Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52017PC0008

Priekšlikums EIROPAS PARLAMENTA UN PADOMES REGULA par personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK

COM/2017/08 final - 2017/02 (COD)

No longer in force, Date of end of validity: 23/10/2018

Briselē, 10.1.2017

COM(2017) 8 final

2017/0002(COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA

par personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK


PASKAIDROJUMA RAKSTS

1.PRIEKŠLIKUMA KONTEKSTS

Priekšlikuma pamatojums un mērķi

Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punktā, kas izveidots ar Lisabonas līgumu, nostiprināts princips, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. Turklāt ar LESD 16. panta 2. punktu ir izveidots īpašs juridiskais pamats noteikumu par personas datu aizsardzību pieņemšanai. Personas datu aizsardzība ir ietverta Eiropas Savienības Pamattiesību hartas 8. pantā, piešķirot tai pamattiesības statusu.

Tiesības uz personas datu aizsardzību piemēro arī personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās. Galvenais tiesību akts par personas datu aizsardzību pašreizējā ES tiesiskā regulējuma ietvaros ir Regula (EK) Nr. 45/2001 1 , ko pieņēma 2001. gadā, vēloties sasniegt divus mērķus: aizsargāt pamattiesības uz datu aizsardzību un garantēt personas datu brīvu plūsmu visā Savienībā. To papildina Lēmums Nr. 1247/2002/EC 2 .

2016. gada 27. aprīlī Eiropas Parlaments un Eiropas Savienības Padome pieņēma Vispārīgo datu aizsardzības regulu (Regula (ES) 2016/679), kas stāsies spēkā 2018. gada 25. maijā. Ar šo regulu ir noteikts, ka, lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā un nodrošinātu, ka abi šie instrumenti ir piemērojami vienlaikus 3 , Regula (EK) Nr. 45/2001 ir jāpielāgo Regulā (ES) 2016/679 noteiktajiem principiem un noteikumiem.

Tas atbilst saskaņotai pieejai personas datu aizsardzības jomā visā Savienībā, kas paredz, ka Savienības iestāžu, struktūru, biroju un aģentūru datu aizsardzības noteikumiem ir jābūt pēc iespējas vairāk saskaņotiem ar tiem datu aizsardzības noteikumiem, kas pieņemti attiecībā uz dalībvalstīm. Ja priekšlikuma noteikumi ir balstīti uz tās pašas koncepcijas, kas ir Regulas (ES) 2016/679 noteikumu pamatā, abus šos noteikumus ir jāinterpretē viendabīgi, jo īpaši tāpēc, ka priekšlikuma sistēma ir ekvivalenta Regulas (ES) 2016/679 4 sistēmai.

Regulas (EK) Nr. 45/2001 pārskatā ir ņemti vērā rezultāti, kas iegūti, iztaujājot un apspriežoties ar ieinteresētajām personām, un veicot izvērtējumu par tās piemērošanu pēdējo 15 gadu laikā.

Šī iniciatīva neietilpst Normatīvās atbilstības programmas (REFIT) ietvaros.

Atbilstība spēkā esošajiem noteikumiem konkrētajā politikas jomā

Šā priekšlikuma mērķis ir saskaņot Regulas (EK) Nr. 45/2001 noteikumus ar Regulā (ES) 2016/679 noteiktajiem principiem un noteikumiem, lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā. Priekšlikumā ir ietverti arī Regulas (ES) XXXX/XX noteikumi [ePrivātuma regula], kas attiecas uz galalietotāju termināliekārtu aizsardzību.

Atbilstība citiem Savienības politikas virzieniem

Neattiecas

2.JURIDISKAIS PAMATS, SUBSIDIARITĀTE UN PROPORCIONALITĀTE

Juridiskais pamats

Fizisku personu aizsardzība attiecībā uz viņu personas datu apstrādi ir pamattiesības, kas noteiktas Eiropas Savienības Pamattiesību hartas 8. panta 1. punktā.

Šā priekšlikuma pamatā ir LESD 16. pants, kas ir juridiskais pamats datu aizsardzības noteikumu pieņemšanai. Ar šo pantu atļauts pieņemt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko veic Savienības iestādes, struktūras, biroji un aģentūras, veicot darbības, kas ietilpst Savienības tiesību aktu darbības jomā. Turklāt ir atļauts pieņemt noteikumus par personas datu brīvu apriti, ietverot personas datus, kurus apstrādā šīs iestādes, struktūras, biroji un aģentūras. 

Subsidiaritāte (jomas, kas nav Savienības ekskluzīvā kompetencē)

Regulas priekšmets ir Savienības ekskluzīvā kompetencē, jo tikai Savienība var pieņemt noteikumus, ar kuriem reglamentē personas datu apstrādi Savienības iestādēs.

Proporcionalitāte

Saskaņā ar proporcionalitātes principu, lai sasniegtu pamatmērķi nodrošināt vienlīdzīgu fizisko personu aizsardzību attiecībā uz viņu personas datu apstrādi un personas datu brīvu plūsmu visā Savienībā, ir nepieciešams un lietderīgi ieviest noteikumus par personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās. Šī regula nepārsniedz izvirzītā mērķa sasniegšanai nepieciešamās darbības saskaņā ar Līguma par Eiropas Savienību 5. panta 4. punkta noteikumiem,

Juridiskā instrumenta izvēle

Regula tiek uzskatīta par atbilstošu juridisko instrumentu fizisku personu aizsardzībai attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās birojos un aģentūrās un šādu datu brīvu apriti. Fiziskām personām tā nodrošina juridiski īstenojamas tiesības, bet Savienības iestādēm, struktūrām, birojiem un aģentūrām nosaka pienākumus, veicot datu apstrādi. Tā paredz neatkarīgas uzraudzības iestādes – Eiropas Datu aizsardzības uzraudzītāja – ieviešanu, kas atbild par uzraudzību pār personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās.

3.EX-POST NOVĒRTĒJUMU, APSPRIEŠANĀS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMU REZULTĀTI

2010. un 2011. gadā Komisija veica apspriedes ar ieinteresētajām pusēm un sagatavoja ietekmes novērtējumu datu aizsardzības reformas paketes izstrādes kontekstā, kas informē par Regulā (EK) Nr. 45/2001 piedāvātajām izmaiņām. Šajā pašā kontekstā Komisija veica arī datu aizsardzības koordinatoru (DPC) aptauju 5 .

Informāciju par Regulas (EK) Nr. 45/2001 praktisko piemērošanu Savienības iestādēs, struktūrās, birojos un aģentūrās sniedza Eiropas Datu aizsardzības uzraudzītājs (EDAU), citas Savienības iestādes, struktūras, biroji un aģentūras, citi Komisijas ģenerāldirektorāti un ārējs līgumslēdzējs. Anketa ar jautājumiem tika nosūtīta datu aizsardzības speciālistu (DPO) tīklam 6 .

2015. gada 9. jūlijā, 2015. gada 22. oktobrī, 2016. gada 19. janvārī un 2016. gada 15. martā vairāku Savienības iestāžu, struktūru, biroju un aģentūru datu aizsardzības speciālisti rīkoja darbseminārus par Regulas (EK) Nr. 45/2001 reformu.

2013. gadā Komisija pieņēma lēmumu veikt izvērtējumu par to, kā Regula (EK) Nr. 45/2001 ir tikusi piemērota līdz minētajam gadam, un uzticēja to veikt ārpakalpojuma sniedzējam. Izvērtējuma gala rezultātus (noslēguma ziņojumu, piecas gadījumu izpētes un atsevišķu pantu analīzi) Komisija saņēma 2015. gada 8. jūnijā 7 .

Izvērtējumā tika secināts, ka datu aizsardzības speciālistiem un EDAU izveidotā pārvaldības sistēma ir efektīva. Pilnvaru sadalījums starp datu aizsardzības speciālistiem un EDAU ir skaidrs un līdzsvarots, un abām šīm pusēm ir piešķirtas atbilstošas pilnvaras. Tomēr grūtības varētu rasties tāpēc, ka vadība varētu nenodrošināt pietiekamu atbalstu datu aizsardzības speciālistu pilnvaru īstenošanai.

Izvērtējumā tika secināts, ka Regulu (EK) Nr. 45/2001 var labāk īstenot, izmantojot EDAU uzliktas sankcijas. Paplašinot tā uzraudzības pilnvaru lietojumu, varētu sekmēt labāku datu aizsardzības noteikumu ieviešanu. Izvērtējumā tika secināts arī tas, ka pirms datu apstrādes darbību izpildes datu pārziņiem vajadzētu izvēlēties risku vadības pieeju un veikt risku izvērtējumu, lai varētu labāk izpildīt datu saglabāšanas un drošības prasības.

Izvērtējuma rezultātā tika secināts, ka Regulas (ES) Nr. 45/2001 XV nodaļa, kurā aprakstīts telekomunikāciju sektors, ir novecojusi, un šo nodaļu vajadzētu saskaņot ar E-privātuma direktīvu. Secināts tika arī tas, ka ir nepieciešams paskaidrot atsevišķas Regulas (EK) Nr. 45/2001 pamatdefinīcijas. Tas ietver datu pārziņu identificēšanu Savienības iestādēs, struktūrās, birojos un aģentūrās, saņēmēju definīciju un konfidencialitātes pienākuma paplašināšanu, iekļaujot ārējus apstrādātājus.

Izvērtējumā tika norādīts arī tas, ka vajadzētu vienkāršot paziņojumu sniegšanu un iepriekšējās pārbaudes, kas paaugstinātu efektivitāti un mazinātu administratīvo slogu.

Izvērtētājs ir veicis tiešsaistes aptauju 64 Savienības iestādēs, struktūrās, birojos un aģentūrās. Uz aptaujas jautājumiem atbildes ir sniegušas 422 par datu pārziņiem atbildīgās amatpersonas, 73 datu aizsardzības speciālisti, 118 datu aizsardzības koordinatori un 109 IT jomas darbinieki. Izvērtētājs ir intervējis arī vairākas ieinteresētās puses. 2015. gada 26. martā izvērtētājs un Komisija organizēja noslēguma darbsemināru, kurā piedalījās datu pārziņi, datu aizsardzības speciālisti, datu aizsardzības koordinatori un EDAU pārstāvji. 

Ekspertu atzinumu pieprasīšana un izmantošana

Skatīt iepriekšējā punktā sniegto atsauci uz izvērtējumu.

Ietekmes novērtējums

Šis priekšlikums ietekmēs galvenokārt Savienības iestādes, struktūras, birojus un aģentūras. To apstiprina informācija, kas iegūta no EDAU, citām Savienības iestādēm, struktūrām, birojiem un aģentūrām, Komisijas ģenerāldirektorātiem un ārējā līgumslēdzēja. Turklāt, to jauno pienākumu ietekme, kas izriet no Regulas (ES) 2016/679, ar kuru paredzēts saskaņot šo regulu, ir tikusi novērtēta minētās regulas sagatavošanās darbu kontekstā. Šādos apstākļos šai regulai nav nepieciešams veikt īpašu ietekmes novērtējumu.

Normatīvā atbilstība un vienkāršošana

Neattiecas

Pamattiesības

Tiesības uz personas datu aizsardzību ir noteiktas Eiropas Savienības Pamattiesību hartas (“harta”) 8. pantā, LESD 16. pantā un Eiropas Cilvēktiesību konvencijas 8. pantā. Kā to ir uzsvērusi Eiropas Savienības Tiesa 8 , tiesības uz personas datu aizsardzību nav absolūta prerogatīva, bet ir jāņem vērā saistībā ar tās funkciju sabiedrībā 9 . Datu aizsardzība ir cieši saistīta arī ar privātās un ģimenes dzīves neaizskaramību, ko aizsargā Hartas 7. pants.

Šajā priekšlikumā ir ietverti noteikumi fizisku personu aizsardzībai attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās birojos un aģentūrās un šādu datu brīvu apriti.

Citas Hartā ietvertās pamattiesības, kuras varētu tikt ietekmētas, ir šādas: vārda brīvība (11. pants), tiesības uz īpašumu un jo īpaši intelektuālā īpašuma aizsardzību (17. panta 2. punkts), jebkāda veida diskriminācijas aizliegums, pamatojoties uz rasi, etnisko izcelsmi, ģenētiskām īpatnībām, reliģiju vai pārliecību, politiskiem vai jebkuriem citiem uzskatiem, invaliditāti vai dzimumorientāciju (21. pants), bērnu tiesības (24. pants), tiesības uz augstu cilvēku veselības aizsardzības līmeni (35. pants), tiesības piekļūt dokumentiem (42. pants), un tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu (47. pants).

4.IETEKME UZ BUDŽETU

Skatīt pielikumā pievienoto finanšu pārskatu.

5.CITI ELEMENTI

Īstenošanas plāni un uzraudzības, novērtēšanas un ziņošanas kārtība

Neattiecas

Skaidrojošie dokumenti (direktīvām)

Neattiecas

I NODAĻA – VISPĀRĪGI NOTEIKUMI

Regulas 1. pantā ir definēts regulas priekšmets un – tāpat kā Regulas (EK) Nr. 45/2001 1. pantā – noteikti abi regulas mērķi: aizsargāt pamattiesības uz datu aizsardzību un garantēt personas datu brīvu plūsmu visā Savienībā. Tajā ir noteikti arī galvenie Eiropas Datu aizsardzības uzraudzītāja uzdevumi.

Regulas 2. pantā ir noteikta tās piemērošanas joma: Šo regulu piemēro attiecībā uz personas datu apstrādi, izmantojot automātiskus vai citus līdzekļus, visās Kopienas iestādēs un struktūrās, ciktāl minētā apstrāde notiek, pildot darbības, kas pilnībā vai daļēji ietilpst Savienības tiesību aktu darbības jomā. Regulas materiālā piemērošanas joma ir tehnoloģiski neitrāla. Fizisku personu datu aizsardzība attiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā.

Regulas 3. pantā ietvertas regulā izmantoto terminu definīcijas. Izņemot tādas definīcijas kā “Savienības iestādes un struktūras”, “pārzinis”, “lietotājs” un “saraksts”, kas ir specifiskas šai regulai, regulā ir izmantoti termini, kas noteikti Regulā (ES) 2016/679, Regulā (ES) 0000/00 [jaunā E-privātuma regula], Direktīvā 00/0000/ES [Direktīva, ar kuru izveido Eiropas elektroniskās saziņas kodeksu] un Komisijas Direktīvā 2008/63/EK.

II NODAĻA – PRINCIPI

Regulas 4. pantā ir noteikti personas datu apstrādes principi, kas atbilst Regulas (ES) 2016/679 5. pantā minētajiem. Salīdzinājumā ar Regulu (EK) Nr. 45/2001 ir ieviesti jauni pārredzamības, godīguma un konfidencialitātes principi.

5. pants ir balstīts uz Regulas (ES) 2016/679 6. pantu, un tajā ir noteikti likumīgas apstrādes kritēriji, izņemot pārziņa likumīgas intereses kritēriju, kas nav attiecināms uz publisko sektoru un tāpēc nav piemērojams Savienības iestādēm un struktūrām. 5. pantā ir nostiprināti kritēriji, kas ir noteikti Regulas (EK) Nr. 45/2001 5. pantā.

6. pantā ir paskaidroti apstākļi, kādos drīkst veikt apstrādi citā savietojamā nolūkā saskaņā ar Regulas (ES) 2016/679 6. panta 4. punktu. Salīdzinājumā ar Regulas (EK) Nr. 45/2001 6. pantu šī jaunā prasība ievieš lielāku elastību un juridisko noteiktību attiecībā uz turpmāku apstrādi savietojamā nolūkā.

Regulas 7. pantā, atbilstoši Regulas (ES) 2016/679 7. pantā noteiktajam, ir paskaidroti nosacījumi, kas jāievēro, lai piekrišana būtu spēkā kā likumīgas apstrādes juridiskais pamats.

Regulas 8. pantā, atbilstoši Regulas (ES) 2016/679 8. pantā noteiktajam, ir paredzēti papildu nosacījumi bērnu personas datu apstrādes likumībai saistībā ar informācijas sabiedrības pakalpojumiem, ko tieši piedāvā bērniem. Tajā ir noteikts, ka, lai bērna izteiktu piekrišanu varētu uzskatīt par derīgu, bērnam ir jābūt vismaz 13 gadus vecam.

Regulas 9. pantā, atbilstoši Regulas (EK) Nr. 45/2001 8. pantā noteiktajam, ir iekļauti noteikumi par īpaša aizsardzības līmeņa piemērošanu personas datu nosūtīšanai saņēmējiem, kas nav Savienības iestādes un struktūras un kas veic uzņēmējdarbību Savienībā, un kam piemēro Regulas (ES) 2016/679 vai Direktīvas (ES) 2016/680 prasības. Pantā ir paskaidrots, ka gadījumos, kad datu nosūtīšanu ierosina pārzinis, viņam ir uzskatāmi jāparāda datu nosūtīšanas nepieciešamība un proporcionalitāte.

Regulas 10. pantā ir noteikts vispārīgs aizliegums apstrādāt īpašas personas datu kategorijas un izņēmumi no šī vispārīgā noteikuma, pamatojoties uz Regulas (ES) 2016/679 9. pantu un papildinot Regulas (EK) Nr. 45/2001 10. pantā noteikto.

Regulas 11. pantā, saskaņā ar Regulas (ES) 2016/679 10. pantā noteikto un atbilstoši Regulas (EK) Nr. 45/2001 10. panta 5. punktam, ir ietverti nosacījumi par to, kā apstrādāt personas datus par sodāmību un pārkāpumiem.

12. pantā ir paskaidroti pārziņa pienākumi pret datu subjektu saskaņā ar Regulas (ES) 2016/679 11. pantu, nosakot, ka, ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt fizisku personu, pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana. Tomēr pārzinim nebūtu jāatsakās pieņemt papildu informāciju, ko sniedz datu subjekts, lai pamatotu savu tiesību īstenošanu.

Regulas 13. pantā, balstoties uz Regulas (ES) 2016/679 89. panta 1. punktā noteikto, ir ietverti noteikumi par garantijām, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos.

III NODAĻA – DATU SUBJEKTA TIESĪBAS

1. iedaļa – Caurskatāmība un tās kārtība

Pamatojoties uz Regulas (ES) 2016/679 12. pantu, regulas 14. pantā ir ieviests pārziņa pienākums nodrošināt caurskatāmu, viegli pieejamu un saprotamu informāciju un procedūras un mehānismus, ar ko nodrošina, ka datu subjekts var izmantot savas tiesības, ietverot arī līdzekļus elektronisku pieprasījumu iesniegšanai un nosakot, ka atbilde uz datu subjekta pieprasījumu jāsniedz konkrētā termiņā un atteikuma gadījumā jānorāda tā iemesli. Tā kā nav paredzēts, ka Savienības iestādes un struktūras jebkuros apstākļos varētu pieprasīt samaksu, kas segtu informācijas sniegšanas administratīvās izmaksas, šī Regulā (ES) 2016/679 paredzētā iespēja nav pārņemta.

2. iedaļa – Informācija un piekļuve datiem

15. pantā ir precizēti pārziņa informācijas pienākumi pret datu subjektu gadījumos, kad personas datus iegūst no datu subjekta, pamatojoties uz Regulas (ES) 2016/679 13. pantu un papildinot Regulas (EK) Nr. 45/2001 11. pantu, sniedzot informāciju datu subjektam, ieskaitot par uzglabāšanas termiņu, tiesībām iesniegt sūdzību un attiecību uz starptautisku nosūtīšanu.

16. pantā, pamatojoties uz Regulas (ES) 2016/679 14. pantu un papildinot Regulas (EK) Nr. 45/2001 12. pantu, ir precizēti pārziņa informācijas pienākumi pret datu subjektu gadījumos, kad personas datus neiegūst no datu subjekta, sniedzot informāciju avotam, no kura dati ir iegūti. Tajā ir saglabāti Regulā (ES) 2016/679 paredzētie izņēmumi, piemēram, šāds pienākums nav jāpilda, ja datu subjekta rīcībā jau ir šāda informācija, šādas informācijas sniegšana nav iespējama vai tā prasītu no pārziņa nesamērīgi lielas pūles, ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības tiesību aktiem, vai ja datu reģistrēšana vai izpaušana ir īpaši paredzēta likumā. Tas varētu attiekties, piemēram, uz procedūrām, kuras veic dienesti, kas atbild par sociālā nodrošinājuma vai veselības jautājumiem.

17. pantā, pamatojoties uz Regulas (ES) 2016/679 15. pantu un papildinot Regulas (EK) Nr. 45/2001 13. pantu, ir paredzētas datu subjekta tiesības piekļūt viņa personas datiem, pievienojot jaunus elementus, piemēram, pienākumu informēt datu subjektu par glabāšanas termiņu, tiesībām uz labošanu, tiesībām uz dzēšanu un tiesībām iesniegt sūdzību.

3. iedaļa – Labošana un dzēšana

Regulas 18. pantā ir noteiktas datu subjekta tiesības uz informācijas labošanu, pamatojoties uz Regulas (ES) 2016/679 16. pantu un papildinot Regulas (EK) Nr. 45/2001 14. pantā noteikto.

Regulas 19. pantā, saskaņā ar Regulas (ES) 2016/679 17. pantā noteikto un papildinot Regulas (EK) Nr. 45/2001 16. pantu, ir noteiktas datu subjekta tiesības tikt aizmirstam un tiesības uz datu dzēšanu. Pantā aprakstīti nosacījumi tiesībām tikt aizmirstam, ietverot pārziņa, kas publicējis personas datus, pienākumu informēt trešās personas par datu subjekta pieprasījumiem dzēst saites uz viņa personas datiem, to kopijām vai atveidojumiem.

20. pantā ir ieviestas tiesības ierobežot apstrādi atsevišķos gadījumos, izvairoties no Regulā (EK) Nr. 45/2001 izmantotā neskaidrā termina “bloķēšana” un nodrošinot atbilstību jaunajai terminoloģijai, kas lietota Regulas (ES) 2016/679 18. pantā.

Regulas 21. pantā, saskaņā ar Regulas (ES) 2016/679 19. pantā noteikto un papildinot Regulas (EK) Nr. 45/2001 17. pantu, ir noteikts pārziņa pienākums ziņot katram saņēmējam, kuram personas dati ir izpausti, par jebkuru personas datu labojumu vai dzēšanu vai ierobežošanu, izņemot, ja tas nav iespējams vai prasītu nesamērīgi lielas pūles. Pārzinis informē datu subjektu arī par minētajiem saņēmējiem, ja datu subjekts to pieprasa.

Regulas 22. pantā saskaņā ar Regulas (ES) 2016/679 20. pantu ir ieviestas datu subjekta tiesības uz datu pārnesamību, t. i., tiesības saņemt personas datus par sevi, kurus viņš sniedzis pārzinim, vai nosūtīt šādus personas datus tieši citam pārzinim, ja tas ir tehniski iespējams. Kā priekšnosacījums un lai vēl vairāk uzlabotu personu piekļuvi saviem personas datiem, pantā noteiktas tiesības saņemt šos datus no pārziņa strukturētā, plaši izmantotā un mašīnlasāmā formātā. Šīs tiesības ir piemērojamas tikai gadījumos, kad apstrāde tiek veikta, balstoties uz datu subjekta piekrišanu vai ar viņu noslēgtu līgumu.

4. iedaļa – Tiesības iebilst un automatizēta individuālu lēmumu pieņemšana

Regulas 23. pantā ir noteiktas datu subjekta tiesības iebilst, pamatojoties uz Regulas (ES) 2016/679 21. pantu un papildinot Regulas (EK) Nr. 45/2001 18. pantā noteikto.

Regulas 24. pantā ir noteiktas datu subjekta tiesības nebūt tāda pasākuma subjektam, kura vienīgais pamats ir automātiska apstrāde, ieskaitot profilēšanu, atbilstoši Regulas (ES) 2016/679 22. pantam un papildinot Regulas (EK) Nr. 45/2001 19. pantu.

5. iedaļa – Ierobežojumi

25. pantā ir paredzēti ierobežojumi datu subjekta tiesībās, kas paredzētas 14.–22. pantā un 34. un 38. pantā, kā arī attiecībā uz 4. pantā noteiktajiem principiem (ciktāl tā noteikumi atbilst 14.–22. pantā paredzētajām tiesības un pienākumiem). Šādus ierobežojumus būtu jānosaka tiesību aktos, kas pieņemti uz Līgumu pamata, vai Savienības iestāžu un struktūru iekšējos noteikumos. Ja šādu ierobežojumu iespējamība nav paredzēta tiesību aktos, kas pieņemti uz Līgumu pamata, vai Savienības iestāžu un struktūru iekšējos noteikumos, Savienības iestādes un struktūras var noteikt ad hoc ierobežojumu, ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība attiecībā uz specifisku apstrādes darbību, un demokrātiskā sabiedrībā tas ir nepieciešams un samērīgs, lai aizsargātu vienu vai vairākus mērķus, ļaujot noteikt datu subjekta tiesību ierobežojumus. Šī pieeja atbilst Regulas (ES) 2016/679 23. pantā noteiktajai. Tomēr pretstatā Regulas (EK) 2016/679 23. pantā noteiktajam un saskaņā ar Regulas (EK) Nr. 45/2001 20. pantu šis noteikums neparedz iespēju ierobežot tiesības iebilst un tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde. Prasības noteikt ierobežojumus atbilst Eiropas Savienības Pamattiesību hartai un Eiropas Cilvēktiesību konvencijai, kā tās interpretē attiecīgi Eiropas Savienības Tiesa un Eiropas Cilvēktiesību tiesa.

IV NODAĻA – PĀRZINIS UN APSTRĀDĀTĀJS

1. iedaļa – Vispārīgi pienākumi

26. pants ir balstīts uz Regulas (ES) 2016/679 24. pantu un ar to tiek ieviests “pārskatatbildības princips” un aprakstīts pārziņa pienākums atbildēt par šīs regulas ievērošanu un uzskatāmi parādīt šo ievērošanu, piemēram, pieņemot atbilstošas iekšējas vadlīnijas un organizatoriskus pasākumus un, ja nepieciešams, iekšējas politikas un mehānismus šādas ievērošanas nodrošināšanai. Regulas (ES) 2016/679 24. panta 3. punkts netika iekļauts šajos noteikumos, jo Savienības iestādēm un struktūrām nav jāievēro rīcības kodeksi vai sertifikācijas mehānismi.

Saskaņā ar Regulas (ES) 2016/679 25. pantu 27. pantā ir noteikti datu pārziņa pienākumi, kas izriet no tādiem principiem kā integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma.

28. pants par kopīgiem pārziņiem ir balstīts uz Regulas (ES) 2016/679 26. pantu un skaidro kopīgo pārziņu, kas var būt vai nebūt Savienības iestādes un struktūras, pienākumus viņu iekšējās attiecībās un pret datu subjektu. Šis noteikums regulē situācijas, kad uz visiem kopīgiem pārziņiem attiecas viens un tas pats tiesiskais režīms (šī regula), un situācijas, kad uz dažiem attiecas šī regula, bet uz citiem – kāds cits juridisks instruments (Regula (ES) 2016/679, Direktīva (ES) 2016/680, Direktīva (ES) 2016/681 un citi īpaši datu aizsardzības režīmi, kas attiecas uz Savienības iestādēm un struktūrām).

29. pantā, pamatojoties uz Regulas (ES) 2016/679 28. pantu un papildinot Regulas (EK) Nr. 45/2001 23. pantu, ir precizēta apstrādātāju stāvoklis un pienākumi, ieskaitot to, ka, ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

30. pants par apstrādi pārziņa un apstrādātāja pakļautībā ir balstīts uz Regulas (ES) 2016/679 29. pantu, un nosaka aizliegumu apstrādātājam un jebkurai personai, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, apstrādāt minētos datus citādi, kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.

31. pants ir balstīts uz Regulas (ES) 2016/679 30. pantu un ievieš datu pārziņa un apstrādātāja pienākumu uzglabāt to apstrādes darbību dokumentāciju, par kurām tie ir atbildīgi, ar šo aizstājot Regulas (EK) Nr. 45/2001 25. pantā paredzēto iepriekšēja paziņojuma sniegšanu EDAU un datu aizsardzības speciālistu reģistru. Pretstatā Regulai (ES) 2016/679 šis noteikums nemin pārstāvjus, jo Savienības iestādēm pārstāvju nav, bet vienmēr būs datu aizsardzības speciālisti. Regulā (ES) 2016/679 ietvertās atsauces uz datu nosūtīšanu, izmantojot atkāpes īpašās situācijās, nav saglabātas, jo šī regula neparedz šāda veida nosūtīšanu. Pienākumu reģistrēt veiktās apstrādes darbības var centralizēt Savienības iestādes vai struktūras līmenī. Šādā gadījumā Savienības iestādēm un struktūrām ir iespēja uzglabāt reģistrētās apstrādes darbības publiski pieejama reģistra formā.

32. pantā, balstoties uz Regulas (ES) 2016/679 31. pantu, ir skaidroti Savienības iestāžu un struktūru pienākumi attiecībā uz sadarbību ar EDAU.

2. iedaļa – Personas datu drošība un elektronisko komunikāciju konfidencialitāte

33. pantā saskaņā ar Regulas (ES) 2016/679 32. pantu un papildinot Regulas (EK) Nr. 45/2001 22. pantu ir paredzēts pārziņa pienākums īstenot atbilstīgus apstrādes drošības pasākumus, attiecinot šo pienākumu arī uz apstrādātāju, neatkarīgi no līguma ar datu pārzini.

34. pants ir balstīts uz Regulas (EK) Nr. 45/2001 36. pantu un paredz Savienības iestādēm un struktūrām nodrošināt elektronisko komunikāciju konfidencialitāti.

35. pants papildina esošo Savienības iestāžu un struktūru praksi un aizsargā informāciju, kas saistīta ar to galalietotāju termināliekārtām, kuri piekļūst Savienības iestāžu un struktūru piedāvātas publiski pieejamas tīmekļa vietnes un mobilās lietotnes saskaņā ar Regulas (ES) XXXX/XX [jaunā E-privātuma regula], jo īpaši tās 8. pantu.

36. pants ir balstīts uz Regulas (EK) Nr. 45/2001 38. pantu un paredz aizsargāt personas datus, kas uzglabāti Savienības iestāžu un struktūru publiskos un privātos sarakstos.

37. un 38. pantā ir noteikts pienākums paziņot par personas datu aizsardzības pārkāpumiem saskaņā ar Regulas (ES) 2016/679 33. un 34. pantu.

3. iedaļa – Datu aizsardzības ietekmes novērtējums un iepriekšēja apspriešanās

39. pants ir balstīts uz Regulas (ES) 2016/679 35. pantu un ar to ir ieviests pārziņu un apstrādātāju pienākums veikt datu aizsardzības ietekmes novērtējumu pirms tiek izpildītas apstrādes darbības, kas var radīt augstu risku fizisku personu tiesībām un brīvībām. Šis pienākums būs īpaši piemērojams gadījumos, ka tiek veikta ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, īpašu datu kategoriju apstrāde plašā mērogā vai publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

40. pants ir balstīts uz Regulas (ES) 2016/679 36. pantu un attiecas uz gadījumiem, kad pirms apstrādes ir obligāti jāapspriežas ar EDAU un jāsaņem viņa atļauja. Tomēr 40. panta 1. punkts atkārto Regulas (ES) 2016/679 94. apsvērumu, un tā mērķis ir paskaidrot pienākuma apspriesties apjomu.

4. iedaļa – Informācija un tiesību aktu apspriešana

41. pantā ir noteikts Savienības iestāžu un struktūru pienākums, gatavojot administratīvus pasākumus un iekšējus noteikumus, kas attiecas uz personas datu apstrādi, informēt par to EDAU.

42. pantā ir noteikts Komisijas pienākums apspriesties ar EDAU pēc tiesību aktu priekšlikumu un ieteikumu vai priekšlikumu Padomei pieņemšanas saskaņā ar LESD 218. pantu un gatavojot deleģētos aktus vai īstenošanas aktus, kas ietekmē personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Ja šādi akti ir īpaši svarīgi personas tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisija var apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos abas iestādes koordinē sadarbību ar mērķi izdot kopēju atzinumu. Ir noteikts 8 nedēļu termiņš, kurā ir jāsniedz padoms iepriekš minētajos gadījumos, un paredzēti izņēmumi steidzamos gadījumos vai citos apstākļos, piemēram, kad Komisija gatavo deleģētos un īstenošanas aktus.

5. iedaļa – Pienākums reaģēt uz pieņēmumiem

43. pantā ir noteikts pārziņu un apstrādātāju pienākums reaģēt uz pieņēmumiem pēc tam, kad EDAU ir nolēmis iesniegt viņiem lietu izskatīšanai.

6. iedaļa – Datu aizsardzības speciālists

44. pantā, pamatojoties uz Regulas (ES) 2016/679 37. panta 1. punkta a) apakšpunktu un papildinot Regulas (EK) Nr. 45/2001 24. pantu, ir noteikts, ka Savienības iestādēm un struktūrām obligāti ir jābūt datu aizsardzības speciālistam.

45. pantā, pamatojoties uz Regulas (ES) 2016/679 38. pantu un papildinot Regulas (EK) Nr. 45/2001 24. pantu, ir noteikts datu aizsardzības speciālista stāvoklis.

46. pantā, pamatojoties uz Regulas (ES) 2016/679 39. pantu un 24. pantu, kā arī Regulas (EK) Nr. 45/2001 pielikuma otro un trešo daļu, ir noteikti datu aizsardzības speciālista pamatuzdevumi.

V NODAĻA – PERSONAS DATU NOSŪTĪŠANA TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

47. pants ir balstīts uz Regulas (EK) Nr. 45/2001 9. pantu un tajā ir noteikts vispārējs princips saskaņā ar Regulas (ES) 2016/679 44. pantu, kas paredz, ka, nosūtot personas datus uz trešām valstīm vai starptautiskām organizācijām, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju, obligāti ir jāievēro citi šīs regulas noteikumi un V nodaļā paredzētie nosacījumi.

48. pants paredz, ka personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti tās sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni, un personas datus nosūta vienīgi ar mērķi ļaut pārzinim izpildīt viņa kompetencē esošus uzdevumus. Šā panta 2. un 3. punkts ir pārņemti no Regulas (EK) Nr. 45/2001 9. panta, jo tie lietderīgi elementi trešo valstu un starptautisku organizāciju aizsardzības līmeņa uzraudzībā.

49. pants papildina Regulas (ES) 2016/679 46. pantu, paredzot, ka, nosūtot datus uz trešām valstīm, par kurām Komisija nav pieņēmusi aizsardzības līmeņa pietiekamības lēmumu, nepieciešami atbilstoši aizsardzības pasākumi, jo īpaši tipveida datu aizsardzības noteikumi un līguma noteikumi. Saskaņā ar Regulā (ES) 2016/679 noteikto saistošus uzņēmuma noteikumus, rīcības kodeksus un sertifikācijas mehānismus var izmantot apstrādātāji, kas nav Savienības iestādes un struktūras. Šā panta ceturtais punkts, kurā noteikts Savienības iestāžu un struktūru pienākums informēt EDAU par to gadījumu kategorijām, kuros šis pants ir piemērots, atbilst Regulas (EK) Nr. 45/2001 9. panta 8. punktam un ir saglabāts tā specifikas dēļ. Piektais punkts paredz, ka Regulas (ES) 2016/679 45. panta 5. punktā minētās izsniegtās atļaujas tiek saglabātas līdz tās tiek grozītas, aizstātas vai atceltas.

50. pantā saskaņā ar Regulas (ES) 2016/679 48. pantu ir paskaidrots, ka trešās valsts tiesas spriedums un trešās valsts administratīvās iestādes lēmums, kurā pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību, neskarot citus nosūtīšanas pamatus saskaņā ar šo nodaļu.

51. pants ir balstīts uz Regulas (ES) 2016/679 49. pantu un tajā ir izklāstītas un paskaidrotas atkāpes attiecībā uz datu nosūtīšanu. Jo īpaši tas attiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga, lai aizsargātu svarīgas sabiedrības intereses, piemēram, kad starptautiska datu nosūtīšana notiek starp konkurences iestādēm, nodokļu vai muitas iestādēm vai dienestiem, kuru kompetencē ir sociālā nodrošinājuma jautājumi vai zivsaimniecības pārvaldība. Piektais punkts, kurā noteikts pienākums informēt EDAU par to gadījumu kategorijām, kuros dati ir nosūtīti, izmantojot pieļautās atkāpes, atbilst Regulas (EK) Nr. 45/2001 9. panta 8. punktam.

52. pants ir balstīts uz Regulas (ES) 2016/679 50. pantu, un tajā ir skaidri noteikti personas datu aizsardzības starptautiskās sadarbības mehānismi starp EDAU, kurš sadarbojas ar Komisiju un Eiropas Datu aizsardzības kolēģiju, un trešo valstu uzraudzības iestādēm.

VI NODAĻA – EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS

53. pants ir balstīts uz Regulas (ES) 2016/679 41. pantu un attiecas uz EDAU izveidi.

54. pants ir balstīts uz Regulas (EK) Nr. 45/2001 42. pantu un Lēmuma 1247/2002/EK 3. pantu, un tajā ir paredzēti noteikumi, saskaņā ar kuriem Eiropas Parlaments un Padome ieceļ EDAU. Tajā ir noteikts arī viņa pilnvaru termiņš: pieci gadi.

55. pants ir balstīts uz Regulas (EK) Nr. 45/2001 43. pantu un Lēmuma 1247/2002/EK 1. pantu, un tajā ir paredzēti noteikumi un vispārīgi nosacījumi, kas reglamentē EDAU un viņa darbinieku pienākumu izpildi, kā arī viņiem pieejamos finanšu resursus.

56. pants ir balstīts uz Regulas (ES) 2016/679 52. pantu un Regulas (EK) Nr. 45/2001 44. pantu, un tajā ir paskaidroti EDAU neatkarības nosacījumi, ņemot vērā Eiropas Savienības Tiesas judikatūru.

57. pantā, balstoties uz Regulas (EK) Nr. 45/2001 45. pantu, ir noteikti EDAU pienākumi viņa pilnvaru termiņa laikā un pēc tā ievērot noslēpumu attiecībā uz konfidenciālu informāciju, ko viņš ir ieguvis, pildot savus oficiālos pienākumus.

58. pants ir balstīts uz Regulas (ES) 2016/679 57. pantu un Regulas (EK) Nr. 45/2001 46. pantu, un tajā ir noteikti EDAU uzdevumi, ieskaitot sūdzību izskatīšanu un izmeklēšanu un sabiedrības informētības un izpratnes par riskiem, noteikumiem, garantijām un tiesībām veicināšanu.

59. pants ir balstīts uz Regulas (ES) 2016/679 58. pantu un Regulas (EK) Nr. 45/2001 47. pantu, un tajā ir noteiktas EDAU pilnvaras.

60. pants ir balstīts uz Regulas (ES) 2016/679 59. pantu un Regulas (EK) Nr. 45/2001 48. pantu, un tajā ir noteikts EDAU pienākums sagatavot gada pārskatu par savu darbību.

VII NODAĻA – SADARBĪBA UN KONSEKVENCE

61. pants ir balstīts uz Regulas (ES) 2016/679 61. pantu un Regulas (EK) Nr. 45/2001 46. panta f. apakšpunktu, un tajā ir ieviesti skaidri noteikumi EDAU sadarbībai ar valstu uzraudzības iestādēm.

62. pants paredz EDAU pienākumus apstākļos, kad uz šo pantu atsaucas citi Savienības tiesību akti, kas ietilpst koordinētā uzraudzībā, ko īsteno kopā ar nacionālām uzraudzības iestādēm. Tā mērķis ir īstenot vienotu koordinētās uzraudzības modeli. Šo modeli varēti izmantot tādu lielu IT sistēmu koordinētai uzraudzībai kā Eurodac, Šengenas Informācijas sistēma II, Vīzu informācijas sistēmu, Muitas informācijas sistēma vai Iekšējā tirgus informācijas sistēma, kā arī atsevišķu tādu Savienības aģentūru uzraudzībai, kurās ir izveidots īpašs sadarbības modelis starp EDAU un valstu iestādēm, piemēram, Eiropols. Eiropas Datu aizsardzības kolēģija kalpo par vienotu forumu, kas nodrošina efektīvu koordinētu uzraudzību visās jomās.

VII NODAĻA – TIESĪBU AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

63. pants ir balstīts uz Regulas (ES) 2016/679 77. pantu un Regulas (EK) Nr. 45/2001 32. pantu, un tajā ir noteiktas datu subjekta tiesības iesniegt sūdzību EDAU. Tajā ir noteikts EDAU pienākums trīs mēnešu laikā izskatīt sūdzību un informēt datu subjektu par sūdzības izskatīšanas virzību un rezultātiem, un pēc šī perioda sūdzība tiek uzskatīta par noraidītu.

64. pantā ir nostiprinātas Regulas (EK) Nr. 45/2001 32. panta 1. punkta prasības, nosakot, ka Eiropas Savienības Tiesai ir piekritīgi visi strīdi, kas attiecas uz šīs regulas noteikumiem, tostarp prasības par zaudējumu atlīdzību.

65. pantā ir paredzētas tiesības saņemt kompensāciju par materiālu un nemateriālu kaitējumu saskaņā ar Līgumos ietvertajiem nosacījumiem, ieskaitot attiecībā uz saistībām.

66. pants ir balstīts uz Regulas (ES) 2016/679 83. pantu un piešķir EDAU pilnvaras uzlikt Savienības iestādēm un struktūrām administratīvus naudas sodus tikai kā galēju līdzekli un tikai gadījumos, kad Savienības iestādes un struktūras nav izpildījušas EDAU rīkojumu, kas minēts 59. panta 2. punkta a) līdz h) un j) apakšpunktā. Šajā pantā ir noteikti kritēriji, pēc kuriem pieņemt lēmumu par administratīvā naudas soda apmēru katrā konkrētā gadījumā, nosakot šādu summu griestus viena gada ietvaros, balstoties uz atsevišķās dalībvalstīs piemērojamo naudas sodu apmēru.

67. pantā saskaņā ar Regulas (ES) 2016/679 80. panta 1. punktu atsevišķām struktūrām, organizācijām vai asociācijām ir atļauts iesniegt sūdzību datu subjekta vārdā.

68. pantā saskaņā ar Regulas (EK) Nr. 45/2001 33. pantu ir paredzēti īpaši noteikumi, kuru mērķis ir aizsargāt Savienības darbiniekus, kas, neizmantojot oficiālos kanālus, iesniedz sūdzību EDAU, ja ir aizdomas par šīs regulas noteikumu pārkāpumu.

69. pants ir balstīts uz Regulas (EK) Nr. 45/2001 49. pantu un paredz sankcijas, kas piemērojamas Eiropas Savienības amatpersonām un citiem civildienesta ierēdņiem par šīs regulas noteikumu neievērošanu.

IX NODAĻA – ĪSTENOŠANAS AKTI

Regulas 70. pantā ietverts noteikums par komiteju procedūru, kas nepieciešama, lai piešķirtu Komisijai īstenošanas pilnvaras gadījumos, kad saskaņā ar LESD 291. pantu ir nepieciešami vienādi nosacījumi juridiski saistošo Savienības aktu īstenošanai. Piemēro pārbaudes procedūru.

X NODAĻA – NOBEIGUMA NOTEIKUMI

71. pants atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK un paredz, ka atsauces uz šiem diviem atceltajiem instrumentiem ir uzskatāmas par atsaucēm uz šo regulu.

72. pantā ir paskaidrots, ka šī regula neietekmē pašreizējā Eiropas Datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru laiku un ka regulas 54. panta 4., 5. un 7. punkts un 56. un 57. pants ir piemērojami pašreizējam uzraudzītāja palīgam līdz viņa pilnvaru termiņa beigām, t. i., 2019. gada 5. decembrim.

73. pantā ir noteikts, ka, lai nodrošinātu atbilstību Regulas (ES) 2016/679 piemērošanas datumam, šī regula stājas spēkā 2018. gada 25. maijā.

2017/0002 (COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA

par personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu 10 ,

saskaņā ar parasto likumdošanas procedūru,

tā kā:

(1)Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.

(2)Eiropas Parlamenta un Padomes Regulā (EK) Nr. 45/2001 11 ir nodrošinātas fizisku personu juridiski īstenojamas tiesības, ir precizēti Savienības iestāžu un struktūru pārziņu datu apstrādes pienākumi un ar to tiek izveidota neatkarīga uzraudzības iestāde – Eiropas Datu aizsardzības uzraudzītājs – kurš atbild par uzraudzību pār personas datu apstrādi Savienības iestādēs un struktūrās. Tomēr šī regula neattiecas uz personas datu apstrādi Savienības iestādēs un struktūrās tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā.

(3)Eiropas Parlamenta un Padomes Regula (ES) 2016/679 12 un Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 13 tika pieņemtas 2016. gada 27. aprīlī. Regula paredz vispārīgus noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei Savienībā, bet direktīva paredz īpašus noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei Savienībā tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomās.

(4)Regulā (ES) 2016/679 ir uzsvērta nepieciešamība pēc pielāgojumiem Regulā (EK) Nr. 45/2001, lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā un lai to varētu piemērot vienlaikus ar Regulu (ES) 2016/679.

(5)Saskaņotai pieejai personas datu aizsardzības jomā un personas datu brīvai apritei visā Savienībā ir svarīgi nodrošināt, lai Savienības iestāžu un struktūru datu aizsardzības noteikumi ir pēc iespējas vairāk saskaņoti ar tiem datu aizsardzības noteikumiem, kas pieņemti attiecībā uz dalībvalstīm. Ja šīs regulas noteikumi ir balstīti uz tās pašas koncepcijas, kas ir Regulas (ES) 2016/679 noteikumu pamatā, abus šos noteikumus ir jāinterpretē viendabīgi, jo īpaši tāpēc, ka šīs regulas sistēma ir ekvivalenta Regulas (ES) 2016/679 sistēmai.

(6)Aizsardzība ir jānodrošina personām, kuru datus Savienības iestādes un struktūras apstrādā jebkurā kontekstā, piemēram, tāpēc, ka šīs iestādes un struktūras nodarbina šīs personas. Šo regulu nepiemēro mirušu personu personas datu apstrādei. Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju.

(7)Lai izvairītos no likuma apiešanas nopietna riska radīšanas, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs regulas darbības jomai nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem.

(8)Deklarācijā Nr.21 par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka personas datu īpašo iezīmju dēļ var būt nepieciešami īpaši noteikumi par šo datu aizsardzību un par to brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu. Tāpēc Savienības aģentūrām, kuras darbojas tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomās, šī regula ir piemērojama tikai tādā apmērā, kādā Savienības tiesību akti, kas piemērojami šādām aģentūrām, nesatur īpašus noteikumus par personas datu apstrādi.

(9)Direktīva (ES) 2016/680 paredz harmonizētus noteikumus par tādu personas datu aizsardzību un brīvu apriti, kas tiek apstrādāti, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Lai veicinātu to, ka fiziskām personām visā Savienībā ir vienāds aizsardzības līmenis ar juridiski īstenojamu tiesību palīdzību, un novērstu atšķirības, kas traucē personas datu apmaiņai starp Savienības aģentūrām, kuras darbojas tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomās, un dalībvalstu kompetentām iestādēm, noteikumiem par šādu Savienības aģentūru apstrādāto operatīvo personas datu aizsardzību un brīvu apriti ir jābūt balstītiem uz principiem, kas paredzēti šajā regulā, un tiem jāatbilst Direktīvā (ES) 2016/680 noteiktajam.

(10)Ja Savienības aģentūras, kuras veiktās darbības ietilpst Līguma V sadaļas 4. un 5. nodaļas piemērošanas jomā, dibināšanas aktā operatīvo personas datu apstrādei ir noteikts atsevišķs datu aizsardzības režīms, šādu režīmu neietekmē šī regula. Tomēr saskaņā ar Direktīvas (ES) 2016/680 62. pantu Komisijai līdz 2019. gada 6. maijam ir jāpārskata Savienības akti, kas reglamentē apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai lai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un, ja nepieciešams, sagatavot priekšlikumus šo aktu grozījumiem, lai nodrošinātu konsekventu pieeju personas datu aizsardzībai tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā.

(11)Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. Lai pārliecinātos, vai līdzekļus varētu saprātīgi izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību. Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams. Tādēļ šī regula neattiecas uz šādas anonīmas informācijas apstrādi, tostarp statistikas vai pētniecības nolūkos.

(12)Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus. Skaidra “pseidonimizācijas” ieviešana šajā regulā nav paredzēta tādēļ, lai izslēgtu jebkurus citus datu aizsardzības pasākumus.

(13)Fiziskas personas var tikt saistītas ar tiešsaistes identifikatoriem, ko izmanto viņu ierīcēs, lietojumprogrammās, rīkos un protokolos, piemēram, ar interneta protokola adresēm, sīkdatņu identifikatoriem vai citiem identifikatoriem, piemēram, radiofrekvenciālās identifikācijas marķējumiem. Tādējādi, iespējams, tiek atstātas pēdas, kuras jo īpaši savienojumā ar unikāliem identifikatoriem un citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un lai identificētu tās.

(14)Piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.

(15)Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

(16)Saskaņā ar pārskatatbildības principu gadījumos, kad Savienības iestādes un struktūras nosūta personas datus iekšēji vai citām Savienības iestādēm un struktūrām, tām ir jāpārliecinās, ka šādi personas dati ir vajadzīgi saņēmēja kompetencē ietilpstošo uzdevumu likumīgai izpildei, ja saņēmējs nav pārziņa struktūrvienība. Jo īpaši pēc saņēmēja pieprasījuma nosūtīt personas datus pārzinim ir jāpārliecinās par to, ka pastāv pamatots iemesls personas datu likumīgai apstrādei, jāpārbauda saņēmēja kompetence un provizoriski jānovērtē datu sūtīšanas nepieciešamība. Ja rodas šaubas par tās nepieciešamību, pārzinis pieprasa no saņēmēja papildu informāciju. Saņēmējs nodrošina to, ka pēc tam var pārbaudīt datu nosūtīšanas nepieciešamību.

(17)Lai apstrāde būtu likumīga, personas dati būtu jāapstrādā, pamatojoties uz nepieciešamību pildīt uzdevumus, ko Savienības iestādes un struktūras veic sabiedrības interesēs vai īstenojot tām piešķirtas oficiālas pilnvaras, nepieciešamību izpildīt uz pārzini attiecināmu juridisku pienākumu vai uz cita leģitīma pamata, kas noteikts šajā regulā, ieskaitot attiecīgā datu subjekta piekrišanu vai nepieciešamību izpildīt līgumu, kurā datu subjekts ir līgumslēdzēja puse, vai lai veiktu pasākumus pēc datu subjekta pieprasījuma pirms līguma noslēgšanas. Personas datu apstrāde, pildot uzdevumus, ko Savienības iestādes un struktūras veic sabiedrības interesēs, ietver to personas datu apstrādi, kas vajadzīgi šo iestāžu un struktūru pārvaldībai un funkcionēšanai. Personas datu apstrāde būtu jāuzskata par likumīgu arī tad, ja tā nepieciešama, lai aizsargātu intereses, kas ir būtiski svarīgas datu subjekta vai citas fiziskas personas dzīvei. Personas datu apstrādei, pamatojoties uz citas fiziskās personas vitālajām interesēm, principā būtu jānotiek tikai tad, ja apstrādi nevar acīmredzami balstīt uz citu juridisko pamatu. Dažus apstrādes veidus var izmantot, pamatojoties gan uz svarīgām sabiedrības interesēm, gan uz datu subjekta vitālajām interesēm, piemēram, ja apstrāde ir vajadzīga humanitāros nolūkos, tostarp epidēmiju un to izplatīšanās monitoringam vai ārkārtas humanitārajās situācijās, jo īpaši dabas un cilvēka izraisītu katastrofu situācijās.

(18)Savienības tiesību aktiem, ietverot arī šajā regulā minētos iekšējos noteikumus, vajadzētu būt skaidriem un precīziem, un personām, uz kurām tas attiecas, vajadzētu spēt paredzēt tā piemērošanu saskaņā ar Eiropas Savienības Tiesas un Eiropas Cilvēktiesību tiesas judikatūru.

(19)Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika vākti. Šādā gadījumā nav vajadzīgs atsevišķs juridiskais pamats kā vien tas, ar ko tika atļauta personas datu vākšana. Ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, Savienības tiesību aktos var būt noteikti un precizēti uzdevumi un nolūki, kādos turpmākā apstrāde būtu jāuzskata par saderīgu un likumīgu. Turpmākā apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu jāuzskata par saderīgām likumīgām apstrādes darbībām. Personas datu apstrādes juridiskais pamats, ko paredz Savienības tiesību akti, var arī paredzēt juridisko pamatu turpmākai apstrādei. Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim – pēc tam, kad ir izpildītas visas prasības attiecībā uz sākotnējās apstrādes likumīgumu, – būtu cita starpā jāņem vērā: jebkura saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem; konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjektu gaidas, kuru pamatā ir to attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu; personas datu raksturs; sekas, ko paredzētā turpmākā apstrāde rada datu subjektiem; un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.

(20)Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai. Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās to, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara. Saskaņā ar Padomes Direktīvu 93/13/EEK 14 piekrišanas deklarācija, ko pārzinis ir iepriekš noformulējis, būtu jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, un tajā nevajadzētu būt negodīgiem noteikumiem. Lai piekrišanu būtu apzināta, datu subjektam vajadzētu būt informētam vismaz par pārziņa identitāti un paredzētās personas datu apstrādes nolūkiem. Piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles, vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām.

(21)Bērniem pienākas īpaša personas datu aizsardzība, jo viņi var pietiekami neapzināties attiecīgos riskus, sekas un aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Šāda īpaša aizsardzība jo īpaši būtu jāpiemēro personas profilu izveidei un bērnu personas datu iegūšanai, izmantojot pakalpojumus, kurus Savienības iestādes un struktūras piedāvā savās tīmekļa vietnēs tieši bērniem, piemēram, starppersonu saziņas pakalpojumi vai biļešu pārdošana tiešsaistē, un apstākļos, kad apstrāde pamatojas uz piekrišanu.

(22)Ja saņēmēji, kas veic uzņēmējdarbību Savienībā un uz kuriem attiecas Regulas (ES) 2016/679 vai Direktīvas (ES) 2016/680 prasības, vēlas, lai Savienības iestādes un struktūras nosūta viņiem personas datus, šiem saņēmējiem ir jāvar uzskatāmi parādīt, ka datu nosūtīšana ir vajadzīga viņu mērķa sasniegšanai, tā ir samērīga un nepārsniedz apjomu, kas vajadzīgs šī mērķa sasniegšanai. Ievērojot pārredzamības principu, Savienības iestādēm un struktūrām ir jāvar uzskatāmi parādīt šādu vajadzību tad, kad tās pašas ierosina datu nosūtīšanu.

(23)Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām. Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmatošana šajā regulā nenozīmē, ka Savienība atzīst teorijas, ar kuru palīdzību notiek mēģinājumi noteikt dažādu cilvēku rasu pastāvēšanu. Fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrisko datu definīcija attiecas tikai tad, kad tās apstrādās ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju. Papildus konkrētajām prasībām attiecībā uz sensitīvu datu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem. Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības.

(24)Īpašu kategoriju personas datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomās. Uz šādu apstrādi būtu jāattiecas atbilstošiem un konkrētiem pasākumiem fizisku personu tiesību un brīvību aizsardzībai. Minētajā kontekstā “sabiedrības veselība” būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1338/2008 15 , proti, kā visi elementi, kas saistīti ar veselību, proti, veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums, un nāves cēloņi. Šādai veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka trešās personas apstrādā personas datus citos nolūkos.

(25)Ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana. Tomēr pārzinim nebūtu jāatsakās pieņemt papildu informāciju, ko sniedz datu subjekts, lai pamatotu savu tiesību īstenošanu. Identifikācijai būtu jāietver datu subjekta digitāla identifikācija, piemēram, izmantojot autentifikācijas mehānismu, kurā lieto tos pašus akreditācijas datus, kurus datu subjekts izmanto, lai pieteiktos datu pārziņa piedāvātajiem tiešsaistes pakalpojumiem.

(26)Uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu, ievērojot šo regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām būtu jānodrošina, ka pastāv tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu datu minimizēšanas principu. Personas datu turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos ir jāveic, kad pārzinis ir novērtējis iespējamību sasniegt minētos nolūkus, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektus, ar noteikumu, ka pastāv atbilstošas garantijas (piemēram, datu pseidonimizācija). Savienības iestādēm un struktūrām Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, būtu jāparedz atbilstošas garantijas attiecībā uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos.

(27)Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar šo regulu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi personas datiem un to labošanu vai dzēšanu un īstenot tiesības iebilst. Pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja pārzinis neplāno izpildīt nevienu šādu pieprasījumu.

(28)Godprātīgas un pārredzamas apstrādes principi prasa to, ka datu subjekts ir informēts par apstrādes darbības esamību un tās nolūkiem. Pārzinim būtu jāsniedz datu subjektam jebkāda papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti. Turklāt datu subjektam vajadzētu būt informētam par profilēšanu un šādas profilēšanas sekām. Ja personas datus vāc no datu subjekta, datu subjekts būtu jāinformē arī par to, vai viņam ir pienākums sniegt personas datus un kādas būs sekas, ja viņš šādus datus nesniegs. Minēto informāciju var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tām vajadzētu būt mašīnlasāmām.

(29)Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves no datu subjekta brīdī vai – ja personas datus iegūst no cita avota– saprātīgā termiņā atkarībā no lietas apstākļiem. Ja personas datus var leģitīmi izpaust citam saņēmējam, datu subjekts būtu jāinformē, kad personas dati tiek izpausti saņēmējam pirmo reizi. Ja pārzinis paredz personas datus apstrādāt citā nolūkā, kas nav nolūks, kādā tie tika vākti, pārzinim pirms minētās turpmākās apstrādes būtu jāinformē datu subjekts par minēto citu nolūku un jāsniedz tam cita vajadzīgā informācija. Ja datu subjektam nevar norādīt personas datu avotu tā iemesla dēļ, ka ir izmantoti dažādi avoti, būtu jāsniedz vispārīga informācija.

(30)Datu subjektam vajadzētu būt tiesībām piekļūt personas datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot minētās tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tas ietver arī datu subjektu tiesības piekļūt saviem veselības datiem, piemēram, datiem par slimības vēsturi, kas ietver tādu informāciju kā diagnozes, analīžu rezultāti, ārstējošā terapeita vērtējums un ārstēšanas vai medicīniskās iejaukšanās pasākumi. Tāpēc katram datu subjektam vajadzētu būt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos personas datus apstrādā, ja iespējams, cik ilgi personas dati tiek apstrādāti, personas datu saņēmējus, kāda ir jebkurā personas datu automātiskajā apstrādē ietvertā loģika un kādas ir šādas apstrādes sekas – vismaz tad, ja apstrāde pamatojas uz profilēšanu. Minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. Tomēr minēto apsvērumu rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju. Ja pārzinis apstrādā lielu informācijas apjomu saistībā ar datu subjektu, pārzinim būtu jāspēj pieprasīt, lai datu subjekts pirms informācijas nosūtīšanas precizētu, uz kuru informāciju un kurām apstrādes darbībām pieprasījums attiecas.

(31)Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības tiesību aktus, kas ir piemērojami pārzinim. Datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai. Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta. Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns. Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

(32)Lai stiprinātu tiesības tikt aizmirstam tiešsaistes vidē, arī tiesības uz dzēšanu būtu jāpaplašina tā, lai pārzinim, kas ir publiskojis personas datus, būtu pienākums informēt pārziņus, kuri apstrādā šādus personas datus, par to, ka ir jādzēš visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. To darot, pārzinim būtu jāveic saprātīgi pasākumi, ņemot vērā pieejamo tehnoloģiju un pārziņa rīcībā esošos līdzekļus, tostarp tehniskie pasākumi, ar ko pārziņus, kuri apstrādā personas datus, informē par datu subjekta pieprasījumu.

(33)Metodes, ar kurām ierobežot personas datu apstrādi, cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu, izvēlēto personas datu pieejamības liegumu lietotājiem, vai publicēto datu pagaidu izņemšanu no tīmekļa vietnes. Automatizētajās reģistrācijas sistēmās apstrādes ierobežošana principā būtu jānodrošina ar tehniskiem līdzekļiem tādā veidā, lai personas dati netiktu pakļauti turpmākām apstrādes darbībām un lai tos nevarētu izmainīt. Tas, ka personas datu apstrāde ir ierobežota, būtu skaidri jānorāda sistēmā.

(34)Lai datu subjektiem būtu vēl lielāka kontrole pār saviem datiem, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektam būtu arī jāļauj saņemt personas datus par sevi, kurus tas sniedzis pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt tos citam pārzinim. Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas nodrošina datu pārnešanu. Minētās tiesības būtu jāpiemēro, ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai ja apstrāde ir nepieciešama, lai izpildītu līgumu. Tādēļ tās jo īpaši nebūtu jāpiemēro gadījumos, kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras. Datu subjekta tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas. Ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad tiesībām saņemt personas datus nebūtu jāskar citu datu subjektu tiesības un brīvības saskaņā ar šo regulu. Turklāt minētajām tiesībām nebūtu jāskar arī datu subjekta tiesības panākt personas datu dzēšanu un minēto tiesību ierobežojumus, kā izklāstīts šajā regulā, un tām jo īpaši nevajadzētu nozīmēt to, ka tiek dzēsti datu subjekta personas dati, kurus tas sniedzis līguma izpildes nolūkā, ciktāl un kamēr personas dati ir vajadzīgi minētā līguma izpildei. Ja tas ir tehniski iespējams, datu subjektam vajadzētu būt tiesībām panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam pārzinim.

(35)Ja personas datus var likumīgi apstrādāt tāpēc, ka apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, datu subjektam tomēr vajadzētu būt tiesībām iebilst pret to, ka tiek apstrādāti personas dati, kas attiecas uz viņa konkrēto situāciju. Pārzinim būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par datu subjekta pamattiesībām un brīvībām.

(36)Datu subjektam vajadzētu būt tiesībām nebūt tāda lēmuma subjektam, kurā var būt ietverts pasākums, ar ko izvērtē ar viņu saistītus personiskus aspektus, un kura pamatā ir tikai automatizēta apstrāde un kurai ir juridiskas sekas attiecībā uz datu subjektu vai kura līdzīgā veidā ievērojami ietekmē datu subjektu – piemēram, elektroniska darbā pieņemšanas prakse bez cilvēka līdzdalības. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai tā līdzīgā veidā viņu ievērojami ietekmē. Tomēr lēmumu pieņemšana, pamatojoties uz šādu apstrādi, tostarp profilēšanu, būtu jāatļauj, ja tā ir nepārprotami atļauta saskaņā ar Savienības tiesību aktiem. Jebkurā gadījumā uz šādu apstrādi būtu jāattiecina atbilstošas garantijas, kurām būtu jāaptver konkrētas informācijas sniegšana datu subjektam un tiesības panākt cilvēka līdzdalību, tiesības paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šādas izvērtēšanas, un apstrīdēt lēmumu. Šāds pasākums nebūtu jāattiecina uz bērnu. Lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu, ņemot vērā konkrētos apstākļus un kontekstu, kurā personas dati tiek apstrādāti, pārzinim būtu jāizmanto piemērotas matemātiskās vai statistikas procedūras profilēšanai, jāveic atbilstīgi tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu, ka tiek koriģēti faktori, kuru dēļ rodas personas datu neprecizitātes, un ka līdz minimumam ir samazināts kļūdu rašanās risks, jāgarantē personas datu drošība tādā veidā, lai ņemtu vērā iespējamos riskus attiecībā uz datu subjekta interesēm un tiesībām un lai cita starpā novērstu fizisku personu diskrimināciju dēļ rases vai etniskās izcelsmes, politiskajiem uzskatiem, reliģiskās vai ticības piederības, dalības arodbiedrībā, ģenētiskā vai veselības stāvokļa vai dzimumorientācijas, vai izrietošus pasākumus, kas izraisa šādu diskrimināciju. Automatizēta lēmumu pieņemšana un profilēšana, pamatojoties uz īpašām personas datu kategorijām, būtu jāatļauj tikai saskaņā ar konkrētiem nosacījumiem.

(37)Tiesību aktos, kas izdoti uz Līgumu pamata, vai Savienības iestāžu un struktūru iekšējos noteikumos var paredzēt ierobežojumus attiecībā uz konkrētiem principiem un tiesībām uz informāciju, piekļuvi personas datiem, to labošanu vai dzēšanu, tiesībām uz datu pārnešanu, elektronisko komunikāciju konfidencialitāti, kā arī attiecībā uz ziņošanu datu subjektam par personas datu aizsardzības pārkāpumiem un attiecībā uz dažiem ar to saistītiem pārziņu pienākumiem, ciktāl tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību, lai garantētu noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, tostarp cilvēka dzīvības aizsardzību, jo īpaši reaģējot uz dabas vai cilvēka izraisītām katastrofām, Savienības iestāžu un struktūru iekšējo drošību, citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tādu publisku reģistru uzturēšanu, kuri vajadzīgi vispārēju sabiedrības interešu dēļ, vai datu subjekta vai citu personu tiesību un brīvību aizsardzību, tostarp sociālo aizsardzību, sabiedrības veselību un humanitārus mērķus.

Ja ierobežojums nav noteikts ar tiesību aktiem, kas pieņemti uz Līgumu pamata, vai iekšējiem noteikumiem, Savienības iestādes un struktūras īpašos gadījumos var piemērot ad hoc ierobežojumu attiecībā uz konkrētiem principiem un datu subjekta tiesībām, ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība attiecībā uz specifisku apstrādes darbību, un demokrātiskā sabiedrībā tas ir nepieciešams un samērīgs, lai aizsargātu vienu vai vairākus 1. punktā minētus mērķus. Ierobežojumu dara zināmu datu aizsardzības speciālistam. Visiem ierobežojumiem vajadzētu būt saskaņā ar prasībām, kas izklāstītas hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā.

(38)Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām. Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši: ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi, vai sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu. Riska iespējamība un nopietnība attiecībā uz datu subjekta tiesībām un brīvībām būtu jānosaka, atsaucoties uz apstrādes raksturu, piemērošanas jomu, kontekstu un nolūkus. Risks būtu jāizvērtē, pamatojoties uz objektīvu novērtējumu, ar ko nosaka, vai datu apstrādes darbības ietver risku vai augstu risku.

(39)Personu tiesību un brīvību aizsardzībai attiecībā uz fiziskas personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi. Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, viņam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem. Starp šādiem pasākumiem cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus. Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

(40)Datu subjekta tiesību un brīvību aizsardzība, kā arī pārziņa un apstrādātāja pienākumi un atbildība, prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

(41)Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbilst šīs regulas prasībām, tostarp apstrādes drošības jomā. Apstrādātāja, kas nav Savienības iestāde un struktūra, atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi. Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām. Pārzinim un apstrādātājam ir jābūt iespējai izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai Eiropas datu aizsardzības uzraudzītājs un pēc tam Komisija. Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam.

(42)Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros, un apstrādātājam būtu jāglabā ieraksti par tā atbildības jomā ietilpstošo apstrādes darbību kategorijām. Savienības iestādēm un struktūrām vajadzētu būt pienākumam sadarboties ar Eiropas Datu aizsardzības uzraudzītāju un pēc pieprasījuma darīt pieejamus savus ierakstus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām. Savienības iestādēm un struktūrām būtu jāver izveidot centrālu reģistru, kurā glabāt ierakstus par veiktajām apstrādes darbībām. Pārredzamības nolūkos tām būtu jāvar padarīt šādu reģistru publiski pieejamu.

(43)Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu.

(44)Savienības iestādēm un struktūrām jānodrošina elektronisko komunikāciju konfidencialitāte, kā noteikts hartas 7. pantā. Jo īpaši Savienības iestādēm un struktūrām ir jānodrošina to elektronisko sakaru tīklu drošība, jāaizsargā informācija, kas saistīta ar galalietotāju termināliekārtām, kas piekļūst to publiski pieejamām tīmekļa vietnēm un mobilām lietotnēm saskaņā ar Regulu (ES) XX/XXXX [jaunā E-privātuma regula] un jāaizsargā lietotāju sarakstos esošie personas dati.

(45) Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu. Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu Eiropas Datu aizsardzības uzraudzītājam, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Ja šādu paziņojumu nevar sniegt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās. Ja kavēšanās ir pamatota, mazāk sensitīvu vai mazāk specifisku informāciju par pārkāpumu ir jāatklāj pēc iespējas ātrāk, negaidot, kamēr incidents tiks pilnībā atrisināts, un tad sniedzot paziņojumu.

(46)Ja ir iespējams, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, pārzinim bez liekas kavēšanās būtu jāpaziņo datu subjektam par personas datu pārkāpumu, lai viņš varētu veikt nepieciešamos piesardzības pasākumus. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs, kā arī ieteikumi, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas. Šāda paziņošana datu subjektam būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar Eiropas Datu aizsardzības uzraudzītāju, ievērojot tās vai citas attiecīgas iestādes, piemēram, tiesībaizsardzības iestādes, sniegtos norādījumus.

(47)Regulā (EK) Nr. 45/2001 ir paredzēts pārziņa vispārīgs pienākums paziņot par personas datu apstrādi datu aizsardzības speciālistam, kurš, savukārt, veic paziņojumu par apstrādes darbībām reģistrāciju. Lai gan minētais pienākums radīja administratīvu un finanšu slogu, tas ne vienmēr palīdzēja uzlabot personas datu aizsardzību. Tāpēc šādi nekritiski vispārīgi paziņošanas pienākumi būtu jāatceļ un jāaizstāj ar efektīvām procedūrām un mehānismiem, kas pievēršas tiem apstrādes darbību veidiem, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādi apstrādes darbību veidi var būt tādi, kuri jo īpaši ietver jauno tehnoloģiju izmantošanu, vai tādi, kuri pieder pie kāda jauna veida un par kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes. Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus. Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, aizsardzības pasākumi un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti.

(48)Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar Eiropas Datu aizsardzības uzraudzītāju. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu. Eiropas Datu aizsardzības uzraudzītājam uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā. Tomēr tam, ka Eiropas Datu aizsardzības uzraudzītājs nav sniedzis atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena Eiropas Datu aizsardzības uzraudzītāja iejaukšanas saskaņā ar šajā regulā paredzētajiem uzdevumiem un pilnvarām, tostarp pilnvarām aizliegt apstrādes darbības. Saistībā ar minēto apspriešanās procesu Eiropas Datu aizsardzības uzraudzītājam vajadzētu būt iespējai iesniegt novērtējuma par ietekmi uz datu aizsardzību, kas tika veikts saistībā ar attiecīgo apstrādi, iznākumu, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām.

(49)Eiropas Datu aizsardzības uzraudzītājam ir jābūt informētam par Savienības iestāžu un struktūru administratīvajiem pasākumiem un iekšējiem noteikumiem, kas paredz personas datu apstrādi, nosaka, paredz nosacījumus datu subjekta tiesību ierobežošanai vai nosaka atbilstošas garantijas datu subjekta tiesībām, lai nodrošinātu, ka plānotā apstrāde atbilst šīs regulas noteikumiem, un jo īpaši lai mazinātu risku attiecībā uz datu subjektu.

(50)Ar Regulu (ES) 2016/679 tika izveidota Eiropas Datu aizsardzības kolēģija, kas ir neatkarīga Savienības struktūra ar juridiskas personas statusu. Kolēģijai būtu jāpalīdz nodrošināt Regulas (ES) 2016/679 un Direktīvas 2016/680 konsekventa piemērošana visā Savienībā, tostarp jāsniedz padomi Komisijai. Tajā pat laikā Eiropas Datu aizsardzības uzraudzītājam būtu jāturpina īstenot savas uzraudzības un konsultatīvās funkcijas attiecībā uz visām Savienības iestādēm un struktūrām, ieskaitot pēc savas iniciatīvas vai pieprasījuma. Lai nodrošinātu konsekventus datu aizsardzības noteikumus visā Savienībā, Komisijai obligāti jāveic apspriešanās pēc tam, kad ir pieņemti tiesību akti vai laikā, kad tiek gatavoti deleģētie akti un īstenošanas akti, kā noteikts LESD 289., 290. un 291. pantā, un pēc tam, kad ir pieņemti ieteikumi un priekšlikumi, kas attiecas uz līgumiem ar trešām valstīm un starptautiskām organizācijām, kā noteikts LESD 218. pantā, kas ietekmē tiesības uz personas datu aizsardzību. Šādos gadījumos Komisijai ir pienākums apspriesties ar Eiropas Datu aizsardzības uzraudzītāju, izņemot, ja Regulā (ES) 2016/679 ir noteikts pienākums apspriesties ar Eiropas Datu aizsardzības kolēģiju, piemēram, par atbilstības lēmumiem vai deleģētajiem aktiem par standartizētām ikonām un sertifikācijas mehānismu prasībām. Ja konkrētais jautājums ir īpaši svarīgs personas tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisijai būtu jāspēj papildus apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos Eiropas Datu aizsardzības uzraudzītājs, būdams Eiropas Datu aizsardzības kolēģijas biedrs, koordinē savu sadarbību ar kolēģiju ar mērķi izdot kopēju atzinumu. Eiropas Datu aizsardzības uzraudzītājs un, kad piemērojams, Eiropas Datu aizsardzības kolēģija sniedz rakstisku padomu astoņu nedēļu laikā. Šis laika periods var būt īsāks steidzamos gadījumos vai citos apstākļos, piemēram, kad Komisija gatavo deleģētos un īstenošanas aktus.

(51)Katrā Savienības iestādē vai struktūrā datu aizsardzības speciālistiem būtu jānodrošina šīs regulas noteikumu piemērošana un jākonsultē pārziņi un apstrādātāji attiecībā uz viņu pienākumu izpildi. Šim speciālistam ir jābūt personai ar speciālām zināšanām datu aizsardzības tiesību un prakses jomā, kas būtu jānosaka jo īpaši saskaņā ar veiktajām datu apstrādes darbībām un aizsardzību, kas nepieciešama personas datiem, kurus pārzinis vai apstrādātājs apstrādā. Datu aizsardzības speciālistiem ir jābūt spējīgiem veikt savus pienākumus un uzdevumus neatkarīgi.

(52)Kad personas dati no Savienības iestādēm un struktūrām tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā. Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievēroti šīs regulas noteikumi. Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām.

(53)Saskaņā ar Regulas (ES) 2016/679 45. pantā noteikto Komisija var izlemt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni. Šādos gadījumos personas datus Savienības iestāde vai struktūra uz minēto trešo valsti vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju.

(54)Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, paredzot atbilstošas garantijas datu subjektam. Šādas atbilstošas garantijas varētu nozīmēt, ka tiek izmantotas Komisijas pieņemtās standarta datu aizsardzības klauzulas, Eiropas Datu aizsardzības uzraudzītāja pieņemtās standarta datu aizsardzības klauzulas vai Eiropas Datu aizsardzības uzraudzītāja apstiprinātas līguma klauzulas. Ja apstrādātājs nav Savienības iestāde vai struktūra, atbilstošās garantijas var būt saistoši uzņēmuma noteikumi, rīcības kodeksi un sertifikācijas mehānismi, kas izmantoti starptautiskai nosūtīšanai saskaņā ar Regulu (ES) 2016/679. Minētajām garantijām būtu jānodrošina, lai tiktu ievērotas datu aizsardzības prasības un datu subjektu tiesības atbilstīgi Savienībā veiktai apstrādei, tostarp īstenojamu datu subjekta tiesību un efektīvu tiesiskās aizsardzības līdzekļu pieejamība, ieskaitot iespēju saņemt efektīvu aizsardzību administratīvā kārtā vai tiesā un pieprasīt kompensāciju Savienībā un trešā valstī. Tiem jo īpaši būtu jāattiecas uz atbilstību vispārīgiem principiem, kuri saistīti ar personas datu apstrādi, un “integrētas datu aizsardzības” un “datu aizsardzības pēc noklusējuma” principiem. Savienības iestādes un struktūras var veikt datu nosūtīšanu uz trešo valstu publiskām iestādēm vai struktūrām vai starptautiskām organizācijām, kurām ir atbilstoši pienākumi vai funkcijas, tostarp pamatojoties uz noteikumiem, kuri iekļaujami administratīvos pasākumos, piemēram, saprašanās memorandā, datu subjektiem paredzot īstenojamas un efektīvas tiesības. Ja garantijas ir paredzētas administratīvos noteikumos, kas nav juridiski saistoši, būtu jāsaņem Eiropas Datu aizsardzības uzraudzītāja atļauja.

(55)Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai Eiropas Datu aizsardzības uzraudzītāja pieņemtās standarta datu aizsardzības klauzulas, nebūtu jāizslēdz ne tas, ka pārzinis vai apstrādātājs var iekļaut standarta datu aizsardzības klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, ne arī tas, ka pārzinis vai apstrādātājs var pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Komisijas vai Eiropas Datu aizsardzības uzraudzītāja pieņemtajām līguma standartklauzulām vai neierobežo datu subjekta pamattiesības vai brīvības. Pārziņi un apstrādātāji būtu jāmudina nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina standarta datu aizsardzības klauzulas.

(56)Dažas trešās valstis pieņem normatīvos un citus tiesību aktus, kuru mērķis ir tieši regulēt apstrādes darbības, ko veic Savienības iestādes un struktūras. Tas var ietvert tiesu spriedumus vai administratīvu iestāžu lēmumus trešās valstīs, ar kuriem pārzinim vai apstrādātājam prasa nosūtīt vai atklāt personas datus un kuri nav balstīti uz starptautisku nolīgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību. Šādu normatīvu un citu tiesību aktu ekstrateritoriāla piemērošana var būt pretrunā starptautiskām tiesībām un var kavēt sasniegt tādu aizsardzību, kādu fiziskām personām Savienībā nodrošina ar šo regulu. Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti. Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības tiesību aktos.

(57)Īpašās situācijās būtu jāparedz noteikumi, kas ļauj nosūtīt datus noteiktos gadījumos, kad datu subjekts ir devis savu skaidru piekrišanu, ja nosūtīšana ir gadījuma rakstura un nepieciešama saistībā ar līgumu vai likumīgu prasību, neatkarīgi no tā, vai to izvirza tiesas procesā vai administratīvā vai ārpustiesas procedūrā, tostarp regulatīvo struktūru procedūrās. Būtu jāparedz arī noteikumi, kas ļauj nosūtīt datus, ja tas nepieciešams, pamatojoties uz Savienības tiesību aktos noteiktām svarīgām sabiedrības interesēm, vai ja datus nosūta no reģistra, kas izveidots ar likumu un ir paredzēts, lai leģitīmi ieinteresētas personas vai sabiedrība varētu to izmantot. Pēdējā minētajā gadījumā nebūtu jānosūta pilnīgi visi reģistrā ietvertie personas dati vai veselas datu kategorijas, izņemot, ja Savienības tiesību akti to atļauj, un, ja reģistrs ir paredzēts, lai to varētu izmantot leģitīmi ieinteresētas personas, dati būtu jānosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas, pilnībā ņemot vērā datu subjekta intereses un pamattiesības.

(58)Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad starptautiska datu apmaiņa notiek starp Savienības iestādēm un struktūrām un konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm un dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai novērstu dopingu sportā. Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot savu piekrišanu. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai. Varētu uzskatīt, ka jebkādu datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot starptautiskās humanitārās tiesības, kas piemērojamas bruņotos konfliktos, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs.

(59)Jebkurā gadījumā, ja Komisija nav pieņēmusi lēmumu par datu aizsardzības līmeņa pietiekamību trešā valstī, pārzinim vai apstrādātājam būtu jāizmanto risinājumi, kas datu subjektiem sniedz īstenojamas un efektīvas tiesības attiecībā uz viņu datu apstrādi Savienībā arī pēc tam, kad minētie dati ir nosūtīti, lai tādējādi viņi joprojām varētu baudīt savas pamattiesības un garantijas.

(60)Personas datu pārvietošanās pāri robežām ārpus Savienības var ievērojami ietekmēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, jo īpaši, lai aizsargātu sevi pret nelikumīgu izmantošanu vai šādas informācijas atklāšanu. Vienlaikus uzraudzības iestādes Savienībā, ieskaitot Eiropas Datu aizsardzības uzraudzītāju, var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās ārpus to jurisdikcijas. To pūles kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras, tiesisko regulējumu atšķirības un tādi praktiski šķēršļi kā, piemēram, ierobežoti līdzekļi. Tāpēc vajadzētu sekmēt ciešāku sadarbību starp Eiropas Datu aizsardzības uzraudzītāju un citiem datu aizsardzības uzraudzītājiem, lai palīdzību apmainīties ar informāciju ar kolēģiem citās valstīs.

(61)Eiropas Datu aizsardzības uzraudzītājs, kas izveidots saskaņā ar Regulā (EK) Nr. 45/2001 noteikto un kuram ir pilnvarotas veikt savus uzdevumus un izmantot savas pilnvaras pilnīgi neatkarīgi, ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz viņu personas datu apstrādi. Šī regula stiprina un paskaidro viņa lomu un neatkarību.

(62)Lai nodrošinātu konsekventu datu aizsardzības noteikumu uzraudzību un izpildi visā Savienībā, Eiropas Datu aizsardzības uzraudzītājam būtu jābūt tiem pašiem uzdevumiem un faktiskām pilnvarām, kas ir dalībvalstu uzraudzības iestādēm, tostarp izmeklēšanas pilnvarām, korektīvām pilnvarām, pilnvarām lemt par sankcijām un atļauju izsniegšanas un padomdevēja pilnvarām, jo īpaši fizisku personu sūdzību gadījumos, un informēt Eiropas Savienības Tiesu par šīs regulas pārkāpumiem un iesaistīties tiesvedībās saskaņā ar primārajiem tiesību aktiem. Šādām pilnvarām būtu jāietver arī pilnvaras uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu. Lai izvairītos no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajām personām, kuras var tikt nevēlami ietekmētas, katram Eiropas Datu aizsardzības uzraudzītāja pasākumam ir jābūt atbilstošam, vajadzīgam un samērīgam, lai nodrošinātu atbilstību šai regulai, ņemot vērā apstākļus katrā atsevišķā gadījumā un ievērojot katras personas tiesības tikt uzklausītai pirms tāda individuāla pasākuma pieņemšanas. Katram Eiropas Datu aizsardzības uzraudzītāja veiktam juridiski saistošam pasākumam vajadzētu būt sagatavotam rakstiski, skaidram un nepārprotamam, tajā būtu jānorāda pasākuma noteikšanas datums, uz tā vajadzētu būt Eiropas Datu aizsardzības uzraudzītāja vadītāja parakstam, tajā būtu jāiekļauj pasākuma pamatojums un jānorāda, ka ir tiesības uz efektīvu tiesību aizsardzību.

(63)Eiropas Datu aizsardzības uzraudzītāja lēmumi par šajā regulā paredzētajiem izņēmumiem, garantijām, atļaujām un nosacījumiem attiecībā uz datu apstrādi būtu jāpublicē darbības pārskatā. Eiropas Datu aizsardzības uzraudzītājs var publicēt ziņojumus par konkrētiem jautājumiem neatkarīgi no darbības gada pārskata publicēšanas.

(64)Valstu uzraudzības iestādes uzrauga Regulas (ES) 2016/679 noteikumu piemērošanu un veicina tās saskanīgu piemērošanu visā Savienībā, lai aizsargātu fiziskas personas attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti iekšējā tirgū. Lai palielinātu dalībvalstīs piemēroto datu aizsardzības noteikumu konsekvenci ar tiem datu aizsardzības noteikumiem, kas piemērojami Savienības iestādēm un struktūrām, Eiropas Datu aizsardzības uzraudzītājam ir efektīvi jāsadarbojas ar valstu uzraudzības iestādēm.

(65)Atsevišķos gadījumos Savienības tiesību aktos ir paredzēta koordinēta uzraudzība, kuru īsteno Eiropas Datu aizsardzības uzraudzītājs kopā ar valstu uzraudzības iestādēm. Turklāt Eiropas Datu aizsardzības uzraudzītājs ir Eiropola uzraudzības iestāde, un īpašs sadarbības modelis ar valstu uzraudzības iestādēm tiek īstenots ar konsultatīvas sadarbības padomes starpniecību. Lai uzlabotu datu aizsardzības pamatnoteikumu efektīvu uzraudzību un izpildi, Savienībā būtu jāievieš vienots un saskaņots koordinētas uzraudzības modelis. Tāpēc attiecīgos gadījumos Komisijai būtu jāiesniedz leģislatīvu aktu priekšlikumi, kuru mērķis būtu grozīt Savienības tiesību aktus, kuros paredzēts koordinētas uzraudzības modelis, lai saskaņotu tos ar šajā regulā paredzēto koordinētās uzraudzības modeli. Eiropas Datu aizsardzības kolēģija kalpo par vienotu forumu, kas nodrošina efektīvu koordinētu uzraudzību visās jomās.

(66)Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam un tiesībām uz efektīvu tiesību aizsardzību Eiropas Savienības Tiesā saskaņā ar Līgumiem, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja Eiropas Datu aizsardzības uzraudzītājs nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to izskatīt tiesā. Eiropas Datu aizsardzības uzraudzītājam saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar valsts uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija. Lai atvieglotu sūdzību iesniegšanu, Eiropas Datu aizsardzības uzraudzītājam būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus.

(67)Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu saskaņā ar Līguma nosacījumiem.

(68)Lai spēcinātu Eiropas Datu aizsardzības uzraudzītāja uzraudzības funkcijas un šīs regulas efektīvu izpildi, Eiropas Datu aizsardzības uzraudzītājam ir jābūt pilnvarām uzlikt administratīvus naudas sodus kā galēju līdzekli. Naudas sodu mērķim būtu jābūt uzlikt sankcijas par šīs regulas neievērošanu iestādei vai struktūrai, nevis fiziskām personām, lai atturētu tās no šīs regulas neievērošanas nākotnē un sekmētu personas datu aizsardzības kultūru Savienības iestādēs un struktūrās. Šajā regulā būtu jānorāda pārkāpumi un jānosaka attiecīgā administratīvā naudas soda maksimālais apmērs un kritēriji tā noteikšanai. Eiropas Datu aizsardzības uzraudzītājam būtu jānosaka naudas soda apmērs katrā konkrētā gadījumā, ņemot vērā visus attiecīgos konkrētās situācijas apstākļus un pienācīgi ņemot vērā pārkāpuma būtību, smagumu un ilgumu un tā sekas, kā arī pasākumus, kas veikti, lai nodrošinātu šajā regulā paredzēto pienākumu ievērošanu un novērstu vai mazinātu pārkāpuma sekas. Uzliekot administratīvu naudas sodu Savienības struktūrai, Eiropas Datu aizsardzības uzraudzītājam ir jāizvērtē sodas naudas summas proporcionalitāte. Administratīvajā procedūrā, ar kuru Savienības iestādēm un struktūrām uzliek soda naudas, būtu jāievēro Savienības tiesību aktos paredzētie vispārējie principi, kā tos interpretējusi Eiropas Savienības Tiesa.

(69)Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam viņa vārdā. Šādai struktūrai, organizācijai vai asociācijai ir jāspēj īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai īstenot tiesības saņemt kompensāciju datu subjektu vārdā.

(70)Ja Savienības ierēdnis vai cits darbinieks neievēro šajā regulā paredzētos pienākumus, viņu var saukt pie disciplināras vai cita veida atbildības saskaņā ar noteikumiem un procedūrām, kas paredzētas Eiropas Savienības Civildienesta noteikumos vai Eiropas Savienības Pārējo darbinieku nodarbināšanas kārtībā.

(71)Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, Komisijai būtu jāpiešķir īstenošanas pilnvaras, ja tas paredzēts šajā regulā. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 16 . Pārbaudes procedūra būtu jāizmanto, lai pieņemtu standartklauzulas līgumos starp pārziņiem un apstrādātājiem un līgumos starp pārziņiem, lai pieņemtu to apstrādes darbību sarakstus, kurām pārziņiem, kuri apstrādi veic, pildot uzdevumu sabiedrības interesēs, ir nepieciešams iepriekš apspriesties ar Eiropas Datu aizsardzības uzraudzītāju, un lai pieņemtu līgumu standartklauzulas, kas nodrošina atbilstošas garantijas starptautiskai nosūtīšanai.

(72)Būtu jāaizsargā konfidenciālā informācija, ko Savienības un valstu statistikas iestādes vāc oficiālās Eiropas statistikas un oficiālās valsts statistikas izveidei. Eiropas statistika būtu jāizstrādā, jāsagatavo un jāizplata saskaņā ar statistikas principiem, kas noteikti LESD 338. panta 2. punktā. Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 17 paredz papildu precizējumus par statistikas konfidencialitāti attiecībā uz Eiropas statistiku.

(73)Būtu jāatceļ Regula (EK) Nr. 45/2001 un Lēmums (EK) Nr. 1247/2002/EK. Atsauces uz atcelto regulu un atcelto lēmumu uzskata par atsaucēm uz šo regulu.

(74)Lai garantētu neatkarīgās uzraudzības iestādes biedru pilnīgu neatkarību, šī regula neietekmē pašreizējā Eiropas Datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru laiku. Pašreizējais uzraudzītāja palīgs paliek amatā līdz viņa pilnvaru termiņa beigām, izņemot, ja ir izpildīts viens no šīs regulas nosacījumiem priekšlaicīgai Eiropas Datu aizsardzības uzraudzītāja atbrīvošanai no amata. Šīs regulas attiecīgie noteikumi ir piemērojami uzraudzītāja palīgam līdz viņa pilnvaru termiņa beigām.

(75)Saskaņā ar proporcionalitātes principu, lai sasniegtu pamatmērķi nodrošināt vienlīdzīgu fizisko personu aizsardzību attiecībā uz viņu personas datu apstrādi un personas datu brīvu plūsmu visā Savienībā, ir nepieciešams un lietderīgi ieviest noteikumus par personas datu apstrādi Savienības iestādēs un struktūrās. Saskaņā ar Līguma par Eiropas Savienību 5. panta 4. punktu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi, lai sasniegtu izvirzītos mērķus.

(76)Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas […] sniedzis atzinumu.

IR PIEŅĒMUŠI ŠO REGULU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Priekšmets un mērķi

1.Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un noteikumus personas datu brīvai apritei to starpā vai ar saņēmējiem, kas veic uzņēmējdarbību Savienībā un uz kuriem attiecas Regula (ES) 2016/679 18 vai valstu tiesību akti, kas pieņemti saskaņā ar Direktīvu (ES) 2016/680 19 .

2.Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.

3.Eiropas Datu aizsardzības uzraudzītājs (“EDAU”) uzrauga šīs regulas noteikumu piemērošanu visās apstrādes darbībās, kuras veic Savienības iestādes vai struktūras.

2. pants

Piemērošanas joma

1.Šo regulu piemēro attiecībā uz personas datu apstrādi visās Savienības iestādēs un struktūrās, ciktāl minētā apstrāde notiek, pildot darbības, kas pilnībā vai daļēji ietilpst Savienības tiesību aktu piemērošanas jomā.

2.Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

3. pants

Definīcijas

1.Šajā regulā piemēro šādas definīcijas:

a)Regulas (ES) 2016/679 definīcijas, izņemot “pārziņa” definīciju Regulas (ES) 2016/679 4. panta 7. punktā;

b)“elektroniskās saziņas” definīciju Regulas (ES) XX/XXXX [E-privātuma regula] 4. panta 2. punkta a) apakšpunktā;

c) “elektronisko sakaru tīklu” un “galalietotāja” definīciju Direktīvas 00/0000/ES [Direktīva par Eiropas elektronisko sakaru kodeksa izveidi] 2. panta 1. un 14. punktā;

d) “termināliekārtas” definīciju Komisijas Direktīvas 2008/63/EK 20 1. panta 1. punktā.

2.Turklāt šīs regulas vajadzībām izmanto šādas definīcijas:

a)“Savienības iestādes un struktūras” ir Savienības iestādes, struktūras, biroji un aģentūras, kas izveidotas ar Līgumu par Eiropas Savienību, Līgumu par Eiropas Savienības darbību vai Euratom līgumu, vai balstoties uz tiem;

b)“pārzinis” ir Savienības iestāde, struktūra, birojs vai aģentūra, ģenerāldirektorāts vai cita organizatoriska vienība, kas viena pati vai kopā ar citiem nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka ar īpašu Savienības tiesību aktu, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības tiesību aktos.

c)“lietotājs” ir jebkura fiziska persona, kura izmanto tīklu vai termināliekārtu, kuras darbību kontrolē Savienības iestāde vai struktūra;

d)“saraksts” ir drukāts vai elektronisks publiski pieejams lietotāju saraksts vai iekšējs lietotāju saraksts, kas pieejams Savienības iestādei vai struktūrai, vai kuru kopīgi lieto vairākas Savienības iestādes un struktūras.

II NODAĻA

PRINCIPI

4. pants

Personas datu apstrādes principi

1.Personas dati:

a)tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

b)tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 13. pantu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);

c)ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tika iegūti vai tiek turpmāk apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

e)tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 13. pantu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);

f)tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

2.Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).

5. pants

Apstrādes likumīgums

1.Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs, pamatojoties uz vai īstenojot Savienības iestādei vai struktūrai likumīgi piešķirtās oficiālās pilnvaras;

b)apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

c)apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

d)datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

e)apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses.

2.1. punkta a) apakšpunktā minētie uzdevumi tiek noteikti Savienības tiesību aktos.

6. pants

Apstrāde citos savietojamos nolūkos

Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 25. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

a)jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem;

b)kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām;

c)personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 10. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 11. pantu;

d)paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem;

e)atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju.

7. pants

Nosacījumi piekrišanai

1.Ja apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei.

2.Ja datu subjekta piekrišanu dod saistībā ar rakstisku deklarāciju, kas attiecas arī uz citiem jautājumiem, lūgumu dot piekrišanu norāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Jebkura šādas deklarācijas daļa, kura ir šīs regulas pārkāpums, nav saistoša.

3.Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli, kā to dot.

4.Novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei.

8. pants

Nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem

1.Ja attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērnam ir piemērojams 5. panta 1. punkta d) apakšpunkts, bērna personas datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs. Ja bērns ir jaunāks par 13 gadiem, šāda apstrāde ir likumīga tikai tad un tādā apmērā, ja piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu.

2.Pārzinis pieliek saprātīgas pūles, lai šādos gadījumos pārbaudītu, vai piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu, ņemot vērā pieejamās tehnoloģijas.

3.Šā panta 1. punkts neietekmē dalībvalstu vispārējās līgumtiesības, piemēram, noteikumus par attiecībā uz bērnu noslēgta līguma spēkā esību, noslēgšanu vai sekām.

9. pants

Personas datu nosūtīšana saņēmējiem, kas nav Savienības iestādes un struktūras un kas veic uzņēmējdarbību Savienībā, un kam piemēro Regulas (ES) 2016/679 vai Direktīvas (ES) 2016/680 prasības

1.Neskarot 4., 5., 6. un 10. pantu, personas datus nosūta vienīgi saņēmējiem, kas veic uzņēmējdarbību Savienībā un kam piemēro Regulu (ES) 2016/679 vai valstu tiesību aktus, kas pieņemti saskaņā ar Direktīvu (ES) 2016/680, ja saņēmējs pierāda, ka:

a)dati ir vajadzīgi, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot likumīgi piešķirtās oficiālās pilnvaras;

b)datus ir nepieciešams nosūtīt, tas ir samērīgi nosūtīšanas mērķiem un nav pamata pieņemt, ka varētu tikt ierobežotas datu subjekta tiesības, brīvības un likumīgās intereses.

2.Ja dati tiek nosūtīti saskaņā ar šo pantu pēc pārziņa iniciatīvas, pārzinim ir uzskatāmi jāparāda, ka personas datu nosūtīšana ir nepieciešama un samērīga nosūtīšanas mērķiem, piemērojot kritērijus, kas noteikti 1. punkta a) vai b) apakšpunktos.

10. pants

Īpašu kategoriju personas datu apstrāde

1.Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2.Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

a)datu subjekts ir devis nepārprotamu piekrišanu šo datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt, vai

b)apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības tiesību akti, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm, vai

c)apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu,

d)veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic bezpeļņas struktūra, kas ir integrēta Savienības iestādē vai struktūrā, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras;

e)apstrāde attiecas uz datiem, kurus datu subjekts ir apzināti publiskojis;

f)apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad Eiropas Savienības Tiesa pilda savus uzdevumus, vai

g)apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

h)apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

i)apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai;

j)apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, pamatojoties uz Savienības tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai.

3.Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības tiesību aktiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā.

11. pants

Personas datu par sodāmību un pārkāpumiem apstrāde

Personas datu apstrādi par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz 5. panta 1. punktu, veic tikai tad, ja apstrādi atļauj Savienības tiesību akti, kas var ietvert iekšējus noteikumus, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām.

12. pants

Apstrāde, kurai nav nepieciešama identifikācija

1.Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu.

2.Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 17.–22. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt.

13. pants

Garantijas, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos

Uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar šo regulu attiecas atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām nodrošina, ka pastāv tehniski un organizatoriski pasākumi, jo īpaši, lai nodrošinātu datu minimizēšanas principa ievērošanu. Minētie pasākumi var ietvert pseidonimizēšanu, ar noteikumu, ka minētos nolūkus var sasniegt minētajā veidā. Ja minētos nolūkus var sasniegt, veicot turpmāku apstrādi, kas neļauj vai vairs neļauj identificēt datu subjektus, minētos nolūkus sasniedz minētajā veidā.

III NODAĻA

DATU SUBJEKTA TIESĪBAS

1. IEDAĻA

PĀRREDZAMĪBA UN IZMANTOŠANAS KĀRTĪBA

14. pants

Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība

1.Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 15. un 16. pantā minēto informāciju un nodrošinātu visu 17.–24. pantā un 38. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.

2.Pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar 17.–24. pantu. Regulas 12. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 17.–24. pantu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.

3.Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 17.–24. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.

4.Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam un vērsties tiesā.

5.Informācija, ko sniedz saskaņā ar 15. un 16. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 17.–24. pantu un 38. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var atteikties izpildīt pieprasījumu.

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

6.Neskarot 12. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 17.–23. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

7.Informāciju, kas datu subjektiem sniedzama, ievērojot 15. un 16. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.

8.Ja Komisija pieņem deleģētos aktus saskaņā ar Regulas (ES) 2016/679 12. panta 8. punktu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai, Savienības iestādes un struktūras vajadzības gadījumā sniedz informāciju saskaņā ar 15. un 16. pantu kopā ar šādām standartizētām ikonām.

2. IEDAĻA

INFORMĀCIJA UN PIEKĻUVE PERSONAS DATIEM

15. pants

Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta

1.Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

a)pārziņa identitāte un kontaktinformācija;

b)datu aizsardzības speciālista kontaktinformācija;

c)apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

e)attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 49. pantā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami;

2.Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

a)laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai attiecīgā gadījumā tiesības iebilst pret apstrādi, vai tiesības uz datu pārnesamību;

c)ja apstrāde pamatojas uz 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)tiesības iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam;

e)informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

f)tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu;

3.Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

4.Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

16. pants

Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta

1.Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

a)pārziņa identitāte un kontaktinformācija;

b)datu aizsardzības speciālista kontaktinformācija;

c)apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)attiecīgo personas datu kategorijas;

e)personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

f)attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 49. pantā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

2.Papildus 1. punktā minētajai informācijai, pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:

a)laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai attiecīgā gadījumā tiesības iebilst pret apstrādi, vai tiesības uz datu pārnesamību;

c)ja apstrāde pamatojas uz 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)tiesības iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam;

e)informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem;

f)tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3.Pārzinis 1. un 2. punktā minēto informāciju sniedz:

a)saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;

b)ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai

c)vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.

4.Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

5.Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

a)informācija jau ir datu subjekta rīcībā;

b)izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus;

c)iegūšana vai izpaušana ir skaidri paredzēta Savienības tiesību aktos; vai

d)ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības tiesību aktiem.

17. pants

Datu subjekta piekļuves tiesības

1.Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

a)apstrādes nolūki;

b)attiecīgo personas datu kategorijas;

c)personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

e)tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;

f)tiesības iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam;

g)visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;

h)tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

2.Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 49. pantu.

3.Pārzinis nodrošina apstrādē esošo personas datu kopiju. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.

4.Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.

3. IEDAĻA

LABOŠANA UN DZĒŠANA

18. pants

Tiesības labot

Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

19. pants

Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)

1.Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:

a)personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;

b)datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;

c)datu subjekts iebilst pret apstrādi saskaņā ar 23. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata;

d)personas dati ir apstrādāti nelikumīgi;

e)personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts pārzinim uzlikts juridisks pienākums;

f)personas dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts 8. panta 1. punktā.

2.Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus, kas veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.

3.Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:

a)lai īstenotu tiesības uz vārda brīvību un informāciju;

b)lai izpildītu pārzinim uzliktu juridisku pienākumu vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu;

c)pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 10. panta 2. punkta h) un i) apakšpunktu, kā arī 10. panta 3. punktu;

d)arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai

e)lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

20. pants

Tiesības ierobežot apstrādi

1.Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja pastāv viens no šādiem apstākļiem:

a)datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti, ieskaitot to pilnīgumu;

b)apstrāde ir nelikumīga, un datu subjekts iebilst pret datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;

c)pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

d)datu subjekts ir iebildis pret apstrādi saskaņā ar 23. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem.

2.Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.

3.Pārzinis datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas.

4.Automatizētās kartotēkās apstrādes ierobežojums principā ir jānodrošina ar tehniskiem līdzekļiem. Faktu, ka personas dati ir ierobežoti, sistēmā atspoguļo tā, lai kļūtu skaidrs, ka personas datus nedrīkst izmantot.

21. pants

Pienākums ziņot par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu

Pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar 18. pantu, 19. panta 1. punktu un 20. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa. 

22. pants

Tiesības uz datu pārnesamību

1.Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati sniegti, tam nerada nekādus šķēršļus, ja:

a)apstrāde pamatojas uz piekrišanu, ievērojot 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 5. panta 1. punkta c) apakšpunktu; un

b)apstrādi veic ar automatizētiem līdzekļiem.

2.Īstenojot savas tiesības uz datu pārnesamību saskaņā ar 1. punktu, datu subjektam ir tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim, ja tas ir tehniski iespējams.

3.Šā panta 1. punktā minēto tiesību īstenošana neskar 19. pantu. Minētās tiesības neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras.

4.Tiesības, kas minētas 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un brīvības.

4. IEDAĻA

TIESĪBAS IEBILST UN AUTOMATIZĒTA INDIVIDUĀLU LĒMUMU PIEŅEMŠANA

23. pants

Tiesības iebilst

1.Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 5. panta 1. punkta a) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minēto noteikumu. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

2.Vēlākais tad, kad ar datu subjektu notiek pirmā saziņa, datu subjektu nepārprotami informē par 1. punktā minētajām tiesībām, un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas.

3.Neskarot 34. un 35. pantu, saistībā ar informācijas sabiedrības pakalpojumu izmantošanu datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas.

4.Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, datu subjektam, pamatojoties uz savu īpašo situāciju, ir tiesības iebilst pret savu personas datu apstrādi, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.

24. pants

Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana

1.Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu.

2.Šā panta 1. punktu nepiemēro, ja lēmums:

a)ir vajadzīgs, lai noslēgtu vai izpildītu līgumu starp datu subjektu un pārzini;

b)ir atļauts saskaņā ar Savienības tiesību aktiem, kuros ir arī noteikti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses; vai

c)pamatojas uz datu subjekta nepārprotamu piekrišanu.

3.Šā panta 2. punkta a) un c) apakšpunktā minētajos gadījumos datu pārzinis veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no pārziņa puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu.

4.Šā panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 10. panta 1. punktā, izņemot, ja tiek piemērots 10. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.

5. IEDAĻA

IEROBEŽOJUMI

25. pants

Ierobežojumi

1.Tiesību akti, kas pieņemti uz Līgumu pamata, vai – gadījumos, kad runa ir par apstākļiem, kas saistīti ar Savienības iestāžu un struktūru darbību – to iekšēji noteikumi, var ierobežot 14.–22. panta, 34. un 38. panta piemērošanu, kā arī 4. panta piemērošanu, ciktāl tā noteikumi atbilst 14.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a)dalībvalstu valsts drošību un sabiedrisko drošību vai aizsardzību;

b)noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;

c)citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu;

d)Savienības iestāžu un struktūru, ieskaitot to elektronisko sakaru tīklus, iekšējo drošību;

e)tiesu neatkarības un tiesvedības aizsardzību;

f)reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

g)uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat, ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz c) apakšpunktā minētajos gadījumos;

h)datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību;

i)civilprasību izpildi.

2.Ja ierobežojumi nav noteikti ar tiesību aktu, kas pieņemts uz Līgumu pamata, vai iekšējiem noteikumiem saskaņā ar 1. punktu, Savienības iestādes un struktūras var ierobežot 14.–22. panta, 34. un 38. panta piemērošanu, kā arī 4. panta piemērošanu, ciktāl tā noteikumi atbilst 14.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība attiecībā uz specifisku apstrādes darbību, un demokrātiskā sabiedrībā tas ir nepieciešams un samērīgs, lai aizsargātu vienu vai vairākus 1. punktā minētus mērķus. Ierobežojumu dara zināmu kompetentajam datu aizsardzības speciālistam.

3.Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, var paredzēt atkāpes no tiesībām, kas minētas 17., 18., 20. un 23. pantā, ņemot vērā 13. pantā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt sasniegt konkrētos nolūkus, un šādas atkāpes ir vajadzīgas minēto nolūku sasniegšanai.

4.Ja personas datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, var paredzēt atkāpes no tiesībām, kas minētas 17., 18., 20., 21., 22. un 23. pantā, ņemot vērā 13. pantā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt sasniegt konkrētos nolūkus, un šādas atkāpes ir vajadzīgas minēto nolūku sasniegšanai.

5.Šā panta 1., 3. un 4. punktā minētajiem iekšējiem noteikumiem ir jābūt pietiekami skaidriem un precīziem, un atbilstoši publicētiem.

6.Ja tiek piemērots ierobežojums saskaņā ar 1. vai 2. punktu, datu subjektu informē saskaņā ar Savienības tiesību aktiem par galvenajiem iemesliem, kas ir pamatā ierobežojuma piemērošanai, kā arī par viņa tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam.

7.Ja tiek piemērots ierobežojums saskaņā ar 1. vai 2. punktu un to izmanto, lai liegtu piekļuvi datu subjektam, Eiropas datu aizsardzības uzraudzītājs, izmeklējot sūdzību, informē datu subjektu tikai par to, vai dati ir apstrādāti pareizi un, ja nav — vai ir izdarīti vajadzīgie labojumi.

8.Šā panta 6. un 7. punktā un 46. panta 2. punktā minētās informācijas sniegšanu var atlikt, izlaist vai atteikt, ja tādējādi ierobežojums, kas uzlikts saskaņā ar 1. vai 2. punktu, vairs nebūtu iedarbīgs.

IV NODAĻA

PĀRZINIS UN APSTRĀDĀTĀJS

1. IEDAĻA

VISPĀRĪGI PIENĀKUMI

26. pants

Pārziņa atbildība

1.Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

2.Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.

27. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas prasības un aizsargāt datu subjektu tiesības.

2.Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.

28. pants

Kopīgi pārziņi

1.Ja apstrādes mērķus un veidus nosaka Savienības iestāde vai struktūra kopā ar vienu vai vairākiem pārziņiem, kas var būt un var nebūt Savienības iestādes vai struktūras, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus izpildīt viņiem piemērojamās datu aizsardzības prasības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt 15. un 16. pantā minēto informāciju; pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.

2.Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektiem. Vienošanās galveno saturu dara pieejamu datu subjektam.

3.Saskaņā ar šo regulu datu subjekts var īstenot savas tiesības attiecībā uz un pret vienu vai vairākiem kopīgiem pārziņiem, ņemot vērā to lomas, kas noteiktas 1. punktā minētās vienošanās ietvaros.

29. pants

Apstrādātājs

1.Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2.Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3.Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

a)personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam; šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)īsteno visus pasākumus, kas nepieciešami saskaņā ar 33. pantu;

d)ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;

e)ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)palīdz pārzinim nodrošināt 33. līdz 40. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4.Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šī cita apstrādātāja pienākumu izpildi.

5.Ja apstrādātājs nav Savienības iestāde vai struktūra, tā atbilstību apstiprinātam rīcības kodeksam, kā minēts Regulas (ES) 2016/679 40. panta 5. punktā, vai apstiprinātam sertifikācijas mehānismam, kā minēts Regulas (ES) 2016/679 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6.Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš apstrādātājam, kas nav Savienības iestāde vai struktūra, piešķirts saskaņā ar Regulas (ES) 2016/679 42. pantu.

7.Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 70. panta 2. punktā.

8.Eiropas Datu aizsardzības uzraudzītājs var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem.

9.Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10.Neskarot 65. un 66. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

30. pants

Apstrāde pārziņa un apstrādātāja pakļautībā

Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi, kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.

31. pants

Apstrādes darbību reģistrēšana

1.Katrs pārzinis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

a)pārziņa, datu aizsardzības speciālista un attiecīgā gadījumā apstrādātāja un visu kopīgo pārziņu vārds un uzvārds vai nosaukums un kontaktinformācija;

b)apstrādes nolūki;

c)datu subjektu kategoriju un personas datu kategoriju apraksts;

d)to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji dalībvalstīs, trešās valstīs vai starptautiskās organizācijas;

e)attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un atbilstošo garantiju dokumentācija;

f)ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

g)ja iespējams, 33. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2.Katrs apstrādātājs uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

a)apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, un datu aizsardzības speciālista nosaukums un kontaktinformācija;

b)katra pārziņa vārdā veiktās apstrādes kategorijas;

c)attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un atbilstošo garantiju dokumentācija;

d)ja iespējams, 33. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3.Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4.Savienības iestādes un struktūras pēc pieprasījuma nodrošina reģistra pieejamību Eiropas Datu aizsardzības uzraudzītājam.

5.Savienības iestādes un struktūras var pieņemt lēmumu uzglabāt informāciju par veiktajām apstrādes darbībām centrālā reģistrā. Šajā gadījumā tās var arī pieņemt lēmumu padarīt šo reģistru publiski pieejamu.

32. pants

Sadarbība ar Eiropas Datu aizsardzības uzraudzītāju

Pildot tām noteiktos uzdevumus, Savienības iestādes un struktūras pēc pieprasījuma sadarbojas ar Eiropas Datu aizsardzības uzraudzītāju.

2. IEDAĻA

PERSONAS DATU DROŠĪBA UN ELEKTRONISKĀS SAZIŅAS KONFIDENCIALITĀTE

33. pants

Apstrādes drošība

1.Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

a)personas datu pseidonimizāciju un šifrēšanu;

b)spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

c)spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

d)procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

2.Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

3.Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības tiesību aktiem.

34. pants

Elektroniskās saziņas konfidencialitāte

Savienības iestādes un struktūras nodrošina elektroniskās saziņas konfidencialitāti, jo īpaši nodrošinot to elektronisko sakaru tīklu drošību.

35. pants

Informācijas, kas saistīta ar galalietotāju termināliekārtām, aizsardzība

Savienības iestādes un struktūras aizsargā informāciju, kas saistīta ar galalietotāju termināliekārtām, kas piekļūst to publiski pieejamām tīmekļa vietnēm un mobilām lietotnēm saskaņā ar Regulas (ES) XX/XXXX [jaunā E-privātuma regula], jo īpaši tās 8. panta, prasībām.

36. pants

Lietotāju saraksti

1.Lietotāju sarakstos iekļautos personas datus, kā arī piekļuvi šiem sarakstiem ierobežo tādā apmērā, cik tas nepieciešams attiecīgā saraksta konkrētajam mērķim.

2.Savienības iestādes un struktūras veic visus vajadzīgos pasākumus, lai nepieļautu to, ka šajos sarakstos esošos personas datus izmanto tiešas tirgvedības nolūkiem neatkarīgi no tā, vai tie ir publiski pieejami vai nav.

37. pants

Personas datu aizsardzības pārkāpuma paziņošana Eiropas Datu aizsardzības uzraudzītājam

1.Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu Eiropas Datu aizsardzības uzraudzītājam, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņojums Eiropas Datu aizsardzības uzraudzītājam nav sniegts 72 stundu laikā, tam pievieno kavēšanās iemeslus.

2.Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.

3.Paziņojumā, kas minēts 1. punktā, vismaz:

a)apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b)uzrāda datu aizsardzības speciālista nosaukumu un kontaktinformāciju;

c)apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.

4.Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

5.Par personas datu aizsardzības pārkāpumu pārzinis informē datu aizsardzības speciālistu.

6.Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj Eiropas Datu aizsardzības uzraudzītājam pārbaudīt šā panta ievērošanu.

38. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2.Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 37. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.

3.Paziņojums datu subjektam, kā minēts 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem:

a)pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4.Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, Eiropas Datu aizsardzības uzraudzītājs, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

3. IEDAĻA

NOVĒRTĒJUMS PAR IETEKMI UZ DATU AIZSARDZĪBU UN IEPRIEKŠĒJA APSPRIEŠANĀS

39. pants

Novērtējums par ietekmi uz datu aizsardzību

1.Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2.Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista.

3.Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)10. pantā minēto īpašo kategoriju datu vai 11. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4.Eiropas Datu aizsardzības uzraudzītājs izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu.

5.Eiropas Datu aizsardzības uzraudzītājs var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību.

6.Novērtējumā ietver vismaz:

a)plānoto apstrādes darbību un apstrādes nolūku sistemātisku aprakstu;

b)novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

7.Attiecīgo apstrādātāju, kas nav Savienības iestāde vai struktūra, atbilstību Regulas (ES) 2016/679 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

8.Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

9.Ja saskaņā ar 5. panta 1. punkta a) vai b) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts tiesību aktā, kas pieņemts uz Līgumu pamata un kas reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma pirms minētā tiesību akta pieņemšanas, šā panta 1.–6. punktu nepiemēro, izņemot, ja Savienības tiesību aktos ir noteikts citādāk.

10.Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

40. pants

Iepriekšēja apspriešanās

1.Pārzinis pirms apstrādes apspriežas ar Eiropas datu aizsardzības uzraudzītāju, ja novērtējumā par ietekmi uz datu aizsardzību saskaņā ar 39. pantā ir norādīts, ka apstrāde bez garantiju, drošības pasākumu un riska mazināšanas mehānismu piemērošanas radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem, ņemot vērā pieejamās tehnoloģijas un īstenošanas izmaksas. Par vajadzību veikt iepriekšēju apspriešanos pārzinis lūdz padomu no datu aizsardzības speciālista.

2.Ja Eiropas Datu aizsardzības uzraudzītājs uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, Eiropas Datu aizsardzības uzraudzītājs laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot savas 59. pantā minētās pilnvaras. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Eiropas Datu aizsardzības uzraudzītājs informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kamēr Eiropas Datu aizsardzības uzraudzītājs saņem informāciju, ko tas pieprasījis apspriešanās nolūkiem.

3.Apspriežoties ar Eiropas Datu aizsardzības uzraudzītāju saskaņā ar 1. punktā noteikto, pārzinis sniedz Eiropas Datu aizsardzības uzraudzītājam šādu informāciju:

a)attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus;

b)paredzētās apstrādes nolūkus un līdzekļus;

c)pasākumus un garantijas, lai nodrošinātu datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu;

d)datu aizsardzības speciālista kontaktinformācija;

e)39. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un

f)jebkuru citu Eiropas Datu aizsardzības uzraudzītāja pieprasītu informāciju.

4.Komisija var īstenošanas aktā noteikt to gadījumu sarakstu, kuros pārziņiem ir jāapspriežas ar Eiropas Datu aizsardzības uzraudzītāju un jāsaņem no tā iepriekšēja atļauja saistībā ar apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad minēto apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību.

4. IEDAĻA

INFORMĀCIJA UN TIESĪBU AKTU APSPRIEŠANA

41. pants

Informācija

Plānojot administratīvus pasākumus un iekšējus noteikumus, kas attiecas uz personas datu apstrādi, kurā Savienības iestāde vai struktūra ir iesaistīta viena pati vai kopā ar citām, Savienības iestādes un struktūras informē Eiropas Datu aizsardzības uzraudzītāju.

42. pants

Tiesību aktu apspriešana

1.Pēc tiesību aktu priekšlikumu un ieteikumu vai priekšlikumu Padomei pieņemšanas saskaņā ar LESD 218. pantu un gatavojot deleģētos aktus vai īstenošanas aktus, kas ietekmē personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi, Komisija apspriežas ar Eiropas Datu aizsardzības uzraudzītāju.

2.Ja šāds 1. punktā minēts akts ir īpaši svarīgs personas tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisija var apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos Eiropas Datu aizsardzības uzraudzītājs un Eiropas Datu aizsardzības kolēģija koordinē sadarbību ar mērķi izdot kopēju atzinumu.

3.1. un 2. punktā minētais padoms ir jāsniedz rakstiski laikposmā, kas nepārsniedz astoņas nedēļas kopš 1. un 2. punktā minētā pieprasījuma par apspriešanos saņemšanas. Steidzamos gadījumos vai citos atbilstošos apstākļos Komisija var saīsināt šo termiņu.

4.Šis pants nav piemērojams, ja saskaņā ar Regulas (ES) 2016/679 prasībām Komisijai ir jākonsultējas ar Eiropas Datu aizsardzības uzraudzītāju.

5. IEDAĻA

PIENĀKUMS REAĢĒT UZ PIEŅĒMUMIEM

43. pants

Pienākums reaģēt uz pieņēmumiem

Ja Eiropas Datu aizsardzības uzraudzītājs īsteno pilnvaras, kas tam piešķirtas 59. panta 2. punkta a), b) un c) apakšpunktos, attiecīgais pārzinis vai apstrādātājs informē Eiropas Datu aizsardzības uzraudzītāju par tā viedokli saprātīgā termiņā, kuru nosaka Eiropas Datu aizsardzības uzraudzītājs, ņemot vērā konkrētā gadījuma apstākļus. Atbildē ietilpst arī veikto pasākumu apraksts (ja tādi ir veikti), reaģējot uz Eiropas datu aizsardzības uzraudzītāja piezīmēm.

6. IEDAĻA

DATU AIZSARDZĪBAS SPECIĀLISTS

44. pants

Datu aizsardzības speciālista iecelšana

1.Katra Savienības iestāde vai struktūra ieceļ datu aizsardzības speciālistu.

2.Ņemot vērā organizatorisko struktūru un izmēru, vairākas Savienības iestādes un struktūras var iecelt vienu datu aizsardzības speciālistu.

3.Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 46. pantā minētos uzdevumus.

4.Datu aizsardzības speciālists var būt Savienības iestādes vai struktūras darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.

5.Savienības iestādes un struktūras publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to Eiropas Datu aizsardzības uzraudzītājam.

45. pants

Datu aizsardzības speciālista statuss

1.Savienības iestādes un struktūras nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

2.Savienības iestādes un struktūras atbalsta datu aizsardzības speciālistu 46. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas.

3.Savienības iestādes un struktūras nodrošina, ka datu aizsardzības speciālists nesaņem nekādus norādījumus attiecībā uz savu uzdevumu veikšanu. Pārzinis vai apstrādātājs viņu neatlaiž vai viņam nepiemēro sankcijas par viņa uzdevumu veikšanu. Datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā.

4.Datu subjekti var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu.

5.Datu aizsardzības speciālistam un viņa darbiniekiem ir saistoša slepenības vai konfidencialitātes ievērošana saistībā ar viņa uzdevumu pildīšanu, kā paredzēts Savienības tiesību aktos.

6.Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus. Pārzinis vai apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu.

7.Jautājumos, kas attiecas uz regulas interpretāciju vai piemērošanu, ar datu aizsardzības speciālistu var apspriesties pārzinis un apstrādātājs, attiecīgā Personāla komiteja un jebkura fiziska persona, neizmantojot oficiālos kanālus. Neviena intereses netiek skartas tādēļ, ka kompetentajam datu aizsardzības speciālistam ir darīta zināma lieta, kurā ir aizdomas par šīs regulas noteikumu pārkāpumu.

8.Datu aizsardzības speciālists tiek iecelts uz trīs līdz pieciem gadiem, un viņu var iecelt atkārtoti. Savienības iestāde vai struktūra, kas iecēlusi datu aizsardzības speciālistu, var viņu atbrīvot no šā amata tikai ar Eiropas Datu aizsardzības uzraudzītāja piekrišanu, ja viņš vairs neatbilst nosacījumiem, kas nepieciešami, lai pildītu tā pienākumus.

9.Savienības iestāde vai struktūra, kas iecēlusi datu aizsardzības speciālistu, pēc iecelšanas viņu reģistrē Eiropas Datu aizsardzības uzraudzītāja reģistrā.

46. pants

Datu aizsardzības speciālista uzdevumi

1.Datu aizsardzības speciālistam ir šādi uzdevumi:

a)informēt un konsultēt pārzini vai apstrādātāju un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo regulu un ar citiem Savienības noteikumiem par datu aizsardzību;

b)neatkarīgā veidā nodrošināt šīs regulas iekšēju piemērošanu un uzraudzīt, vai tiek ievērota šī regula, citi Savienības noteikumi par datu aizsardzību un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c)nodrošināt, ka datu subjekti tiek informēti par savām tiesībām un pienākumiem saskaņā ar šo regulu;

d)pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību paziņot vai ziņot par personas datu aizsardzības pārkāpumu saskaņā ar 37. un 38. pantu;

e)pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 39. pantu, kā arī konsultēties ar Eiropas Datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešams novērtējums par ietekmi uz datu aizsardzību;

f)pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību iepriekš apspriesties ar Eiropas Datu aizsardzības uzraudzītāju saskaņā ar 40. pantu, kā arī konsultēties ar Eiropas Datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešama iepriekšēja apspriešanās;

g)atbildēt uz Eiropas datu aizsardzības uzraudzītāja pieprasījumiem un atbilstīgi savai kompetencei sadarboties un konsultēties ar Eiropas datu aizsardzības uzraudzītāju pēc tā pieprasījuma vai pēc savas iniciatīvas.

2.Datu aizsardzības speciālists var sagatavot ieteikumus pārzinim un apstrādātājam par to, kā praktiski uzlabot datu aizsardzību, un konsultēt viņus jautājumos, kas attiecas uz datu aizsardzības noteikumu piemērošanu. Turklāt pēc savas iniciatīvas vai pēc pārziņa vai apstrādātāja, attiecīgās Personāla komitejas un jebkuras fiziskas personas pieprasījuma viņš var izmeklēt jautājumus un gadījumus, kas tieši ir saistīti ar viņa uzdevumiem un kas tam kļuvuši zināmi, un ziņot par rezultātiem personai, kas pasūtījusi attiecīgo izmeklēšanu, vai pārzinim vai apstrādātājam.

3.Turpmākus īstenošanas noteikumus attiecībā uz datu aizsardzības speciālistu pieņem katra atsevišķa Savienības iestāde vai struktūra. Īstenošanas noteikumi jo īpaši attiecas uz datu aizsardzības speciālista uzdevumiem, pienākumiem un pilnvarām.

V NODAĻA

Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

47. pants

Nosūtīšanas vispārīgie principi

Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā citus šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.

48. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti tās sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni, un personas datus nosūta vienīgi ar mērķi ļaut pārzinim izpildīt viņa kompetencē esošus uzdevumus.

2.Savienības iestādes un struktūras informē Komisiju un Eiropas Datu aizsardzības uzraudzītāju par gadījumiem, kuros pēc šo iestāžu un struktūru domām attiecīgā trešā valsts vai starptautiskā organizācija nenodrošina pietiekamu aizsardzības līmeni 1. punkta nozīmē.

3.Savienības iestādes un struktūras veic visus vajadzīgos pasākumus, lai ievērotu Komisijas pieņemtos lēmumus, kuros tā saskaņā ar Regulas (ES) 2016/679 45. panta 3. un 5. punktu nosaka, ka trešā valsts vai starptautiska organizācija nodrošina vai nenodrošina pietiekamu aizsardzības līmeni.

49. pants

Nosūtīšana, pamatojoties uz atbilstošām garantijām

1.Ja nav pieņemts lēmums saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.

2.Šā panta 1. punktā minētās atbilstošās garantijas, neprasot īpašu atļauju Eiropas Datu aizsardzības uzraudzītājam, var tikt nodrošinātas ar:

a)starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu instrumentu;

b)standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 70. panta 2. punktā minēto pārbaudes procedūru;

c)standarta datu aizsardzības klauzulām, ko pieņem Eiropas Datu aizsardzības uzraudzītājs un apstiprina Komisija saskaņā ar 70. panta 2. punktā minēto pārbaudes procedūru;

d)saistošiem uzņēmuma noteikumiem, rīcības kodeksiem un sertifikācijas mehānismiem saskaņā ar Regulas (ES) 2016/679 46. panta 2. punkta b), e) un f) apakšpunktu gadījumos, kad apstrādātājs nav Savienības iestāde vai struktūra.

3.Ja Eiropas Datu aizsardzības uzraudzītājs dod atļauju, tad 1. punktā minētās atbilstošās garantijas var arī nodrošināt jo īpaši ar:

a)starp pārzini vai apstrādātāju un trešā valstī vai starptautiskā organizācijā esošu pārzini, apstrādātāju vai personas datu saņēmēju noslēgtu līgumu klauzulām; vai

b)noteikumiem, kuri iekļaujami administratīvajās vienošanās starp publiskām iestādēm vai struktūrām un kuri ietver īstenojamas un efektīvas datu subjektu tiesības.

4.Savienības iestādes un struktūras informē Eiropas Datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kuros šis pants ir piemērots.

5.Eiropas Datu aizsardzības uzraudzītāja atļaujas, kas izsniegtas saskaņā ar Regulas (ES) Nr. 45/2001 9. panta 7. punktu, ir spēkā, kamēr Eiropas Datu aizsardzības uzraudzītājs tās vajadzības gadījumā negroza, neaizstāj vai neatceļ.

50. pants

Datu nosūtīšana vai izpaušana, kas saskaņā ar Savienības tiesību aktiem nav atļauta

Neskarot citus nosūtīšanas pamatus saskaņā ar šo nodaļu, ikviens trešās valsts tiesas spriedums un ikviens trešās valsts administratīvās iestādes lēmums, kurā pārzinim vai apstrādātājam pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību.

51. pants

Atkāpes īpašās situācijās

1.Ja nav pieņemts lēmums saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai nav nodrošināti atbilstoši aizsardzības pasākumi saskaņā ar 49. pantu, personas datus var nosūtīt vai vairākkārtīgi nosūtīt uz trešo valsti vai starptautisku organizāciju tikai ar nosacījumu, ka:

a)datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)nosūtīšana ir vajadzīga, ja ir svarīgi iemesli sabiedrības interesēs;

e)nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; vai

f)nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; vai

g)nosūtīšanu izdara no reģistra, kas saskaņā ar Savienības tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība vai jebkura persona, kas var uzskatāmi parādīt, ka tām ir leģitīmas intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības tiesību aktos paredzētie izmantošanas nosacījumi.

2.Nosūtot datus saskaņā ar 1. punkta g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datu vai veselas personas datu kategorijas, izņemot, ja to atļauj Savienības tiesību akti. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3.Sabiedrības intereses, kas minētas 1. punkta d) apakšpunktā, ir atzītas Savienības tiesībās.

4.Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai.

5.Savienības iestādes un struktūras informē Eiropas Datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kuros šis pants ir piemērots.

52. pants

Starptautiskā sadarbība personas datu aizsardzības jomā

Attiecībā uz trešām valstīm un starptautiskām organizācijām Eiropas Datu aizsardzības uzraudzītājs sadarbībā ar Komisiju un Eiropas datu aizsardzības kolēģiju veic atbilstošus pasākumus, lai:

a)izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

b)sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņošanu, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas attiecībā uz personas datu aizsardzību un citas pamattiesības un pamatbrīvības;

c)iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir padziļināt starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz jurisdikcijas konfliktiem ar trešām valstīm.

VI NODAĻA

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS

53. pants

Eiropas Datu aizsardzības uzraudzītājs

1.Ar šo izveido Eiropas Datu aizsardzības uzraudzītāju.

2.Attiecībā uz personas datu apstrādi Eiropas Datu aizsardzības uzraudzītājs nodrošina to, ka Savienības iestādes un struktūras ievēro fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz datu aizsardzību.

3.Eiropas Datu aizsardzības uzraudzītājs atbild par šīs regulas un citu Savienības tiesību aktu tādu noteikumu piemērošanas uzraudzību un nodrošināšanu, kas saistīti ar fizisku personu pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi Savienības iestādē vai struktūrā, kā arī par padomu sniegšanu Savienības iestādēm un struktūrām un datu subjektiem visās lietās, kas attiecas uz personas datu apstrādi. Šiem nolūkiem Eiropas Datu aizsardzības uzraudzītājs pilda 58. pantā noteiktos uzdevumus un īsteno 59. pantā piešķirtās pilnvaras.

54. pants

Eiropas Datu aizsardzības uzraudzītāja iecelšana

1.Savstarpēji vienojoties, Eiropas Parlaments un Padome ieceļ Eiropas Datu aizsardzības uzraudzītāju uz pieciem gadiem, pamatojoties uz sarakstu, ko Komisija sagatavo, izsludinot atklātu pretendentu konkursu. Pretendentu atlases konkursā ir jānodrošina, ka visi interesenti visā Savienība var iesniegt pieteikumus. Komisijas sastādītais kandidātu saraksts ir publisks. Pamatojoties uz Komisijas sagatavoto sarakstu, Eiropas Parlamenta kompetentā komiteja var pieņemt lēmumu organizēt uzklausīšanu, lai tā varētu noteikt, kuram pretendentam tā dod priekšroku.

2.Sarakstā, kuru sagatavo Komisija un no kura tiks izvēlēts Eiropas Datu aizsardzības uzraudzītājs, ir jāiekļauj personas, par kuru neatkarību nav ne mazāko šaubu un kurām ir atzīta pieredze un prasmes, kas nepieciešamas Eiropas Datu aizsardzības uzraudzītāja pienākumu pildīšanai, piemēram, viņas strādā vai ir strādājušas uzraudzības iestādēs, kas izveidotas saskaņā ar Regulas (ES) 2016/679 41. pantu.

3.Eiropas Datu aizsardzības uzraudzītāja pilnvaru termiņu var atjaunot vienreiz.

4.Eiropas Datu aizsardzības uzraudzītāja pienākumu izpilde tiek pārtraukta šādos apstākļos:

a)Eiropas Datu aizsardzības uzraudzītājs tiek aizstāts;

b) Eiropas Datu aizsardzības uzraudzītājs atkāpjas;

c)Eiropas Datu aizsardzības uzraudzītājs tiek atlaists vai atbrīvots no amata.

5.Pēc Eiropas Parlamenta, Padomes vai Komisijas pieprasījuma Eiropas Savienības Tiesa var atlaist Eiropas Datu aizsardzības uzraudzītāju no amata vai atņemt tam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst uzraudzītāja pienākumu izpildes nosacījumiem vai ir vainīgs smaga pārkāpuma izdarīšanā.

6.Parastas aizstāšanas vai labprātīgas atkāpšanās gadījumā Eiropas Datu aizsardzības uzraudzītājs tomēr paliek amatā, līdz to aizstāj.

7.Eiropas Datu aizsardzības uzraudzītājam piemēro arī Protokola par Eiropas Kopienu privilēģijām un neaizskaramību 11.–14. un 17. pantu.

55. pants

Noteikumi un vispārīgi nosacījumi, kas reglamentē Eiropas Datu aizsardzības uzraudzītāja pienākumu izpildi, darbiniekus un finanšu resursus

1.Eiropas Datu aizsardzības uzraudzītājs ir uzskatāms par līdzvērtīgu Eiropas Savienības Tiesas tiesnesim attiecībā uz to, kā nosaka atalgojumu, pabalstus, izdienas pensijas un jebkuru citu atlīdzību, ko saņem kā atalgojumu.

2.Budžeta plānošanas iestāde nodrošina Eiropas Datu aizsardzības uzraudzītājam cilvēku un finanšu resursus, kas vajadzīgi viņa uzdevumu izpildei.

3.Eiropas Datu aizsardzības uzraudzītāja budžetu atspoguļo kā atsevišķu budžeta pozīciju Eiropas Savienības kopējā budžeta IX iedaļā.

4.Eiropas Datu aizsardzības uzraudzītājam palīdz sekretariāts. Sekretariāta ierēdņus un citus darbiniekus ieceļ Eiropas Datu aizsardzības uzraudzītājs, un Eiropas Datu aizsardzības uzraudzītājs ir viņu vadītājs. Viņi ir pakļauti tikai viņam. Darbinieku skaitu katru gadu apstiprina ar budžeta procedūru.

5.Eiropas Datu aizsardzības uzraudzītāja sekretariāta ierēdņi un citi darbinieki ir pakļauti noteikumiem, ko piemēro Eiropas Savienības ierēdņiem un citiem darbiniekiem.

6.Eiropas Datu aizsardzības uzraudzītāja mītne atrodas Briselē.

56. pants

Neatkarība

1.Eiropas Datu aizsardzības uzraudzītājs rīkojas pilnīgi neatkarīgi, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo regulu.

2.Eiropas Datu aizsardzības uzraudzītājs, pildot savus uzdevumus un īstenojot pilnvaras saskaņā ar šo regulu, ir brīvs no ārējas – tiešas vai netiešas – ietekmes un ne no viena nelūdz un nepieņem norādījumus.

3.Eiropas Datu aizsardzības uzraudzītājs atturas veikt jebkādas darbības, kas nav savienojamas ar viņa pienākumiem, un, esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4.Pēc Eiropas Datu aizsardzības uzraudzītāja pilnvaru termiņa beigām viņš izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.

57. pants

Dienesta noslēpums

Esot amatā un arī pēc pilnvaru termiņa beigām, Eiropas Datu aizsardzības uzraudzītājam un tā darbiniekiem ir jāievēro pienākums glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko viņi ir ieguvuši, pildot savus oficiālos pienākumus.

58. pants

Uzdevumi

1.Neskarot citus uzdevumus, kas noteikti ar šo regulu, Eiropas Datu aizsardzības uzraudzītājs:

a)uzrauga un īsteno šīs regulas un citu to Savienības tiesību aktu noteikumu piemērošanu, kas attiecas uz fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādē vai struktūrā, izņemot personas datu apstrādi Eiropas Savienības Tiesā, kas rīkojas atbilstīgi savai tiesas kompetencei;

b)veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem;

c)veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uztic saskaņā ar šo regulu;

d)pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņu tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar dalībvalstu uzraudzības iestādēm;

e)izskata kāda datu subjekta, struktūras vai organizācijas, vai apvienības iesniegtās sūdzības saskaņā ar 67. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

f)veic izmeklēšanu par šīs regulas piemērošanu, tostarp, pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

g)konsultē visas Savienības iestādes un struktūras par likumdošanas un administratīviem pasākumiem saistībā ar personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi;

h)vēro nozīmīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

i)apstiprina 29. panta 8. punktā un 49. panta 2. punkta c) apakšpunktā minētās līguma standartklauzulas;

j)izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 39. panta 4. punktu;

k)piedalās Eiropas Datu aizsardzības kolēģijas, kas izveidota saskaņā ar Regulas (ES) 2016/679 68. pantu, darbībā;

l)nodrošina Eiropas Datu aizsardzības kolēģiju, kas izveidota saskaņā ar Regulas (ES) 2016/679 75. pantu, ar sekretariātu;

m)sniedz padomus par 40. panta 2. punktā minēto apstrādi;

n)apstiprina 49. panta 3. punktā minētās līguma klauzulas un noteikumus;

o)uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 59. panta 2. punktu veiktajiem pasākumiem;

p)pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību. un

q)izstrādā savu reglamentu.

2.Eiropas Datu aizsardzības uzraudzītājs atvieglo 1. punkta e) apakšpunktā minēto sūdzību iesniegšanu, piedāvājot sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3.Attiecībā uz datu subjektu Eiropas Datu aizsardzības uzraudzītājs savus pienākumus veic bez maksas.

4.Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, Eiropas Datu aizsardzības uzraudzītājs var atteikties izpildīt pieprasījumu. Eiropas Datu aizsardzības uzraudzītāja pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

59. pants

Pilnvaras

1.Eiropas Datu aizsardzības uzraudzītājam ir šādas izmeklēšanas pilnvaras:

a)izdot rīkojumu pārzinim un apstrādātājam sniegt visu informāciju, kas nepieciešama viņa uzdevumu veikšanai;

b)veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas;

c)paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

d)iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama viņa uzdevumu veikšanai;

e)iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības procesuālajiem tiesību aktiem;

2.Eiropas Datu aizsardzības uzraudzītājam ir šādas korektīvās pilnvaras:

a)brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi;

b)izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c)nodot jautājumu attiecīgajam pārzinim vai apstrādātājam un vajadzības gadījumā — Eiropas Parlamentam, Padomei vai Komisijai;

d)izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

e)izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

f)izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

g)uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

h)izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 18., 19. un 20. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 19. panta 2. punktu un 21. pantu;

i)piemērot administratīvu naudas sodu saskaņā ar 66. pantu par to, ka Savienības iestāde vai struktūra nav ievērojusi kādu no šajā punktā minētajiem pasākumiem atkarībā no katras konkrētās lietas apstākļiem;

j)izdot rīkojumu apturēt datu plūsmu pie saņēmēja dalībvalstī, trešā valstī vai pie starptautiskas organizācijas.

3.Eiropas Datu aizsardzības uzraudzītājam ir šādas atļauju izsniegšanas un padomdevēja pilnvaras:

a)sniegt padomus datu subjektiem par viņu tiesību īstenošanu;

b)konsultēt pārzini saskaņā ar 40. pantā minēto iepriekšējas apspriešanās procedūru;

c)pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus Savienības iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību;

d)pieņemt standarta datu aizsardzības klauzulas, kas minētas 29. panta 8. punktā un 49. panta 2. punkta c) apakšpunktā;

e)apstiprināt līguma klauzulas, kas minētas 49. panta 3. punkta a) apakšpunktā;

f)apstiprināt administratīvās vienošanās, kas minētas 49. panta 3. punkta b) apakšpunktā;

4.Eiropas Datu aizsardzības uzraudzītājs saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības tiesību aktos.

5.Eiropas Datu aizsardzības uzraudzītājam ir pilnvaras nodot lietas Eiropas Savienības Tiesai saskaņā ar Līgumā paredzētajiem nosacījumiem un iestāties prasībās, kas celtas Eiropas Savienības Tiesā.

60. pants

Darbības pārskats

1.Eiropas Datu aizsardzības uzraudzītājs iesniedz gada pārskatu par savu darbību Eiropas Parlamentam, Padomei un Komisijai, vienlaikus to publiskojot.

2.Darbības pārskatu Eiropas Datu aizsardzības uzraudzītājs nosūta citām Savienības iestādēm un struktūrām, kas var iesniegt piezīmes, ņemot vērā pārskata iespējamu izskatīšanu Eiropas Parlamentā.

VII NODAĻA

SADARBĪBA UN KONSEKVENCE

61. pants

Sadarbība ar valstu uzraudzības iestādēm

Eiropas Datu aizsardzības uzraudzītājs sadarbojas ar uzraudzības iestādēm, kas izveidotas saskaņā ar Regulas (ES) 2016/679 41. pantu un Direktīvas (ES) 2016/680 51. pantu, (turpmāk – valstu uzraudzības iestādes) un ar apvienoto uzraudzības iestādi, kas izveidota saskaņā ar Padomes Lēmuma 2009/917/TI 21 25. pantu, tādā apmērā, cik ir vajadzīgs attiecīgo iestāžu pienākumu izpildei, jo īpaši apmainoties ar nepieciešamo informāciju, pieprasot valstu uzraudzības iestādēm izmantot tām piešķirtās pilnvaras vai atbildot uz šādu iestāžu pieprasījumiem.

62. pants

Eiropas Datu aizsardzības uzraudzītāja un valstu uzraudzības iestāžu koordinēta uzraudzība

1.Ja kāds Savienības tiesību akts atsaucas uz šo pantu, Eiropas Datu aizsardzības uzraudzītājam ir aktīvi jāsadarbojas ar valstu uzraudzības iestādēm, lai nodrošinātu IT sistēmu vai Savienības aģentūru efektīvu uzraudzību.

2.Eiropas Datu aizsardzības uzraudzītājs, darbojoties savu pilnvaru un pienākumu ietvaros, apmainās ar būtisku informāciju, palīdz veikt revīzijas un pārbaudes, izskata šīs regulas un citu piemērojamu Savienības tiesību aktu interpretācijas vai piemērošanas grūtības, analizē problēmas saistībā ar neatkarīgas uzraudzības īstenošanu vai datu subjektu tiesību īstenošanu, izstrādā saskaņotus priekšlikumus problēmu risinājumiem un, ja vajadzīgs, veicina informētību par tiesībām datu aizsardzības jomā kopā ar valstu uzraudzības iestādēm.

3.Šā panta 2. punktā noteiktajiem mērķiem Eiropas Datu aizsardzības uzraudzītājs vismaz divas reizes gadā Eiropas Datu aizsardzības kolēģijas ietvaros tiekas ar valstu uzraudzības iestādēm. Šo sanāksmju izmaksas un norisi nodrošina Eiropas Datu aizsardzības kolēģija. Pirmās sanāksmes laikā tiek apstiprināts reglaments. Ja nepieciešams, kopīgi izstrādā turpmākas darba metodes.

4.Kopīgu darbības ziņojumu par koordinēto uzraudzību Eiropas Datu aizsardzības kolēģija reizi divos gados nosūta Eiropas Parlamentam, Padomei un Komisijai.

VIII NODAĻA

TIESĪBU AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

63. pants

Tiesības iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam

1.Neskarot tiesiskus, administratīvus un ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam, ja viņš uzskata, ka viņa personas datu apstrāde neatbilst šai regulai.

2.Eiropas Datu aizsardzības uzraudzītājs informē datu subjektu par sūdzības virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 64. pantu.

3.Ja Eiropas Datu aizsardzības uzraudzītājs trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības izskatīšanas virzību vai rezultātiem, sūdzība tiek uzskatīta par noraidītu.

64. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā

Eiropas Savienības Tiesai ir piekritīgi visi strīdi, kas attiecas uz šīs regulas noteikumiem, tostarp prasības par zaudējumu atlīdzību.

65. pants

Tiesības uz kompensāciju

Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu saskaņā ar Līgumu nosacījumiem.

66. pants

Administratīvie naudas sodi

1.Eiropas Datu aizsardzības uzraudzītājs var uzlikt Savienības iestādēm un struktūrām administratīvu naudas sodu, kas atkarīgs no katra konkrētā gadījuma apstākļiem, par to, ka Savienības iestāde vai struktūra nav izpildījusi Eiropas Datu aizsardzības uzraudzītāja rīkojumu saskaņā ar 59. panta 2. punkta d) līdz h) un j) apakšpunktu. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)jebkādu Savienības iestādes vai struktūras rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem;

c)Savienības iestādes vai struktūras atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 27. un 33. pantu;

d)jebkādus līdzīgus Savienības iestādes vai struktūras iepriekšējus pārkāpumus;

e)sadarbības pakāpi ar Eiropas Datu aizsardzības uzraudzītāju, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas;

f)to, kādu kategoriju personas datus ietekmējis pārkāpums;

g)veidu, kādā par pārkāpumu uzzināja Eiropas Datu aizsardzības uzraudzītājs, jo īpaši to, vai Savienības iestāde vai struktūra ir ziņojusi par pārkāpumu, un šādā gadījumā – kādā apjomā;

h)ja 59. pantā minētie pasākumi iepriekš par šo pašu priekšmetu jau ir tikuši vērsti pret attiecīgo Savienības iestādi vai struktūru, kā minētie pasākumi ir tikuši pildīti.

Procedūras, kuru rezultātā tiek uzlikta soda nauda, ir jāveic pieņemamā laika periodā atbilstoši lietas apstākļiem un ņemot vērā 69. pantā minētās darbības un procedūras.

2.Ja Savienības iestāde vai struktūra neievēro tās pienākumus saskaņā ar 8., 12., 27., 28., 29., 30., 31., 32., 33., 37., 38., 39., 40., 44., 45. un 46. pantu, saskaņā ar 1. punktu tām var uzlikt administratīvu naudas sodu, kura apmērs par katru pārkāpumu nepārsniedz 25 000 eiro, bet par gadu kopā – 250 000 eiro.

3.Ja Savienības iestāde vai struktūra neievēro turpmāk minētos noteikumus, saskaņā ar 1. punktu tām var uzlikt administratīvu naudas sodu, kura apmērs par katru pārkāpumu nepārsniedz 50 000 eiro, bet par gadu kopā – 500 000 eiro:

a)apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 4., 5., 7. un 10. pantu;

b)datu subjekta tiesības saskaņā ar 14.–24. pantu;

c)personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 47.–51. pantu.

4.Ja Savienības iestāde vai struktūra tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu vai nepārtrauktu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus vai to pašu regulas noteikumu vairākas reizes, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

5.Pirms pieņemt lēmumus saskaņā ar šo pantu Eiropas Datu aizsardzības uzraudzītājs dod Savienības iestādei vai struktūrai, kas ir uzraudzītāja veikto procedūru subjekts, iespēju izteikt savu viedokli par jautājumiem, par kuriem uzraudzītājs ir izteicis iebildumus. Eiropas Datu aizsardzības uzraudzītājs balsta savus lēmumus vienīgi uz tiem iebildumiem, kurus iesaistītās puses ir varējušas komentēt. Sūdzību iesniedzējus cieši iesaista tiesas procesos.

6.Tiesas procesos pilnībā respektē attiecīgo pušu aizstāvības tiesības. Tām ir tiesības piekļūt Eiropas Datu aizsardzības uzraudzītāja lietas materiāliem, ievērojot fizisku personu likumīgās intereses personas datu aizsardzībā un uzņēmumu likumīgās intereses darījumdarbības noslēpumu aizsardzībā.

7.Līdzekļi, kas iegūti, uzliekot soda naudas saskaņā ar šo pantu, ir Eiropas Savienības vispārējā budžeta ieņēmumi.

67. pants

Datu subjektu pārstāvība

Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību Eiropas Datu aizsardzības uzraudzītājam, viņa vārdā īstenotu 63. pantā minētās tiesības un viņa vārdā īstenotu 65. pantā minētās tiesības saņemt kompensāciju.

68. pants

Savienības darbinieku sūdzības

Visi, kas ir nodarbināti Kopienas iestādē vai struktūrā, var iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam, neizmantojot oficiālos kanālus, ja ir aizdomas par šīs regulas, kas reglamentē personas datu apstrādi, noteikumu pārkāpumu. Nevienam nebūtu jācieš tādēļ, ka Eiropas Datu aizsardzības uzraudzītājam ir iesniegta sūdzība, kurā norādīts uz aizdomām par noteikumu pārkāpumu.

69. pants

Sankcijas

Ja Eiropas Savienības ierēdnis vai cits darbinieks tīšām vai nolaidības dēļ neievēro šajā regulā paredzētos pienākumus, viņu var saukt pie disciplināras vai cita veida atbildības saskaņā ar noteikumiem un procedūrām, kas paredzētas Eiropas Savienības Civildienesta noteikumos vai Eiropas Savienības Pārējo darbinieku nodarbināšanas kārtībā.

IX NODAĻA

ĪSTENOŠANAS AKTI

70. pants

Komiteju procedūra

1.Komisijai palīdz komiteja, kas izveidota ar Regulas (ES) 2016/679 93. pantu. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.

2.Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

X NODAĻA

NOBEIGUMA NOTEIKUMI

71. pants

Regulas (EK) Nr. 45/2001 un Lēmuma Nr. 1247/2002/EK atcelšana

Regulu (EK) Nr. 45/2001 22 un Lēmumu Nr. 1247/2002/EK 23 atceļ no 2018. gada 25. maija. Atsauces uz atcelto regulu un atcelto lēmumu uzskata par atsaucēm uz šo regulu.

72. pants

Pārejas pasākumi

1.Šī regula neietekmē Eiropas Parlamenta un Padomes Lēmumu Nr. 2014/886/ES 24 un Eiropas Datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru laikus.

2.Uzraudzītāja palīgs ir līdzvērtīgs Eiropas Savienības Tiesas sekretāram attiecībā uz to, kā nosaka atalgojumu, pabalstus, izdienas pensijas un jebkuru citu atlīdzību, ko saņem kā atalgojumu.

3.Uz pašreizējo uzraudzītāja palīgu līdz pilnvaru termiņa beigām 2019. gada 5. decembrī ir attiecināmi regulas 54. panta 4., 5. un 7. punkts un 56. un 57. punkts.

4.Uzraudzītāja palīgs palīdz Eiropas Datu aizsardzības uzraudzītājam visu tā pienākumu izpildē un aizvieto Eiropas Datu aizsardzības uzraudzītāju viņa prombūtnes laikā vai tad, kad viņš nevar pildīt savus pienākumus, līdz uzraudzītāja palīga pilnvaru termiņa beigām 2019. gada 5. decembrī.

73. pants

Stāšanās spēkā un piemērošana

1.Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas datuma Eiropas Savienības Oficiālajā Vēstnesī.

2.To piemēro no 2018. gada 25. maija.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē,

Eiropas Parlamenta vārdā –    Padomes vārdā –

priekšsēdētājs    priekšsēdētājs

TIESĪBU AKTA PRIEKŠLIKUMA FINANŠU PĀRSKATS

1.PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS

1.1.Priekšlikuma/iniciatīvas nosaukums

1.2.Attiecīgās politikas jomas ABM/ABB struktūrā

1.3.Priekšlikuma/iniciatīvas būtība

1.4.Mērķis(-i)

1.5.Priekšlikuma/iniciatīvas pamatojums

1.6.Ilgums un finansiālā ietekme

1.7.Paredzētie pārvaldības veidi

2.PĀRVALDĪBAS PASĀKUMI

2.1.Uzraudzības un ziņošanas noteikumi

2.2.Pārvaldības un kontroles sistēma

2.3.Krāpšanas un pārkāpumu novēršanas pasākumi

3.PRIEKŠLIKUMA/INICIATĪVAS PAREDZAMĀ FINANSIĀLĀ IETEKME

3.1.Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu pozīcijas

3.2.Paredzamā ietekme uz izdevumiem 

3.2.1.Kopsavilkums par paredzamo ietekmi uz izdevumiem

3.2.2.Paredzamā ietekme uz darbības apropriācijām

3.3.2.Paredzamā ietekme uz administratīvajām apropriācijām

4.3.2.Saderība ar kārtējo daudzgadu finanšu shēmu

5.3.2.Trešo personu iemaksas

3.3.Paredzamā ietekme uz ieņēmumiem

TIESĪBU AKTA PRIEKŠLIKUMA FINANŠU PĀRSKATS

1.PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS

1.1.Priekšlikuma/iniciatīvas nosaukums

Priekšlikums Eiropas Parlamenta un Padomes regulai par personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK.

1.2.Attiecīgās politikas jomas ABM/ABB struktūrā 25  

Tiesiskums – Personas datu aizsardzība

1.3.Priekšlikuma/iniciatīvas būtība

Priekšlikums/iniciatīva attiecas uz jaunu darbību 

Priekšlikums/iniciatīva attiecas uz jaunu darbību, pamatojoties uz izmēģinājuma projektu/sagatavošanas darbību 26  

Priekšlikums/iniciatīva attiecas uz esošas darbības pagarināšanu 

Priekšlikums/iniciatīva attiecas uz darbību, kas pārveidota jaunā darbībā 

1.4.Mērķis(-i)

1.4.1.Komisijas daudzgadu stratēģiskie mērķi, kurus plānots sasniegt ar priekšlikumu/iniciatīvu

Lisabonas līguma spēkā stāšanās un jo īpaši jauna juridiskā pamata ieviešana (LESD 16. pants) sniedz iespēju izveidot vispusīgu datu aizsardzības regulējumu, kas aptver visas jomas.

2016. gada 27. aprīlī Savienība pieņēma Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (Teksts attiecas uz EEZ) (OV L 119, 4.5.2016., 1.–88. lpp.).

Tai pašā dienā Savienība pieņēma Eiropas Parlamenta un Padomes Direktīvu (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI, OV L 119, 4.5.2016., 89.–131. lpp.

Šā priekšlikuma mērķis ir pabeigt vispusīga datu aizsardzības regulējuma izveidi Savienībā, saskaņojot Savienības iestādēm un struktūrām piemērojamos datu aizsardzības noteikumus ar Regulas (ES) 2016/679 datu aizsardzības noteikumiem. Lai nodrošinātu konsekvenci un saskaņotību, Savienības iestādēm un struktūrām ir jāpiemēro tādi paši datu aizsardzības noteikumi, kādus piemēro dalībvalstu publiskais sektors.

1.4.2.Konkrētie mērķi un attiecīgās ABM/ABB darbības

Konkrētais mērķis Nr. 1:

Nodrošināt konsekventu datu aizsardzības noteikumu izpildi visā Savienībā.

Konkrētais mērķis Nr. 2:

Racionalizēt pašreiz Savienības iestādēs un struktūrās izmantoto datu aizsardzības pārvaldības modeli.

Konkrētais mērķis Nr. 3:

Nodrošināt lielāku atbilstību datu aizsardzības noteikumiem un to izpildi Savienības iestādēs un struktūrās.

1.4.3.Paredzamais(-ie) rezultāts(-i) un ietekme

Norādīt, kāda ir priekšlikuma/iniciatīvas iecerētā ietekme uz finansējuma saņēmējiem/mērķgrupām.

Savienības iestādes un struktūras, kuras ir datu pārziņi, gūs labumu no pārejas no pašreizējiem (ex ante) datu aizsardzības administratīvajiem procesiem uz efektīvāku atbilstību un spēcīgāku datu aizsardzības pamatnoteikumu izpildi, kā arī no jaunajiem datu aizsardzības principiem un jēdzieniem, kas ieviesti Regulā (ES) 2016/679 (ex post pieeja), kas būs piemērojami visā Savienībā.

Fizikas personas, kuru datus apstrādā Savienības iestādes un struktūras, varēs īstenot labāku kontroli pār personas datiem un uzticēties digitālajai videi. Viņi saskarsies arī ar lielāku to Savienības iestāžu un struktūru atbildību, kas apstrādā personas datus.

Eiropas Datu aizsardzības uzraudzītājs varēs vairāk pievērsties uzraudzības funkciju izpildei. Komisijas padomdevēja pienākumu sadalījums starp Eiropas Datu aizsardzības kolēģiju, kā noteikts Regulā (ES) 2016/679, un Eiropas Datu aizsardzības uzraudzītāju tiks izskaidrots, un tiks novērsta pienākumu dublēšanās.

1.4.4.Rezultātu un ietekmes rādītāji

Norādīt priekšlikuma/iniciatīvas īstenošanas uzraudzībā izmantojamos rādītājus.

Rādītāji iekļauj šādus elementus:

Eiropas Datu aizsardzības kolēģijas un Eiropas Datu aizsardzības uzraudzītāja sniegto atzinumu skaits,

datu aizsardzības speciālistu veikto darbību iedalījums,

izmantotie novērtējumi par ietekmi uz datu aizsardzību,

datu subjektu iesniegto sūdzību skaits,

soda naudas, kas uzliktas datu pārziņiem, kas atbildīgi par datu aizsardzības pārkāpumiem.

1.5.Priekšlikuma/iniciatīvas pamatojums

1.5.1.Īstermiņa vai ilgtermiņa vajadzības

Regulā (ES) 2016/679 (2. panta 3. punkts, 98. pants, 17. apsvērums) Savienības likumdevēji ir pieprasījuši Regulas (EK) Nr. 45/2001 pielāgošanu Regulā (ES) 2016/679 noteiktajiem principiem un noteikumiem, lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā un lai abus šos instrumentus varētu piemērot vienlaikus, t. i., 2018. gada 25. maijā.

1.5.2.ES iesaistīšanās pievienotā vērtība

Savienības iestādēm un struktūrām piemērojamus datu aizsardzības noteikumus var ieviest vienīgi ES akta veidā.

1.5.3.Līdzīgas līdzšinējās pieredzes rezultātā gūtās atziņas

Priekšlikums ir balstīts uz pieredzi ar Regulu (EK) Nr. 45/2001 un tās piemērošanas izvērtējumu, kuru laikā no 2014. gada septembra līdz 2015. gada jūnijam veica ārējs līgumdarba veicējs 27 .

1.5.4.Saderība un iespējamā sinerģija ar citiem atbilstošiem instrumentiem

Šā priekšlikuma pamatā ir Regula (ES) 2016/679, un tas noslēdz stipra, konsekventa un moderna datu aizsardzības regulējuma, kas ir tehnoloģiski neitrāls un derīgs nākotnē, izveidi Savienībā.

1.6.Ilgums un finansiālā ietekme

Ierobežota ilguma priekšlikums/iniciatīva 

   Priekšlikuma/iniciatīvas darbības laiks: [DD.MM.]GGGG.–[DD.MM.]GGGG.

   Finansiālā ietekme: GGGG.– GGGG.

Beztermiņa priekšlikums/iniciatīva

Īstenošana ar uzsākšanas periodu no [2017. gada] līdz 2018. gada 25. maijam, pēc kura turpinās normāla darbība.

1.7.Paredzētie pārvaldības veidi 28  

Komisijas īstenota tieša pārvaldība:

◻ ko veic tās struktūrvienības, tostarp personāls Savienības delegācijās;

   ko veic izpildaģentūras.

Dalīta pārvaldība kopā ar dalībvalstīm

Netieša pārvaldība, kurā budžeta īstenošanas uzdevumi uzticēti:

◻ trešām valstīm vai to noteiktām struktūrām;

◻ starptautiskām organizācijām un to aģentūrām (precizēt);

◻ EIB un Eiropas Investīciju fondam;

◻ Finanšu regulas 208. un 209. pantā minētajām struktūrām;

◻ publisko tiesību subjektiem;

◻ privāttiesību subjektiem, kas veic valsts pārvaldes uzdevumus, ja tie sniedz pienācīgas finanšu garantijas;

◻ struktūrām, kuru darbību reglamentē dalībvalsts privāttiesības, kurām ir uzticēta publiskā un privātā sektora partnerības īstenošana un kuras sniedz pienācīgas finanšu garantijas;

◻ personām, kurām ir uzticēts veikt īpašas darbības KĀDP saskaņā ar Līguma par Eiropas Savienību V sadaļu un kuras ir noteiktas attiecīgā pamataktā.

Ja norādīti vairāki pārvaldības veidi, sniedziet papildu informāciju iedaļā “Piezīmes”.

Komentāri

Šis priekšlikums attiecas tikai uz visām Savienības iestādēm un struktūrām.

2.PĀRVALDĪBAS PASĀKUMI

2.1.Uzraudzības un ziņošanas noteikumi

Norādīt periodiskumu un nosacījumus.

Šis priekšlikums attiecas vienīgi uz Savienības iestāžu un struktūru datu aizsardzības noteikumiem. Šo noteikumu uzraudzību un izpildi īsteno Eiropas Datu aizsardzības uzraudzītājs. Tāpēc Eiropas Datu aizsardzības uzraudzītājs nodrošina arī uzraudzību un ziņošanu. Saskaņā ar šā priekšlikuma 60. pantu Eiropas Datu aizsardzības uzraudzītājam ir pienākums iesniegt gada pārskatu par tā kompetencē esošajām darbībām Eiropas Parlamentam, Padomei un Komisijai, vienlaikus to publiskojot.

2.2.Pārvaldības un kontroles sistēma

2.2.1.Apzinātie riski

Regulas (EK) Nr. 45/2001 piemērošanas izvērtējumu laikā no 2014. gada septembra līdz 2015. gada jūnijam veica ārējs līgumdarba veicējs. Tajā ir apskatīts arī tas, kā Savienības iestādes un struktūras ietekmē ar Regulu (ES) 2016/679 ieviestie pamatjēdzieni un principi.

Jaunais datu aizsardzības modelis koncentrēsies uz efektīvu datu aizsardzības noteikumu ievērošanu un šo noteikumu efektīvu uzraudzību un izpildi. No Savienības iestādēm un struktūrām tiks pieprasīts mainīt to datu aizsardzības kultūru, pārejot no administratīvas ex-ante pieejas uz efektīvu ex-post pieeju.

2.2.2.Informācija par izveidoto iekšējās kontroles sistēmu

Savienības iestāžu un struktūru izmantotās kontroles metodes.

2.2.3.Paredzamās pārbaužu izmaksas un ieguvumi un gaidāmā kļūdas riska līmeņa novērtējums

Savienības iestāžu un struktūru izmantotās kontroles metodes.

2.3.Krāpšanas un pārkāpumu novēršanas pasākumi

Norādīt esošos vai plānotos novēršanas pasākumus un citus pretpasākumus.

Savienības iestāžu un struktūru izmantotās krāpšanas novēršanas metodes.

3.PRIEKŠLIKUMA/INICIATĪVAS PAREDZAMĀ FINANSIĀLĀ IETEKME

3.1.Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu pozīcijas

Esošās budžeta pozīcijas

Sarindotas pa daudzgadu finanšu shēmas izdevumu kategorijām un budžeta pozīcijām

Daudzgadu finanšu shēmas izdevumu kategorija:

Budžeta pozīcija

Izdevumu
veids

Iemaksas

Nr.
[Pozīcija………………………………………]

Dif./nedif. 29

no EBTA valstīm 30

no kandidātvalstīm 31

no trešām valstīm

Finanšu regulas 21. panta 2. punkta b) apakšpunkta nozīmē

[XX.YY.YY.YY]

Dif./nedif.

JĀ/NĒ

JĀ/NĒ

JĀ/NĒ

JĀ/NĒ

No jauna veidojamās budžeta pozīcijas

Sarindotas pa daudzgadu finanšu shēmas izdevumu kategorijām un budžeta pozīcijām

Daudzgadu finanšu shēmas izdevumu kategorija

Budžeta pozīcija

Izdevumu
veids

Iemaksas

Nr.
[Pozīcija………………………………………]

Dif./nedif.

no EBTA valstīm

no kandidātvalstīm

no trešām valstīm

Finanšu regulas 21. panta 2. punkta b) apakšpunkta nozīmē

[XX.YY.YY.YY]

JĀ/NĒ

JĀ/NĒ

JĀ/NĒ

JĀ/NĒ

3.2.Paredzamā ietekme uz izdevumiem

Šim priekšlikumam ir ietekme tikai uz Savienības iestāžu un struktūru izdevumiem. Ar priekšlikumu saistīto izmaksu izvērtējumā tika pierādīts, ka Savienības iestādēm un struktūrām tas nerada ievērojamus papildu izdevumus.

Attiecībā uz Savienības iestāžu un struktūru datu pārziņiem Regulas (EK) Nr. 45/2001 izvērtējums apliecina, ka viņu veiktās datu aizsardzības darbības atbilst aptuveni 70 pilna laika laika ekvivalentiem (FTE), t. i., aptuveni 9,3 miljoniem eiro gadā. Pašlaik aptuveni 20 % no viņu datu aizsardzības darbībām ir veltītas paziņojumiem par datu apstrādi. Šī regula atceļ šo darbību, un tādējādi no Savienības iestāžu un struktūru datu pārziņiem tiek iegūts ikgadējs ietaupījums 1,922 miljonu eiro apmērā. Paredzams, ka šis ietaupījums tiks izmantots, lai segtu datu pārziņu pieaugošo ieguldījumu apjomu, kas vajadzīgs, lai īstenotu ar šo regulu ieviestos jaunos principus un jēdzienus.

Proti, izvērtējuma ietvaros veiktā apsekojuma rezultāti liecina, ka, īstenojot:

a) datu minimizēšanas principu, ietekme uz Savienības iestādēm un struktūrām būtu minimāla vai nekāda;

b) pārredzamības principu, ietekme uz Savienības iestādēm un struktūrām nebūtu būtiska;

c) paplašinātus informācijas sniegšanas pienākumus, tiktu palielināta datu pārziņu un datu aizsardzības speciālistu darba slodze;

d) tiesības tikt aizmirstam, ietekme uz Savienības iestādēm un struktūrām nebūtu būtiska;

e) tiesības uz datu pārnesamību, ietekme uz Savienības iestādēm un struktūrām būtu minimāla vai nekāda;

f) novērtējumus par ietekmi uz datu aizsardzību, ietekme uz datu pārziņu un datu aizsardzības speciālistu darba slodzi būtu vidēji būtiska, jo atsevišķas Savienības iestādes un struktūras jau veic novērtējumus par ietekmi uz datu aizsardzību, un gadījumi, kuros būs jāveic novērtējums par ietekmi uz datu aizsardzību, ir ierobežoti;

g) informēšanu par personas datu aizsardzības pārkāpumiem, datu pārziņu darba slodze pieaugtu, bet šādi pārkāpumi netiek izdarīti bieži;

h) integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma ir jau ieviesta vairākās Savienības iestādēs un struktūrās.

Turklāt, ietekmes novērtējumā, kas tika veikts pirms datu aizsardzības reformas priekšlikuma pieņemšanas, tika secināts, ka “ieviešot integrētas datu aizsardzības principu, ne publiskām iestādēm, ne datu pārziņiem neradīsies administratīvais slogs”. 32

Attiecībā uz datu aizsardzības speciālistiem izvērtējumā tika lēsts, ka pašreizējā Savienības iestāžu un struktūru datu aizsardzības speciālistu un datu aizsardzības koordinatoru (DPO un DPC) tīkla izmaksas veido 82,9 FTE vai 10,9 miljonus eiro gadā. 26 % no laika, ko viņi pavada, veicot datu aizsardzības pienākumus, viņi tērē darbībām, kuras ir atcēlusi šī regula, t. i., paziņojumu sagatavošana (datu pārziņu vietā), saņemto paziņojumu izvērtēšana un ierakstu veikšana reģistros un iepriekšēju pārbaužu veikšana. Tā rezultātā Savienības iestādes un struktūras var ietaupīt vēl 2,834 miljonus eiro gadā. Šī regula piedāvā iespēju gūt potenciālus ietaupījumus, atļaujot Savienības iestādēm un struktūrām izmantot datu aizsardzības speciālista ārpakalpojumu, nevis algot darbinieku.

Ietaupījumus attiecībā uz datu aizsardzības speciālistu darbību līdzsvaros viņu iesaiste palielinātos informēšanas pienākumos, novērtējumos par ietekmi uz datu aizsardzību (kad tādi būs jāveic konkrētos apstākļos) un iepriekšējā apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju (kuras apjoms būs ievērojami ierobežotāks nekā spēkā esošās prasības veikt iepriekšēju pārbaudes).

Eiropas Datu aizsardzības uzraudzītāja gada budžets ir bijis salīdzinoši stabils kopš 2011. gada, un tā apmērs ir bijis aptuveni 8 miljoni eiro. Tā uzraudzības un izpildes vienībā un politikas un konsultāciju vienībā ir līdzīgs darbinieku skaits, kas nav mainījies kopš 2008. gada. Pastiprināto uzraudzību, ko Eiropas Datu aizsardzības uzraudzītājam paredz šī regula, kompensēs, nosakot mērķtiecīgākas konsultācijas un atceļot uzdevumus, kurus jau veic Eiropas Datu aizsardzības kolēģija. Tāpēc Eiropas Datu aizsardzības uzraudzītāja darbinieku pārcelšanu var veikt iekšēji.

Priekšlikums paredz iespēju Eiropas Datu aizsardzības uzraudzītājam uzlikt Savienības iestādēm un struktūrām administratīvus naudas sodus. Katrai atsevišķai Savienības iestādei vai struktūrai var uzlikt soda naudu, kuras apjoms vienā gadā nepārsniedz 250 000 eiro (25 000 eiro par katru pārkāpumu), vai par smagākiem šī regulas prasību pārkāpumiem – 500 000 eiro gadā (50 000 par katru pārkāpumu). Šādas soda naudas ir paredzēts piemērot vienīgi visnopietnākajos gadījumos un par to, ka Savienības iestāde vai struktūra nav ievērojusi Eiropas Datu aizsardzības uzraudzītāja īstenotas citu korektīvas pilnvaras. Līdz ar to ir paredzams, ka šādu soda naudu finansiālā ietekme būt ierobežota.

3.2.1.Kopsavilkums par paredzamo ietekmi uz izdevumiem

EUR miljonos (trīs zīmes aiz komata)

Daudzgadu finanšu shēmas izdevumu
kategorija

Nr.

[Pozīcija……………...……………………………………………………………….]

ĢD: <…….>

N
gads
33

N+1 
gads

N+2
gads

N+3 
gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

KOPĀ

• Darbības apropriācijas

Budžeta pozīcijas numurs

Saistības

(1)

Maksājumi

(2)

Budžeta pozīcijas numurs

Saistības

(1a)

Maksājumi

(2a)

Administratīvās apropriācijas, kas tiek finansētas no konkrētu programmu piešķīrumiem 34  

Budžeta pozīcijas numurs

(3)

Apropriācijas KOPĀ —
<….> ĢD

Saistības

=1+1a +3

Maksājumi

=2+2a

+3






KOPĀ darbības apropriācijas

Saistības

(4)

Maksājumi

(5)

KOPĀ administratīvās apropriācijas, kas tiek finansētas no konkrētu programmu piešķīrumiem

(6)

KOPĀ daudzgadu finanšu shēmas
<….>
IZDEVUMU KATEGORIJAS apropriācijas

Saistības

=4+ 6

Maksājumi

=5+ 6

Ja priekšlikums/iniciatīva ietekmē vairākas izdevumu kategorijas

KOPĀ darbības apropriācijas

Saistības

(4)

Maksājumi

(5)

KOPĀ administratīvās apropriācijas, kas tiek finansētas no konkrētu programmu piešķīrumiem

(6)

KOPĀ daudzgadu finanšu shēmas
1. –4. IZDEVUMU KATEGORIJAS apropriācijas
(Pamatsumma)

Saistības

=4+ 6

Maksājumi

=5+ 6



Daudzgadu finanšu shēmas izdevumu
kategorija

5

“Administratīvie izdevumi”

EUR miljonos (trīs zīmes aiz komata)

N
gads

N+1 
gads

N+2
gads

N+3 
gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

KOPĀ <…….> ĢD

Cilvēkresursi

Pārējie administratīvie izdevumi

KOPĀ — <….> ĢD apropriācijas

 

KOPĀ daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJAS apropriācijas

(Saistību summa = maksājumu summa)

EUR miljonos (trīs zīmes aiz komata)

N
gads
35

N+1 
gads

N+2
gads

N+3 
gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

KOPĀ

KOPĀ daudzgadu finanšu shēmas
5. IZDEVUMU KATEGORIJAS
apropriācijas

Saistības

Maksājumi

3.2.2.Paredzamā ietekme uz darbības apropriācijām

Priekšlikums/iniciatīva neparedz izmantot darbības apropriācijas

   Priekšlikums/iniciatīva paredz darbības apropriācijas izmantot šādā veidā:

Saistību apropriācijas EUR miljonos (trīs zīmes aiz komata)

Norādīt mērķus un rezultātus

N
gads

N+1 
gads

N+2
gads

N+3 
gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

KOPĀ

REZULTĀTI

Veids 36

Rezultāta vidējās izmaksas

Daudzums

Izmaksas

Daudzums

Izmaksas

Daudzums

Izmaksas

Daudzums

Izmaksas

Daudzums

Izmaksas

Daudzums

Izmaksas

Daudzums

Izmaksas

Kopējais rezultātu daudzums

Kopējās izmaksas

KONKRĒTAIS MĒRĶIS Nr. 1 37

- Rezultāts

- Rezultāts

- Rezultāts

Starpsumma – konkrētais mērķis Nr. 1

KONKRĒTAIS MĒRĶIS Nr. 2

- Rezultāts

Starpsumma – konkrētais mērķis Nr. 2

KOPĒJĀS IZMAKSAS

3.2.3.Paredzamā ietekme uz administratīvajām apropriācijām

3.2.3.1.Kopsavilkums

Priekšlikums/iniciatīva neparedz izmantot administratīvās apropriācijas

   Priekšlikums/iniciatīva paredz izmantot administratīvās apropriācijas šādā veidā:

EUR miljonos (trīs zīmes aiz komata)

N
gads
38

N+1
gads

N+2
gads

N+3 
gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

KOPĀ

Daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJA

Cilvēkresursi

Pārējie administratīvie izdevumi

Starpsumma – daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJA

Ārpus daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJAS 39  

Cilvēkresursi

Pārējie administratīvie izdevumi

Starpsumma —
ārpus daudzgadu finanšu shēmas

5. IZDEVUMU KATEGORIJAS

KOPĀ

Vajadzīgās cilvēkresursu un citu administratīvu izdevumu apropriācijas tiks nodrošinātas no ĢD apropriācijām, kas jau ir piešķirtas darbības pārvaldībai un/vai ir pārdalītas attiecīgajā ģenerāldirektorātā, vajadzības gadījumā izmantojot arī vadošajam ĢD gada budžeta sadales procedūrā piešķirtus papildu resursus un ņemot vērā budžeta ierobežojumus.

3.2.3.2.Paredzamās vajadzības pēc cilvēkresursiem

Priekšlikums/iniciatīva neparedz cilvēkresursu izmantošanu

   Priekšlikums/iniciatīva paredz cilvēkresursu izmantošanu šādā veidā:

Aplēse izsakāma ar pilnslodzes ekvivalentu

N gads

N+1 gads

N+2 gads

N+3 gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

 Štatu sarakstā ietvertās amata vietas (ierēdņi un pagaidu darbinieki)

XX 01 01 01 (Galvenā mītne un Komisijas pārstāvniecības)

XX 01 01 02 (Delegācijas)

XX 01 05 01 (Netiešā pētniecība)

10 01 05 01 (Tiešā pētniecība)

 Ārštata darbinieki (izsakot ar pilnslodzes ekvivalentu – FTE) 40

XX 01 02 01 (CA, SNE, INT, ko finansē no vispārīgajām apropriācijām)

XX 01 02 02 (CA, LA, SNE, INT un JED delegācijās)

XX 01 04 yy  41

- galvenajā mītnē

- delegācijās

XX 01 05 02 (CA, SNE, INT – netiešā pētniecība)

10 01 05 02 (CA, INT, SNE – tiešā pētniecība)

Citas budžeta pozīcijas (precizēt)

KOPĀ

XX ir attiecīgā politikas joma vai budžeta sadaļa.

Vajadzības pēc cilvēkresursiem tiks nodrošinātas, izmantojot attiecīgā ĢD darbiniekus, kuri jau ir iesaistīti konkrētās darbības pārvaldībā un/vai ir pārgrupēti attiecīgajā ģenerāldirektorātā, vajadzības gadījumā izmantojot arī vadošajam ĢD gada budžeta sadales procedūrā piešķirtus papildu resursus un ņemot vērā budžeta ierobežojumus.

Veicamo uzdevumu apraksts

Ierēdņi un pagaidu darbinieki

Ārštata darbinieki

3.2.4.Saderība ar kārtējo daudzgadu finanšu shēmu

Priekšlikums/iniciatīva atbilst kārtējai daudzgadu finanšu shēmai

   Pieņemot priekšlikumu/iniciatīvu, jāpārplāno attiecīgā izdevumu kategorija daudzgadu finanšu shēmā

Aprakstīt, kas jāpārplāno, norādot attiecīgās budžeta pozīcijas un summas.

   Pieņemot priekšlikumu/iniciatīvu, jāpiemēro elastības instruments vai jāpārskata daudzgadu finanšu shēma

Aprakstīt, kas jādara, norādot attiecīgās izdevumu kategorijas, budžeta pozīcijas un summas.

3.2.5.Trešo personu iemaksas

Priekšlikums/iniciatīva neparedz trešo personu līdzfinansējumu

Priekšlikums/iniciatīva paredz šādu līdzfinansējumu:

Apropriācijas EUR miljonos (trīs zīmes aiz komata)

N gads

N+1 gads

N+2 gads

N+3 gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

Kopā

Norādīt līdzfinansējuma struktūru 

KOPĀ līdzfinansējuma apropriācijas



3.3.Paredzamā ietekme uz ieņēmumiem

Priekšlikums/iniciatīva finansiāli neietekmē ieņēmumus

   Priekšlikums/iniciatīva finansiāli ietekmē:

   pašu resursus

   dažādus ieņēmumus

EUR miljonos (trīs zīmes aiz komata)

Budžeta ieņēmumu pozīcija

Kārtējā finanšu gadā pieejamās apropriācijas

Priekšlikuma/iniciatīvas ietekme 42

N gads

N+1 gads

N+2 gads

N+3 gads

Norādīt tik gadu, cik nepieciešams ietekmes ilguma atspoguļošanai (sk. 1.6. punktu)

................... pants

Attiecībā uz dažādiem ieņēmumiem, kas ir “piešķirtie ieņēmumi”, norādīt attiecīgo(-ās) izdevumu pozīciju(-as).

Norādīt, ar kādu metodi aprēķināta ietekme uz ieņēmumiem.

(1) Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regula (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001.).
(2) Lēmums Nr. 1247/2002/EK (2002. gada 1. jūlijs) par noteikumiem un vispārīgiem nosacījumiem, kas reglamentē Eiropas Datu aizsardzības uzraudzītāja pienākumu izpildi, (OV L 8, 12.07.2002.)., 1. lpp.
(3) Skatīt Regulas (ES) 2016/679 98. pantu un 17. apsvērumu.
(4) Skatīt EST, 2010. gada 9. marts, Komisija pret Vāciju, Lieta C-518/07, ECLI:EU:C:2010:125, 26. un 28. punkts.
(5) Skatīt http://ec.europa.eu/justice/data-protection/reform/index_en.htm
(6) Skatīt Eiropas Datu aizsardzības uzraudzītāja vispārīgu ziņojumu “Regulas (EK) Nr. 45/2001 prasību izpildes novērtējums ES iestādēs (“2013. gada pārskats”)” un “Atzinums 3/2015 “Eiropas lielā iespēja: EDAU priekšlikumi par iespējām īstenot ES datu aizsardzības reformu.”
(7) JUST/2013/FRAC/FW/0157/A4 daudzkārtēja pamatlīguma JUST/2011/EVAL/01 (RS 2013/05) kontekstā - Regulas (EK) 45/2001 novērtējums, kuru veica “Ernst and Young”, pieejams http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087
(8) EST, 2010. gada 9. novembris, Volker und Markus Schecke and Eifert, apvienotās lietas C-92/09 un C-93/09 ECLI:EU:C:2009:284, 48. punkts.
(9) Saskaņā ar Hartas 52. panta 1. punktu tiesību uz personas datu aizsardzību izmantošanai var noteikt ierobežojumus, taču tiem ir jābūt noteiktiem tiesību aktos, tajos jārespektē šo tiesību un brīvību būtība un, ievērojot proporcionalitātes principu, ierobežojumus drīkst uzlikt tikai tad, ja tie ir nepieciešami un patiešām atbilst vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.
(10) OV C , , . lpp.
(11) Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regula (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).
(12) Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (Teksts attiecas uz EEZ) (OV L 119, 4.5.2016., 1.–88. lpp.).
(13) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI, OV L 119, 4.5.2016., 89.–131. lpp.
(14) Padomes 1993. gada 5. aprīļa Direktīva 93/13/EEK par negodīgiem noteikumiem patērētāju līgumos (OV J 95, 21.4.1993., 29. lpp.).
(15) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1338/2008 (2008. gada 16. decembris) attiecībā uz Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā ( OV L 354, 31.12.2008., 70. lpp. ).
(16) Eiropas Parlamenta un Padomes Regula (ES) Nr. 182/2011 (2011. gada 16. februāris), ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).
(17) Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (2009. gada 11. marts) par Eiropas statistiku un ar ko atceļ Eiropas Parlamenta un Padomes Regulu (EK, Euratom) Nr. 1101/2008 par tādas statistikas informācijas nosūtīšanu Eiropas Kopienu Statistikas birojam, uz kuru attiecas konfidencialitāte, Padomes Regulu (EK) Nr. 322/97 par Kopienas statistiku un Padomes Lēmumu 89/382/EEK, Euratom, ar ko nodibina Eiropas Kopienu Statistikas programmu komiteju ( OV L 87, 31.3.2009., 164. lpp. ).
(18) Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (Teksts attiecas uz EEZ) (OV L 119, 4.5.2016., 1.–88. lpp.).
(19) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI, OV L 119, 4.5.2016., 89.–131. lpp.
(20) Komisijas Direktīva 2008/63/EK (2008. gada 20. jūnijs) par konkurenci telekomunikāciju termināliekārtu tirgos (OV L 162, 21.6.2008., 20. lpp.).
(21) Padomes Lēmums 2009/917/TI (2009. gada 30. novembris) par informācijas tehnoloģiju izmantošanu muitas vajadzībām, OV L 323, 10.12.2009., 20.–30. lpp.)
(22) Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regula (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001.).
(23) Lēmums Nr. 1247/2002/EK (2002. gada 1. jūlijs) par noteikumiem un vispārīgiem nosacījumiem, kas reglamentē Eiropas Datu aizsardzības uzraudzītāja pienākumu izpildi, (OV L 8, 12.07.2002.)., 1. lpp.
(24) Eiropas Parlamenta un Padomes Lēmums 2014/886/ES (2014. gada 4. decembris), ar ko ieceļ Eiropas Datu aizsardzības uzraudzītāju un uzraudzītāja palīgu, OV L 351, 09.12.2014. 9. lpp.
(25) ABM: budžeta līdzekļu vadība pa darbības jomām; ABB: budžeta līdzekļu sadale pa darbības jomām.
(26) Kā paredzēts Finanšu regulas 54. panta 2. punkta attiecīgi a) un b) apakšpunktā.
(27) JUST/2013/FRAC/FW/0157/A4 dauzkārtēja pamatlīguma JUST/2011/EVAL/01 (RS 2013/05) kontekstā — Regulas (EK) Nr. 45/2001 izvērtējums, kuru veica “Ernst and Young
(28) Skaidrojumus par pārvaldības veidiem un atsauces uz Finanšu regulu skatīt BudgWeb tīmekļa vietnē: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html
(29) Dif. — diferencētās apropriācijas/nedif. — nediferencētās apropriācijas.
(30) EBTA: Eiropas Brīvās tirdzniecības asociācija.
(31) Kandidātvalstis un attiecīgā gadījumā potenciālās kandidātvalstis no Rietumbalkāniem.
(32) Komisijas dienestu darba dokuments, Ietekmes novērtējums, SEC (2012) 72 gala versija, 110. lpp.
(33) N gads ir gads, kurā priekšlikumu/iniciatīvu sāk īstenot.
(34) Tehniskais un/vai administratīvais atbalsts un ES programmu un/vai darbību īstenošanas atbalsta izdevumi (kādreizējās “BA” pozīcijas), netiešā pētniecība, tiešā pētniecība.
(35) N gads ir gads, kurā priekšlikumu/iniciatīvu sāk īstenot.
(36) Rezultāti ir attiecīgie produkti vai pakalpojumi (piemēram, finansēto studentu apmaiņu skaits, uzbūvēto ceļu garums kilometros utt.).
(37) Kā aprakstīts 1.4.2. punktā. “Konkrētie mērķi…”
(38) N gads ir gads, kurā priekšlikumu/iniciatīvu sāk īstenot.
(39) Tehniskais un/vai administratīvais atbalsts un ES programmu un/vai darbību īstenošanas atbalsta izdevumi (kādreizējās “BA” pozīcijas), netiešā pētniecība, tiešā pētniecība.
(40) AC = līgumdarbinieki, AL = vietējie darbinieki; END = valstu norīkotie eksperti; INT = aģentūras darbinieki; JED – jaunākie eksperti delegācijās.
(41) Ārštata darbiniekiem paredzēto maksimālo summu finansē no darbības apropriācijām (kādreizējām “BA” pozīcijām).
(42) Norādītajām tradicionālo pašu resursu (muitas nodokļi, cukura nodevas) summām jābūt neto summām, t. i., bruto summām, no kurām atskaitītas iekasēšanas izmaksas 25 % apmērā.
Top