noteikts Direktīvas 95/46/EK 7. pantā, nav piemērots apstrādei policijas un tiesu iestāžu sadarbības jomā.

Direktīvas 8. pantā noteikts vispārīgs aizliegums apstrādāt īpašas personas datu kategorijas un izņēmumi no šā vispārīgā noteikuma, kuri balstās uz Direktīvas 95/46/EK 8. pantu, papildus iekļaujot ģenētiskus datus saskaņā ar Eiropas Cilvēktiesības tiesas judikatūru[27].

Ar direktīvas 9. pantu ir noteikts tādu pasākumu aizliegums, kuri balstās tikai uz personas datu automatizētu apstrādi, ja tie nav atļauti ar likumu, kurā ir paredzēti atbilstoši aizsardzības pasākumi saskaņā ar Pamatlēmuma 2008/977/TI 7. pantu.

3.4.3. III NODAĻA – DATU SUBJEKTA TIESĪBAS

Ar 10. pantu dalībvalstīm tiek ieviests pienākums nodrošināt viegli pieejamu un saprotamu informāciju, ko jo īpaši iedvesmojis Madrides rezolūcijas par starptautiskajiem personas datu un privātuma aizsardzības standartiem 10. princips[28], un uzlikt pienākumu pārziņiem nodrošināt procedūras un mehānismus, lai veicinātu datu subjektu tiesību izmantošanu. Tas ietver prasību, ka tiesību izmantošana pamatā ir bez maksas.

Direktīvas 11. pantā ir precizēts dalībvalstu pienākums nodrošināt informāciju datu subjektam. Šie pienākumi balstās uz Direktīvas 95/46/EK 10. un 11. pantu, atsevišķos pantos nenošķirot, vai informācija tiek vākta no datu subjekta, vai nē, un paplašina sniedzamās informācijas apjomu. Tajos ir noteikti izņēmumi no informēšanas pienākuma gadījumos, kad šādi izņēmumi ir samērīgi un nepieciešami demokrātiskā sabiedrībā, lai kompetentās iestādes īstenotu savus uzdevumus (iedvesmojoties no Direktīvas 95/46/EK 13. panta un Pamatlēmuma 2008/977/TI 17. panta).

Direktīvas 12. pantā paredzēts dalībvalstu pienākums nodrošināt datu subjekta tiesības piekļūt saviem personas datiem. Tas līdzinās Direktīvas 95/46/EK 12. panta a) apakšpunktam, pievienojot jaunus elementus datu subjektam sniedzamajai informācijai (par glabāšanas laiku, tiesībām uz labošanu, dzēšanu, vai apstrādes ierobežošanu un tiesībām iesniegt sūdzību).

Direktīvas 13. pantā, balstoties uz Pamatlēmuma 2008/977/TI 17. panta 2. un 3. punktu, paredzēts, ka dalībvalstis var pieņemt leģislatīvus pasākumus, ar kuriem tiesības uz piekļuvi tiek ierobežotas, ja tas ir nepieciešams datu apstrādes īpašās būtības dēļ policijas un tiesu iestāžu sadarbībā krimināllietās, un par datu subjekta informēšanu par piekļuves ierobežojumiem.

Ar 14. pantu tiek ieviests noteikums, ka gadījumos, kad tieša piekļuve ir ierobežota, datu subjekts ir jāinformē par netiešas piekļuves iespējām ar uzraudzības iestādes starpniecību, kurai būtu jāizmanto šīs tiesības viņa vārdā un jāinformē datu subjekts par pārbaudes rezultātiem.

Direktīvas 15. pants par tiesībām uz datu labošanu balstās uz Direktīvas 95/46/EK 12. panta b) apakšpunktu un attiecībā uz pienākumiem atteikuma gadījumā – Pamatlēmuma 2008/977/TI 18. panta 1. punktu.

Direktīvas 16. pants par tiesībām uz datu dzēšanu līdzinās Direktīvas 95/46/EK 12. panta b) punktam un attiecībā uz pienākumiem atteikuma gadījumā – Pamatlēmuma 2008/977/TI 18. panta 1. punktam. Tajā ir integrētas arī tiesības uz datu iezīmēšanu atsevišķos gadījumos, aizstājot neskaidro terminu "piekļuves noslēgšana" ["piekļuves liegšana"], kas lietots Direktīvas 95/46/EK 12. panta b) apakšpunktā un Pamatlēmuma 2008/977/TI 18. panta 1. punktā.

Direktīvas 17. pants par datu labošanu, dzēšanu un apstrādes ierobežošanu tiesvedībā ir precizēts, balstoties uz Pamatlēmuma 2008/977/TI 4. panta 4. punktu.

3.4.4. IV NODAĻA – PĀRZINIS UN APSTRĀDĀTĀJS 3.4.4.1. 1. IEDAĻA – VISPĀRĪGIE PIENĀKUMI

Direktīvas 18. pantā ir aprakstīts datu pārziņa pienākums ievērot šo direktīvu un nodrošināt tās ievērošanu, tai skaitā, pieņemot vadlīnijas un mehānismus, lai nodrošinātu ievērošanu.

Direktīvas 19. pantā ir noteikts, ka dalībvalstīm ir jānodrošina, lai datu pārzinis ievērotu pienākumus, kas izriet no "integrētas datu aizsardzības" principa un "datu aizsardzības pēc noklusējuma" principa.

Direktīvas 20. pantā par kopīgajiem pārziņiem ir precizēts kopīgo pārziņu statuss attiecībā uz to iekšējām attiecībām.

Direktīvas 21. pantā skaidrots apstrādātāju stāvoklis un pienākumi, daļēji balstoties uz Direktīvas 95/46/EK 17. panta 2. punktu un pievienojot dažus jaunus elementus, piemēram, ka apstrādātāju, kas apstrādā datus plašāk, nekā to paredzējis datu pārzinis, uzskata par kopīgo pārzini.

Direktīvas 22. pants par apstrādi datu pārziņa un apstrādātāja pakļautībā balstās uz Direktīvas 95/46/EK 16. pantu.

Ar direktīvas 23. pantu tiek ieviests datu pārziņu un apstrādāju pienākums uzglabāt visu apstrādes sistēmu un procedūru dokumentāciju, par kurām tie ir atbildīgi.

Direktīvas 24. pants attiecas uz reģistru uzturēšanu saskaņā ar Pamatlēmuma 2008/977/TI 10. panta 1. punktu, vienlaikus sniedzot turpmākus precizējumus.

Direktīvas 25. pantā sīkāk skaidrots pārziņa un apstrādātāja pienākums attiecībā uz sadarbību ar uzraudzības iestādi.

Direktīvas 26. pants, kas balstās uz Pamatlēmuma 2008/977/TI 23. pantu, attiecas uz gadījumiem, kad apspriešanās ar uzraudzības iestādi ir obligāta.

3.4.4.2. 2. IEDAĻA – DATU DROŠĪBA

Direktīvas 27. pants par datu apstrādes drošību balstās uz pašreizējo Direktīvas 95/46/EK 17. panta 1. punktu par apstrādes drošību un Pamatlēmuma 2008/977/TI 22. pantu, paplašinot saistītos pienākumus attiecībā uz apstrādātājiem neatkarīgi no to līguma ar pārzini.

Ar direktīvas 28. un 29. pantu tiek ieviests pienākums paziņot par personas datu aizsardzības pārkāpumiem, ko iedvesmojis personas datu aizsardzības pārkāpuma paziņojums, kas noteikts E-privātuma direktīvas 2002/58/EK 4. panta 3. punktā, precizējot un nodalot pienākumus paziņot uzraudzības iestādei (28. pants) un pie īpašiem nosacījumiem paziņot datu subjektam (29. pants). Direktīvas 29. pantā ir noteikti arī izņēmumi, atsaucoties uz 11. panta 4. punktu.

3.4.4.3. 3. IEDAĻA – DATU AIZSARDZĪBAS INSPEKTORS

Ar direktīvas 30. pantu tiek ieviests obligāts pienākums datu pārzinim iecelt datu aizsardzības inspektoru, kuram būtu jāveic 32. pantā uzskaitītie uzdevumi. Ja vairākas kompetentās iestādes darbojas centrālās iestādes uzraudzībā, kura darbojas kā datu pārzinis, vismaz šai centrālajai iestādei būtu jāieceļ šāds datu aizsardzības inspektors. Direktīvas 95/46/EK 18. panta 2. punkts sniedza dalībvalstīm iespēju ieviest šādu prasību kā šajā direktīvā paredzētās vispārīgās paziņošanas prasības surogātu.

Direktīvas 31. pantā noteikts datu aizsardzības inspektora statuss.

Direktīvas 32. pantā noteikti datu aizsardzības inspektora uzdevumi.

3.4.5. V NODAĻA – PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

Direktīvas 33. pantā noteikti vispārīgie principi datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām, policijai un tiesu iestādēm sadarbojoties krimināllietās, ieskaitot tālāku nosūtīšanu. Tajā precizēts, ka nosūtīšanu uz trešām valstīm var veikt tikai, ja nosūtīšana ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus.

Direktīvas 34. pantā paredzēts, ka nosūtīšana uz trešo valsti var notikt, ja Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, pamatojoties uz Regulu …./../201X vai īpaši policijas un tiesu iestāžu sadarbībai krimināllietās, vai, nepastāvot šādiem lēmumiem, ja pastāv atbilstoši aizsardzības pasākumi. Kamēr lēmumi par aizsardzības līmeņa pietiekamību nav pieņemti, Direktīva nodrošina, ka nosūtīšana var turpināties, balstoties uz atbilstošiem aizsardzības pasākumiem un atkāpēm. Turklāt tajā noteikti kritēriji, kas Komisijai jāņem vērā, novērtējot, vai aizsardzības līmenis ir pietiekams, skaidri ietverot tiesiskumu, tiesisko aizsardzību un neatkarīgu uzraudzību. Pantā ir paredzēta iespēja, ka Komisija var novērtēt aizsardzības līmeni, ko nodrošina kāda teritorija vai apstrādes nozare trešajā valstī. Tas ievieš noteikumu, ka vispārējs lēmums par aizsardzības līmeņa pietiekamību, kas pieņemts, pamatojoties uz Vispārīgās datu aizsardzības regulas 38. pantu, ir piemērojams šās direktīvas darbības jomā. Otra iespēja ir Komisijai pieņemt lēmumu tikai šīs direktīvas nolūkiem.

Direktīvas 35. pantā ir noteikti atbilstoši aizsardzības pasākumi, kas nepieciešami pirms starptautiskas nosūtīšanas, ja nav pieņemts Komisijas lēmums par aizsardzības līmeņa pietiekamību. Šie aizsardzības pasākumi var būt noteikti juridiski saistošā instrumentā, piemēram, starptautiskā nolīgumā. Otra iespēja ir, ka datu pārziņi, balstoties uz nosūtīšanas apstākļu novērtējumu, var secināt, ka tādi pastāv.

Direktīvas 36. pantā ir noteiktas atkāpes datu nosūtīšanai, balstoties uz Direktīvas 95/46/EK 26. pantu un Pamatlēmuma 2008/977/TI 13. pantu.

Direktīvas 37. pantā dalībvalstīm ir uzlikts pienākums nodrošināt, ka pārzinis informē saņēmēju par apstrādes ierobežojumiem un veic visas saprātīgas darbības, lai nodrošinātu, ka šos ierobežojumus izpilda personas datu saņēmēji trešā valstī vai starptautiskā organizācijā.

Direktīvas 38. pantā skaidri noteikti personas datu aizsardzības starptautiskās sadarbības mehānismi starp Komisiju un trešo valstu uzraudzības iestādēm, jo īpaši tajās valstīs, par kurām uzskata, ka tās nodrošina pietiekamu aizsardzības līmeni, ņemot vērā Ekonomiskās sadarbības un attīstības organizācijas (ESAO) 2007. gada 12. jūnija ieteikumu par pārrobežu sadarbību, piemērojot likumus par privātuma aizsardzību (on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy).

VI NODAĻA – VALSTS UZRAUDZĪBAS IESTĀDES

3.4.5.1. 1. IEDAĻA – NEATKARĪBA

Direktīvas 39. pants, kas balstās uz Direktīvas 95/46/EK 28. panta 1. punktu un Pamatlēmuma 2008/977/TI 25. pantu, uzliek pienākumu dalībvalstīm izveidot uzraudzības iestādes, paplašinot šo iestāžu uzdevumus veicināt Direktīvas konsekventu piemērošanu visā Savienībā; tā var būt uzraudzības iestāde, kas izveidota, pamatojoties uz Vispārīgo datu aizsardzības regulu.

Direktīvas 40. pantā skaidroti nosacījumi, kas izvirzīti uzraudzības iestādes neatkarībai, īstenojot Eiropas Savienības Tiesas judikatūru[29] un vadoties no Regulas (EK) Nr. 45/2001 44. panta[30].

Direktīvas 41. pantā paredzēti vispārīgi noteikumi par uzraudzības iestādes locekļiem, ar šiem noteikumiem īstenota attiecīgā tiesu prakse[31], par paraugu ņemot Regulas (EK) 45/2001 42. panta 2. līdz 6. punktu.

Direktīvas 42. pantā ietverti uzraudzības iestādes izveides noteikumi, kuri dalībvalstīm jānosaka ar likumu, tai skaitā nosacījumi, kas attiecas uz tās locekļiem.

Direktīvas 43. pants par uzraudzības iestādes locekļu un tās personāla pienākumu glabāt dienesta noslēpumu līdzinās Direktīvas 95/46/EK 28. panta 7. punktam un Pamatlēmuma 2008/977/TI 25. panta 4. punktam.

3.4.5.2. 2. IEDAĻA – PIENĀKUMI UN PILNVARAS

Direktīvas 44. pantā ir noteikta uzraudzības iestāžu kompetence, balstoties uz Direktīvas 95/46/EK 28. panta 6. punktu un Pamatlēmuma 2008/977/TI 25. panta 1. punktu. Tiesas, kad tās pilda tiesas spriešanas funkciju, izņēmuma kārtā ir atbrīvotas no uzraudzības iestādes uzraudzības, taču tām ir jāpiemēro datu aizsardzības materiāltiesiskie noteikumi.

Direktīvas 45. pantā noteikts dalībvalstu pienākums noteikt uzraudzības iestādes pienākumus, ietverot sūdzību uzklausīšanu un izmeklēšanu un sabiedrības informētības uzlabošanu par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām. Īpašs uzraudzības iestāžu pienākums šīs direktīvas kontekstā ir izmantot piekļuves tiesības datu subjekta vārdā, lai pārbaudītu datu apstrādes likumību, ja tieša piekļuve ir atteikta vai ierobežota.

Direktīvas 46. pants, kas balstās uz Direktīvas 95/46/EK 28. panta 3. punktu un Pamatlēmuma 2008/977/TI 25. panta 2. un 3. punktu, nosaka uzraudzības iestādes pilnvaras. Direktīvas 47. pantā, pamatojoties uz Direktīvas 95/46/EK 28. panta 5. punktu, uzlikts pienākums uzraudzības iestādēm sagatavot ikgadējus darbības ziņojumus.

3.4.6. VII NODAĻA – SADARBĪBA

Ar direktīvas 48. pantu ievieš noteikumus par obligātu savstarpēju palīdzību, savukārt Direktīvas 95/46/EK 28. panta 6. punkta otrā daļā paredzēts tikai vispārīgs pienākums sadarboties, to sīkāk neprecizējot.

Direktīvas 49. pantā ir paredzēts, ka Eiropas Datu aizsardzības kolēģija, ko izveido ar Vispārīgo datu aizsardzības regulu, īsteno savus uzdevumus attiecībā uz apstrādes darbībām, kas ir šīs direktīvas darbības jomā. Lai sniegtu papildu atbalstu, Komisija uzklausīs to iestāžu pārstāvju padomus, kuras dalībvalstīs ir atbildīgas par noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un par saukšanu pie atbildības par tiem, kā arī Eiropas Policijas biroja un Eurojust pārstāvju padomus, izmantojot ekspertu grupu par datu aizsardzības aspektiem, kas saistīti ar tiesībaizsardzību.

3.4.7. VII NODAĻA – TIESĪBU AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

Direktīvas 50. pantā, pamatojoties uz Direktīvas 95/46/EK 28. panta 4. punktu, paredzēts, ka datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, un tas attiecas uz jebkādu Direktīvas pārkāpumu saistībā ar sūdzības iesniedzēju. Tajā arī konkrēti norādīts, kādas struktūras, organizācijas vai asociācijas var iesniegt sūdzību datu subjekta vārdā un personas datu aizsardzības pārkāpuma gadījumā arī neatkarīgi no datu subjekta sūdzības.

Direktīvas 51. pants attiecas uz tiesībām uz tiesas aizsardzību pret uzraudzības iestādi. Tas balstās uz vispārīgo noteikumu, kas paredzēts Direktīvas 95/46/EK 28. panta 3. punktā, un īpaši nosaka, ka datu subjekts var vērsties tiesā, lai panāktu, ka uzraudzības iestāde reaģē uz sūdzību.

Direktīvas 52. pants attiecas uz tiesībām uz tiesas aizsardzību pret pārzini vai apstrādātāju, kas balstās uz Direktīvas 95/46/EK 22. pantu un Pamatlēmuma 2008/977/TI 20. pantu.

Ar Direktīvas 53. pantu ir ieviesti kopēji noteikumi, kas attiecas uz tiesvedību, tai skaitā struktūru, organizāciju vai asociāciju tiesības pārstāvēt datu subjektus tiesās un uzraudzības iestāžu tiesības iesaistīties juridiskās procedūrās. Dalībvalstu pienākums nodrošināt raitu tiesas darbību ir noteikts, vadoties pēc E-komercijas direktīvas 2000/31/EK 18. panta 1. punkta[32].

Direktīvas 54. panta dalībvalstīm ir uzlikts pienākums nodrošināt tiesības uz kompensāciju. Tas balstās uz Direktīvas 95/46/EK 23. pantu un Pamatlēmuma 2008/977/TI 19. panta 1. punktu, paplašinot tiesības uz zaudējumu atlīdzību, kurus radījuši datu apstrādātāji, un sīkāk skaidrojot līdzpārziņu un līdzapstrādātāju atbildību.

Direktīvas 55. pantā dalībvalstīm uzlikts pienākums paredzēt sodus par direktīvas pārkāpumiem un nodrošināt to īstenošanu.

3.4.8. X NODAĻA – DELEĢĒTIE AKTI UN ĪSTENOŠANAS AKTI

Direktīvas 56. pantā ietverti standarta noteikumi par deleģēšanu saskaņā ar LESD 290. pantu. Tādējādi likumdevējs var deleģēt Komisijai pilnvaras pieņemt vispārēji piemērojamus neleģislatīvus aktus, lai papildinātu vai grozītu dažus nebūtiskus leģislatīvu aktu elementus (kvazileģislatīvi akti).

Direktīvas 57. pantā ietverts noteikums par komiteju procedūru, kas nepieciešama, lai piešķirtu Komisijai īstenošanas pilnvaras gadījumos, kad saskaņā ar LESD 291. pantu ir nepieciešami vienādi nosacījumi juridiski saistošo Savienības aktu īstenošanai. Piemēro pārbaudes procedūru.

3.4.9. XI NODAĻA – NOBEIGUMA NOTEIKUMI

Ar 58. pantu tiek atcelts Pamatlēmums 2008/977/TI.

Direktīvas 59. pantā ir noteikts, ka netiek skarti īpaši noteikumi, kas iekļauti Savienības tiesību aktos, kuri attiecas uz personas datu apstrādi vai piekļuvi informācijas sistēmām direktīvas darbības jomā un kuri pieņemti pirms šīs direktīvas pieņemšanas, attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus.

Direktīvas 60. pantā precizēta šīs direktīvas saistība ar starptautiskiem nolīgumiem, ko dalībvalstis iepriekš noslēgušas, tiesu iestāžu un policijas iestāžu sadarbības krimināllietās jomā.

Direktīvas 61. pantā ir noteikts Komisijas pienākums izvērtēt direktīvas īstenošanu un ziņot par to, lai novērtētu nepieciešamību šai direktīvai pielāgot iepriekš pieņemtos īpašos noteikumus, kas minēti 59. pantā.

Direktīvas 62. pantā ir noteikts dalībvalstu pienākums transponēt šo direktīvu savos valsts tiesību aktos un paziņot Komisijai noteikumus, kas pieņemti, pamatojoties uz šo direktīvu.

Direktīvas 63. pantā ir noteikts šīs direktīvas spēkā stāšanās datums.

Tās 64. pantā ir noteikti direktīvas adresāti.

4.         IETEKME UZ BUDŽETU

Tiesību akta finanšu pārskats, kas pievienots Vispārīgajai datu aizsardzības regulai, attiecas uz regulas un šīs direktīvas ietekmi uz budžetu.

2012/0010 (COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES DIREKTĪVA

par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

pēc apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju[33],

saskaņā ar parasto likumdošanas procedūru,

tā kā:

(1) Fizisku personu aizsardzība attiecībā uz personas datu apstrādi ir pamattiesības. Eiropas Savienības Pamattiesību hartas 8. panta 1. punkts un Līguma par Eiropas Savienības darbību 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.

(2) Personas datu apstrādes mērķis ir kalpot cilvēkam; noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no fiziskās personas valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un brīvības un jo īpaši tiesības uz personas datu aizsardzību. Tiem būtu jāpalīdz izveidot brīvības, drošības un tiesiskuma telpa.

(3) Ātrā tehnoloģiju izaugsme un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Datu vākšanas un apmaiņas apjoms ir dramatiski pieaudzis. Tehnoloģijas ļauj kompetentajām iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus.

(4) Tādēļ ir nepieciešams atvieglot datu brīvu apriti starp kompetentajām iestādēm Savienībā un datu nosūtīšanu trešām valstīm un starptautiskajām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību. Šo pārmaiņu dēļ ir nepieciešams izveidot stigru un saskaņotāku datu aizsardzības regulējumu Savienībā, ko atbalsta ar stigru izpildi.

(5) Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti[34] ir piemērojama visām personas datu apstrādes darbībām dalībvalstīs gan publiskajā, gan privātajā sektorā. Tomēr to nepiemēro personas datu apstrādei   "tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti", piemēram, darbībām, kas veiktas, tiesu iestādēm un policijai sadarbojoties krimināllietās.

(6) Padomes 2008. gada 27. novembra Pamatlēmums 2008/977/TI par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās[35], ir piemērojams tiesu iestāžu sadarbībai krimināllietās un policijas sadarbībai. Šā pamatlēmuma piemērošanas joma būtu jāattiecina tikai uz tādu personas datu apstrādi, kurus nosūta starp dalībvalstīm vai kurus dara savstarpēji pieejamus.

(7) Konsekventas un augsta līmeņa personas datu aizsardzības nodrošināšana personām un personas datu apmaiņas veicināšana starp dalībvalstu kompetentajām iestādēm ir būtiska, lai nodrošinātu efektīvu policijas un tiesu iestāžu sadarbību krimināllietās. Šajā nolūkā personu tiesību un brīvību aizsardzības līmenim attiecībā uz personas datu apstrādi, ko veikušas kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, ir jābūt vienādam visās dalībvalstīs. Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus, turklāt nepieciešams piešķirt arī līdzvērtīgas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu dalībvalstīs.

(8) Līguma par Eiropas Savienības darbību 16. panta 2. punktā ir noteikts, ka Eiropas Parlamentam un Padomei būtu jāparedz noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un noteikumi par šādu datu brīvu apriti.

(9) Balstoties uz to, Eiropas Parlamenta un Padomes Regula ES …./2012 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) nosaka vispārīgos noteikumus, lai aizsargātu fiziskas personas attiecībā uz to personas datu apstrādi un nodrošinātu personas datu brīvu apriti Savienībā.

(10) 21. deklarācijā par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši noteikumi par personas datu aizsardzību un par to brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz Līguma par Eiropas Savienības darbību 16. pantu, šo jomu īpašo iezīmju dēļ.

(11) Tādēļ atsevišķā direktīvā būtu jāņem vērā šo jomu īpašās iezīmes un jāparedz noteikumi par personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus.

(12) Lai nodrošinātu personām vienāda līmeņa aizsardzību, izmantojot juridiski īstenojamas tiesības, visā Savienībā un novērstu atšķirības, kas traucē personas datu apmaiņu starp kompetentajām iestādēm, direktīvai būtu jānosaka saskaņoti noteikumi personas datu aizsardzībai un brīvai apritei policijas un tiesu iestāžu sadarbībā krimināllietās.

(13) Šī direktīva atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot direktīvā paredzētos noteikumus.

(14) Šajā direktīvā noteiktajai aizsardzībai saistībā ar personas datu apstrādi būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas.

(15) Fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un neatkarīgai no izmantotajiem paņēmieniem, jo pretējā gadījumā tas radītu nopietnu likuma apiešanas risku. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs direktīvas piemērošanas jomā neietilpst datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši speciāliem kritērijiem. Šī direktīva nebūtu jāpiemēro personas datu apstrādei tādas darbības gaitā, kas ir ārpus Savienības tiesību aktu darbības jomas, jo īpaši attiecībā uz valsts drošību, vai datiem, kurus apstrādā Savienības iestādes, struktūras, biroji un aģentūras, piemēram, Eiropas Policijas birojs vai Eurojust.

(16) Aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot, lai identificētu personu. Aizsardzības principus nebūtu jāpiemēro datiem, ko sniedz anonīmi — tā, ka datu subjekts vairs nav identificējams.

(17) Personas veselības datiem īpaši būtu jāaptver visi dati, kas norāda uz datu subjekta veselības stāvokli, informācija par personas reģistrāciju ar veselību saistītu pakalpojumu saņemšanai; informāciju par maksājumiem vai tiesībām saņemt veselības aprūpi; numuru, simbolu vai zīmi, kas piešķirta personai, lai to viennozīmīgi identificētu veselības aprūpes nolūkos; jebkuru informāciju par personu, ko vāc ar veselības aprūpi saistītu pakalpojumu sniegšanas laikā; informāciju, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tai skaitā bioloģiskus paraugus; informāciju, kas identificē kādu personu kā veselības aprūpes pakalpojumu sniedzēju personai; vai citu informāciju par, piemēram, slimību, traucējumiem, slimības risku, slimības vēsturi, klīnisko aprūpi vai par aktuālo datu subjekta fizisko vai biomedicīnisko stāvokli, neatkarīgi no tās avota, piemēram, ārsta vai cita veselības aprūpes nozares pārstāvja, slimnīcas, medicīniskas ierīces vai in vitro diagnostikas testa.

(18) Jebkurai personas datu apstrādei būtu jābūt godprātīgai un likumīgai attiecībā pret personām. Jo īpaši konkrētajiem datu apstrādes nolūkiem būtu jābūt skaidri noteiktiem.

(19) Noziedzīgu nodarījumu novēršanai, izmeklēšanai un saukšanai pie atbildības par tiem ir nepieciešams, lai kompetentās iestādes glabā un apstrādā personas datus, kas savākti saistībā ar konkrētu noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem ārpus šā konteksta, lai iegūtu izpratni par noziedzības parādībām un tendencēm, lai iegūtu informāciju par organizētiem noziedzīgiem tīkliem un konstatētu saikni starp dažādiem atklātajiem nodarījumiem.

(20) Personas dati nebūtu jāapstrādā tādiem nolūkiem, kas nav savienojami ar tiem nolūkiem, kuriem dati ir savākti. Personas datiem vajadzētu būt piemērotiem, atbilstīgiem un nevajadzētu būt pārmērīgiem saistībā ar nolūkiem, kuriem dati tiek apstrādāti. Būtu jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti.

(21) Datu precizitātes princips būtu jāpiemēro, ņemot vērā attiecīgās apstrādes būtību un nolūkus. Jo īpaši tiesvedībā izteikumi, kas satur personas datus, balstās uz personu subjektīvu uztveri un dažos gadījumos tos ne vienmēr var pārbaudīt. Attiecīgi prasībai par precizitāti nebūtu jāattiecas uz izteikuma precizitāti, bet vienīgi uz to, ka ir izdarīts konkrēts izteikums.

(22) Kompetentajām iestādēm, interpretējot un piemērojot vispārējos personas datu apstrādes principus, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, būtu jāņem vērā nozares īpatnības, tai skaitā sasniedzamie mērķi.

(23) Personas datu apstrādei, kas tiek veikta, policijai un tiesu iestādēm sadarbojoties krimināllietās, ir raksturīgi, ka tiek apstrādi personas dati, kas attiecas uz dažādām datu subjektu kategorijām. Tāpēc ir nepieciešams, cik vien iespējams, skaidri nodalīt dažādu datu subjektu kategoriju personas datus, piemēram, aizdomās turēto, notiesāto, cietušo un trešo personu, piemēram, liecinieku, personu, kam ir attiecīga informāciju vai kontakti, un aizdomās turēto un notiesāto līdzdalībnieku personas datus.

(24) Cik vien iespējams, personas dati būtu jānošķir atkarībā no to precizitātes un uzticamības pakāpes. Fakti būtu jānošķir no personiskiem vērtējumiem, lai nodrošinātu gan personu aizsardzību, gan kompetento iestāžu rīcībā esošās informācijas kvalitāti un uzticamību.

(25) Lai tā būtu likumīga, personas datu apstrādei vajadzētu būt nepieciešamai, lai izpildītu pārzinim uzliktu tiesisku pienākumu, lai izpildītu likumā noteiktu uzdevumu, ko kompetentā iestāde veic sabiedrības interesēs, vai lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, vai lai novērstu tiešus un nopietnus draudus sabiedrības drošībai.

(26) Personas dati, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām vai privātumu, ir īpaši jāaizsargā. Šādi dati nebūtu jāapstrādā, ja vien apstrādi īpaši neatļauj ar likumu, kurā noteikti piemēroti pasākumi, lai aizsargātu datu subjekta likumīgās intereses; vai apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai apstrāde attiecas uz datiem, kurus datu subjekts apzināti ir publiskojis.

(27) Katrai fiziskai personai vajadzētu būt tiesībām nebūt par tāda pasākuma subjektu, kas balstās tikai uz automatizētu apstrādi, ja tas rada negatīvas juridiskās sekas šai personai, ja vien tas nav atļauts ar likumu un uz to neattiecas piemēroti pasākumi, lai nodrošinātu datu subjekta likumīgās intereses.

(28) Lai īstenotu savas tiesības, informācijai, kura sniedzama datu subjektam, vajadzētu būt viegli pieejamai un viegli saprotamai, tai skaitā būtu jāizmanto skaidra un vienkārša valoda.

(29) Būtu jāparedz kārtība, kas atvieglotu datu subjektam šajā direktīvā paredzēto tiesību izmantošanu, tai skaitā mehānismi, lai bez maksas pieprasītu piekļuvi datiem, to labošanu un dzēšanu. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās.

(30) Godprātīgas apstrādes princips nozīmē, ka datu subjektiem vajadzētu būt informētiem jo īpaši par apstrādes darbībām un to nolūkiem, datu glabāšanas ilgumu, par piekļuves, labošanas vai dzēšanas tiesībām un par tiesībām iesniegt sūdzību. Ja datus vāc no datu subjekta, datu subjekts būtu jāinformē, vai viņam ir pienākums sniegt datus un kādas būs sekas, ja viņš šos datus nesniegs.

(31) Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves brīdī vai, ja datus neiegūst no datu subjekta, datu reģistrēšanas brīdī vai saprātīgā termiņā pēc datu savākšanas, ņemot vērā īpašos apstākļus, kādos dati tiek apstrādāti.

(32) Jebkurai personai vajadzētu būt tiesībām piekļūt datiem, kas par viņu savākti, un būtu jāvar viegli izmantot šīs tiesības, lai apzinātu un pārbaudītu apstrādes likumību. Tādēļ katram datu subjektam vajadzētu būt tiesībām zināt par apstrādi un saņemt paziņojumu jo īpaši par nolūkiem, kuriem dati tiek apstrādāti, un apstrādes laikposmu, par to, kuri saņēmēji saņems datus, tai skaitā trešajās valstīs. Datu subjektiem būtu jāvar saņemt savu apstrādāto personas datu kopiju.

(33) Būtu jāļauj dalībvalstīm pieņemt tiesību aktus, ar kuriem atliek, ierobežo vai nesniedz datu subjektiem informāciju vai piekļuvi saviem personas datiem, ciktāl šāds pilnīgs vai daļējs ierobežojums, ņemot vērā skartās personas likumīgās intereses, ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, lai novērstu, ka tiek traucēta oficiāla vai tiesas pārbaude, izmeklēšana vai procedūra, lai novērstu, ka tiek ietekmēta noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana, saukšana pie atbildības par tiem vai kriminālsodu izpilde, lai aizsargātu sabiedrības vai valsts drošību vai lai aizsargātu datu subjektu vai citu personu tiesības un brīvības.

(34) Visi atteikumi vai piekļuves ierobežojumi būtu rakstiski jāsniedz datu subjektam, iekļaujot faktiskos vai tiesiskos iemeslus, uz kuriem lēmums balstās.

(35) Ja dalībvalstis ir pieņēmušas leģislatīvus pasākumus, ar kuriem pilnībā vai daļēji ierobežo piekļuves tiesības, datu subjektam vajadzētu būt tiesībām pieprasīt, lai kompetentā uzraudzības iestāde pārbauda apstrādes likumību. Datu subjekts būtu jāinformē par šīm tiesībām. Ja piekļuvi īsteno uzraudzības iestāde datu subjekta vārdā, uzraudzības iestādei būtu jāinformē datu subjekts vismaz par to, ka visas nepieciešamās uzraudzības iestādes pārbaudes ir notikušas, un par to rezultātu attiecībā uz šis apstrādes likumību.

(36) Visām personām vajadzētu būt tiesībām, lai neprecīzi personas dati, kas uz tām attiecas, tiktu laboti, un tiesībām uz datu dzēšanu, ja šādu datu apstrāde neatbilst galvenajiem principiem, kuri noteikti šajā direktīvā. Ja personas dati tiek apstrādāti kriminālizmeklēšanas un tiesas procesa gaitā, labojumus, tiesības uz informāciju, piekļuvi, dzēšanu un apstrādes ierobežošanu var īstenot saskaņā ar valsts tiesību aktiem par tiesvedību.

(37) Būtu jāparedz pārziņa vispusīga atbildība par personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Pārzinim jo īpaši būtu jānodrošina apstrādes darbību atbilstība noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu.

(38) Datu subjektu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi ir nepieciešams, lai tiktu veikti pienācīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu šīs direktīvas prasību izpildi. Lai nodrošinātu, ka noteikumi, kas pieņemti, pamatojoties uz šo direktīvu, ir ievēroti, pārzinim būtu jāpieņem vadlīnijas un jāīsteno atbilstoši pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.

(39) Datu subjekta tiesību un brīvību aizsardzība, kā arī pārziņa un apstrādātāja pienākumi un atbildība, prasa skaidri sadalīt pienākumus saskaņā ar šo direktīvu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus, nosacījumus un līdzekļus nosaka kopā ar citiem pārziņiem vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

(40) Pārzinim vai apstrādātājam apstrādes darbības būtu jādokumentē, lai uzraudzītu direktīvas ievērošanu. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt šo dokumentāciju pieejamu, lai tā varētu kalpot apstrādes darbību uzraudzības vajadzībām.

(41) Lai nodrošinātu datu subjektu tiesību un brīvību efektīvu aizsardzību ar preventīvu pasākumu palīdzību, pārzinim un apstrādātajam noteiktos gadījumos pirms apstrādes būtu jāapspriežas ar uzraudzības iestādi.

(42) Ja uz personas datu aizsardzības pārkāpumiem nereaģē pienācīgi un savlaicīgi, tie var radīt kaitējumu attiecīgajai personai, tai skaitā reputācijas aizskārumu. Tādēļ, tiklīdz pārzinis uzzina par šādu pārkāpumu, tam būtu jāpaziņo par pārkāpumu kompetentajai valsts iestādei. Personas, kuru datus vai privātumu var negatīvi ietekmēt šis pārkāpums, būtu bez kavēšanās jāinformē, lai tie varētu veikt nepieciešamos piesardzības pasākumus. Pārkāpumu būtu jāuzskata par tādu, kas var negatīvi ietekmēt datu subjekta personas datus vai privāto dzīvi, ja tā rezultātā iespējama, piemēram, identitātes zādzība vai viltošana, fizisks kaitējums, nopietns pazemojums vai reputācijas aizskārums saistībā ar personas datu apstrādi.

(43) Nosakot sīki izstrādātus noteikumus par formātu un kārtību, kādā jāpaziņo par personas datu aizsardzības pārkāpumiem, būtu pienācīgi jāņem vērā apstākļi, kādos noticis pārkāpums, tostarp tas, vai personas dati ir bijuši aizsargāti ar piemērotiem tehniskiem aizsarglīdzekļiem, ar kuru palīdzību var efektīvi ierobežot ļaunprātīgas izmantošanas iespējamību. Turklāt, izstrādājot šādus noteikumus un kārtību, būtu jāņem vērā kompetento iestāžu likumīgās intereses gadījumos, kad priekšlaicīga izpaušana varētu nevajadzīgi kavēt pārkāpuma apstākļu izmeklēšanu.

(44) Pārzinim vai apstrādātajam būtu jānosaka persona, kura palīdzētu pārzinim vai apstrādātājam uzraudzīt to noteikumu ievērošanu, kuri pieņemti, pamatojoties uz šo direktīvu. Datu apstrādes amatpersonu var iecelt vairākas kompetentās iestādes vienības kopīgi. Datu aizsardzības inspektoriem ir jābūt spējīgiem veikt savus pienākumus un uzdevumus neatkarīgi un efektīvi.

(45) Dalībvalstīm būtu jānodrošina, ka nosūtīšana uz trešo valsti tiek veikta tikai, ja tā ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un pārzinis trešā valstī vai starptautiskajā organizācijā ir kompetenta iestāde šīs direktīvas izpratnē. Nosūtīšana var notikt gadījumos, kad Komisija ir nolēmusi, ka attiecīga trešā valsts vai starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni vai ir noteikti atbilstoši aizsardzības pasākami.

(46) Komisija var nolemt attiecībā uz visu Savienību, ka konkrēta trešā valsts, trešās valsts teritorija vai apstrādes nozare vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni, tādējādi nodrošinot tiesisko noteiktību un vienotību visā Savienībā attieksmē pret trešām valstīm vai starptautiskām organizācijām, par kurām uzskata, ka tās nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz šīm valstīm var nosūtīt un nav vajadzīgs saņemt nekādu citu atļauju.

(47) Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai būtu jāņem vērā, kā trešā valstī ir ievērots tiesiskums, tiesu pieejamība, kā arī starptautiskās cilvēktiesību normas un standarti.

(48) Komisija tāpat būtu jāvar atzīt, ka trešā valsts, trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni. Attiecīgi personas datu nosūtīšana uz šo trešo valsti būtu jāaizliedz, izņemot gadījumus, kad tā balstās uz starptautisku nolīgumu, atbilstošiem aizsardzības pasākumiem vai atkāpi. Būtu jāparedz noteikumi par apspriešanās procesu starp Komisiju un šādu trešo valsti vai starptautisku organizāciju. Tomēr šādam Komisijas lēmumam nebūtu jāskar iespēja veikt nosūtīšanu, balstoties uz atbilstošiem aizsardzības pasākumiem vai uz atkāpi, kas paredzēta direktīvā.

(49) Nosūtīšana, kas nebalstās uz šādu lēmumu par aizsardzības līmeņa pietiekamību, būtu jāatļauj tikai gadījumā, ja juridiski saistošā instrumentā ir noteikti atbilstoši aizsardzības pasākumi, kuri nodrošina personas datu aizsardzību, vai ja pārzinis vai apstrādātājs ir izvērtējis visas datu nosūtīšanas darbības vai darbību kopuma apstākļus un, pamatojoties uz šo novērtējumu, uzskata, ka pastāv atbilstoši aizsardzības pasākumi personas datu aizsardzībai. Gadījumos, kad nepastāv iemesli, lai atļautu datu nosūtīšanu, būtu jāatļauj atkāpes, ja tās ir nepieciešamas, lai nodrošinātu datu subjekta vai citas personas īpaši svarīgas intereses vai aizsargātu datu subjekta likumīgas intereses, ja to nosaka tās dalībvalsts likums, kura nosūta personas datus, vai ja tās ir nepieciešamas, lai novērstu tiešus un nopietnus draudus sabiedrības drošībai šajā dalībvalstī vai trešā valstī, vai individuālos gadījumos – lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, vai atsevišķos gadījumos – lai pamatotu, īstenotu vai aizstāvētu tiesiskus prasījumus.

(50) Personas datu pārvietošanās pāri robežām var ievērojami ietekmēt personu spējas izmantot tiesības uz datu aizsardzību, lai aizsargātu sevi pret datu nelikumīgu izmantošanu vai izpaušanu. Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās robežu otrā pusē. Viņu pūliņus kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās pilnvaras prevencijas vai tiesībaizsardzības jomā un tiesisko regulējumu atšķirības. Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām veikt informācijas apmaiņu ar attiecīgajām iestādēm citās valstīs.

(51) Uzraudzības iestāžu, kuras pilda savas funkcijas pilnīgi neatkarīgi, izveide dalībvalstīs ir būtiska sastāvdaļa personu aizsardzībā attiecībā uz personas datu apstrādi. Uzraudzības iestādēm būtu jāuzrauga noteikumu piemērošana, kuri pieņemti, pamatojoties uz šo direktīvu, un jāpalīdz nodrošināt tās konsekventu piemērošanu visā Savienībā, lai aizsargātu fiziskās personas saistībā ar to personas datu apstrādi. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas vienai ar otru un ar Komisiju.

(52) Uzraudzības iestādei, kas dalībvalstī jau izveidota, pamatojoties uz Regulu (ES) …/2012, dalībvalsts var uzticēt arī tos pienākumus, kas jāveic valsts uzraudzības iestādei, kura ir jāizveido saskaņā ar šo direktīvu.

(53) Būtu jāļauj dalībvalstīm izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai vai administratīvajai uzbūvei. Katrai uzraudzības iestādei būtu jāpiešķir atbilstoši finanšu un cilvēkresursi, telpas un infrastruktūra, kas nepieciešama efektīvai uzdevumu izpildei, tostarp arī to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Savienībā.

(54) Nosacījumi, lai kļūtu par uzraudzības iestādes locekli, katrā dalībvalstī būtu jānosaka ar likumu un jo īpaši būtu jānodrošina, ka šos locekļus amatā ieceļ vai nu dalībvalsts parlaments, vai valdība, turklāt būtu jāiekļauj noteikumi par locekļu kvalifikāciju un statusu.

(55) Kaut arī šī direktīva ir piemērojama arī valsts tiesu darbībai, ja tiesa personas datus apstrādā, veicot tiesas spriešanas funkciju, šāda apstrāde nebūtu jāiekļauj uzraudzības iestādes kompetencē, lai saglabātu tiesnešu neatkarību, pildot savus uzdevumus. Tomēr šo izņēmumu būtu jāattiecina tikai uz tiesas spriešanas darbībām tiesas lietā, tas nebūtu jāattiecina uz citām darbībām, kurās tiesneši varētu būt iesaistīti saskaņā ar valsts tiesību aktiem.

(56) Lai nodrošinātu konsekventu šīs direktīvas piemērošanas uzraudzību un izpildi visā Savienībā, uzraudzības iestādēm katrā dalībvalstī būtu jābūt vieniem un tiem pašiem uzdevumiem un efektīvām pilnvarām, ietverot izmeklēšanas pilnvaras, juridiski saistošas iejaukšanās pilnvaras, tiesības pieņemt lēmumus un lemt par sankcijām, jo īpaši fizisku personu sūdzību gadījumos, un tiesības iesaistīties juridiskās procedūrās.

(57) Katrai uzraudzības iestādei būtu jābūt tiesīgai uzklausīt jebkura datu subjekta sūdzību un izmeklēt to. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, pakļaujot to tiesas kontrolei. Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības virzību un iznākumu. Ja lietā ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija.

(58) Uzraudzības iestādēm būtu vienai otra jāatbalsta savu pienākumu veikšanā un jāsniedz savstarpēja palīdzība, lai nodrošinātu to noteikumu konsekventu piemērošanu un izpildi, kuri pieņemti, pamatojoties uz šo direktīvu.

(59) Eiropas Datu aizsardzības kolēģijai, kas izveidota ar Regulu (ES) .../2012, būtu jāpalīdz nodrošināt šīs direktīvas konsekventu piemērošanu visā Savienībā, tostarp sniedzot padomus Komisijai un veicinot uzraudzības iestāžu sadarbību visā Savienībā.

(60) Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē un tiesībām uz tiesas aizsardzību, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo direktīvu ir pārkāptas vai ja uzraudzības iestāde nereaģē uz sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības.

(61) Jebkurai struktūrai, organizācijai vai asociācijai, kuras mērķis ir datu subjektu tiesību un interešu aizsardzība attiecībā uz viņu datu aizsardzību un kas ir izveidota saskaņā ar dalībvalsts tiesību aktiem, būtu jābūt tiesībām iesniegt sūdzību vai tiesībām vērsties tiesā datu subjektu vārdā, ja tie to ir atbilstoši pilnvarojuši, vai iesniegt savu sūdzību neatkarīgi no datu subjekta sūdzības, ja tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums.

(62) Katrai fiziskai vai juridiskai personai būtu jābūt tiesībām uz tiesas aizsardzību pret uzraudzības iestādes lēmumiem, kas tos skar. Tiesvedībai pret uzraudzības iestādi būtu jānotiek tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

(63) Dalībvalstīm būtu jānodrošina, ka tiesa var efektīvi rīkoties un var ātri pieņemt pasākumus, kas izlīdzina vai novērš šīs direktīvas pārkāpumu.

(64) Jebkurus zaudējumus, kurus persona var ciest nelikumīgas apstrādes rezultātā, būtu jākompensē pārzinim vai apstrādātājam, kuru var atbrīvot no atbildības, ja tas pierāda, ka nav atbildīgs par zaudējumiem, īpaši gadījumos, kad tas pierāda datu subjekta vainu vai force majeure gadījumā.

(65) Būtu jāpiemēro sankcijas jebkurai fiziskai vai juridiskai personai – privāto vai publisko tiesību subjektam, kura neievēro šo direktīvu. Dalībvalstīm būtu jānodrošina, ka sankcijas ir efektīvas, samērīgas un atturošas un tām būtu jāveic visi pasākumi, lai tās īstenotu.

(66) Lai sasniegtu šīs direktīvas mērķus, proti, aizsargātu fizisku personu pamattiesības un brīvības un, jo īpaši tiesības uz personas datu aizsardzību, un nodrošinātu brīvu apmaiņu ar personas datiem starp kompetentajām iestādēm Savienībā, Komisijai būtu jādeleģē pilnvaras pieņemt tiesību aktus saskaņā ar Līguma par Eiropas Savienības darbību 290. pantu. Deleģētie akti jo īpaši būtu jāpieņem attiecībā uz personas datu aizsardzības pārkāpumu paziņošanu uzraudzības iestādei. Ir ļoti svarīgi, lai Komisija sagatavošanās darba ietvaros rīkotu atbilstošas apspriešanās, tostarp arī ekspertu līmenī. Komisijai, sagatavojot un izstrādājot deleģētos aktus, būtu jānodrošina, ka attiecīgie dokumenti vienlaicīgi, savlaicīgi un atbilstoši tiek nosūtīti Eiropas Parlamentam un Padomei.

(67) Lai nodrošinātu vienotus šīs direktīvas īstenošanas nosacījumus, kas attiecas uz pārziņu un apstrādātāju veikto dokumentāciju, apstrādes drošību, jo īpaši attiecībā uz šifrēšanas standartiem, paziņojumiem par personas datu aizsardzības pārkāpumiem uzraudzības iestādei un pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts vai tās teritorija vai apstrādes nozare vai starptautiska organizācija, Komisijai būtu jāpiešķir īstenošanas pilnvaras. Šīs pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes 2011. gada 16. februāra Regulu (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu[36].

(68) Pasākumu pieņemšanai, kuri attiecas uz pārziņu un apstrādātāju veikto dokumentāciju, apstrādes drošību, paziņojumiem par personas datu drošību uzraudzības iestādei un pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts vai trešās valsts teritorija vai apstrādes nozare vai starptautiska organizācija, ja šie akti ir vispārēji, būtu jāizmanto pārbaudes procedūra.

(69) Komisijai būtu jāpieņem nekavējoties piemērojami īstenošanas akti, ja tas ir pamatoti nepieciešams steidzamos gadījumos attiecībā uz trešo valsti vai trešās valsts teritoriju vai apstrādes nozari vai starptautisku organizāciju, kas nenodrošina pietiekamu aizsardzības līmeni.

(70) Ņemot vērā to, ka šīs direktīvas mērķus — proti, visās dalībvalstis aizsargāt fizisku personu pamattiesības un pamatbrīvības un jo īpaši tiesības uz personas datu aizsardzību un nodrošināt, ka kompetentās iestādes Savienībā brīvi apmainās ar personas datiem, — nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, un to, ka rīcības mēroga un iedarbības dēļ šos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas vajadzīgi šā mērķa sasniegšanai.

(71) Ar šo direktīvu būtu jāatceļ Pamatlēmums 2008/977/TI.

(72) Nebūtu jāskar īpaši noteikumi, kuri iekļauti Savienības aktos, kas pieņemti pirms šīs direktīvas pieņemšanas datuma, attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un kas attiecas uz personas datu apstrādi starp dalībvalstīm un dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām šīs direktīvas darbības jomā, kuras izveidotas, pamatojoties uz Līgumiem. Komisijai būtu jānovērtē situācija attiecībā uz šīs direktīvas saistību ar aktiem, kas pieņemti pirms šīs direktīvas pieņemšanas datuma, kuri attiecas uz personas datu apstrādi starp dalībvalstīm vai noteiktu dalībvalstu iestāžu piekļuvi informācijas sistēmām, kuras izveidotas, pamatojoties uz Līgumiem, lai novērtētu nepieciešamību pielāgot šos īpašos noteikumus šai direktīvai.

(73) Lai nodrošinātu visaptverošu un konsekventu personas datu aizsardzību Savienībā, starptautiski nolīgumi, ko dalībvalstis noslēgušas pirms šīs direktīvas stāšanās spēka, būtu jāgroza saskaņā ar šo direktīvu.

(74) Šī direktīva neskar noteikumus par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, kas noteikti Eiropas Parlamenta un Padomes 2011. gada 13. decembra Direktīvā 2011/92/ES[37].

(75) Saskaņā ar 6.a pantu Protokolā par Apvienotās Karalistes un Īrijas nostāju saistībā ar brīvības, drošības un tiesiskuma telpu, kas pievienots Līgumam par Eiropas Savienību un Līgumam par Eiropas Savienības darbību, Apvienotai Karalistei un Īrijai nav saistoši šīs direktīvas noteikumi tad, ja Apvienotajai Karalistei un Īrijai nav saistoši noteikumi, ar ko reglamentē tiesu sadarbības veidus krimināltiesību jomā vai policijas iestāžu sadarbības veidus, sakarā ar kuriem ir jāievēro noteikumi, kas paredzēti, pamatojoties uz Līguma par Eiropas Savienības darbību 16. pantu.

(76) Saskaņā ar 2. pantu un 2.a pantu Protokolā par Dānijas nostāju, kas pievienots Līgumam par Eiropas Savienību un Līgumam par Eiropas Savienības darbību, šī direktīva Dānijai nav saistoša un nav jāpiemēro. Tā kā šī direktīva pilnveido Šengenas acquis, balstoties uz Līguma par Eiropas Savienību Trešās daļas V sadaļu, Dānija saskaņā ar minētā protokola 4. pantu sešos mēnešos pēc šīs direktīvas pieņemšanas izlemj, vai tā šo direktīvu ieviesīs savos tiesību aktos.

(77) Attiecībā uz Islandi un Norvēģiju – saskaņā ar Nolīgumu, kas noslēgts starp Eiropas Savienības Padomi un Islandes Republiku un Norvēģijas Karalisti par šo valstu asociēšanu Šengenas acquis īstenošanā, pilnveidošanā un piemērošanā[38], šis instruments ir Šengenas acquis noteikumu pilnveidošana.

(78) Attiecībā uz Šveici – saskaņā ar Nolīgumu starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā[39], šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(79) Attiecībā uz Lihtenšteinu – ar Protokolu starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā[40], šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(80) Šajā direktīvā ir ņemtas vērā pamattiesības un ievēroti principi, kas atzīti Eiropas Savienības Pamattiesību hartā, kā noteikts Līgumā, it sevišķi tiesības uz privātās un ģimenes dzīves neaizskaramību, tiesības uz personas datu aizsardzību, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu. Šo tiesību ierobežojumi ir saskaņā ar Hartas 52. panta 1. punktu, jo tie ir nepieciešami vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.

(81) Saskaņā ar 2011. gada 28. septembra dalībvalstu un Komisijas kopīgo politisko deklarāciju par paskaidrojuma dokumentiem, dalībvalstis ir apņēmušās paziņojumam par transponēšanas pasākumiem, ja tas pamatoti, pievienot vienu vai vairākus dokumentus ar skaidrojumu par direktīvas komponentu attiecībām ar dalībvalstu transponēšanas instrumentu attiecīgajām daļām. Likumdevējs uzskata, ka attiecībā uz šo direktīvu šādu dokumentu nosūtīšana ir pamatota.

(82) Šai direktīvai nevajadzētu dalībvalstīm liegt īstenot datu subjektu tiesības uz informāciju, piekļuvi datiem, datu labošanu, dzēšanu un ierobežošanu attiecībā uz personas datiem, kurus apstrādā kriminālprocesa gaitā, un to iespējamus šo tiesību ierobežojumus valsts noteikumos par kriminālprocesu,

IR PIEŅĒMUŠI ŠO DIREKTĪVU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants Priekšmets un mērķi

1.           Šajā direktīvā ir paredzēti noteikumi par personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus.

2.           Saskaņā ar šo direktīvu dalībvalstis:

a)      aizsargā fizisku personu pamattiesības un brīvības un jo īpaši to tiesības uz personas datu aizsardzību; un

b)      nodrošina, ka personas datu brīva aprite starp kompetentajām iestādēm Savienībā nav ierobežota vai aizliegta, pamatojoties uz iemesliem, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.

2. pants Piemērošanas joma

1.           Šo direktīvu piemēro personas datu apstrādei, ko veic kompetentās iestādes 1. panta 1. punktā minētajiem nolūkiem.

2.           Šo direktīvu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

3.           Šī direktīva neattiecas uz personas datu apstrādi:

a)      veicot darbību, kas neietilpst Savienības tiesību piemērošanas jomā, jo īpaši saistībā ar valsts drošību;

b)      ko veic Savienības iestādēs, struktūrās, birojos un aģentūrās.

3. pants Definīcijas

Šajā direktīvā:

1)           "datu subjekts" ir identificēta fiziska persona vai fiziska persona, ko tieši vai netieši var identificēt, izmantojot līdzekļus, ko pārzinis vai jebkura cita fiziska vai juridiska persona varētu pamatoti izmantot, jo īpaši atsaucoties uz identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem šai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, saimnieciskās, kultūras vai sociālās identitātes faktoriem;

2)           "personas dati" ir jebkāda informācija, kas attiecas uz datu subjektu;

3)           "apstrāde" ir jebkura ar personas datiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana – izmantojot nosūtīšanu, izplatīšanu vai, citādi darot pieejamus, – saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

4)           "apstrādes ierobežošana" ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

5)           "kartotēka" ir jebkurš sakārtots personas datu kopums, kurā šie dati ir pieejami saskaņā ar īpašiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

6)           "pārzinis" ir kompetentā publiskā iestāde, kas viena vai kopā ar citiem nosaka personas datu apstrādes nolūkus, nosacījumus un līdzekļus; ja apstrādes nolūkus, nosacījumus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktu, pārzini vai viņa iecelšanas konkrētos kritērijus var noteikt Savienības vai dalībvalsts tiesību akti;

7)           "apstrādātājs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura pārziņa vārdā apstrādā personas datus;

8)           "saņēmējs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kurai tiek izpausti personas dati;

9)           "personas datu aizsardzības pārkāpums" ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

10)         "ģenētiskie dati" ir visi dati, neatkarīgi no datu veida, par fiziskas personas pazīmēm, kas mantotas vai iegūtas agrīnas pirmsnatālās attīstības gaitā;

11)         "biometriskie dati" ir visi dati saistībā ar personas fiziskajām, psiholoģiskajām vai uzvedības pazīmēm, kas ļauj veikt unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

12)         "veselības dati" ir visa veida informācija saistībā ar personas fizisko vai garīgo veselību vai veselības aprūpes pakalpojumu sniegšanu personai;

13)         "bērns" ir persona, kas nav sasniegusi 18 gadu vecumu;

14)         "kompetentās iestādes" ir visas publiskās iestādes, kuru kompetencē ir noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana, saukšana pie atbildības par tiem vai kriminālsodu izpilde;

15)         "uzraudzības iestāde" ir valsts iestāde, ko dalībvalsts izveidojusi saskaņā ar 39. pantu.

II NODAĻA

PRINCIPI

4. pants Personas datu apstrādes principi

Dalībvalstis paredz, ka personas datiem jābūt:

a)      godprātīgi un likumīgi apstrādātiem;

b)      vāktiem konkrētiem, skaidriem un likumīgiem nolūkiem, un tos nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā;

c)      adekvātiem, atbilstīgiem un ne pārlieku apjomīgiem, ņemot vērā nolūkus, kādos tos apstrādā;

d)      precīziem un vajadzības gadījumā tie jāatjaunina; jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiek dzēsti vai laboti;

e)      saglabātiem veidā, kas pieļauj datu subjektu identifikāciju ne ilgāk, kā tas nepieciešams nolūkiem, kuriem personas datus apstrādā;

f)       un personas datus apstrādāt ir pārziņa pienākums un atbildība, kurš nodrošina atbilstību noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu.

.

5. pants Dažādu datu subjektu kategoriju nošķiršana

1.           Dalībvalstis nodrošina, ka, cik iespējams, pārzinis skaidri nošķir dažādu datu subjektu kategoriju personas datus, piemēram:

a)      personas, attiecībā uz kurām pastāv nopietns pamats ticēt, ka tās ir izdarījušas vai drīzumā izdarīs noziedzīgu nodarījumu;

b)      personas, kas ir notiesātas par noziedzīgu nodarījumu;

c)      noziedzīgā nodarījumā cietušas personas vai personas, attiecībā uz kurām noteikti fakti liek ticēt, ka viņš vai viņa varētu būt noziedzīgā nodarījumā cietušais;

d)      trešās personas saistībā ar noziedzīgu nodarījumu, piemēram, personas, kuras varētu aicināt sniegt liecības saistībā ar noziedzīgiem nodarījumiem pēcāk notiekošā kriminālprocesā, vai personas, kuras var sniegt informāciju par noziedzīgiem nodarījumiem, vai kontaktpersona vai līdzdalībnieks kādai no a) un b) apakšpunktā minētajām personām; un

e)      personas, kuras neietilpst nevienā no iepriekš minētajām kategorijām.

6. pants Personas datu precizitātes un uzticamības pakāpes

1.           Dalībvalstis nodrošina, ka, cik iespējams, dažādās apstrādāto personas datu kategorijas, tiek nošķirtas atkarībā no to precizitātes un uzticamības pakāpes.

2.           Dalībvalstis nodrošina, ka, cik iespējams, personas dati, kas balstās uz faktiem, tiek nošķirti no personas datiem, kas balstās uz personiskiem vērtējumiem.

7. pants Apstrādes likumīgums

Dalībvalstis nodrošina, ka personas datu apstrāde ir likumīga tikai, ja un ciktāl šī apstrāde ir nepieciešama:

a)           uzdevuma izpildei, ko veic kompetentā iestāde, pamatojoties uz likumu, nolūkiem, kas minēti 1. panta 1. punktā; vai

b)           lai izpildītu uz personas datu pārzini attiecināmas juridiskas saistības; vai

c)           lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai

d)           lai novērstu tūlītējus un nopietnus draudus sabiedrības drošībai.

8. pants Īpašu kategoriju personas datu apstrāde

1.           Dalībvalstis aizliedz tādu personas datu apstrādi, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģiju vai pārliecību, dalību arodbiedrībās, ģenētiskos datus, kā arī uz veselību vai seksuālo dzīvi attiecināmu datu apstrādi.

2.           Šā panta 1. punktu nepiemēro, ja:

a)      apstrāde ir atļauta likumā, kas paredz pienācīgus drošības pasākumus; vai

b)      apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai

c)      apstrāde attiecas uz datiem, kurus datu subjekts acīmredzami ir publiskojis.

9. pants Pasākumi, kas balstās uz profilēšanu un automatizētu apstrādi

1.           Dalībvalsts nosaka, ka pasākumi, kuri izraisa nelabvēlīgas tiesiskas sekas datu subjektam vai būtiski to ietekmē un kuru pamatā ir tikai automatizēta datu apstrāde, kas paredzēta, lai izvērtētu konkrētus ar šo datu subjektu saistītus personiskus aspektus, ir aizliegti, ja vien tie nav atļauti ar likumu, kurā paredzēti arī pasākumi, lai aizsargātu datu subjekta likumīgās intereses.

2.           Personas datu automatizētu apstrādi, kas paredzēta, lai izvērtētu konkrētus ar šo datu subjektu saistītus personiskus aspektus, nebalsta tikai uz īpašu kategoriju personas datiem, kas minēti 8. pantā.

III NODAĻA

DATU SUBJEKTA TIESĪBAS

10. pants Datu subjekta tiesību izmantošanas kārtība

1.           Dalībvalstis nodrošina, ka pārzinis veic visus saprātīgos pasākumus, lai izveidotu caurskatāmas un viegli pieejamas personas datu apstrādes un datu subjektu tiesību izmantošanas vadlīnijas.

2.           Dalībvalstis nodrošina, ka pārzinis visu informāciju un paziņojumus datu subjektam saistībā ar personas datu apstrādi sniedz saprotamā veidā, izmantojot skaidru un vienkāršu valodu.

3.           Dalībvalstis nodrošina, ka pārzinis veic visus saprātīgos pasākumus, lai izveidotu procedūras 11. pantā minētās informācijas sniegšanai un 12. - 17. pantā minēto datu subjekta tiesību izmantošanai.

4.           Dalībvalstis nodrošina, ka pārzinis bez nepamatotas kavēšanās informē datu subjektu par darbībām, kas veiktas saistībā ar tā pieprasījumu.

5.           Dalībvalstis nodrošina, ka informācija un darbības, ko pārzinis veic pēc 3. un 4. punktā minētā pieprasījuma saņemšanas, ir bez maksas. Ja pieprasījumi ir kaitnieciski, jo īpaši to regulāras atkārtošanās, lieluma vai apmēra dēļ, pārzinis var pieprasīt samaksu par informācijas sniegšanu vai par pieprasītās darbības veikšanu, vai arī pārzinis var neveikt pieprasīto darbību. Šādā gadījumā pārzinim ir pienākums pierādīt, ka pieprasījums ir kaitniecisks.

11. pants Datu subjekta informēšana

1.           Ja tiek vākti datu subjekta personas dati, dalībvalstis nodrošina, ka pārzinis veic piemērotus pasākumus, lai sniegtu datu subjektam vismaz šādu informāciju:

a)      pārziņa un datu aizsardzības inspektora identitāte un kontaktinformācija;

b)      apstrādes nolūki, kam paredzēti personas dati;

c)      termiņš, cik ilgi personas dati tiks glabāti;

d)      tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu, dzēšanu vai personas datu apstrādes ierobežošanu;

e)      tiesības iesniegt sūdzību 39. pantā minētajai uzraudzības iestādei un tās kontaktinformāciju;

f)       personas datu saņēmēji vai datu saņēmēju kategorijas, tai skaitā trešajās valstīs vai starptautiskās organizācijās;

g)      jebkura citu papildu informācija, ciktāl papildu informācija ir vajadzīga, lai garantētu godprātīgu apstrādi attiecībā pret datu subjektu, ņemot vērā konkrētos apstākļus, kādos personas datus vāc.

2.           Ja personas datus iegūst no datu subjekta, papildus informācijai, kas minēta 1. punktā, pārzinis informē datu subjektu par to, vai personas datu sniegšana ir obligāta vai brīvprātīga, kā arī par iespējamām sekām, ja šādi dati netiks sniegti.

3.           Pārzinis sniedz informāciju, kas minēta 1. punktā:

a)      personas datu ieguves laikā, ja tos iegūst no datu subjekta; vai

b)      ja personas datus neiegūst no datu subjekta – reģistrēšanas laikā vai saprātīgā termiņā pēc iegūšanas, ņemot vērā konkrētos apstākļus, kādos dati ir apstrādāti.

4.           Dalībvalstis var pieņemt leģislatīvus pasākumus, lai atliktu, ierobežotu vai nesniegtu informāciju datu subjektam, ciktāl šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, ņemot vēra attiecīgās personas likumīgās intereses:

a)      lai izvairītos, ka tiek traucēta oficiāla vai tiesas pārbaudes, izmeklēšana vai procedūra;

b)      lai netraucētu noziedzīgu nodarījumu novēršanu, atklāšanu, izmeklēšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi;

c)      lai aizsargātu sabiedrības drošību;

d)      lai aizsargātu valsts drošību;

e)      lai aizsargātu citu personu tiesības un brīvības.

5.           Dalībvalstis var noteikt datu apstrādes kategorijas, uz kurām daļēji vai pilnībā attiecas 4. punktā minētie izņēmumi.

12. pants Datu subjekta piekļuves tiesības

1.           Dalībvalstis nodrošina, ka datu subjektam jebkurā laikā pēc pieprasījuma ir tiesības saņemt no pārziņa apstiprinājumu par to, vai viņa personas dati tiek apstrādāti. Ja šādi personas dati tiek apstrādāti, pārzinis sniedz šādu informāciju:

a)      apstrādes nolūki;

b)      attiecīgo personas datu kategorijas;

c)      personas datu saņēmēji vai datu saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs;

d)      termiņš, cik ilgi personas dati tiks glabāti;

e)      tiesības pieprasīt pārzinim datu subjekta personas datu labošanu, dzēšanu vai personas datu apstrādes ierobežošanu;

f)       tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

g)      paziņojums par apstrādē esošajiem personas datiem un visa pieejamā informācija par datu avotu.

2.           Dalībvalstis nodrošina, ka datu subjektam ir tiesības saņemt no pārziņa apstrādē esošo personas datu kopiju.

13. pants Piekļuves tiesību ierobežojumi

1. Dalībvalstis var pieņemt leģislatīvus pasākumus, lai pilnībā vai daļēji ierobežotu datu subjekta piekļuves tiesības, ciktāl šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, ņemot vēra attiecīgās personas likumīgās intereses:

a)      lai izvairītos, ka tiek traucēta oficiāla vai tiesas pārbaude, izmeklēšana vai procedūra;

b)      lai netraucētu noziedzīgu nodarījumu novēršanu, atklāšanu, izmeklēšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi;

c)      lai aizsargātu sabiedrības drošību;

d)      lai aizsargātu valsts drošību;

e)      lai aizsargātu citu personu tiesības un brīvības.

2. Dalībvalstis var likumā noteikt datu apstrādes kategorijas, uz kurām daļēji vai pilnībā attiecas 1. punktā minētie izņēmumi.

3. Gadījumos, kas minēti 1. un 2. punktā, dalībvalstis nodrošina, ka pārzinis rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem, par atteikuma iemesliem un par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā. Informāciju par faktiskajiem vai tiesiskajiem iemesliem, kas ir lēmuma pamatā, var nesniegt, ja šādas informācijas sniegšana var apdraudēt vienu no 1. punktā noteiktajiem mērķiem.

4. Dalībvalstis nodrošina, ka pārzinis dokumentē iemeslus, kāpēc netiek sniegta informācija par faktiskajiem vai tiesiskajiem iemesliem, kuri ir lēmuma pamatā.

14. pants Piekļuves tiesību izmantošanas kārtība

1.           Dalībvalstis, jo īpaši 13. pantā minētajos gadījumos, nodrošina datu subjekta tiesības pieprasīt, lai uzraudzības iestāde pārbauda apstrādes likumību.

2.           Dalībvalstis nodrošina, ka pārzinis informē datu subjektu par tiesībām pieprasīt uzraudzības iestādes iejaukšanos saskaņā ar 1. punktu.

3.           Ja tiek izmantotas 1. punktā minētās tiesības, uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes, un par to rezultātiem attiecībā uz apstrādes likumību.

15. pants Tiesības uz datu labošanu

1.           Dalībvalstis nodrošina, ka datu subjektam attiecībā pret pārzini ir tiesības uz savu personas datu labošanu, ja tie ir neprecīzi. Datu subjektam ir tiesības uz nepilnīgu personas datu papildināšanu, jo īpaši, izmantojot paziņojumu par labojumiem.

2.           Dalībvalstis nodrošina, ka pārzinis rakstiski informē datu subjektu par atteikumu labot datus, par atteikuma iemesliem un par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā.

16. pants Tiesības uz dzēšanu

1. Dalībvalstis nodrošina datu subjektam attiecībā pret pārzini tiesības panākt savu personas datu dzēšanu, ja apstrāde neatbilst noteikumiem, kas pieņemti saskaņā ar šīs direktīvas 4. panta a) līdz e) apakšpunktu, 7. un 8. pantu.

2. Pārzinis nekavējoties dzēš datus.

3. Dzēšanas vietā pārzinis iezīmē personas datus, ja:

a)      datu subjekts apstrīd datu precizitāti — uz laiku, kurā pārzinis pārbauda datu precizitāti;

b)      personas dati ir jāsaglabā kā pierādījumi;

c)      datu subjekts iebilst pret datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu.

4. Dalībvalstis nodrošina, ka pārzinis rakstiski informē datu subjektu par atteikumu dzēst datus vai apstrādes iezīmēšanu, par atteikuma iemesliem un par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā.

17. pants Datu subjekta tiesības kriminālizmeklēšanā un kriminālprocesā

Dalībvalstis var noteikt, ka 11. – 16. pantā minētās tiesības uz informāciju, piekļuvi, labošanu, dzēšanu un apstrādes ierobežošanu tiek izmantotas saskaņā ar valsts procesuālajiem tiesību aktiem, ja personas dati ir ietverti juridiskā lēmumā vai reģistrā, ko apstrādā kriminālizmeklēšanas un tiesas procesa gaitā.

IV NODAĻA PĀRZINIS UN APSTRĀDĀTĀJS

1. IEDAĻA VISPĀRĪGI PIENĀKUMI

18. pants Pārziņa pienākumi

1.           Dalībvalstis nosaka, ka pārzinis pieņem vadlīnijas un īsteno piemērotus pasākumus, lai nodrošinātu, ka personas datu apstrāde notiek atbilstoši noteikumiem, kas pieņemti saskaņā ar šo direktīvu.

2.           Pasākumi, kas minēti 1. punktā, jo īpaši ietver:

a)      dokumentācijas glabāšanu, kas minēta 23. pantā;

b)      iepriekšējas apspriešanās pienākuma ievērošanu saskaņā ar 26. pantu;

c)      datu drošības prasību īstenošanu, kas minētas 27. pantā;

d)      datu aizsardzības inspektora iecelšanu saskaņā ar 30. pantu.

3.           Pārzinis īsteno mehānismus, kas nodrošina šā panta 1. punktā minēto pasākumu efektivitātes pārbaudi. Ja tas ir samērīgi, šo pārbaudi veic neatkarīgs iekšējs vai ārējs revidents.

19. pants Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.           Dalībvalstis paredz, ka, ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, pārzinis īsteno piemērotus tehniskus un organizatoriskus pasākumus tā, lai apstrāde atbilstu noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un nodrošinātu datu subjektu tiesību aizsardzību.

2.           Pārzinis īsteno mehānismus, lai nodrošinātu, ka pēc noklusējuma, tiek apstrādāti tikai tie personas dati, kuri ir nepieciešami apstrādes nolūkiem.

20. pants Kopīgi pārziņi

Dalībvalstis nodrošina, ka, gadījumā ja pārzinis personas datu apstrādes nolūkus, nosacījumus un līdzekļus nosaka kopīgi ar citiem, kopīgie pārziņi, savstarpēji vienojoties, nosaka savus attiecīgos pienākumus, lai nodrošinātu atbilstību noteikumiem, kas pieņemti saskaņā ar šo direktīvu, jo īpaši attiecībā uz procedūrām un mehānismiem datu subjekta tiesību izmantošanai.

21. pants Apstrādātājs

1. Dalībvalstis paredz, ka, gadījumos ja apstrādes darbību veic pārziņa vārdā, pārzinim ir jāizvēlas apstrādātājs, kas sniedz pietiekamas garantijas par to, ka tas īsteno piemērotus tehniskus un organizatoriskus pasākumus un procedūras tā, lai apstrāde atbilstu noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un nodrošinātu datu subjektu tiesību aizsardzību.

2. Dalībvalstis paredz, ka apstrādi, kuru veic datu apstrādātājs, reglamentē ar tiesību aktu, kurš pārzini saista ar apstrādātāju un paredz konkrētus noteikumus, jo īpaši to, ka apstrādātājs rīkojas tikai saskaņā ar pārziņa norādījumiem, jo īpaši gadījumos, kad izmantoto personas datu nosūtīšana ir aizliegta.

3. Ja apstrādātājs apstrādā personas datus citādi, nekā norādījis pārzinis, apstrādātāju uzskata par pārzini attiecībā uz šo apstrādi un viņam ir piemērojami 20. pantā paredzētie noteikumi par kopīgiem pārziņiem.

22. pants Apstrāde pārziņa un apstrādātāja pakļautībā

Dalībvalstis nodrošina, ka apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, var apstrādāt šos datus tikai saskaņā ar pārziņa norādījumiem vai ja to nosaka Savienības vai dalībvalsts tiesību akti.

23. pants Dokumentācija

1.           Dalībvalstis nodrošina, ka katrs datu pārzinis un apstrādātājs saglabāt visu apstrādes sistēmu un procedūru dokumentāciju, par kurām tas ir atbildīgs.

2.           Dokumentācijā ietver vismaz šādu informāciju:

a)      pārziņa vai kopīgo pārziņu nosaukumu un kontaktinformāciju;

b)      apstrādes nolūkus;

c)      personas datu saņēmējus vai datu saņēmēju kategorijas;

d)      informāciju par datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, ietverot šīs trešās valsts vai starptautiskās organizācijas identifikāciju.

3.           Pārzinis un apstrādātājs dara šo dokumentāciju pieejamu uzraudzības iestādei pēc tās pieprasījuma.

24. pants Reģistrs

1.           Dalībvalstis nodrošina, ka tiek reģistrēta un saglabāta informācija par vismaz šādām apstrādes darbībām: vākšanu, pārveidošanu, aplūkošanu, izpaušanu, kombinēšanu vai dzēšanu. Ierakstos par aplūkošanu un izpaušanu jo īpaši atklāj šādu darbību nolūkus, datumu un laiku, un, ciktāl iespējams, identificē personu, kura aplūkoja vai izpauda personas datus.

2.           Reģistru izmanto tikai, lai pārbaudītu datu apstrādes likumību, veiktu pašuzraudzību un nodrošinātu datu integritāti un drošību.

25. pants Sadarbība ar uzraudzības iestādi

1.           Dalībvalstis nodrošina, ka pārzinis un apstrādātājs, pildot savus uzdevumus, pēc pieprasījuma sadarbojas ar uzraudzības iestādi, jo īpaši sniedzot visu informāciju, kas uzraudzības iestādei ir nepieciešama tās uzdevumu veikšanai.

2.           Ja uzraudzības iestāde izmanto savas pilnvaras saskaņā ar 46. panta a) un b) apakšpunktu, pārzinis un apstrādātājs atbild uzraudzības iestādei saprātīgā termiņā, ko nosaka uzraudzības iestāde. Atbildē ietilpst arī veikto pasākumu apraksts un rezultāti, kas panākti, reaģējot uz uzraudzības iestādes piezīmēm.

26. pants Iepriekšēja apspriešanās ar uzraudzības iestādi

1. Dalībvalstis nodrošina, ka pārzinis vai apstrādātājs pirms tādu personas datu apstrādes, kurus ietvers jaunizveidotā kartotēkā, apspriežas ar valsts uzraudzības iestādi gadījumos, ja:

a)      tiks apstrādāti īpašu kategoriju dati, kas minēti 8. pantā;

b)      datu apstrādes veids, jo īpaši izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, rada cita veida īpašu risku attiecībā uz datu subjekta pamattiesībām un brīvībām, jo īpaši attiecībā uz personas datu aizsardzību.

2. Dalībvalstis var noteikt, ka uzraudzības iestāde izveido apstrādes darbību sarakstu, par kurām veic iepriekšēju apspriešanos saskaņā ar 1. punktu.

2. IEDAĻA DATU DROŠĪBA

27. pants Apstrādes drošība

1.           Dalībvalstis nodrošina, ka, ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst ar apstrādi saistītajam riskam un aizsargājamo datu īpatnībām.

2.           Attiecībā uz datu automatizētu apstrādi katra dalībvalsts nodrošina, ka pārzinis vai apstrādātājs pēc risku izvērtēšanas īsteno pasākumus, lai:

a)      liegtu nepiederošām personām pieeju datu apstrādes iekārtām, kuras izmanto personas datu apstrādei (piekļuves kontrole iekārtām);

b)      novērstu datu nesankcionētu nolasīšanu, kopēšanu, grozīšanu vai datu nesēju izņemšanu (datu nesēju kontrole);

c)      liegtu datu neatļautu ievadīšanu datubāzē, kā arī liegtu saglabāto personas datu neatļautu apskati, grozīšanu vai dzēšanu (glabāšanas kontrole);

d)      liegtu izmantot datu apstrādes automatizētas sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (lietotāju kontrole);

e)      nodrošinātu, ka personām, kas ir pilnvarotas izmantot datu apstrādes automatizētu sistēmu, ir piekļuve tikai tiem datiem, uz kuriem attiecas viņu piekļuves tiesības (datu piekļuves kontrole);

f)       nodrošinātu, ka ir iespējams pārbaudīt un noteikt, kurām struktūrām dati ir vai var tikt nosūtīti vai izpausti, izmantojot datu komunikācijas iekārtas (komunikācijas kontrole);

g)      nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kādi personas dati ir ievadīti datu automatizētas apstrādes sistēmās, kā arī ievadīšanas laiku un ievadītāju (ievades kontrole);

h)      novērstu personas datu nesankcionētu nolasīšanu, kopēšanu, grozīšanu vai dzēšanu personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (transportēšanas kontrole);

i)       nodrošinātu, ka traucējumu gadījumā uzstādītās sistēmas var atjaunot (atgūšana);

j)       nodrošinātu, ka sistēma funkcionē tā, ka par darbības kļūdu parādīšanos tiek ziņots (drošums) un saglabātie dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (integritāte).

3.           Komisija nepieciešamības gadījumā var pieņemt īstenošanas aktus, lai precizētu 1. un 2. minētos noteikumus dažādās situācijās, jo īpaši šifrēšanas standartus. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā.

28. pants Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei

1.           Dalībvalstis nodrošina, ka personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja tas iespējams, ne vēlāk kā 24 stundās no brīža, kad tas kļuvis zināms, paziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu. Pārzinis pēc pieprasījuma sniedz uzraudzības iestādei pamatotu paskaidrojumu gadījumos, kad paziņošana nav notikusi 24 stundu laikā.

2.           Apstrādātājs pēc tam, kad viņam ir kļuvis zināms par personas datu aizsardzības pārkāpumu, nekavējoties brīdina un informē pārzini.

3.           Paziņojumā, kas minēts 1. punktā, ietver vismaz šādu informāciju:

a)      apraksta personas datu aizsardzības pārkāpuma būtību, tostarp skarto datu subjektu kategorijas un skaitu un skarto datu ierakstu kategorijas un skaitu;

b)      paziņo 30. pantā minētā datu aizsardzības inspektora vai cita kontaktpunkta, kur var iegūt papildu informāciju, identitāti un kontaktinformāciju;

c)      iesaka pasākumus personas datu aizsardzības pārkāpuma iespējamās nelabvēlīgās ietekmes mazināšanai;

d)      apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

e)      apraksta pārziņa ierosinātos vai veiktos pasākumus, lai risinātu personas datu aizsardzības pārkāpumu.

4.           Dalībvalstis nodrošina, ka pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot pārkāpumu izdarīšanas apstākļus, to sekas un veiktās koriģējošās darbības. Dokumentācijai jāļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu. Dokumentācijā ietver tikai šim nolūkam nepieciešamo informāciju.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 56. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz 1. un 2. punktā minētā personas datu aizsardzības pārkāpuma konstatēšanu un jo īpaši apstākļus, kuros pārzinim un apstrādātājam ir pienākums ziņot par personas datu aizsardzības pārkāpumu.

6.           Komisija var noteikt šāda paziņojuma uzraudzības iestādei standarta formu, procedūras, kas piemērojamas pienākumam paziņot, un formu un kārtību dokumentācijai, kas minēta 4. punktā, ietverot arī termiņus, kuros dzēš tajā ietverto informāciju. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā.

29. pants Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.           Dalībvalstis nodrošina, ka, gadījumā ja personas datu aizsardzības pārkāpums var nelabvēlīgi ietekmēt datu subjekta personas datu vai privātuma aizsardzību, pārzinis pēc tam, kad ir paziņojis par pārkāpumu saskaņā ar 28. pantu, bez nepamatotas kavēšanās informē datu subjektu par personas datu aizsardzības pārkāpumu.

2.           Paziņojumā datu subjektam, kas minēts 1. punktā, apraksta personas datu aizsardzības pārkāpuma būtību un ietver vismaz 28. panta 3. punkta b) un c) apakšpunktā minēto informāciju un ieteikumus.

3.           Datu subjekts nav jāinformē par personas datu aizsardzības pārkāpumu, ja pārzinis uzraudzības iestādei ir uzskatāmi pierādījis, ka tas ir īstenojis atbilstīgus tehniskus aizsardzības pasākumus un šie pasākumi tikuši piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums. Ar šādiem tehniskiem aizsardzības pasākumiem datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem.

4.           Paziņojumu datu subjektam var atlikt, ierobežot vai nesniegt, pamatojoties uz iemesliem, kas minēti 11. panta 4. punktā.

3. IEDAĻA DATU AIZSARDZĪBAS INSPEKTORS

30. pants Datu aizsardzības inspektora iecelšana

1. Dalībvalstis nodrošina, ka pārzinis vai apstrādātājs ieceļ datu aizsardzības inspektoru.

2. Datu aizsardzības inspektoru ieceļ, pamatojoties uz tā profesionālo kvalifikāciju, jo īpaši pamatojoties uz eksperta līmeņa zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt uzdevumus, kas minēti 32. pantā.

3. Datu aizsardzības inspektoru var iecelt vairākām vienībām, ņemot vērā kompetentās iestādes organizatorisko uzbūvi

31. pants Datu aizsardzības inspektora statuss

1. Dalībvalstis paredz, ka pārzinis vai apstrādātājs nodrošina, ka datu aizsardzības inspektors tiek pienācīgi un laicīgi iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

2. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības inspektoram ir nepieciešamie līdzekļi, lai pildītu 32. pantā minētos pienākumus un uzdevumus efektīvi un neatkarīgi un lai viņš nesaņemtu nekādus norādījumus attiecībā uz savu funkciju veikšanu.

32. pants Datu aizsardzības inspektora uzdevumi

Dalībvalstis nodrošina, ka pārzinis un apstrādātājs uztic datu aizsardzības inspektoram vismaz šādus uzdevumus:

a)           informēt un konsultēt pārzini vai apstrādātāju par viņu pienākumiem saskaņā noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu, un dokumentēt šīs darbības un saņemtās atbildes;

b)           uzraudzīt vadlīniju īstenošanu un piemērošanu saistībā ar personas datu aizsardzību, ietverot arī pienākumu sadali, apstrādes darbībās iesaistīto darbinieku mācības un ar to saistītas revīzijas.

c)           uzraudzīt noteikumu, kas pieņemti, pamatojoties uz šo direktīvu, īstenošanu un piemērošanu, jo īpaši attiecībā uz prasībām saistībā ar integrētu datu aizsardzību, datu aizsardzību pēc noklusējuma un datu drošību, un saistībā ar datu subjektu informēšanu un datu subjektu pieprasījumiem, izmantojot viņu tiesības saskaņā ar noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu;

d)           nodrošināt, ka tiek saglabāta 23. pantā minētā dokumentācija;

e)           uzraudzīt dokumentāciju, paziņojumus un informēšanu par personas datu aizsardzības pārkāpumiem saskaņā ar 28. un 29. pantu;

f)            uzraudzīt pieteikumu par iepriekšēju apspriešanos ar uzraudzības iestādi, ja tas ir nepieciešams saskaņā ar 26. pantu;

g)           uzraudzīt atbildes uz uzraudzības iestādes pieprasījumiem un datu aizsardzības inspektora kompetences ietvaros sadarboties ar uzraudzības iestādi pēc tās pieprasījuma vai pēc paša iniciatīvas;

h)      būt par uzraudzības iestādes kontaktpunktu ar apstrādi saistītos jautājumos un attiecīgos gadījumos konsultēties ar uzraudzības iestādi, pēc datu aizsardzības inspektora paša iniciatīvas.

V NODAĻA PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

33. pants Personas datu nosūtīšanas vispārīgie principi

Dalībvalstis nodrošina, ka personas datu nosūtīšanu, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, ietverot arī personas datu tālāku nosūtīšanu citai trešai valstij vai citai starptautiskai organizācijai, kompetentās iestādes var veikt tikai tad, ja:

a)      nosūtīšana ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus; un

b)      pārzinis un apstrādātājs izpilda šajā nodaļā paredzētos nosacījumus.

34. pants Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.           Dalībvalsts nodrošina, ka personas datu nosūtīšana trešai valstij vai starptautiskai organizācijai var notikt, ja Komisija saskaņā ar Regulas (ES) …./2012 41. pantu vai saskaņā ar šā panta 3. punktu ir lēmusi, ka trešā valsts vai teritorija vai apstrādes nozare attiecīgajā trešajā valstī vai starptautiskajā organizācijā nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda cita atļauja.

2.           Ja nav pieņemts lēmums, pamatojoties uz Regulas (ES) …./2012 41. pantu, Komisija novērtē aizsardzības līmeņa pietiekamību, ņemot vērā šādus elementus:

a)      tiesiskuma princips, spēkā esošie attiecīgie tiesību akti – gan vispārīgie, gan nozaru – ietverot arī tos, kas attiecas uz sabiedrības drošību, aizsardzību, valsts drošību un krimināltiesībām, drošības pasākumi, kurus ievēro šajā valstī vai starptautiskajā organizācijā, kā arī tiesību efektivitāte un īstenojamība, ietverot efektīvus datu subjektu tiesībaizsardzības līdzekļus gan administratīvā kārtā, gan tiesā un jo īpaši attiecībā uz tiem datu subjektiem, kas dzīvo Savienībā un kuru datus nosūta;

b)      vai attiecīgajā trešā valstī vai starptautiskajā organizācijā pastāv un efektīvi darbojas viena vai vairākas uzraudzības iestādes, kas atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu, par datu subjekta atbalstīšanu un konsultēšanu saistībā ar tiesību izmantošanu un par sadarbību ar Savienības un dalībvalstu uzraudzības iestādēm; un

c)      kādas starptautiskās saistības uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija.

3.           Komisija šīs direktīvas darbības jomā var nolemt, ka trešā valsts, trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni 2. punkta izpratnē. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā.

4.           Īstenošanas aktā norāda tā ģeogrāfisko un nozaru piemērošanas jomu un attiecīgā gadījumā norāda uzraudzības iestādi, kas minēta 2. punkta b) apakšpunktā.

5.           Komisija šīs direktīvas piemērošanas jomā var nolemt, ka trešā valsts vai trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni 2. punkta nozīmē, jo īpaši gadījumos, kad attiecīgie trešā valstī vai starptautiskā organizācijā spēkā esošie tiesību akti – gan vispārīgie, gan nozaru – negarantē efektīvas un īstenojamas tiesības, ietverot efektīvus datu subjektu tiesībaizsardzības līdzekļus gan administratīvā kārtā, gan tiesā un jo īpaši attiecībā uz tiem datu subjektiem, kuru datus nosūta. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā, vai saskaņā ar procedūru, kas minēta 57. panta 3. punktā, ja tas ir ārkārtīgi steidzami saistībā ar personas tiesībām uz personas datu aizsardzību.

6.           Dalībvalstis nodrošina, ka, gadījumā ja Komisija pieņem lēmumu saskaņā ar 5. punktu, personas datu nosūtīšana uz attiecīgo trešo valsti, trešās valsts teritoriju vai apstrādes nozari vai starptautisko organizāciju ir aizliegta, neskarot nosūtīšanu saskaņā ar 35. panta 1. punktu un 36. pantu. Atbilstīgā laikā Komisija sāk sarunas ar trešo valsti vai starptautisko organizāciju ar nolūku labot situāciju, kas izriet no lēmuma, kas pieņemts saskaņā ar šā panta 5. punktu.

7.           Komisija Eiropas Savienības Oficiālajā Vēstnesī publicē sarakstu ar tām trešām valstīm, trešo valstu teritorijām un apstrādes nozarēm vai starptautiskām organizācijām, par kurām ir pieņemts lēmums par aizsardzības līmeņa pietiekamību vai nepietiekamību.

8.           Komisija uzrauga 3. un 5. punktā minēto īstenošanas aktu piemērošanu.

35. pants Nosūtīšana, pamatojoties uz atbilstošiem aizsardzības pasākumiem

1.           Ja Komisija nav pieņēmusi lēmumu saskaņā ar 34. pantu, dalībvalstis nodrošina, ka personas datu nosūtīšana saņēmējam trešā valstī vai starptautiskā organizācijā var notikt, ja:

a)      juridiski saistošā aktā ir nodrošināti atbilstoši personas datu aizsardzības pasākumi; vai

b)      pārzinis vai apstrādātājs ir izvērtējis visus apstākļus saistībā ar datu nosūtīšanu un secinājis, ka pastāv atbilstoši personas datu aizsardzības pasākumi.

1.           Lēmumu par nosūtīšanu, pamatojoties uz 1. punkta b) apakšpunktu, pieņem pienācīgi pilnvarots darbinieks. Šo nosūtīšanu dokumentē un dokumentāciju pēc pieprasījuma dara pieejamu uzraudzības iestādei.

36. pants Atkāpes

Atkāpjoties no 34. un 35. panta, dalībvalstis nodrošina, ka personas datu nosūtīšana saņēmējam trešā valstī vai starptautiskā organizācijā var notikt tikai, ja:

a)       nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai

b)       nosūtīšana ir nepieciešama, lai aizsargātu datu subjektu likumīgās intereses, gadījumos, kad tas ir noteikts nosūtošās dalībvalsts tiesību aktos; vai

c)       datu nosūtīšana ir būtiska, lai novērstu tiešus un nopietnus draudus sabiedrības drošībai dalībvalstī vai trešā valstī; vai

d)       nosūtīšana ir nepieciešama individuālos gadījumos, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus; vai

e)       nosūtīšana ir nepieciešama individuālos gadījumos, lai pamatotu, īstenotu vai aizstāvētu tiesiskus prasījumus saistībā ar noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi.

37. pants Īpaši nosacījumi personas datu nosūtīšanai

Dalībvalstis nodrošina, ka pārzinis informē personas datu saņēmēju par apstrādes ierobežojumiem un veic visus saprātīgos pasākumus, lai nodrošinātu, ka šie ierobežojumi tiek ievēroti.

38. pants Starptautiskā sadarbība personas datu aizsardzības jomā

1.           Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un dalībvalstis veic atbilstošus pasākumus, lai:

a)      izstrādātu efektīvus starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu izpildi;

b)      sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņojumus, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošus personas datu aizsardzības pasākumus un citas pamattiesības un brīvības;

c)      iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir uzlabot starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)      veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu.

2.           Nolūkos, kas minēti 1. punktā, Komisija īsteno atbilstošus pasākumus, lai veicinātu attiecības ar trešām valstīm vai ar starptautiskām organizācijām un jo īpaši to uzraudzības iestādēm, ja Komisija ir pieņēmusi lēmumu, ka tās nodrošina pietiekamu aizsardzības līmeni 34. panta 3. punkta nozīmē.

VI NODAĻA NEATKARĪGA UZRAUDZĪBAS IESTĀDE

1. IEDAĻA NEATKARĪBA

39. pants Uzraudzības iestāde

1. Katra dalībvalsts nosaka vienu vai vairākas publiskas iestādes, kuras ir atbildīgas par to noteikumu uzraudzīšanu, kuri pieņemti, pamatojoties uz šo direktīvu, un par tās konsekventas piemērošanas veicināšanu visā Savienībā, lai aizsargātu fizisku personu pamattiesības un brīvības saistībā ar personas datu apstrādi un veicinātu personas datu brīvu apriti Savienībā. Šajā nolūkā uzraudzības iestādes sadarbojas viena ar otru un ar Komisiju.

2. Dalībvalstis var noteikt, ka uzraudzības iestāde, kas dalībvalstī izveidota, pamatojoties uz Regulu (ES) ..../2012, veic uzraudzības iestādes uzdevumus, kuru ir jāizveido saskaņā ar šā panta 1. punktu.

3. Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, šī dalībvalsts norīko to uzraudzības iestādi, kas darbojas kā vienotais kontaktpunkts efektīvai šo iestāžu dalībai Eiropas Datu aizsardzības kolēģijā.

40. pants Neatkarība

1.           Dalībvalstis nodrošina, ka uzraudzības iestāde, pildot tai uzticētos pienākumus un īstenojot savas pilnvaras, rīkojas pilnīgi neatkarīgi.

2.           Katra dalībvalsts nodrošina, ka uzraudzības iestāde, veicot savus pienākumus, ne no viena nelūdz un nepieņem norādījumus.

3.           Uzraudzības iestādes locekļi atturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4.           Uzraudzības iestādes locekļi pēc pilnvaru laika beigām izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.

5.           Katra dalībvalsts nodrošina, ka uzraudzības iestādei ir piešķirti atbilstoši cilvēkresursi, tehniskie un finanšu resursi, telpas un infrastruktūra, kas nepieciešami efektīvai uzdevumu izpildei un pilnvaru īstenošanai, tostarp arī to uzdevumu izpildei, ko veic saistībā ar savstarpējo palīdzību, sadarbību un aktīvu dalību Eiropas Datu aizsardzības kolēģijā.

6            Katra dalībvalsts nodrošina, ka uzraudzības iestādei ir savs personāls, ko amatā ieceļ uzraudzības iestādes vadītājs un kas ir pakļauts tikai viņa vadībai.

7.           Dalībvalstis nodrošina, ka uzraudzības iestāde ir pakļauta finanšu kontrolei, kas neietekmē tas neatkarību. Dalībvalstis nodrošina, ka uzraudzības iestādei ir atsevišķs gada budžets. Budžetu dara zināmu atklātībai.

41. pants Vispārīgi noteikumi par uzraudzības iestādes locekļiem

1.           Dalībvalstis nodrošina, ka uzraudzības iestādes locekļus amatā ieceļ vai nu attiecīgās dalībvalsts parlaments vai valdība.

2.           Locekļus izvēlas no personu loka, kuru neatkarība nav apšaubāma un kuri uzskatāmi pierāda, ka tiem piemīt nepieciešamā pieredze un prasmes, lai pildītu savus pienākumus.

3.           Locekļu pienākumi beidzas, beidzoties pilnvaru laikam, atkāpjoties no amata vai atlaišanas gadījumā, ievērojot 5. punktu.

4.           Kompetentā valsts tiesa var atlaist locekli no amata vai atņemt tam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst savu pienākumu izpildes nosacījumiem vai ir vainīgs smaga amatpārkāpuma izdarīšanā.

5.           Beidzoties amata pilnvaru laikam vai atkāpjoties no amata, loceklis turpina pildīt savus pienākumus, kamēr amatā nav iecelts jauns loceklis.

42. pants Noteikumi uzraudzības iestādes izveidei

Katra dalībvalsts ar likumu nosaka:

a)           uzraudzības iestādes izveidi un statusu saskaņā ar 39. un 40. pantu;

b)           uzraudzības iestādes locekļu kvalifikāciju, pieredzi un prasmes, kas nepieciešamas pienākumu veikšanai;

c)           noteikumus un procedūras uzraudzības iestādes locekļu iecelšanai amatā, kā arī noteikumus par rīcību vai darbu, kas nav savienojams ar amata pienākumiem;

d)           uzraudzības iestādes locekļu amata pilnvaru laiku, kas nav mazāks par četriem gadiem, izņemot pirmo amata pilnvaru laiku pēc šīs direktīvas stāšanās spēkā, kas daļēji var būt uz īsāku laiku;

e)           vai uzraudzības iestādes locekļus var atkārtoti iecelt amatā;

f)            noteikumus un vienotus nosacījumus attiecībā uz uzraudzības iestādes locekļu un personāla pienākumiem;

g)           noteikumus un procedūras par uzraudzības iestādes locekļu pienākumu izbeigšanos arī gadījumā, ja tie vairs neatbilst savu pienākumu izpildes nosacījumiem vai ir vainīgi smaga amatpārkāpuma izdarīšanā.

43. pants Dienesta noslēpums

Dalībvalstis nodrošina, ka, esot amatā un arī pēc pilnvaru laika beigām, uzraudzības iestādes locekļi un personāls ievēro pienākumu glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus.

2. IEDAĻA PIENĀKUMI UN PILNVARAS

44. pants Kompetence

1.           Dalībvalstis nodrošina, ka katra uzraudzības iestāde savas dalībvalsts teritorijā īsteno pilnvaras, kas tai piešķirtas ar šo direktīvu.

2.           Dalībvalstis nodrošina, ka uzraudzības iestāde nav kompetenta uzraudzīt apstrādes darbības, ko veic tiesa, pildot tiesas spriešanas funkciju.

45. pants Pienākumi

1.           Dalībvalstis nodrošina, ka uzraudzības iestāde:

a)      uzrauga un nodrošina, pamatojoties uz šo direktīvu pieņemto noteikumu piemērošanu, un tās īstenošanas pasākumus;

b)      izskata datu subjekta vai viņu pārstāvošās asociācijas, kura ir pienācīgi pilnvarota, sūdzības saskaņā ar 50. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē datu subjektu vai asociāciju par lietas virzību un sūdzības rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

c)      pārbauda datu apstrādes likumību saskaņā ar 14. pantu un saprātīgā termiņā informē datu subjektu par pārbaudes rezultātiem vai iemesliem, kādēļ pārbaude netika veikta;

d)      sniedz palīdzību citām uzraudzības iestādēm un nodrošina, pamatojoties uz šo direktīvu pieņemto noteikumu, konsekventu piemērošanu;

e)      veic izmeklēšanu vai nu pati pēc savas iniciatīvas vai pamatojoties uz sūdzību vai citas uzraudzības iestādes pieprasījumu un saprātīgā termiņā informē attiecīgo datu subjektu, ja tas ir iesniedzis sūdzību, par izmeklēšanas rezultātiem;

f)       uzrauga nozīmīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

g)      konsultē dalībvalsts iestādes un struktūras par leģislatīviem un administratīviem pasākumiem saistībā ar personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi;

h)      konsultē par apstrādes darbībām saskaņā ar 26. pantu;

i)       piedalās Eiropas Datu aizsardzības kolēģijas darbībās.

2.           Katra uzraudzības iestāde uzlabo sabiedrības informētību par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi. Īpašu uzmanību pievērš darbībām, kas īpaši attiecas uz bērniem.

3.           Uzraudzības iestāde pēc pieprasījuma konsultē datu subjektu par tiesību izmantošanu, kuras izriet no noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un attiecīgā gadījumā šajā sakarā sadarbojas ar uzraudzības iestādēm citās dalībvalstīs.

4.           Attiecībā uz sūdzībām, kas minētas 1. punkta b) apakšpunktā, uzraudzības iestāde nodrošina elektroniski aizpildāmu sūdzības iesniegšanas veidlapu, neizslēdzot arī citus saziņas līdzekļus.

5.           Dalībvalstis nodrošina, ka attiecībā uz datu subjektu uzraudzības iestāde savus pienākumus veic bez maksas.

6.           Ja pieprasījumi ir kaitnieciski, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var pieprasīt samaksu vai neveikt datu subjekta pieprasīto darbību. Uzraudzības iestādei ir pienākums pierādīt, ka pieprasījums ir kaitniecisks.

46. pants Pilnvaras

Dalībvalstis nodrošina, ka katrai iestādei ir piešķirtas:

a)      izmeklēšanas pilnvaras, piemēram pilnvaras piekļūt datiem, kuri ir apstrādes darbību priekšmets, un pilnvaras vākt visu informāciju, kas ir nepieciešama tās uzraudzības pienākumu veikšanai;

b)      efektīvas iejaukšanās pilnvaras, piemēram, pilnvaras sniegt atzinumus pirms datu apstrādes darbību veikšanas un pilnvaras nodrošināt šo atzinumu atbilstīgu publiskošanu, pilnvaras ierobežot piekļuvi datiem, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, brīdināt vai izteikt aizrādījumu pārzinim vai pilnvaras nodot jautājumu izskatīšanai valsts parlamentam vai citām politiskām institūcijām;

c)      pilnvaras iesaistīties juridiskās procedūrās, ja pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi, vai darīt zināmus šos pārkāpumus tiesu iestādēm.

47. pants Darbības pārskats

Dalībvalstis nodrošina, ka katra uzraudzības iestāde sagatavo ikgadēju ziņojumu par savu darbību. Ziņojumu dara pieejamu Komisijai un Eiropas Datu uzraudzības kolēģijai.

VII NODAĻA Sadarbība

48. pants Savstarpēja palīdzība

1.           Dalībvalstis nodrošina, ka uzraudzības iestādes sniedz savstarpēju palīdzību, lai konsekventā veidā īstenotu un piemērotu noteikumus, pamatojoties uz šo direktīvu, un nosaka pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība attiecas jo īpaši uz informācijas pieprasījumiem un uzraudzības pasākumiem, piemēram, pieprasījumiem veikt iepriekšējas apspriešanās, pārbaudes vai izmeklēšanas.

2.           Dalībvalstis nodrošina, ka uzraudzības iestāde veic visus atbilstošos pasākumus, kas nepieciešami, lai atbildētu uz citas uzraudzības iestādes pieprasījumu.

3.           Uzraudzības iestāde, kurai pieprasījumus adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem, vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasošās iestādes pieprasījumu.

49. pants Eiropas Datu aizsardzības kolēģijas uzdevumi

1.           Eiropas Datu aizsardzības kolēģija, ko izveido ar Regulu (ES) …./2012, īsteno šādus uzdevumus attiecībā uz apstrādes darbībām, kas ir šīs direktīvas piemērošanas jomā:

a)      sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs direktīvas grozījumiem, kas tiek ierosināti;

b)      pēc Komisijas pieprasījuma vai pēc pašas kolēģijas vai viena no tās locekļu iniciatīvas pārbauda jautājumus, kas attiecas uz to noteikumu piemērošanu, kuri pieņemti, pamatojoties uz šo direktīvu, un izdod vadlīnijas, ieteikumus un norādījumus par paraugpraksi, kas adresēti uzraudzības iestādēm, lai veicinātu šo noteikumu konsekventu piemērošanu;

c)      pārskata b) apakšpunkta minēto vadlīniju, ieteikumu un paraugprakses īstenošanu un regulāri par to ziņo Komisijai;

d)      sniedz atzinumu Komisijai par aizsardzības līmeni trešās valstīs un starptautiskās organizācijās;

e)      veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un praksi starp uzraudzības iestādēm;

f)       veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm, kā arī, ja tas ir atbilstoši, ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

g)      veicina zināšanu un dokumentācijas apmaiņu ar datu aizsardzības uzraudzības iestādēm visā pasaulē, tai skaitā par datu aizsardzības tiesību aktiem un praksi.

2.       Ja Komisija lūdz Eiropas Datu aizsardzības kolēģijas padomu, tā var noteikt termiņu, kādā Eiropas Datu aizsardzības kolēģijai šāds padoms ir jāsniedz, ņemot vērā jautājuma steidzamību.

3.           Eiropas Datu aizsardzības kolēģija savus atzinumus, vadlīnijas, ieteikumus un paraugprakses nosūta Komisijai un 57. panta 1. punktā norādītajai komitejai un publisko tos.

4.           Komisija informē Eiropas Datu aizsardzības kolēģiju par darbību, kas veikta, ņemot vērā, Eiropas Datu aizsardzības kolēģijas sagatavotos atzinumus, vadlīnijas, ieteikumus un paraugpraksi.

VIII NODAĻA TIESISKĀS AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

50. pants Tiesības iesniegt sūdzību uzraudzības iestādē

1.           Neskarot citus administratīvus vai tiesiskus aizsardzības līdzekļus, dalībvalstis nodrošina, ka katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādei jebkurā dalībvalstī, ja tas uzskata, ka viņa personas datu apstrāde neatbilst noteikumiem, kas pieņemti saskaņā ar šo direktīvu.

2.           Dalībvalstis nodrošina, ka jebkurai struktūrai, organizācijai vai asociācijai, kuras mērķis ir aizsargāt datu subjektu tiesības un intereses saistībā ar to datu aizsardzību un kura ir atbilstoši izveidota saskaņā ar dalībvalsts tiesību aktiem, ir tiesības iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē viena vai vairāku datu subjektu vārdā, ja tā uzskata, ka datu subjektu tiesības, pamatojoties uz šo direktīvu, ir pārkāptas personas datu apstrādes rezultātā. Datu subjektam (subjektiem) šī organizācija vai asociācija ir atbilstoši jāpilnvaro.

3.           Dalībvalstis nodrošina, ka 2. punktā minētajai struktūrai, organizācijai vai asociācijai ir tiesības neatkarīgi no datu subjekta sūdzības iesniegt sūdzību dalībvalsts uzraudzības iestādē, ja tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums.

51. pants Tiesības vērsties tiesā pret uzraudzības iestādi

1. Dalībvalstis nodrošina tiesības vērsties tiesā pret uzraudzības iestādes lēmumiem.

2. Katram datu subjektam ir tiesības vērsties tiesā, lai liktu uzraudzības iestādei reaģēt uz sūdzību, ja nav pieņemts lēmums, kas nepieciešams viņu tiesību aizsardzībai, vai ja uzraudzības iestāde trīs mēnešu laikā neinformē datu subjektu par lietas virzību vai sūdzības rezultātiem saskaņā ar 45. panta 1. punkta b) apakšpunktu.

3. Dalībvalstis nodrošina, ka tiesvedība pret uzraudzības iestādi tiek uzsākta tās dalībvalsts tiesās, kurā atrodas uzraudzības iestāde.

52. pants Tiesības vērsties tiesā pret pārzini vai apstrādātāju

Neskarot pieejamos administratīvos aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, dalībvalstis fiziskām personām nodrošina tiesības vērsties tiesā, ja tās uzskata, ka to tiesības, kas paredzētas noteikumos, kuri pieņemti, pamatojoties uz šo direktīvu, ir aizskartas personas datu apstrādes rezultātā, kura neatbilst šiem noteikumiem.

53. pants Kopējie tiesvedības noteikumi

1.           Dalībvalstis nodrošina, ka visām 50. panta 2. punkta minētajām struktūrām, organizācijām vai asociācijām ir tiesības izmantot 51. un 52. pantā minētās tiesības viena vai vairāku datu subjektu vārdā.

2.           Katrai uzraudzības iestādei ir tiesības iesaistīties juridiskās procedūrās un vērsties tiesā, lai īstenotu noteikumus, kas pieņemti, pamatojoties uz šo direktīvu vai nodrošinātu personas datu aizsardzības konsekvenci Savienībā.

3.           Dalībvalstis nodrošina, ka tiesvedība, ko var veikt, pamatojoties uz valsts tiesību aktiem, ļauj ātri pieņemt pasākumus, tai skaitā pagaidu pasākumus, lai izbeigtu potenciālu pārkāpumu un novērstu turpmāku attiecīgo interešu aizskaršanu.

54. pants Atbildība un tiesības uz kompensāciju

1.           Dalībvalstis paredz to, ka jebkurai personai, kurai nodarīts kaitējums nelikumīgas datu apstrādes vai tādu darbību rezultātā, kuras neatbilst noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu, ir tiesības saņemt no pārziņa kompensāciju par nodarīto kaitējumu.

2.           Ja apstrādē ir iesaistīts vairāk nekā viens pārzinis vai apstrādātājs, visi pārziņi vai apstrādātāji par nodarīto kaitējumu atbild solidāri.

3.           Pārzini vai apstrādātāju var pilnībā vai daļēji atbrīvot no šīs atbildības, ja pārzinis vai apstrādātājs pierāda, ka nav atbildīgs par notikumu, kas radījis šo kaitējumu.

55. pants Sankcijas

Dalībvalstis paredz noteikumus par sankcijām, kas piemērojamas par noteikumu pārkāpumiem, kuri pieņemti, pamatojoties uz šo direktīvu, un veic visus vajadzīgos pasākumus, lai nodrošinātu to īstenošanu. Paredzētajām sankcijām ir jābūt efektīvām, samērīgām un atturošām.

IX NODAĻA DELEĢĒTIE AKTI UN ĪSTENOŠANAS AKTI

56. pants Deleģēšana

1.           Pilnvaras pieņemt deleģētus aktus Komisijai piešķir, ievērojot šajā pantā izklāstītos nosacījumus.

2.           Direktīvas 28. panta 5. punktā minētās pilnvaras ir deleģētas Komisijai uz nenoteiktu laiku, sākot ar šīs direktīvas spēkā stāšanās datumu.

3.           Eiropas Parlaments vai Padome var jebkurā laikā atsaukt 28. panta 5. punktā minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu izbeidzas lēmumā norādītās tiesības pieņemt deleģētos aktus. Lēmums stājas spēkā nākamajā dienā pēc lēmuma publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar jau spēkā esošos deleģētos aktus.

4.           Tiklīdz Komisija pieņem deleģēto aktu, tā paziņo par to vienlaikus Eiropas Parlamentam un Padomei.

5.           Saskaņā ar 28. panta 5. punktu pieņemts deleģētais akts stājas spēkā tikai tad, ja divu mēnešu laikā pēc Eiropas Parlamenta un Padomes informēšanas par šo aktu ne Eiropas Parlaments, ne Padome pret to nav izteikuši iebildumus vai ja pirms minētā termiņa beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju, ka tie iebildumus neizteiks. Šo termiņu pagarina par 2 mēnešiem pēc Eiropas Parlamenta vai Padomes iniciatīvas.

57. pants Komiteju procedūra

1. Komisijai palīdz komiteja. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 izpratnē.

2. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

3. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 8. pantu saistībā ar tās 5. pantu.

X NODAĻA NOBEIGUMA NOTEIKUMI

58. pants Atcelšana

1.           Padomes Pamatlēmums 2008/977/TI ir atcelts.

2.           Atsauces uz atcelto pamatlēmumu, kas minēts 1. punkta, uzskata par atsaucēm uz šo direktīvu.

59. pants Saistība ar iepriekš pieņemtiem Savienības aktiem par policijas un tiesu iestāžu sadarbību krimināllietās

Netiek skarti īpašie noteikumi par personas datu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, kuri iekļauti Savienības aktos, kas pieņemti pirms šīs direktīvas pieņemšanas datuma, kuri attiecas uz personas datu apstrādi starp dalībvalstīm un dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām šīs direktīvas piemērošanas jomā, kuras izveidotas, pamatojoties uz Līgumiem.

60. pants Saistība ar iepriekš noslēgtiem starptautiskiem nolīgumiem par policijas un tiesu iestāžu sadarbību krimināllietās

Starptautiski nolīgumus, ko dalībvalstis noslēgušas pirms šīs direktīvas stāšanās spēkā, ja nepieciešams, groza piecus gadus pēc šīs direktīvas stāšanās spēkā.

61. pants Izvērtēšana

1.           Komisija izvērtē šīs direktīvas piemērošanu.

2.           Komisija trīs gadus pēc šīs direktīvas stāšanās spēka pārskata citus Eiropas Savienības pieņemtos aktus, kas attiecas uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, jo īpaši tos Savienības aktus, kas minēti 59. pantā, lai izvērtētu nepieciešamību pielāgot tos šai direktīvai un, ja nepieciešams, iesniedz vajadzīgos priekšlikumus šos aktu grozīšanai, lai nodrošinātu konsekventu pieeju to personas datu aizsardzībai, uz kuriem attiecas šīs direktīvas piemērošanas joma.

3.           Komisija regulāri iesniedz Eiropas Parlamentam un Padomei ziņojumus, kuros saskaņā ar 1. punktu izvērtē un pārskata šo direktīvu. Pirmo ziņojumu iesniedz ne vēlāk kā četrus gadus pēc šīs direktīvas stāšanās spēkā. Turpmākos ziņojumus iesniedz reizi četros gados. Komisija, ja nepieciešams, iesniedz atbilstošus priekšlikumus, ar mērķi grozīt šo direktīvu un pielāgot citus tiesību aktus. Ziņojums ir publiski pieejams.

62. pants Īstenošana

1.           Dalībvalstis ne vēlāk kā [datums/2 gadus pēc direktīvas stāšanās spēkā] pieņem un publicē normatīvos un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Dalībvalstis tūlīt dara Komisijai zināmus minēto noteikumu tekstus.

Tās piemēro minētos noteikumus no xx.xx.201x.[datums/divi gadi pēc tās stāšanās spēkā].

Kad dalībvalstis pieņem minētos noteikumus, tajos ietver atsauci uz šo direktīvu vai arī šādu atsauci pievieno to oficiālajai publikācijai. Dalībvalstis nosaka paņēmienus, kā izdarāma šāda atsauce.

2.           Dalībvalstis dara zināmus Komisijai tiesību aktu svarīgāko noteikumu tekstu, ko tās pieņem jomā, uz ko attiecas šī direktīva.

63. pants Stāšanās spēkā un piemērošana

Šī direktīva stājas spēkā nākamajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

64. pants Adresāti

Šī direktīva ir adresēta dalībvalstīm.

Briselē, 25.1.2012

Eiropas Parlamenta vārdā                            Padomes vārdā

priekšsēdētājs                                                priekšsēdētājs

[1]               Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, OV L 281, 23.11.1995., 31. lpp.

[2]               Skat. pilno sarakstu ietekmes novērtējuma 3. pielikumā (SEC(2012)72).

[3]               Padomes Pamatlēmums 2008/977/TI (2008. gada 27. novembris) par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās, OV L 350, 30.12.2008., 60. lpp.

[4]               Stokholmas programmā, OV C 115, 4.5.2010., 1. lpp.

[5]               Skat. Eiropas Parlamenta rezolūciju par Stokholmas programmu, kas pieņemta 2009. gada 25. novembrī.

[6]               COM(2010)171 galīgā redakcija.

[7]               Eiropas Komisija, Paziņojums "Vispusīga pieeja personas datu aizsardzībai Eiropas Savienībai", COM(2010)609 galīgā redakcija, 2010. gada 4. novembris.

[8]               21. deklarācija par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā (kas pievienota Lisabonas līgumu pieņēmušās starpvaldību konferences nobeiguma aktam, 13.12.2007.).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Īpašais Eirobarometrs (EB) 359, Data Protection and Electronic Identity in the EU ("Datu aizsardzība un elektroniskā identitāte ES") (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Sk. Study on the economic benefits of privacy enhancing technologies (Pētījums par ekonomisko labumu, ko sniedz privātuma aizsardzību veicinošas tehnoloģijas) vai Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments (Salīdzinošais pētījums par dažādām pieejām jaunajām ar privātumu saistītajām problēmām, jo īpaši ņemot vērā tehnikas attīstību, 2010. gada janvāris.          (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Darba grupu izveidoja 1996. gadā ( ar Direktīvas 29. pantu) un tai ir padomdevējas struktūras statuss, to veido valstu datu aizsardzību uzraugošo iestāžu (DAIs), Eiropas Datu aizsardzības uzraudzītāja (EDAU) un Komisijas pārstāvji. Plašāku informāciju par tās darbību sk. šeit: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Jo īpaši sk. šādus atzinumus: par "Privātuma nākotni" (2009. gads, WP 168); par "personas datu apstrādātāja" un "apstrādātāja" jēdzienu (1/2010, WP 169); par biheiviorālo reklāmu tiešsaistē (2/2010, WP 171); par pārskatatbildības principu (3/2010, WP 173); par piemērojamiem tiesību aktiem (8/2010, WP 179); par piekrišanu (15/2011, WP 187). Pēc Komisijas lūguma tā pieņēma šādus konsultējošus dokumentus: par paziņojumiem, par sensitīviem datiem un par Direktīvas 95/46/EK 28. panta 6. punkta praktisko īstenošanu. Tiem visiem var piekļūt šeit: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Pieejams EDAU tīmekļa vietnē: http://www.edps.europa.eu/EDPSWEB/.

[16]             EP 2011. gada 6. jūlija rezolūcija par vispusīgu pieeju personas datu aizsardzībai Eiropas Savienībā (2011/2025(INI)), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=LV&ring=A7-2011-0244 (ziņotājs MEP Axel Voss (EPP/DE)).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012)12.

[20]             Eiropas Savienības Tiesas 2010. gada 9. novembra spriedums apvienotajās lietās C-92/09 un C-93/09 Volker un Markus Schecke un Eifert 2010., Krājums I-0000. lpp.

[21]             Saskaņā ar Hartas 52. panta 1. punktu tiesību uz personas datu aizsardzību izmantošanai var noteikt ierobežojumus, taču tiem ir jābūt noteiktiem tiesību aktos, tajos jārespektē šo tiesību un brīvību būtība un, ievērojot proporcionalitātes principu, ierobežojumus drīkst uzlikt tikai tad, ja tie ir nepieciešami un patiešām atbilst vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.

[22]             Minēta arī 2. panta a) punktā Eiropas Parlamenta un Padomes 2011. gada 13. decembra Direktīvā 2011/92/ES par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, un ar kuru aizstāj Padomes Pamatlēmumu 2004/68/TI, OV L 335, 17.12.2011., 1. lpp.

[23]             COM(2005)475 galīgā redakcija.

[24]             Lēmuma 2009/371/TI, ar ko izveido Eiropas Policijas biroju, 14. pants.

[25]             Lēmuma 2009/426/TI par Eurojust 15. pants.

[26]             Lēmuma 2009/371/TI, ar ko izveido Eiropas Policijas biroju, 14. pants.

[27]             Eiropas Cilvēktiesību tiesas 2008. gada 4. decembra spriedums lietā S un Marper pret AK (pieteikumi nr. 30562/04 un 30566/04)

[28]             Pieņemta Starptautiskajā datu aizsardzības un privātuma komisāru konferencē 2009. gada 5. novembrī.

[29]             Eiropas Savienības Tiesas 2010. gada 9. marta spriedums lietā Komisija pret Vāciju (C-518/07, Krājums 2010., I-1885. lpp.).

[30]             Eiropas parlamenta un padomes regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, OV L 008, 12.1.2001., 1. lpp.

[31]             Sk. 27. zemsvītras piezīmi.

[32]             Par pamatu ņemot Eiropas Parlamenta un Padomes 2000. gada 8. jūnija Direktīvu 2000/31/EK par dažiem informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo īpaši elektronisko tirdzniecību, iekšējā tirgū ("Direktīva par elektronisko tirdzniecību"); OV L 178, 17.7.2000., 1. lpp.

[33]             OV C …, , lpp.

[34]             OV L 281, 23.11.1995., 31. lpp.

[35]             OV L 350, 30.12.2008., 60. lpp.

[36]             OV L 55, 28.2.2011., 13. lpp.

[37]             OV L 335, 17.12.2011., 1. lpp.

[38]             OV L 176, 10.7.1999., 36. lpp.

[39]             OV L 53, 27.2.2008., 52. lpp.               

[40]             OV L 160, 18.6.2011., 19. lpp.