This document is an excerpt from the EUR-Lex website
Document 32018R1725
Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance.)
Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (Dokuments attiecas uz EEZ.)
Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (Dokuments attiecas uz EEZ.)
PE/31/2018/REV/1
OV L 295, 21.11.2018, p. 39–98
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Repeal | 32001R0045 | 11/12/2018 | |||
Repeal | 32002D1247 | 11/12/2018 |
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Corrected by | 32018R1725R(01) | (HU) |
21.11.2018 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 295/39 |
EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2018/1725
(2018. gada 23. oktobris)
par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK
(Dokuments attiecas uz EEZ)
EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,
ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,
ņemot vērā Eiropas Komisijas priekšlikumu,
pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,
ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu (1),
saskaņā ar parasto likumdošanas procedūru (2),
tā kā:
(1) |
Fizisku personu aizsardzība attiecībā uz personas datu apstrādi ir pamattiesības. Eiropas Savienības Pamattiesību hartas (“Harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. Šīs tiesības tiek garantētas arī ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas 8. pantu. |
(2) |
Eiropas Parlamenta un Padomes Regulā (EK) Nr. 45/2001 (3) ir nodrošinātas fizisku personu juridiski īstenojamas tiesības, ir precizēti Savienības iestāžu un struktūru pārziņu datu apstrādes pienākumi, un ar to tiek izveidota neatkarīga uzraudzības iestāde – Eiropas Datu aizsardzības uzraudzītājs, kurš atbild par uzraudzību pār personas datu apstrādi Savienības iestādēs un struktūrās. Tomēr šī regula neattiecas uz personas datu apstrādi Savienības iestādēs un struktūrās tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā. |
(3) |
Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (4) un Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (5) tika pieņemtas 2016. gada 27. aprīlī. Regula paredz vispārīgus noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei Savienībā, bet direktīva paredz īpašus noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei Savienībā tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomās. |
(4) |
Regulā (ES) 2016/679 ir paredzēta Regulas (EK) Nr. 45/2001 pielāgošana, lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā un lai to varētu piemērot paralēli Regulai (ES) 2016/679. |
(5) |
Saskaņotai pieejai personas datu aizsardzības jomā un personas datu brīvai apritei visā Savienībā ir svarīgi nodrošināt, lai Savienības iestāžu, struktūru, biroju un aģentūru datu aizsardzības noteikumi ir pēc iespējas vairāk saskaņoti ar tiem datu aizsardzības noteikumiem, kas publiskā sektora jomā pieņemti attiecībā uz dalībvalstīm. Ja šīs regulas un Regulas (ES) 2016/679 noteikumi ievēro vienus un tos pašus principus, tad abi šie noteikumu kopumi saskaņā ar Eiropas Savienības Tiesas (“Tiesa”) judikatūru būtu jāinterpretē viendabīgi, jo īpaši tāpēc, ka šīs regulas sistēma būtu jāuzskata par ekvivalentu Regulas (ES) 2016/679 sistēmai. |
(6) |
Personām, kuru datus Savienības iestādes un struktūras apstrādā jebkurā kontekstā, piemēram, tāpēc, ka šīs iestādes un struktūras nodarbina šīs personas, būtu jānodrošina aizsardzība. Šī regula nebūtu jāpiemēro mirušu personu personas datu apstrādei. Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju. |
(7) |
Lai izvairītos no tā, ka tiktu radīts nopietns risks, ka likums varētu tikt apiets, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem. |
(8) |
Šī regula būtu jāpiemēro personas datu apstrādei visās Savienības iestādēs, struktūrās, birojos un aģentūrās. Tā būtu jāpiemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem. Šīs regulas darbības jomai nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem. |
(9) |
Deklarācijā Nr. 21 par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās starpvaldību konferences nobeiguma aktam, konference atzina, ka personas datu īpašo iezīmju dēļ var būt nepieciešami īpaši noteikumi par šo datu aizsardzību un par to brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu. Tādēļ šīs regulas atsevišķa nodaļa, kurā iekļauti vispārēji noteikumi, būtu jāpiemēro gadījumos, kad operatīvos personas datus, piemēram, personas datus, ko apstrādā kriminālizmeklēšanas nolūkos, Savienības struktūras, biroji vai aģentūras apstrādā, kad tās veic darbības tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā. |
(10) |
Direktīva (ES) 2016/680 paredz saskaņotus noteikumus par tādu personas datu aizsardzību un brīvu apriti, kas tiek apstrādāti, lai novērstu, izmeklētu un atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Lai nodrošinātu to, ka fiziskām personām visā Savienībā ir vienāds aizsardzības līmenis ar juridiski īstenojamu tiesību palīdzību, un novērstu atšķirības, kas traucē personas datu apmaiņai starp Savienības struktūrām, birojiem vai aģentūrām, kad tās veic darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, un kompetentajām iestādēm, noteikumiem par šādu Savienības struktūru, biroju vai aģentūru apstrādāto operatīvo personas datu aizsardzību un brīvu apriti būtu jāatbilst Direktīvai (ES) 2016/680. |
(11) |
Vispārējie noteikumi, kas iekļauti šīs regulas nodaļā par operatīvo personas datu apstrādi, būtu jāpiemēro, neskarot speciālos noteikumus, kurus piemēro attiecībā uz operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa. Šādi speciālie noteikumi būtu jāuzskata par lex specialis attiecībā pret šīs regulas nodaļas par operatīvo personas datu apstrādi noteikumiem (lex specialis derogat legi generali). Lai samazinātu juridisko sadrumstalotību, speciālajiem datu aizsardzības noteikumiem, ko piemēro operatīvo personas datu apstrādei, ko veic Savienības struktūras, biroji un aģentūras, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, būtu jāatbilst principiem, uz kuriem balstās šīs regulas nodaļa par operatīvo personas datu apstrādi, kā arī ar šīs regulas noteikumiem par neatkarīgu uzraudzību, tiesību aizsardzības līdzekļiem, atbildību un sodiem. |
(12) |
Šīs regulas nodaļa par operatīvo personas datu apstrādi būtu jāattiecina arī uz Savienības struktūrām, birojiem un aģentūrām, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, turklāt neatkarīgi no tā, vai tās šādas darbības īsteno kā galveno vai papildu uzdevumu. Tomēr tā nebūtu jāpiemēro Eiropolam un Eiropas Prokuratūrai līdz brīdim, kad tiesību aktos par Eiropola un Eiropas Prokuratūras izveidi tiek veikti grozījumi, ar kuriem arī uz tiem attiecina pielāgotu šīs regulas nodaļu par operatīvo personas datu apstrādi. |
(13) |
Komisijai būtu jāpārskata šī regula, jo īpaši tās nodaļa par operatīvo personas datu apstrādi. Komisijai būtu jāpārskata arī citi uz Līgumu pamata pieņemtie tiesību akti, kuri reglamentē operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji vai aģentūras, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa. Lai nodrošinātu fizisku personu vienādu un konsekventu aizsardzību attiecībā uz personas datu apstrādi, Komisija būtu jāvar pēc šādas pārskatīšanas iesniegt attiecīgus tiesību aktu priekšlikumus, tostarp jebkādus nepieciešamus šīs regulas nodaļas par operatīvo personas datu apstrādi pielāgojumus, lai to piemērotu Eiropolam un Eiropas Prokuratūrai. Pielāgojumos būtu jāņem vērā noteikumi attiecībā uz neatkarīgu uzraudzību, tiesību aizsardzības līdzekļiem, atbildību un sodiem. |
(14) |
Šī regula būtu jāattiecina uz administratīvo personas datu apstrādi, piemēram, Savienības struktūru, biroju vai aģentūru personāla datu apstrādi, ko tās veic, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa. |
(15) |
Šī regula būtu jāpiemēro personas datu apstrādei Savienības iestādēs, struktūrās, birojos vai aģentūrās, ko tās veic, īstenojot darbības, uz kurām attiecas Līguma par Eiropas Savienību (LES) V sadaļas 2. nodaļa. Šī regula nebūtu jāpiemēro personas datu apstrādei LES 42. panta 1. punktā, 43. un 44. pantā minētajās misijās, ar kurām īsteno kopējo drošības un aizsardzības politiku. Attiecīgā gadījumā būtu jāierosina attiecīgi priekšlikumi, lai sīkāk regulētu personas datu apstrādi kopējās drošības un aizsardzības politikas jomā. |
(16) |
Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pietiekami iespējami varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. Lai pārliecinātos, vai līdzekļus varētu pietiekami iespējami izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību. Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams. Tādēļ šī regula neattiecas uz šādas anonīmas informācijas apstrādi, tostarp statistikas vai pētniecības nolūkos. |
(17) |
Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus. Skaidra “pseidonimizācijas” ieviešana šajā regulā nenozīmē to, ka tiek izslēgti jebkuri citi datu aizsardzības pasākumi. |
(18) |
Fiziskas personas var tikt saistītas ar tiešsaistes identifikatoriem, ko izmanto viņu ierīcēs, lietojumprogrammās, rīkos un protokolos, piemēram, ar interneta protokola adresēm, sīkdatņu identifikatoriem vai citiem identifikatoriem, piemēram, radiofrekvenciālās identifikācijas marķējumiem. Tādējādi, iespējams, tiek atstātas pēdas, kuras jo īpaši savienojumā ar unikāliem identifikatoriem un citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un lai identificētu tās. |
(19) |
Piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam un tas nedrīkstētu nevajadzīgi pārtraukt tā pakalpojuma izmantošanu, par ko tas tiek sniegts. Tajā pašā laikā datu subjektam vajadzētu būt tiesībām jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana. Lai nodrošinātu, ka piekrišana ir sniegta brīvi, piekrišanai nebūtu jākalpo par derīgu juridisko pamatu personas datu apstrādei konkrētā gadījumā, kad datu subjekta un pārziņa attiecībās pastāv skaidra nevienlīdzība un tāpēc ir maz ticams, ka piekrišana visos minētās konkrētās situācijas apstākļos tika sniegta brīvi. Bieži vien datu vākšanas laikā, kad dati tiek vākti zinātniskās pētniecības nolūkos, nav iespējams pilnībā identificēt personas datu apstrādes nolūku. Tāpēc būtu jāļauj datu subjektiem dot savu piekrišanu attiecībā uz dažām zinātniskās pētniecības jomām, ja tiek ievēroti atzīti zinātniskās pētniecības ētiskie standarti. Datu subjektiem vajadzētu būt iespējai dot piekrišanu tikai konkrētām pētniecības jomām vai pētniecības projektu daļām, ciktāl to ļauj paredzētais nolūks. |
(20) |
Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, relevantiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūkam pietiekami neder citi līdzekļi. Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi vai nepilnīgi personas dati tiek laboti vai dzēsti. Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem, šo datu izpaušanu to nosūtīšanas laikā vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei. |
(21) |
Saskaņā ar pārskatatbildības principu gadījumos, kad Savienības iestādes un struktūras nosūta personas datus iekšēji tajā pašā Savienības iestādē vai struktūrā un saņēmējs nav pārziņa struktūrvienība vai citām Savienības iestādēm vai struktūrām, tām būtu jāpārliecinās, ka šādi personas dati ir vajadzīgi saņēmēja kompetencē ietilpstošo uzdevumu likumīgai izpildei. Jo īpaši pēc saņēmēja pieprasījuma nosūtīt personas datus pārzinim būtu jāpārliecinās par to, ka pastāv pamatots iemesls personas datu likumīgai apstrādei, un jāpārbauda saņēmēja kompetence. Pārzinim arī būtu provizoriski jānovērtē datu sūtīšanas nepieciešamība. Ja rodas šaubas par tās nepieciešamību, pārzinim būtu jāpieprasa no saņēmēja papildu informācija. Saņēmējam būtu jānodrošina, lai pēc tam var pārbaudīt datu nosūtīšanas nepieciešamību. |
(22) |
Lai apstrāde būtu likumīga, personas dati būtu jāapstrādā, pamatojoties uz nepieciešamību pildīt uzdevumus, ko Savienības iestādes un struktūras veic sabiedrības interesēs vai īstenojot tām piešķirtas oficiālas pilnvaras, nepieciešamību izpildīt uz pārzini attiecināmu juridisku pienākumu vai uz cita leģitīma pamata, kas noteikts šajā regulā, ieskaitot attiecīgā datu subjekta piekrišanu vai nepieciešamību izpildīt līgumu, kurā datu subjekts ir līgumslēdzēja puse, vai lai veiktu pasākumus pēc datu subjekta pieprasījuma pirms līguma noslēgšanas. Personas datu apstrāde, pildot uzdevumus, ko Savienības iestādes un struktūras veic sabiedrības interesēs, ietver to personas datu apstrādi, kas vajadzīgi šo iestāžu un struktūru pārvaldībai un funkcionēšanai. Personas datu apstrāde būtu jāuzskata par likumīgu arī tad, ja tā nepieciešama, lai aizsargātu intereses, kas ir būtiski svarīgas datu subjekta vai citas fiziskas personas dzīvei. Personas datu apstrādei, pamatojoties uz citas fiziskās personas vitālajām interesēm, principā būtu jānotiek tikai tad, ja apstrādi nevar acīmredzami balstīt uz citu juridisko pamatu. Dažus apstrādes veidus var izmantot, pamatojoties gan uz svarīgām sabiedrības interesēm, gan uz datu subjekta vitālajām interesēm, piemēram, ja apstrāde ir vajadzīga humanitāros nolūkos, tostarp epidēmiju un to izplatīšanās monitoringam vai ārkārtas humanitārajās situācijās, jo īpaši dabas un cilvēka izraisītu katastrofu situācijās. |
(23) |
Šajā regulā minētajiem Savienības tiesību aktiem vajadzētu būt skaidriem un precīziem, un personām, uz kurām tie attiecas, būtu jāspēj paredzēt to piemērošanu saskaņā ar prasībām, kas izklāstītas Hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā. |
(24) |
Šajā regulā minētajiem iekšējiem noteikumiem vajadzētu būt skaidriem un precīziem vispārēji piemērojamiem aktiem, kuru nolūks ir radīt juridiskas sekas datu subjektiem. Tie būtu jāpieņem Savienības iestāžu un struktūru augstākās vadības līmenī to kompetences robežās un ar to darbību saistītos jautājumos. Tie būtu jāpublicē Eiropas Savienības Oficiālajā Vēstnesī. Personām, uz kurām minētie noteikumi attiecas, būtu jāspēj paredzēt to piemērošanu saskaņā ar prasībām, kas izklāstītas Hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā. Iekšējie noteikumi var būt lēmumi, jo īpaši gadījumos, kad tos pieņem Savienības iestādes. |
(25) |
Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika vākti. Šādā gadījumā nav vajadzīgs atsevišķs juridiskais pamats kā vien tas, ar ko tika atļauta personas datu vākšana. Ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, Savienības tiesību aktos var būt noteikti un precizēti uzdevumi un nolūki, kādos turpmākā apstrāde būtu jāuzskata par saderīgu un likumīgu. Turpmākā apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu jāuzskata par saderīgām likumīgām apstrādes darbībām. Personas datu apstrādes juridiskais pamats, ko paredz Savienības tiesību akti, var arī paredzēt juridisko pamatu turpmākai apstrādei. Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim – pēc tam, kad ir izpildītas visas prasības attiecībā uz sākotnējās apstrādes likumīgumu, – būtu cita starpā jāņem vērā: jebkura saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem; konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjektu gaidas, kuru pamatā ir to attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu; personas datu raksturs; sekas, ko paredzētā turpmākā apstrāde rada datu subjektiem; un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās. |
(26) |
Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai. Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās to, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara. Saskaņā ar Padomes Direktīvu 93/13/EEK (6) piekrišanas deklarācija, ko pārzinis ir iepriekš noformulējis, būtu jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, un tajā nevajadzētu būt negodīgiem noteikumiem. Lai piekrišanu būtu apzināta, datu subjektam vajadzētu būt informētam vismaz par pārziņa identitāti un paredzētās personas datu apstrādes nolūkiem. Piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles, vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām. |
(27) |
Bērniem pienākas īpaša personas datu aizsardzība, jo viņi var nepietiekami apzināties attiecīgos riskus, sekas un aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Šāda īpaša aizsardzība jo īpaši būtu jāpiemēro personas profilu izveidei un bērnu personas datu iegūšanai, izmantojot pakalpojumus, kurus Savienības iestādes un struktūras piedāvā savās tīmekļa vietnēs tieši bērniem, piemēram, starppersonu saziņas pakalpojumus vai biļešu pārdošanu tiešsaistē, un apstākļos, kad apstrāde pamatojas uz piekrišanu. |
(28) |
Ja saņēmēji, kas veic uzņēmējdarbību Savienībā un kas nav Savienības iestādes un struktūras, vēlas, lai Savienības iestādes un struktūras nosūta viņiem personas datus, minētajiem saņēmējiem būtu jāvar uzskatāmi parādīt, ka dati ir vajadzīgi sabiedrības interesēs veicama uzdevuma izpildei vai lai īstenotu viņiem likumīgi piešķirtās oficiālās pilnvaras. Alternatīvi šiem saņēmējiem būtu jāpierāda, ka nosūtīšana ir vajadzīga konkrētam mērķim sabiedrības interesēs, un pārzinim būtu jānosaka, vai ir kāds iemesls uzskatīt, ka varētu tikt kaitēts datu subjekta likumīgajām interesēm. Šādos gadījumos pārzinim vajadzētu apliecināmi izvērtēt dažādās konkurējošās intereses, lai novērtētu pieprasīto personas datu nosūtīšanas proporcionalitāti. Konkrētais mērķis sabiedrības interesēs varētu attiekties uz Savienības iestāžu un struktūru pārredzamību. Ievērojot pārredzamības un pareizas pārvaldības principu, Savienības iestādēm un struktūrām būtu jāvar uzskatāmi parādīt šādu vajadzību tad, kad tās pašas ierosina datu nosūtīšanu. Prasības, kuras šajā regulā noteiktas attiecībā uz nosūtīšanu saņēmējiem, kas veic uzņēmējdarbību Savienībā un kas nav Savienības iestādes un struktūras, būtu jāuzskata par tādām, kuras papildina likumīgas apstrādes nosacījumus. |
(29) |
Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un pamatbrīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un pamatbrīvībām. Šādi personas dati nebūtu jāapstrādā, ja vien netiek ievēroti šajā regulā izklāstītie īpašie nosacījumi. Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmatošana šajā regulā nenozīmē, ka Savienība atzīst teorijas, kuras mēģina noteikt dažādu cilvēku rasu pastāvēšanu. Fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrisko datu definīcija attiecas tikai tad, kad tās apstrādā ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju. Papildus konkrētajām prasībām attiecībā uz sensitīvu datu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem. Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības. |
(30) |
Īpašu kategoriju personas dati, kuriem pienākas augstāka līmeņa aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību. Tāpēc ar šo regulu būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridisks pienākums ievērot dienesta noslēpumu. Ar Savienības tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus. |
(31) |
Īpašu kategoriju personas datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomās. Uz šādu apstrādi būtu jāattiecas atbilstošiem un konkrētiem pasākumiem fizisku personu tiesību un brīvību aizsardzībai. Minētajā kontekstā “sabiedrības veselība” būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1338/2008 (7), proti, kā visi elementi, kas saistīti ar veselību, t. i., veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums un nāves cēloņi. Šādai veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka personas datus apstrādā citos nolūkos. |
(32) |
Ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana. Tomēr pārzinim nebūtu jāatsakās pieņemt papildu informāciju, ko sniedz datu subjekts, lai pamatotu savu tiesību īstenošanu. Identifikācijai būtu jāietver datu subjekta digitāla identifikācija, piemēram, ar autentifikācijas mehānismu, kurā lieto tos pašus akreditācijas datus, kurus datu subjekts izmanto, lai pieteiktos datu pārziņa piedāvātajos tiešsaistes pakalpojumos. |
(33) |
Uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu, ievērojot šo regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām būtu jānodrošina, ka pastāv tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu datu minimizēšanas principu. Personas datu turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos ir jāveic, kad pārzinis ir novērtējis iespējamību īstenot minētos nolūkus, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektus, ar noteikumu, ka pastāv atbilstošas garantijas (piemēram, datu pseidonimizācija). Savienības iestādēm un struktūrām Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, kurus Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, būtu jāparedz atbilstošas garantijas attiecībā uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos. |
(34) |
Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar šo regulu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi personas datiem un to labošanu vai dzēšanu un īstenot tiesības iebilst. Pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja pārzinis neplāno izpildīt šādu pieprasījumu. |
(35) |
Godprātīgas un pārredzamas apstrādes principi prasa to, ka datu subjekts ir informēts par apstrādes darbības esamību un tās nolūkiem. Pārzinim būtu jāsniedz datu subjektam jebkāda papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti. Turklāt datu subjektam vajadzētu būt informētam par profilēšanu un šādas profilēšanas sekām. Ja personas datus vāc no datu subjekta, datu subjekts būtu jāinformē arī par to, vai viņam ir pienākums sniegt personas datus un kādas būs sekas, ja viņš šādus datus nesniegs. Minēto informāciju var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tām vajadzētu būt mašīnlasāmām. |
(36) |
Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves no datu subjekta brīdī vai – ja personas datus iegūst no cita avota – saprātīgā termiņā atkarībā no lietas apstākļiem. Ja personas datus var leģitīmi izpaust citam saņēmējam, datu subjekts būtu jāinformē, kad personas dati tiek izpausti saņēmējam pirmo reizi. Ja pārzinis paredz personas datus apstrādāt citā nolūkā, kas nav nolūks, kādā tie tika vākti, pārzinim pirms minētās turpmākās apstrādes būtu jāinformē datu subjekts par minēto citu nolūku un jāsniedz tam cita vajadzīgā informācija. Ja datu subjektam nevar norādīt personas datu avotu tā iemesla dēļ, ka ir izmantoti dažādi avoti, būtu jāsniedz vispārīga informācija. |
(37) |
Datu subjektam vajadzētu būt tiesībām piekļūt personas datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot minētās tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tas ietver arī datu subjektu tiesības piekļūt saviem veselības datiem, piemēram, datiem par slimības vēsturi, kas ietver tādu informāciju kā diagnozes, analīžu rezultāti, ārstējošā terapeita vērtējums un ārstēšanas vai medicīniskās iejaukšanās pasākumi. Tāpēc katram datu subjektam vajadzētu būt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos personas datus apstrādā, ja iespējams, cik ilgi personas dati tiek apstrādāti, kas ir personas datu saņēmēji, kāda ir jebkurā personas datu automātiskajā apstrādē ietvertā loģika un kādas ir šādas apstrādes sekas – vismaz tad, ja apstrāde pamatojas uz profilēšanu. Minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. Tomēr minēto apsvērumu rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju. Ja pārzinis apstrādā lielu informācijas apjomu saistībā ar datu subjektu, pārzinim būtu jāspēj pieprasīt, lai datu subjekts pirms informācijas nosūtīšanas precizētu, uz kuru informāciju un kurām apstrādes darbībām pieprasījums attiecas. |
(38) |
Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības tiesību aktus, kas ir piemērojami pārzinim. Datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai. Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta. Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns. Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. |
(39) |
Lai stiprinātu tiesības tikt aizmirstam tiešsaistes vidē, arī tiesības uz dzēšanu būtu jāpaplašina tā, lai pārzinim, kas ir publiskojis personas datus, būtu pienākums informēt pārziņus, kuri apstrādā šādus personas datus, par to, ka ir jādzēš visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. To darot, pārzinim būtu jāveic saprātīgi pasākumi, ņemot vērā pieejamo tehnoloģiju un pārziņa rīcībā esošos līdzekļus, tostarp tehniskie pasākumi, ar ko pārziņus, kuri apstrādā personas datus, informē par datu subjekta pieprasījumu. |
(40) |
Metodes, ar kurām ierobežot personas datu apstrādi, cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu, izvēlēto personas datu pieejamības liegumu lietotājiem vai publicēto datu pagaidu izņemšanu no tīmekļa vietnes. Automatizētajās reģistrācijas sistēmās apstrādes ierobežošana principā būtu jānodrošina ar tehniskiem līdzekļiem tādā veidā, lai personas dati netiktu pakļauti turpmākām apstrādes darbībām un lai tos nevar izmainīt. Tas, ka personas datu apstrāde ir ierobežota, būtu skaidri jānorāda sistēmā. |
(41) |
Lai datu subjektiem būtu vēl lielāka kontrole pār saviem datiem, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektam būtu arī jāļauj saņemt personas datus par sevi, kurus tas sniedzis pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt tos citam pārzinim. Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas nodrošina datu pārnešanu. Minētās tiesības būtu jāpiemēro, ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai ja apstrāde ir nepieciešama, lai izpildītu līgumu. Tādēļ tās jo īpaši nebūtu jāpiemēro gadījumos, kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras. Datu subjekta tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas. Ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad tiesībām saņemt personas datus nebūtu jāskar citu datu subjektu tiesības un brīvības saskaņā ar šo regulu. Turklāt minētajām tiesībām nebūtu jāskar arī datu subjekta tiesības panākt personas datu dzēšanu un minēto tiesību ierobežojumus, kā izklāstīts šajā regulā, un tām jo īpaši nevajadzētu nozīmēt to, ka tiek dzēsti datu subjekta personas dati, kurus tas sniedzis līguma izpildes nolūkā, ciktāl un kamēr personas dati ir vajadzīgi minētā līguma izpildei. Ja tas ir tehniski iespējams, datu subjektam vajadzētu būt tiesībām panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam pārzinim. |
(42) |
Ja personas datus var likumīgi apstrādāt tāpēc, ka apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, datu subjektam tomēr vajadzētu būt tiesībām iebilst pret to, ka tiek apstrādāti personas dati, kas attiecas uz viņa konkrēto situāciju. Pārzinim būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par datu subjekta pamattiesībām un brīvībām. |
(43) |
Datu subjektam vajadzētu būt tiesībām nebūt tāda lēmuma subjektam, kurā var būt ietverts pasākumus, ar ko izvērtē ar viņu saistītus personiskus aspektus, un kura pamatā ir tikai automatizēta apstrāde un kurai ir juridiskas sekas attiecībā uz datu subjektu vai kura līdzīgā veidā ievērojami ietekmē datu subjektu – piemēram, elektroniska darbā pieņemšanas prakse bez cilvēka līdzdalības. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai tā līdzīgā veidā viņu ievērojami ietekmē. Tomēr lēmumu pieņemšana, pamatojoties uz šādu apstrādi, tostarp profilēšanu, būtu jāatļauj, ja tā ir nepārprotami atļauta saskaņā ar Savienības tiesību aktiem. Jebkurā gadījumā uz šādu apstrādi būtu jāattiecina atbilstošas garantijas, kurām būtu jāaptver konkrētas informācijas sniegšana datu subjektam un tiesības panākt cilvēka līdzdalību, tiesības paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šādas izvērtēšanas, un apstrīdēt lēmumu. Šāds pasākums nebūtu jāattiecina uz bērnu. Lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu, ņemot vērā konkrētos apstākļus un kontekstu, kurā personas dati tiek apstrādāti, pārzinim būtu jāizmanto piemērotas matemātiskās vai statistikas procedūras profilēšanai, jāveic atbilstīgi tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu, ka tiek koriģēti faktori, kuru dēļ rodas personas datu neprecizitātes, un ka līdz minimumam ir samazināts kļūdu rašanās risks, jāgarantē personas datu drošība tādā veidā, ka tiek ņemti vērā iespējamie riski attiecībā uz datu subjekta interesēm un tiesībām, un cita starpā jānovērš fizisku personu diskriminācija rases vai etniskās izcelsmes, politisko uzskatu, reliģiskās vai ticības piederības, dalības arodbiedrībā, ģenētiskā vai veselības stāvokļa vai dzimumorientācijas dēļ vai apstrāde, kuras rezultātā pasākumi radītu šādu diskrimināciju. Automatizēta lēmumu pieņemšana un profilēšana, pamatojoties uz īpašām personas datu kategorijām, būtu jāatļauj tikai saskaņā ar konkrētiem nosacījumiem. |
(44) |
Tiesību aktos, kas pieņemti uz Līgumu pamata, vai iekšējos noteikumos, ko Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, var piemērot ierobežojumus attiecībā uz konkrētiem principiem un tiesībām uz informāciju, piekļuvi personas datiem, to labošanu vai dzēšanu, tiesībām uz datu pārnesamību, elektronisko sakaru datu konfidencialitāti, kā arī attiecībā uz ziņošanu datu subjektam par personas datu aizsardzības pārkāpumiem un attiecībā uz dažiem ar to saistītiem pārziņu pienākumiem, ciktāl tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību un noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem vai kriminālsodu izpildi. Tas ietver pasargāšanu no draudiem sabiedriskajai drošībai un to novēršanu, cilvēka dzīvības aizsardzību, jo īpaši, reaģējot uz dabas vai cilvēka izraisītām katastrofām, Savienības iestāžu un struktūru iekšējo drošību, citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienības kopējās ārpolitikas un drošības politikas mērķus vai Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, un tādu publisku reģistru uzturēšanu, kuri vajadzīgi vispārēju sabiedrības interešu dēļ, vai datu subjekta vai citu personu tiesību un brīvību aizsardzību, tostarp sociālo aizsardzību, sabiedrības veselību un humanitārus mērķus. |
(45) |
Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus un vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām. |
(46) |
Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši: ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi vai sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu. |
(47) |
Riska iespējamība un nopietnība attiecībā uz datu subjekta tiesībām un brīvībām būtu jānosaka, atsaucoties uz apstrādes raksturu, piemērošanas jomu, kontekstu un nolūkiem. Risks būtu jāizvērtē, pamatojoties uz objektīvu novērtējumu, ar ko nosaka, vai datu apstrādes darbības ietver risku vai augstu risku. |
(48) |
Fizisku personu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi. Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, tam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem. Šādi pasākumi cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus. Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma. |
(49) |
Regulā (ES) 2016/679 ir paredzēts, ka pārziņiem ir jāapliecina atbilstība, ievērojot apstiprinātus sertifikācijas mehānismus. Tāpat Savienības iestādēm un struktūrām būtu jāspēj pierādīt atbilstību šai regulai, iegūstot sertifikātus saskaņā ar Regulas (ES) 2016/679 42. pantu. |
(50) |
Datu subjektu tiesību un brīvību aizsardzība, kā arī pārziņa un apstrādātāja pienākumi un atbildība prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā. |
(51) |
Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbilst šīs regulas prasībām, tostarp apstrādes drošības jomā. Apstrādātāja, kas nav Savienības iestāde vai struktūra, atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi. Apstrāde, ko veic apstrādātājs, kas nav Savienības iestāde vai struktūra, būtu jāreglamentē ar līgumu vai – ja kā apstrādātāji darbojas Savienības iestādes vai struktūras – ar līgumu vai citu juridisku aktu atbilstīgi Savienības tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām. Pārzinim un apstrādātājam vajadzētu būt iespējai izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai Eiropas datu aizsardzības uzraudzītājs un pēc tam Komisija. Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, nav prasīts personas datus uzglabāt. |
(52) |
Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros, un apstrādātājam būtu jāglabā ieraksti par tā atbildības jomā ietilpstošo apstrādes darbību kategorijām. Savienības iestādēm un struktūrām vajadzētu būt pienākumam sadarboties ar Eiropas datu aizsardzības uzraudzītāju un pēc pieprasījuma darīt tam pieejamus savus ierakstus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām. Savienības iestādēm un struktūrām būtu jāvar izveidot centrālu reģistru, kurā glabāt ierakstus par veiktajām apstrādes darbībām, ja vien tas nav nelietderīgi Savienības iestādes vai struktūras lieluma dēļ. Pārredzamības nolūkos tām būtu jāvar padarīt šādu reģistru publiski pieejamu. |
(53) |
Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu. |
(54) |
Savienības iestādēm un struktūrām būtu jānodrošina elektronisko sakaru datu konfidencialitāte, kā noteikts Hartas 7. pantā. Jo īpaši Savienības iestādēm un struktūrām būtu jānodrošina savu elektronisko sakaru tīklu drošība. Tām būtu jāaizsargā informācija, kas saistīta ar galalietotāju termināliekārtām, kuras piekļūst to publiski pieejamām tīmekļa vietnēm un mobilām lietotnēm, saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (8). Tām būtu arī jāaizsargā lietotāju sarakstos saglabātie personas dati. |
(55) |
Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt fizisku, materiālu vai nemateriālu kaitējumu. Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu Eiropas datu aizsardzības uzraudzītājam, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Ja šādu paziņojumu nevar sniegt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās. Ja kavēšanās ir pamatota, mazāk sensitīva vai mazāk specifiska informācija par pārkāpumu būtu jāatklāj pēc iespējas ātrāk, negaidot, līdz incidents tiks pilnībā atrisināts, un tikai tad sniedzot paziņojumu. |
(56) |
Ja ir iespējams, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, pārzinim bez liekas kavēšanās būtu jāpaziņo datu subjektam par personas datu pārkāpumu, lai viņš varētu veikt nepieciešamos piesardzības pasākumus. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs, kā arī ieteikumi, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas. Šāda paziņošana datu subjektiem būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar Eiropas Datu aizsardzības uzraudzītāju, ievērojot tās vai citas attiecīgas iestādes, piemēram, tiesībaizsardzības iestādes, sniegtos norādījumus. |
(57) |
Regulā (EK) Nr. 45/2001 ir paredzēts pārziņa vispārīgs pienākums paziņot par personas datu apstrādi datu aizsardzības speciālistam. Datu aizsardzības speciālists uztur paziņoto apstrādes darbību reģistru, ja vien tas nav nelietderīgi Savienības iestādes vai struktūras lieluma dēļ. Papildus šim vispārīgajam pienākumam būtu jāievieš iedarbīgas procedūras un mehānismi nolūkā uzraudzīt tos apstrādes darbību veidus, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādas procedūras jo īpaši būtu jāievieš arī gadījumos, kad apstrādes darbību veidi ietver jauno tehnoloģiju izmantošanu vai ir jauni veidi, attiecībā uz kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes. Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus. Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, garantijas un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti. |
(58) |
Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar Eiropas datu aizsardzības uzraudzītāju. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu. Eiropas datu aizsardzības uzraudzītājam uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā. Tomēr tam, ka Eiropas datu aizsardzības uzraudzītājs nav sniedzis atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena Eiropas datu aizsardzības uzraudzītāja iejaukšanas saskaņā ar viņa uzdevumiem un pilnvarām, kas paredzēti šajā regulā, tostarp pilnvarām aizliegt apstrādes darbības. Minētajā apspriešanās procesā vajadzētu būt iespējai Eiropas datu aizsardzības uzraudzītājam iesniegt saistībā ar attiecīgo apstrādi veikta novērtējuma par ietekmi uz datu aizsardzību rezultātus, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām. |
(59) |
Eiropas datu aizsardzības uzraudzītājam vajadzētu būt informētam par administratīvajiem pasākumiem, un ar to būtu jāapspriežas par iekšējiem noteikumiem, ko Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos un kas paredz personas datu apstrādi, paredz nosacījumus datu subjektu tiesību ierobežošanai vai paredz atbilstošas garantijas datu subjekta tiesībām, lai nodrošinātu, ka plānotā apstrāde atbilst šai regulai, un jo īpaši attiecībā uz risku mazināšanu attiecībā uz datu subjektu. |
(60) |
Ar Regulu (ES) 2016/679 tika izveidota Eiropas Datu aizsardzības kolēģija, kas ir neatkarīga Savienības struktūra ar juridiskas personas statusu. Kolēģijai būtu jāpalīdz nodrošināt Regulas (ES) 2016/679 un Direktīvas (ES) 2016/680 konsekventu piemērošanu visā Savienībā, tostarp jāsniedz padomi Komisijai. Tajā pašā laikā Eiropas datu aizsardzības uzraudzītājam būtu jāturpina īstenot savas uzraudzības un konsultatīvās funkcijas attiecībā uz visām Savienības iestādēm un struktūrām pēc savas iniciatīvas vai pēc pieprasījuma. Lai nodrošinātu konsekventus datu aizsardzības noteikumus visā Savienībā, Komisijai priekšlikumu vai ieteikumu gatavošanas gaitā būtu jācenšas apspriesties ar Eiropas datu aizsardzības uzraudzītāju. Apspriesties vajadzētu obligāti pēc tiesību aktu pieņemšanas vai deleģēto aktu un īstenošanas aktu gatavošanas laikā, kā noteikts LESD 289., 290. un 291. pantā, kā arī pēc tam, kad ir pieņemti ieteikumi un priekšlikumi, kas attiecas uz līgumiem ar trešām valstīm un starptautiskām organizācijām, kā noteikts LESD 218. pantā, ja tie ietekmē tiesības uz personas datu aizsardzību. Šādos gadījumos Komisijai vajadzētu būt pienākumam apspriesties ar Eiropas datu aizsardzības uzraudzītāju, izņemot, ja Regulā (ES) 2016/679 ir noteikts pienākums apspriesties ar Eiropas Datu aizsardzības kolēģiju, piemēram, par atbilstības lēmumiem vai deleģētajiem aktiem par standartizētām ikonām un sertifikācijas mehānismu prasībām. Ja konkrētais akts ir īpaši svarīgs fizisku personu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisijai būtu jāspēj papildus apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos Eiropas datu aizsardzības uzraudzītājam kā Eiropas Datu aizsardzības kolēģijas biedram būtu jākoordinē sava sadarbība ar kolēģiju ar mērķi sniegt kopēju atzinumu. Eiropas datu aizsardzības uzraudzītājam un attiecīgos gadījumos Eiropas Datu aizsardzības kolēģijai rakstisks ierosinājums būtu jāsniedz astoņu nedēļu laikā. Šim laika periodam vajadzētu būt īsākam steidzamos gadījumos vai citos apstākļos, piemēram, kad Komisija gatavo deleģētos un īstenošanas aktus. |
(61) |
Saskaņā ar Regulas (ES) 2016/679 75. pantu Eiropas datu aizsardzības uzraudzītājam būtu jānodrošina Eiropas Datu aizsardzības kolēģijas sekretariāts. |
(62) |
Visās Savienības iestādēs un struktūrās datu aizsardzības speciālistiem būtu jānodrošina šīs regulas noteikumu piemērošana un jākonsultē pārziņi un apstrādātāji par to pienākumu izpildi. Šim speciālistam vajadzētu būt personai ar speciālām zināšanām datu aizsardzības tiesību un prakses jomā, kas būtu jānosaka jo īpaši saskaņā ar veiktajām datu apstrādes darbībām un aizsardzību, kāda nepieciešama personas datiem, kurus pārzinis vai apstrādātājs apstrādā. Datu aizsardzības speciālistiem vajadzētu būt spējīgiem veikt savus pienākumus un uzdevumus neatkarīgi. |
(63) |
Kad personas dati no Savienības iestādēm un struktūrām tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, būtu jāgarantē aizsardzības līmenis, ko šī regula nodrošina fiziskām personām Savienībā. Tādas pašas garantijas būtu jāpiemēro gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā. Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievērota šī regula un Hartā nostiprinātās pamattiesības un pamatbrīvības. Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām. |
(64) |
Saskaņā ar Regulas (ES) 2016/679 45. pantā vai Direktīvas (ES) 2016/680 36. pantā noteikto Komisija var izlemt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni. Šādos gadījumos personas datus Savienības iestāde vai struktūra uz minēto trešo valsti vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju. |
(65) |
Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, paredzot atbilstošas garantijas datu subjektam. Šādas atbilstošas garantijas varētu nozīmēt, ka tiek izmantotas Komisijas pieņemtās standarta datu aizsardzības klauzulas, Eiropas datu aizsardzības uzraudzītāja pieņemtās standarta datu aizsardzības klauzulas vai Eiropas datu aizsardzības uzraudzītāja apstiprinātas līguma klauzulas. Ja apstrādātājs nav Savienības iestāde vai struktūra, atbilstošās garantijas var būt saistoši uzņēmuma noteikumi, rīcības kodeksi un sertifikācijas mehānismi, kas tiek izmantoti starptautiskai nosūtīšanai saskaņā ar Regulu (ES) 2016/679. Minētajām garantijām būtu jānodrošina, lai tiktu ievērotas datu aizsardzības prasības un datu subjektu tiesības atbilstīgi Savienībā veiktai apstrādei, tostarp īstenojamu datu subjekta tiesību un efektīvu tiesiskās aizsardzības līdzekļu pieejamība, ieskaitot iespēju saņemt efektīvu aizsardzību administratīvā kārtā vai tiesā un pieprasīt kompensāciju Savienībā vai trešā valstī. Tiem jo īpaši būtu jāattiecas uz atbilstību vispārīgiem principiem, kuri saistīti ar personas datu apstrādi, un integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem. Savienības iestādes un struktūras var veikt datu nosūtīšanu uz trešo valstu publiskām iestādēm vai struktūrām vai starptautiskām organizācijām, kurām ir atbilstoši pienākumi vai funkcijas, tostarp pamatojoties uz noteikumiem, kuri iekļaujami administratīvās vienošanās, piemēram, saprašanās memorandā, datu subjektiem paredzot īstenojamas un efektīvas tiesības. Ja garantijas ir paredzētas administratīvās vienošanās, kas nav juridiski saistošas, būtu jāsaņem Eiropas datu aizsardzības uzraudzītāja atļauja. |
(66) |
Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai Eiropas datu aizsardzības uzraudzītāja pieņemtās standarta datu aizsardzības klauzulas, nebūtu jāizslēdz ne tas, ka pārzinis vai apstrādātājs var iekļaut standarta datu aizsardzības klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, ne arī tas, ka pārzinis vai apstrādātājs var pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Komisijas vai Eiropas datu aizsardzības uzraudzītāja pieņemtajām līguma standartklauzulām vai neierobežo datu subjektu pamattiesības vai brīvības. Pārziņi un apstrādātāji būtu jāmudina nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina standarta datu aizsardzības klauzulas. |
(67) |
Dažas trešās valstis pieņem normatīvos un citus tiesību aktus, kuru mērķis ir tieši regulēt apstrādes darbības, ko veic Savienības iestādes un struktūras. Tas var ietvert tiesu spriedumus vai administratīvu iestāžu lēmumus trešās valstīs, ar kuriem pārzinim vai apstrādātājam prasa nosūtīt vai atklāt personas datus un kuri nav balstīti uz starptautisku nolīgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību. Šādu normatīvu un citu tiesību aktu ekstrateritoriāla piemērošana var būt pretrunā starptautiskām tiesībām un var kavēt sasniegt tādu aizsardzību, kādu fiziskām personām Savienībā nodrošina ar šo regulu. Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti. Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības tiesību aktos. |
(68) |
Īpašās situācijās būtu jāparedz noteikumi, kas ļauj nosūtīt datus noteiktos gadījumos, kad datu subjekts ir devis skaidru piekrišanu, ja nosūtīšana ir gadījuma rakstura un nepieciešama saistībā ar līgumu vai likumīgu prasību, neatkarīgi no tā, vai to izvirza tiesas procesā vai administratīvā vai ārpustiesas procedūrā, tostarp regulatīvo struktūru procedūrās. Būtu jāparedz arī noteikumi, kas ļauj nosūtīt datus, ja tas nepieciešams, pamatojoties uz Savienības tiesību aktos noteiktām svarīgām sabiedrības interesēm, vai ja datus nosūta no reģistra, kas izveidots ar likumu un ir paredzēts, lai leģitīmi ieinteresētas personas vai sabiedrība varētu to izmantot. Pēdējā minētajā gadījumā nebūtu jānosūta pilnīgi visi reģistrā ietvertie personas dati vai veselas datu kategorijas, izņemot, ja Savienības tiesību akti to atļauj, un, ja reģistrs ir paredzēts, lai to varētu izmantot leģitīmi ieinteresētas personas, dati būtu jānosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas, pilnībā ņemot vērā datu subjekta intereses un pamattiesības. |
(69) |
Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad notiek starptautiska datu apmaiņa starp Savienības iestādēm un struktūrām un konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm un dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai izskaustu dopingu sportā. Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot piekrišanu. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības tiesību aktos var skaidri noteikt ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai, ja ir svarīgi iemesli sabiedrības interesēs. Varētu uzskatīt, ka datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot bruņotos konfliktos piemērojamas starptautiskās humanitārās tiesības, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs. |
(70) |
Jebkurā gadījumā, ja Komisija nav pieņēmusi lēmumu par datu aizsardzības līmeņa pietiekamību trešā valstī, pārzinim vai apstrādātājam būtu jāizmanto risinājumi, kas datu subjektiem sniedz īstenojamas un efektīvas tiesības attiecībā uz viņu datu apstrādi Savienībā arī pēc tam, kad minētie dati ir nosūtīti, lai tādējādi viņi joprojām varētu baudīt savas pamattiesības un garantijas. |
(71) |
Personas datu pārvietošanās pāri robežām ārpus Savienības var ievērojami apdraudēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, jo īpaši, lai aizsargātos pret nelikumīgu izmantošanu vai šādas informācijas atklāšanu. Vienlaikus valstu uzraudzības iestādes un Eiropas datu aizsardzības uzraudzītājs var saskarties ar situāciju, kad tie nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās ārpus to jurisdikcijas. To pūles kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras, tiesisko regulējumu atšķirības un tādi praktiski šķēršļi kā, piemēram, ierobežoti līdzekļi. Tāpēc vajadzētu sekmēt ciešāku sadarbību starp Eiropas datu aizsardzības uzraudzītāju un valstu uzraudzības iestādēm, lai palīdzētu apmainīties ar informāciju ar kolēģiem citās valstīs. |
(72) |
Eiropas datu aizsardzības uzraudzītāja amata izveide ar Regulu (EK) Nr. 45/2001 un viņa pilnvarošana veikt savus uzdevumus un izmantot savas pilnvaras pilnīgi neatkarīgi ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz viņu personas datu apstrādi. Ar šo regulu vajadzētu stiprināt un precizēt viņa lomu un neatkarību. Eiropas datu aizsardzības uzraudzītājam vajadzētu būt personai, par kuras neatkarību nav ne mazāko šaubu un kura ir atzīta par tādu, kam ir Eiropas datu aizsardzības uzraudzītāja pienākumu pildīšanai nepieciešamā pieredze un prasmes, piemēram, šī persona ir strādājusi kādā no saskaņā ar Regulas (ES) 2016/679 51. pantu izveidotajām uzraudzības iestādēm. |
(73) |
Lai nodrošinātu konsekventu datu aizsardzības noteikumu uzraudzību un izpildi visā Savienībā, Eiropas datu aizsardzības uzraudzītājam vajadzētu būt tiem pašiem uzdevumiem un faktiskām pilnvarām, kas ir valstu uzraudzības iestādēm, tostarp izmeklēšanas pilnvarām, korektīvām pilnvarām, pilnvarām lemt par sankcijām un atļauju izsniegšanas un padomdevēja pilnvarām, jo īpaši fizisku personu sūdzību gadījumos, un pilnvarām informēt Tiesu par šīs regulas pārkāpumiem un iesaistīties tiesvedībās saskaņā ar primārajiem tiesību aktiem. Šādām pilnvarām būtu jāietver arī pilnvaras uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu. Lai izvairītos no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajām personām, kuras var tikt nevēlami ietekmētas, katram Eiropas datu aizsardzības uzraudzītāja pasākumam vajadzētu būt atbilstošam, vajadzīgam un samērīgam, lai nodrošinātu atbilstību šai regulai, ņemot vērā apstākļus katrā atsevišķā gadījumā un ievērojot katras personas tiesības tikt uzklausītai pirms attiecīgā individuālā pasākuma pieņemšanas. Katram Eiropas datu aizsardzības uzraudzītāja veiktam juridiski saistošam pasākumam vajadzētu būt sagatavotam rakstiski, skaidram un nepārprotamam, tajā būtu jānorāda pasākuma noteikšanas datums, uz tā vajadzētu būt Eiropas datu aizsardzības uzraudzītāja vadītāja parakstam, tajā būtu jāiekļauj pasākuma pamatojums un jānorāda, ka ir tiesības uz efektīvu tiesību aizsardzību. |
(74) |
Eiropas datu aizsardzības uzraudzītāja īstenotās uzraudzības kompetencei nebūtu jāattiecas uz personas datu apstrādi Tiesā, kad tā rīkojas atbilstīgi savai kompetencei, lai tādējādi nodrošinātu, ka Tiesa ir neatkarīga savu tiesu varas uzdevumu izpildē, tostarp lēmumu pieņemšanā. Saistībā ar šādām apstrādes darbībām Tiesai vajadzētu izveidot neatkarīgu uzraudzību saskaņā ar Hartas 8. panta 3. punktu, piemēram, ieviešot iekšēju mehānismu. |
(75) |
Eiropas datu aizsardzības uzraudzītāja lēmumi par šajā regulā paredzētajiem izņēmumiem, garantijām, atļaujām un nosacījumiem attiecībā uz datu apstrādi būtu jāpublicē darbības pārskatā. Eiropas datu aizsardzības uzraudzītājs var publicēt ziņojumus par konkrētiem jautājumiem neatkarīgi no darbības gada pārskata publicēšanas. |
(76) |
Eiropas datu aizsardzības uzraudzītājam būtu jāievēro Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (9). |
(77) |
Valstu uzraudzības iestādes uzrauga Regulas (ES) 2016/679 noteikumu piemērošanu un veicina tās saskanīgu piemērošanu visā Savienībā, lai aizsargātu fiziskas personas attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti iekšējā tirgū. Lai konsekventāk tiktu piemēroti dalībvalstīs un Savienības iestādēs un struktūrās piemērojamie datu aizsardzības noteikumi, Eiropas datu aizsardzības uzraudzītājam būtu efektīvi jāsadarbojas ar valstu uzraudzības iestādēm. |
(78) |
Atsevišķos gadījumos Savienības tiesību aktos ir paredzēta koordinēta uzraudzība, kuru īsteno Eiropas datu aizsardzības uzraudzītājs kopā ar valstu uzraudzības iestādēm. Turklāt Eiropas datu aizsardzības uzraudzītājs ir Eiropola uzraudzības iestāde, un šiem nolūkiem īpašs sadarbības modelis ar valstu uzraudzības iestādēm tiek īstenots ar konsultatīvas sadarbības padomes starpniecību. Lai uzlabotu datu aizsardzības pamatnoteikumu efektīvu uzraudzību un izpildi, Savienībā būtu jāievieš vienots un saskaņots koordinētas uzraudzības modelis. Tāpēc Komisijai attiecīgos gadījumos būtu jāiesniedz leģislatīvu aktu priekšlikumi, kuru mērķis būtu grozīt Savienības tiesību aktus, paredzot koordinētas uzraudzības modeli, lai saskaņotu tos ar šajā regulā paredzēto koordinētās uzraudzības modeli. Eiropas Datu aizsardzības kolēģijai būtu jākalpo par vienotu forumu, kas nodrošina efektīvu koordinētu uzraudzību visās jomās. |
(79) |
Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un tiesībām uz efektīvu tiesību aizsardzību Tiesā saskaņā ar Līgumiem, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja Eiropas datu aizsardzības uzraudzītājs nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to izskatīt tiesā. Eiropas datu aizsardzības uzraudzītājam saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar valsts uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija. Lai atvieglotu sūdzību iesniegšanu, Eiropas datu aizsardzības uzraudzītājam būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus. |
(80) |
Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, vajadzētu būt tiesībām no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu saskaņā ar Līgumu nosacījumiem. |
(81) |
Lai nostiprinātu Eiropas datu aizsardzības uzraudzītāja uzraudzības funkcijas un šīs regulas efektīvu izpildi, Eiropas datu aizsardzības uzraudzītājam vajadzētu būt pilnvarām kā galēju līdzekli uzlikt administratīvus naudas sodus. Naudas sodu mērķim vajadzētu būt sankcijām par šīs regulas neievērošanu Savienības iestādei vai struktūrai, nevis fiziskām personām, lai atturētu tās no šīs regulas neievērošanas nākotnē un sekmētu personas datu aizsardzības kultūru Savienības iestādēs un struktūrās. Šajā regulā būtu jānorāda pārkāpumi, par kuriem piemēro administratīvus naudas sodus, un būtu jānosaka attiecīgo administratīvā naudas sodu maksimālais apmērs un kritēriji to piemērošanai. Eiropas datu aizsardzības uzraudzītājam būtu jānosaka naudas soda apmērs katrā konkrētā gadījumā, ņemot vērā visus attiecīgos konkrētās situācijas apstākļus un pienācīgi ņemot vērā pārkāpuma būtību, smagumu un ilgumu un tā sekas, kā arī pasākumus, kas veikti, lai nodrošinātu šajā regulā paredzēto pienākumu ievērošanu un novērstu vai mazinātu pārkāpuma sekas. Uzliekot administratīvu naudas sodu Savienības iestādei vai struktūrai, Eiropas datu aizsardzības uzraudzītājam būtu jāizvērtē naudas soda summas proporcionalitāte. Administratīvajā procedūrā, ar kuru Savienības iestādēm un struktūrām uzliek naudas sodu, būtu jāievēro Savienības tiesību aktos paredzētie vispārējie principi, kā tos interpretējusi Tiesa. |
(82) |
Ja datu subjekts uzskata, ka viņa tiesības, kas paredzētas šajā regulā, ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam viņa vārdā. Šādai struktūrai, organizācijai vai asociācijai vajadzētu spēt īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai īstenot tiesības saņemt kompensāciju datu subjektu vārdā. |
(83) |
Ja Savienības ierēdnis vai cits darbinieks neievēro šajā regulā paredzētos pienākumus, viņu vajadzētu varēt saukt pie disciplināras vai cita veida atbildības saskaņā ar noteikumiem un procedūrām, kas paredzētas Eiropas Savienības Civildienesta noteikumos un Savienības Pārējo darbinieku nodarbināšanas kārtībā, kas noteikti Padomes Regulā (EEK, Euratom, EOTK) Nr. 259/68 (10) (“Civildienesta noteikumi”). |
(84) |
Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, Komisijai būtu jāpiešķir īstenošanas pilnvaras, ja tas paredzēts šajā regulā. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (11). Pārbaudes procedūra būtu jāizmanto, lai pieņemtu standartklauzulas līgumos starp pārziņiem un apstrādātājiem un līgumos starp pašiem pārziņiem to apstrādes darbību sarakstu pieņemšanai, attiecībā uz kurām pārziņiem, kuri personas datu apstrādi veic, pildot uzdevumu sabiedrības interesēs, būtu iepriekš jāapspriežas ar Eiropas datu aizsardzības uzraudzītāju, un lai pieņemtu līgumu standartklauzulas, kas nodrošina atbilstošas garantijas starptautiskai nosūtīšanai. |
(85) |
Būtu jāaizsargā konfidenciālā informācija, ko Savienības un valstu statistikas iestādes vāc oficiālās Eiropas statistikas un oficiālās valsts statistikas izveidei. Eiropas statistika būtu jāizstrādā, jāsagatavo un jāizplata saskaņā ar statistikas principiem, kas noteikti LESD 338. panta 2. punktā. Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (12) paredz sīkākas prasības par statistikas konfidencialitāti attiecībā uz Eiropas statistiku. |
(86) |
Regula (EK) Nr. 45/2001 un Eiropas Parlamenta, Padomes un Komisijas Lēmums (EK) Nr. 1247/2002/EK (13) būtu jāatceļ. Atsauces uz atcelto regulu un atcelto lēmumu būtu jāuzskata par atsaucēm uz šo regulu. |
(87) |
Lai garantētu neatkarīgās uzraudzības iestādes locekļu pilnīgu neatkarību, šai regulai nevajadzētu ietekmēt pašreizējā Eiropas datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru termiņu. Pašreizējam uzraudzītāja palīgam būtu jāpaliek amatā līdz viņa pilnvaru termiņa beigām, izņemot gadījumus, kad tiek izpildīts viens no šīs regulas nosacījumiem priekšlaicīgai Eiropas datu aizsardzības uzraudzītāja atbrīvošanai no amata. Šīs regulas attiecīgie noteikumi ir piemērojami uzraudzītāja palīgam līdz viņa pilnvaru termiņa beigām. |
(88) |
Saskaņā ar proporcionalitātes principu pamatmērķa – nodrošināt fizisko personu vienlīdzīgu aizsardzību attiecībā uz personas datu apstrādi un personas datu brīvu plūsmu visā Savienībā – sasniegšanai ir vajadzīgs un lietderīgi paredzēt noteikumus par personas datu apstrādi Savienības iestādēs un struktūrās. Šī regula paredz vienīgi tos pasākumus, kas ir vajadzīgi, lai sasniegtu izvirzītos mērķus saskaņā ar LES 5. panta 4. punktu. |
(89) |
Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2017. gada 15. martā sniedza atzinumu (14), |
IR PIEŅĒMUŠI ŠO REGULU.
I NODAĻA
VISPĀRĪGI NOTEIKUMI
1. pants
Priekšmets un mērķi
1. Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi Savienības iestādēs un struktūrās un noteikumus, kas attiecas uz personas datu brīvu apriti to starpā vai ar citiem saņēmējiem, kas veic uzņēmējdarbību Savienībā.
2. Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.
3. Eiropas datu aizsardzības uzraudzītājs uzrauga šīs regulas noteikumu piemērošanu visās apstrādes darbībās, kuras veic Savienības iestādes vai struktūras.
2. pants
Darbības joma
1. Šo regulu piemēro personas datu apstrādei visās Savienības iestādēs un struktūrās.
2. Gadījumos, kad Savienības struktūras, biroji un aģentūras apstrādā operatīvos personas datus, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, piemēro tikai šīs regulas 3. pantu un IX nodaļu.
3. Šo regulu nepiemēro operatīvo personas datu apstrādei, ko veic Eiropols un Eiropas Prokuratūra, līdz brīdim, kad Eiropas Parlamenta un Padomes Regula (ES) 2016/794 (15) un Padomes Regula (ES) 2017/1939 (16) būs pielāgota saskaņā ar šīs regulas 98. pantu.
4. Šo regulu nepiemēro personas datu apstrādei LES 42. panta 1. punktā, 43. un 44. pantā minētajās misijās.
5. Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.
3. pants
Definīcijas
Šajā regulā piemēro šādas definīcijas:
1) |
“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās fiziskās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem; |
2) |
“operatīvie personas dati” ir visi personas dati, ko Savienības struktūras, biroji vai aģentūras apstrādā, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, lai sasniegtu mērķus un izpildītu uzdevumus, kas noteikti tiesību aktos, ar kuriem šīs struktūras, birojus vai aģentūras izveido; |
3) |
“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana; |
4) |
“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē; |
5) |
“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos; |
6) |
“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu; |
7) |
“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju; |
8) |
“pārzinis” ir Savienības iestāde vai struktūra, vai ģenerāldirektorāts vai cita organizatoriska vienība, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar īpašu Savienības tiesību aktu, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības tiesību aktos; |
9) |
“pārziņi, kas nav Savienības iestādes un struktūras” ir pārziņi Regulas (ES) 2016/679 4. panta 7. punkta nozīmē un pārziņi Direktīvas (ES) 2016/680 3. panta 8. punkta nozīmē; |
10) |
“Savienības iestādes un struktūras” ir Savienības iestādes, struktūras, biroji un aģentūras, kas izveidotas ar LES, LESD vai Euratom līgumu vai balstoties uz tiem; |
11) |
“kompetentā iestāde” ir jebkura publiska iestāde dalībvalstī, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst; |
12) |
“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus; |
13) |
“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai jebkura cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem; |
14) |
“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus; |
15) |
datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei; |
16) |
“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem; |
17) |
“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes; |
18) |
“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati; |
19) |
“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli; |
20) |
“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (17) 1. panta 1. punkta b) apakšpunktā; |
21) |
“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tāda nolīguma pamata; |
22) |
“valsts uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveido, ievērojot Regulas (ES) 2016/679 51. pantu vai ievērojot Direktīvas (ES) 2016/680 41. pantu; |
23) |
“lietotājs” ir jebkura fiziska persona, kas izmanto tīklu vai termināliekārtu, kuras darbību kontrolē Savienības iestāde vai struktūra; |
24) |
“saraksts” ir drukāts vai elektronisks publiski pieejams lietotāju saraksts vai iekšējs lietotāju saraksts, kas pieejams Savienības iestādē vai struktūrā vai ko kopīgi lieto vairākas Savienības iestādes un struktūras; |
25) |
“elektronisko sakaru tīkls” ir pārraidīšanas sistēma, kas var būt un var nebūt balstīta uz patstāvīgu infrastruktūru vai centralizētas administrācijas spēju, un attiecīgos gadījumos komutācijas vai maršrutēšanas ierīces un citi resursi, tostarp tīkla pasīvie elementi, ar kuriem signālus var pārvadīt pa vadiem, radioviļņiem, optiskiem vai citiem elektromagnētiskiem līdzekļiem, tostarp satelītsakaru tīkliem, fiksētiem (ķēžu un pakešu komutācijas, ieskaitot internetu) un mobiliem zemes tīkliem, elektrokabeļu sistēmām, ciktāl tās izmanto signālu pārraides nolūkā, radio un televīzijas apraides nolūkā izmantotajiem tīkliem un kabeļtelevīzijas tīkliem neatkarīgi no pārvadītās informācijas veida; |
26) |
“termināliekārtas” ir termināliekārtas kā tās definētas Komisijas Direktīvas 2008/63/EK (18) 1. panta 1. punktā. |
II NODAĻA
VISPĀRĪGI PRINCIPI
4. pants
Personas datu apstrādes principi
1. Personas dati:
a) |
tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”); |
b) |
tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar 13. pantu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”); |
c) |
ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”); |
d) |
ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi attiecīgie pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”); |
e) |
tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar 13. pantu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”); |
f) |
tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”). |
2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).
5. pants
Apstrādes likumīgums
1. Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:
a) |
apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot Savienības iestādei vai struktūrai likumīgi piešķirtās oficiālās pilnvaras; |
b) |
apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu; |
c) |
apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas; |
d) |
datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem; |
e) |
apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses. |
2. Šā panta 1. punkta a) un b) apakšpunktā minēto apstrādes pamatu nosaka Savienības tiesību aktos.
6. pants
Apstrāde citos savietojamos nolūkos
Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 25. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:
a) |
jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem; |
b) |
kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām; |
c) |
personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 10. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 11. pantu; |
d) |
paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem; |
e) |
atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju. |
7. pants
Nosacījumi piekrišanai
1. Ja apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei.
2. Ja datu subjekta piekrišanu dod saistībā ar rakstisku deklarāciju, kas attiecas arī uz citiem jautājumiem, lūgumu dot piekrišanu norāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Jebkura šādas deklarācijas daļa, kura ir šīs regulas pārkāpums, nav saistoša.
3. Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli, kā to dot.
4. Novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei.
8. pants
Nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem
1. Ja attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērnam ir piemērojams 5. panta 1. punkta d) apakšpunkts, bērna personas datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs. Ja bērns ir jaunāks par 13 gadiem, šāda apstrāde ir likumīga tikai tad un tādā apmērā, ja piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu.
2. Pārzinis pieliek saprātīgas pūles, lai šādos gadījumos pārbaudītu, vai piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu, ņemot vērā pieejamās tehnoloģijas.
3. Šā panta 1. punkts neietekmē dalībvalstu vispārējās līgumtiesības, piemēram, noteikumus par attiecībā uz bērnu noslēgta līguma spēkā esību, noslēgšanu vai sekām.
9. pants
Personas datu nosūtīšana saņēmējiem, kas nav Savienības iestādes un struktūras un kas veic uzņēmējdarbību Savienībā
1. Neskarot 4., 5., 6. un 10. pantu, personas datus saņēmējiem, kas nav Savienības iestādes un struktūras un kas veic uzņēmējdarbību Savienībā, nosūta tikai tad, ja:
a) |
saņēmējs konstatē, ka dati ir vajadzīgi, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot saņēmējam likumīgi piešķirtās oficiālās pilnvaras; vai |
b) |
saņēmējs konstatē, ka nosūtīšana ir vajadzīga konkrētam mērķim sabiedrības interesēs, un pārzinis, ja ir kāds iemesls uzskatīt, ka varētu tikt kaitēts datu subjekta likumīgajām interesēm, apliecināmi izvērtē dažādās konkurējošās intereses un pēc tam nosaka, ka personas datu pārsūtīšana ir samērīga ar minēto konkrēto mērķi. |
2. Ja pārzinis ierosina datu nosūtīšanu saskaņā ar šo pantu, tas uzskatāmi parāda, ka personas datu nosūtīšana ir nepieciešama un samērīga nosūtīšanas mērķiem, piemērojot kritērijus, kas noteikti 1. punkta a) vai b) apakšpunktā.
3. Savienības iestādes un struktūras līdzsvaro tiesības uz personas datu aizsardzību un tiesības piekļūt dokumentiem saskaņā ar Savienības tiesību aktiem.
10. pants
Īpašu kategoriju personas datu apstrāde
1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.
2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:
a) |
datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt; |
b) |
apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības tiesību akti, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm; |
c) |
apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas personas vitālās intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; |
d) |
veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic bezpeļņas struktūra, kas ir integrēta Savienības iestādē vai struktūrā, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras; |
e) |
apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis; |
f) |
apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad Tiesa pilda savus uzdevumus; |
g) |
apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai; |
h) |
apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas; |
i) |
apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai; vai |
j) |
apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai. |
3. Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.
11. pants
Personas datu par sodāmību un pārkāpumiem apstrāde
Personas datus par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz 5. panta 1. punktu, apstrādā tikai oficiālas iestādes kontrolē vai tad, ja apstrādi atļauj Savienības tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām.
12. pants
Apstrāde, kurai nav nepieciešama identifikācija
1. Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu.
2. Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 17.–22. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt.
13. pants
Garantijas, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos
Uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar šo regulu attiecas atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām nodrošina, ka pastāv tehniski un organizatoriski pasākumi, jo īpaši, lai nodrošinātu datu minimizēšanas principa ievērošanu. Minētie pasākumi var ietvert pseidonimizēšanu, ar noteikumu, ka minētos nolūkus var īstenot minētajā veidā. Ja minētos nolūkus var īstenot, veicot turpmāku apstrādi, kas neļauj vai vairs neļauj identificēt datu subjektus, minētos nolūkus īsteno minētajā veidā.
III NODAĻA
DATU SUBJEKTA TIESĪBAS
1. IEDAĻA
Pārredzamība un izmantošanas kārtība
14. pants
Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība
1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 15. un 16. pantā minēto informāciju un nodrošinātu visu 17.–24. pantā un 35. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.
2. Pārzinis veicina 17.–24. pantā paredzēto datu subjekta tiesību īstenošanu. Regulas 12. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu 17.–24. pantā paredzēto tiesību īstenošanu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.
3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 17.–24. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.
4. Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un vērsties tiesā.
5. Informācija, ko sniedz saskaņā ar 15. un 16. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 17.–24. pantu un 35. pantu, ir bez maksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var atteikties izpildīt pieprasījumu. Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
6. Neskarot 12. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 17.–23. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.
7. Informāciju, kas datu subjektiem sniedzama, ievērojot 15. un 16. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.
8. Ja Komisija pieņem deleģētos aktus saskaņā ar Regulas (ES) 2016/679 12. panta 8. punktu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai, Savienības iestādes un struktūras vajadzības gadījumā sniedz informāciju saskaņā ar šīs regulas 15. un 16. pantu kopā ar šādām standartizētām ikonām.
2. IEDAĻA
Informācija un piekļuve personas datiem
15. pants
Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta
1. Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:
a) |
pārziņa identitāte un kontaktinformācija; |
b) |
datu aizsardzības speciālista kontaktinformācija; |
c) |
apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats; |
d) |
personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir; |
e) |
attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 48. pantā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami. |
2. Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:
a) |
laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
b) |
tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai attiecīgā gadījumā tiesības iebilst pret apstrādi vai tiesības uz datu pārnesamību; |
c) |
ja apstrāde pamatojas uz 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana; |
d) |
tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam; |
e) |
informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti; |
f) |
tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu. |
3. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.
4. Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.
16. pants
Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta
1. Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:
a) |
pārziņa identitāte un kontaktinformācija; |
b) |
datu aizsardzības speciālista kontaktinformācija; |
c) |
apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats; |
d) |
attiecīgo personas datu kategorijas; |
e) |
personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir; |
f) |
attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 48. pantā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami. |
2. Papildus 1. punktā minētajai informācijai pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:
a) |
laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
b) |
tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai attiecīgā gadījumā tiesības iebilst pret apstrādi vai tiesības uz datu pārnesamību; |
c) |
ja apstrāde pamatojas uz 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana; |
d) |
tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam; |
e) |
informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem; |
f) |
tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu. |
3. Pārzinis 1. un 2. punktā minēto informāciju sniedz:
a) |
saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti; |
b) |
ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai |
c) |
vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam. |
4. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.
5. Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:
a) |
informācija jau ir datu subjekta rīcībā; |
b) |
izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles, jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; |
c) |
iegūšana vai izpaušana ir skaidri paredzēta Savienības tiesību aktos, kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai |
d) |
ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības tiesību aktiem, ieskaitot likumisku pienākumu glabāt noslēpumu. |
6. Šā panta 5. punkta b) apakšpunktā minētajos gadījumos pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu.
17. pants
Datu subjekta piekļuves tiesības
1. Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:
a) |
apstrādes nolūki; |
b) |
attiecīgo personas datu kategorijas; |
c) |
personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās; |
d) |
ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
e) |
tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi; |
f) |
tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam; |
g) |
visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta; |
h) |
tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu. |
2. Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 48. pantu.
3. Pārzinis nodrošina apstrādē esošo personas datu kopiju. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.
4. Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.
3. IEDAĻA
Labošana un dzēšana
18. pants
Tiesības labot
Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.
19. pants
Tiesības uz dzēšanu (“tiesības tikt aizmirstam”)
1. Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:
a) |
personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti; |
b) |
datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei; |
c) |
datu subjekts iebilst pret apstrādi saskaņā ar 23. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata; |
d) |
personas dati ir apstrādāti nelikumīgi; |
e) |
personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts pārzinim uzlikts juridisks pienākums; |
f) |
personas dati ir savākti saistībā ar 8. panta 1. punktā minētu informācijas sabiedrības pakalpojumu piedāvāšanu. |
2. Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus vai pārziņus, kas nav Savienības iestādes un struktūras, kuri veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.
3. Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:
a) |
lai īstenotu tiesības uz vārda brīvību un informāciju; |
b) |
lai izpildītu pārzinim uzliktu juridisku pienākumu vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu; |
c) |
pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 10. panta 2. punkta h) un i) apakšpunktu, kā arī 10. panta 3. punktu; |
d) |
arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai |
e) |
lai celtu, īstenotu vai aizstāvētu likumīgas prasības. |
20. pants
Tiesības ierobežot apstrādi
1. Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja pastāv viens no šādiem apstākļiem:
a) |
datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti, ieskaitot to pilnīgumu; |
b) |
apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu; |
c) |
pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; |
d) |
datu subjekts ir iebildis pret apstrādi saskaņā ar 23. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem. |
2. Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.
3. Pārzinis datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas.
4. Automatizētās kartotēkās apstrādes ierobežojums principā ir jānodrošina ar tehniskiem līdzekļiem. Faktu, ka personas dati ir ierobežoti, sistēmā atspoguļo tā, lai kļūtu skaidrs, ka personas datus nedrīkst izmantot.
21. pants
Pienākums ziņot par personas datu labošanu vai dzēšanu vai apstrādes ierobežošanu
Pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar 18. pantu, 19. panta 1. punktu un 20. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.
22. pants
Tiesības uz datu pārnesamību
1. Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati sniegti, tam nerada nekādus šķēršļus, ja:
a) |
apstrāde pamatojas uz piekrišanu, ievērojot 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 5. panta 1. punkta c) apakšpunktu; un |
b) |
apstrādi veic ar automatizētiem līdzekļiem. |
2. Īstenojot savas tiesības uz datu pārnesamību saskaņā ar 1. punktu, datu subjektam ir tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim vai pārziņiem, kas nav Savienības iestādes un struktūras, ja tas ir tehniski iespējams.
3. Šā panta 1. punktā minēto tiesību īstenošana neskar 19. pantu. Minētās tiesības neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras.
4. Tiesības, kas minētas 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un brīvības.
4. IEDAĻA
Tiesības iebilst un automatizēta individuālu lēmumu pieņemšana
23. pants
Tiesības iebilst
1. Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 5. panta 1. punkta a) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minēto noteikumu. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai šādiem iemesliem celt, īstenot vai aizstāvēt likumīgas prasības.
2. Vēlākais tad, kad ar datu subjektu notiek pirmā saziņa, datu subjektu nepārprotami informē par 1. punktā minētajām tiesībām, un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas.
3. Neskarot 36. un 37. pantu, saistībā ar informācijas sabiedrības pakalpojumu izmantošanu datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas.
4. Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, datu subjektam, pamatojoties uz savu īpašo situāciju, ir tiesības iebilst pret savu personas datu apstrādi, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.
24. pants
Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana
1. Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, un kurš attiecībā uz datu subjektu rada tiesiskās sekas vai kurš līdzīgā veidā ievērojami ietekmē datu subjektu.
2. Šā panta 1. punktu nepiemēro, ja lēmums:
a) |
ir vajadzīgs, lai noslēgtu vai izpildītu līgumu starp datu subjektu un pārzini; |
b) |
ir atļauts saskaņā ar Savienības tiesību aktiem, kuros ir arī noteikti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses; vai |
c) |
pamatojas uz datu subjekta nepārprotamu piekrišanu. |
3. Šā panta 2. punkta a) un c) apakšpunktā minētajos gadījumos datu pārzinis veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no pārziņa puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu.
4. Šā panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 10. panta 1. punktā, izņemot, ja tiek piemērots 10. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.
5. IEDAĻA
Ierobežojumi
25. pants
Ierobežojumi
1. Tiesību akti, kas pieņemti uz Līgumu pamata, vai – gadījumos, kad runa ir par apstākļiem, kas saistīti ar Savienības iestāžu un struktūru darbību, – to iekšēji noteikumi var ierobežot 14.–22. panta, 35. un 36. panta piemērošanu, kā arī 4. panta piemērošanu, ciktāl tā noteikumi atbilst 14.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:
a) |
dalībvalstu valsts drošību un sabiedrisko drošību vai aizsardzību; |
b) |
noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu; |
c) |
citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienības kopējās ārpolitikas un drošības politikas mērķus vai Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu; |
d) |
Savienības iestāžu un struktūru, ieskaitot to elektronisko sakaru tīklus, iekšējo drošību; |
e) |
tiesu neatkarības un tiesvedības aizsardzību; |
f) |
reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem; |
g) |
uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz c) apakšpunktā minētajos gadījumos; |
h) |
datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību; |
i) |
civilprasību izpildi. |
2. Jo īpaši – jebkurā tiesību aktā vai iekšējā noteikumā, kas minēti 1. punktā, attiecīgā gadījumā ietver konkrētus noteikumus par:
a) |
apstrādes vai apstrādes kategoriju nolūkiem; |
b) |
personas datu kategorijām; |
c) |
ieviesto ierobežojumu darbības jomu; |
d) |
garantijām, ar ko novērst ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu; |
e) |
pārziņa vai pārziņu kategoriju noteikšanu; |
f) |
glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus; un |
g) |
riskiem attiecībā uz datu subjektu tiesībām un brīvībām. |
3. Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, kurus Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, var paredzēt atkāpes no tiesībām, kas minētas 17., 18., 20. un 23. pantā, ņemot vērā 13. pantā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt īstenot konkrētos nolūkus un šādas atkāpes ir vajadzīgas minēto nolūku īstenošanai.
4. Ja personas datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, kurus Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, var paredzēt atkāpes no tiesībām, kas minētas 17., 18., 20., 21., 22. un 23. pantā, ņemot vērā 13. pantā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt īstenot konkrētos nolūkus un šādas atkāpes ir vajadzīgas minēto nolūku īstenošanai.
5. Šā panta 1., 3. un 4. punktā minētie iekšējie noteikumi ir skaidri un precīzi vispārēji piemērojami akti, kuru nolūks ir radīt juridiskas sekas datu subjektiem un kurus pieņem Savienības iestāžu un struktūru augstākās vadības līmenī un publicē Eiropas Savienības Oficiālajā Vēstnesī.
6. Ja tiek piemērots ierobežojums saskaņā ar 1. punktu, datu subjektu informē saskaņā ar Savienības tiesību aktiem par galvenajiem iemesliem, kas ir pamatā ierobežojuma piemērošanai, kā arī par viņa tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam.
7. Ja tiek piemērots ierobežojums saskaņā ar 1. punktu un to izmanto, lai liegtu piekļuvi datu subjektam, Eiropas datu aizsardzības uzraudzītājs, izmeklējot sūdzību, informē datu subjektu tikai par to, vai dati ir apstrādāti pareizi un, ja nav – vai ir izdarīti vajadzīgie labojumi.
8. Šā panta 6. un 7. punktā un 45. panta 2. punktā minētās informācijas sniegšanu var atlikt, izlaist vai atteikt, ja tādējādi ierobežojums, kas uzlikts saskaņā ar šā panta 1. punktu, vairs nebūtu iedarbīgs.
IV NODAĻA
PĀRZINIS UN APSTRĀDĀTĀJS
1. IEDAĻA
Vispārīgi pienākumi
26. pants
Pārziņa atbildība
1. Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.
2. Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.
3. Atbilstību Regulas (ES) 2016/679 42. pantā minētiem apstiprinātiem sertifikācijas mehānismiem var izmantot kā elementu, ar ko apliecina pārziņa pienākumu izpildi.
27. pants
Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma
1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas prasības un aizsargāt datu subjektu tiesības.
2. Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.
3. Apstiprināts sertifikācijas mehānisms atbilstoši Regulas (ES) 2016/679 42. pantam var tikt izmantots kā elements, ar ko apliecina atbilstību šā panta 1. un 2. punktā izklāstītajām prasībām.
28. pants
Kopīgi pārziņi
1. Ja apstrādes mērķus un veidus kopīgi nosaka divi vai vairāk pārziņi vai viens vai vairāk pārziņi kopā ar vienu vai vairāk pārziņiem, kas nav Savienības iestādes un struktūras, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus izpildīt tiem piemērojamās datu aizsardzības prasības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un kopīgo pārziņu attiecīgajiem pienākumiem sniegt 15. un 16. pantā minēto informāciju; kopīgie pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie kopīgo pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami kopīgajiem pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.
2. Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektiem. Vienošanās galveno saturu dara pieejamu datu subjektam.
3. Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem datu subjekts saskaņā ar šo regulu var īstenot savas tiesības attiecībā uz un pret katru pārzini.
29. pants
Apstrādātājs
1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.
2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.
3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kurš ir saistošs apstrādātājam un pārzinim un kurā norāda apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:
a) |
personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam; šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ; |
b) |
nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti; |
c) |
īsteno visus pasākumus, kas nepieciešami saskaņā ar 33. pantu; |
d) |
ievēro 2. un 4. punktā minētos nosacījumus cita apstrādātāja piesaistīšanai; |
e) |
ciktāl tas ir iespējams, ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu; |
f) |
palīdz pārzinim nodrošināt 33. līdz 41. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju; |
g) |
pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana; |
h) |
pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu. |
Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja tā ieskatā kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.
4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti 3. punktā minētajā līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiek ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.
5. Ja apstrādātājs nav Savienības iestāde vai struktūra, tā atbilstību Regulas (ES) 2016/679 40. panta 5. punktā minētam apstiprinātam rīcības kodeksam vai Regulas (ES) 2016/679 42. pantā minētam apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.
6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš apstrādātājam, kas nav Savienības iestāde vai struktūra, piešķirts saskaņā ar Regulas (ES) 2016/679 42. pantu.
7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 96. panta 2. punktā.
8. Eiropas datu aizsardzības uzraudzītājs var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem.
9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.
10. Neskarot 65. un 66. pantu – ja apstrādātājs, nosakot apstrādes nolūkus un līdzekļus, pārkāpj šo regulu, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.
30. pants
Apstrāde pārziņa vai apstrādātāja pakļautībā
Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.
31. pants
Apstrādes darbību reģistrēšana
1. Katrs pārzinis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:
a) |
pārziņa, datu aizsardzības speciālista un attiecīgā gadījumā apstrādātāja un visu kopīgo pārziņu vārds un uzvārds vai nosaukums un kontaktinformācija; |
b) |
apstrādes nolūki; |
c) |
datu subjektu kategoriju un personas datu kategoriju apraksts; |
d) |
to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji dalībvalstīs, trešās valstīs vai starptautiskās organizācijas; |
e) |
attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un atbilstošo garantiju dokumentācija; |
f) |
ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai; |
g) |
ja iespējams, 33. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts. |
2. Katrs apstrādātājs uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:
a) |
apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, un datu aizsardzības speciālista vārds, uzvārds vai nosaukums un kontaktinformācija; |
b) |
katra pārziņa vārdā veiktās apstrādes kategorijas; |
c) |
attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un atbilstošo garantiju dokumentācija; |
d) |
ja iespējams, 33. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts. |
3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.
4. Savienības iestādes un struktūras pēc pieprasījuma nodrošina reģistra pieejamību Eiropas datu aizsardzības uzraudzītājam.
5. Savienības iestādes un struktūras uzglabā informāciju par veiktajām apstrādes darbībām centrālā reģistrā, ja vien tas nav nelietderīgi Savienības iestādes vai struktūras lieluma dēļ. Tās padara šo reģistru publiski pieejamu.
32. pants
Sadarbība ar Eiropas datu aizsardzības uzraudzītāju
Savienības iestādes un struktūras pēc pieprasījuma sadarbojas ar Eiropas datu aizsardzības uzraudzītāju viņa pienākumu izpildē.
2. IEDAĻA
Personas datu drošība
33. pants
Apstrādes drošība
1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:
a) |
personas datu pseidonimizāciju un šifrēšanu; |
b) |
spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību; |
c) |
spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums; |
d) |
procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību. |
2. Novērtējot atbilstīgo drošības līmeni, jo īpaši ņem vērā riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.
3. Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības tiesību aktiem.
4. Atbilstību Regulas (ES) 2016/679 42. pantā minētam apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko apliecina šā panta 1. punktā noteikto prasību izpildi.
34. pants
Personas datu aizsardzības pārkāpuma paziņošana Eiropas datu aizsardzības uzraudzītājam
1. Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu Eiropas datu aizsardzības uzraudzītājam, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņojums Eiropas datu aizsardzības uzraudzītājam nav sniegts 72 stundu laikā, tam pievieno kavēšanās iemeslus.
2. Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.
3. Paziņojumā, kas minēts 1. punktā, vismaz:
a) |
apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu; |
b) |
uzrāda datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju; |
c) |
apraksta personas datu aizsardzības pārkāpuma iespējamās sekas; |
d) |
apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, ar kuriem mazināt tā iespējamās nelabvēlīgās sekas. |
4. Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.
5. Par personas datu aizsardzības pārkāpumu pārzinis informē datu aizsardzības speciālistu.
6. Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj Eiropas datu aizsardzības uzraudzītājam pārbaudīt šā panta ievērošanu.
35. pants
Datu subjekta informēšana par personas datu aizsardzības pārkāpumu
1. Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.
2. Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 34. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.
3. Šā panta 1. punktā minētais paziņojums datu subjektam, nav jāsniedz, ja tiek izpildīts kāds no šādiem nosacījumiem:
a) |
pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus, un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana; |
b) |
pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām; |
c) |
tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku paziņojumu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā. |
4. Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, Eiropas datu aizsardzības uzraudzītājs, apsvēris iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.
3. IEDAĻA
Elektronisko sakaru konfidencialitāte
36. pants
Elektronisko sakaru konfidencialitāte
Savienības iestādes un struktūras nodrošina elektronisko sakaru konfidencialitāti, jo īpaši nodrošinot to elektronisko sakaru tīklu drošību.
37. pants
Uz lietotāju termināliekārtām nosūtītās, tajās glabātās un apstrādātās un no tām ievāktās informācijas aizsardzība
Savienības iestādes un struktūras aizsargā uz tādām lietotāju termināliekārtām nosūtītās, tajās glabātās un apstrādātās un no tām ievāktās informācijas aizsardzību, kas piekļūst to publiski pieejamām tīmekļa vietnēm un mobilajām lietotnēm, saskaņā ar 5. panta 3. punktu Direktīvā 2002/58/EK.
38. pants
Lietotāju saraksti
1. Lietotāju sarakstos iekļautos personas datus, kā arī piekļuvi šiem sarakstiem ierobežo tādā apmērā, cik tas nepieciešams attiecīgā saraksta konkrētajam mērķim.
2. Savienības iestādes un struktūras veic visus vajadzīgos pasākumus, lai nepieļautu to, ka šajos sarakstos esošos personas datus izmanto tiešās tirgvedības nolūkiem neatkarīgi no tā, vai tie ir publiski pieejami vai nav.
4. IEDAĻA
Novērtējums par ietekmi uz datu aizsardzību un iepriekšēja apspriešanās
39. pants
Novērtējums par ietekmi uz datu aizsardzību
1. Ja apstrādes veids, jo īpaši jaunu tehnoloģiju lietojums, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, ļoti iespējams, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.
2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista.
3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:
a) |
ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu; |
b) |
10. pantā minēto īpašo kategoriju datu vai 11. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai |
c) |
publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā. |
4. Eiropas datu aizsardzības uzraudzītājs izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu.
5. Eiropas datu aizsardzības uzraudzītājs var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību.
6. Pirms šā panta 4. un 5. punktā minēto sarakstu pieņemšanas Eiropas datu aizsardzības uzraudzītājs prasa, lai Eiropas Datu aizsardzības kolēģija, kas izveidota ar Regulas (ES) 2016/679 68. pantu, izskata šādus sarakstus saskaņā ar minētās regulas 70. panta 1. punkta e) apakšpunktu, ja tie attiecas uz apstrādes darbībām, ko pārzinis īsteno kopā ar vienu vai vairāk pārziņiem, kas nav Savienības iestādes un struktūras.
7. Novērtējumā ietver vismaz:
a) |
plānoto apstrādes darbību un apstrādes nolūku sistemātisku aprakstu; |
b) |
novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem; |
c) |
novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un |
d) |
pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses. |
8. Attiecīgo apstrādātāju, kas nav Savienības iestāde vai struktūra, atbilstību Regulas (ES) 2016/679 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.
9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot sabiedrības interešu aizsardzību vai apstrādes darbību drošību.
10. Ja saskaņā ar 5. panta 1. punkta a) vai b) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts tiesību aktā, kas pieņemts uz Līgumu pamata un kas reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma pirms minētā tiesību akta pieņemšanas, šā panta 1.–6. punktu nepiemēro, izņemot, ja minētajā tiesību aktā ir noteikts citādi.
11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.
40. pants
Iepriekšēja apspriešanās
1. Pārzinis pirms apstrādes apspriežas ar Eiropas datu aizsardzības uzraudzītāju, ja saskaņā ar 39. pantu veicamajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka apstrāde bez garantiju, drošības pasākumu un riska mazināšanas mehānismu piemērošanas radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem, ņemot vērā pieejamās tehnoloģijas un īstenošanas izmaksas. Par vajadzību veikt iepriekšēju apspriešanos pārzinis lūdz padomu no datu aizsardzības speciālista.
2. Ja Eiropas datu aizsardzības uzraudzītājs uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, Eiropas datu aizsardzības uzraudzītājs laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot jebkuras no savām pilnvarām, kas minētas 58. pantā. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Eiropas datu aizsardzības uzraudzītājs informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kad Eiropas datu aizsardzības uzraudzītājs saņem informāciju, ko tas pieprasījis apspriešanās nolūkiem.
3. Apspriežoties ar Eiropas datu aizsardzības uzraudzītāju saskaņā ar 1. punktā noteikto, pārzinis sniedz Eiropas datu aizsardzības uzraudzītājam šādu informāciju:
a) |
attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus; |
b) |
paredzētās apstrādes nolūkus un līdzekļus; |
c) |
pasākumus un garantijas, ar ko nodrošināt datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu; |
d) |
datu aizsardzības speciālista kontaktinformāciju; |
e) |
39. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un |
f) |
jebkuru citu Eiropas datu aizsardzības uzraudzītāja pieprasītu informāciju. |
4. Komisija var īstenošanas aktā noteikt to gadījumu sarakstu, kuros pārziņiem ir jāapspriežas ar Eiropas datu aizsardzības uzraudzītāju un jāsaņem no tā iepriekšēja atļauja saistībā ar personas datu apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad šādu datu apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību.
5. IEDAĻA
Informācija un tiesību aktu apspriešana
41. pants
Informācija un apspriešanās
1. Izstrādājot administratīvas vienošanās un iekšējus noteikumus, kas attiecas uz personas datu apstrādi, kurā Savienības iestāde vai struktūra ir iesaistīta viena pati vai kopā ar citām, Savienības iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju.
2. Izstrādājot 25. pantā minētos iekšējos noteikumus, Savienības iestādes un struktūras apspriežas ar Eiropas datu aizsardzības uzraudzītāju.
42. pants
Tiesību aktu apspriešana
1. Komisija pēc tiesību aktu priekšlikumu, ieteikumu vai priekšlikumu Padomei saskaņā ar LESD 218. pantu pieņemšanas vai, gatavojot deleģētos aktus vai īstenošanas aktus, apspriežas ar Eiropas datu aizsardzības uzraudzītāju gadījumos, kad ir ietekme uz personas tiesību un brīvību aizsardzību saistībā ar personas datu apstrādi.
2. Ja šāds 1. punktā minēts akts ir īpaši svarīgs personas tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisija var apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos Eiropas datu aizsardzības uzraudzītājs un Eiropas Datu aizsardzības kolēģija koordinē sadarbību ar mērķi izdot kopēju atzinumu.
3. Šā panta 1. un 2. punktā minētais padoms ir jāsniedz rakstiski laikposmā, kas nepārsniedz astoņas nedēļas kopš 1. un 2. punktā minētā pieprasījuma par apspriešanos saņemšanas. Steidzamos gadījumos vai citos atbilstošos apstākļos Komisija var saīsināt šo termiņu.
4. Šis pants nav piemērojams, ja saskaņā ar Regulas (ES) 2016/679 prasībām Komisijai ir jākonsultējas ar Eiropas datu aizsardzības uzraudzītāju.
6. IEDAĻA
Datu aizsardzības speciālists
43. pants
Datu aizsardzības speciālista iecelšana
1. Katra Savienības iestāde vai struktūra ieceļ datu aizsardzības speciālistu.
2. Ņemot vērā organizatorisko struktūru un izmēru, vairākas Savienības iestādes un struktūras var iecelt kopīgu datu aizsardzības speciālistu.
3. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 45. pantā minētos uzdevumus.
4. Datu aizsardzības speciālists ir Savienības iestādes vai struktūras darbinieks. Savienības iestādes un struktūras, ņemot vērā to lielumu un gadījumā, ja netiek izmantota 2. punktā minētā iespēja, var iecelt datu aizsardzības speciālistu, kurš savus uzdevumus pilda uz pakalpojumu līguma pamata.
5. Savienības iestādes un struktūras publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to Eiropas datu aizsardzības uzraudzītājam.
44. pants
Datu aizsardzības speciālista statuss
1. Savienības iestādes un struktūras nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.
2. Savienības iestādes un struktūras atbalsta datu aizsardzības speciālistu 45. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas.
3. Savienības iestādes un struktūras nodrošina, ka datu aizsardzības speciālists nesaņem nekādus norādījumus attiecībā uz minēto uzdevumu veikšanu. Pārzinis vai apstrādātājs viņu neatlaiž vai viņam nepiemēro sankcijas par viņa uzdevumu veikšanu. Datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā.
4. Datu subjekti var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu.
5. Datu aizsardzības speciālistam un viņa darbiniekiem ir saistoša slepenības vai konfidencialitātes ievērošana saistībā ar viņu uzdevumu pildīšanu, kā paredzēts Savienības tiesību aktos.
6. Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus. Pārzinis vai apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu.
7. Jautājumos, kas attiecas uz regulas interpretāciju vai piemērošanu, ar datu aizsardzības speciālistu var apspriesties pārzinis un apstrādātājs, attiecīgā personāla komiteja un jebkura fiziska persona, neizmantojot oficiālos kanālus. Neviena intereses netiek skartas tādēļ, ka kompetentajam datu aizsardzības speciālistam ir darīta zināma lieta, kurā ir aizdomas par šīs regulas noteikumu pārkāpumu.
8. Datu aizsardzības speciālistu ieceļ uz trīs līdz pieciem gadiem, un viņu var iecelt atkārtoti. Savienības iestāde vai struktūra, kas iecēlusi datu aizsardzības speciālistu, var viņu atbrīvot no šā amata, ja viņš vairs neatbilst nosacījumiem, kas nepieciešami, lai pildītu tā pienākumus, un tikai ar Eiropas datu aizsardzības uzraudzītāja piekrišanu.
9. Savienības iestāde vai struktūra, kas iecēlusi datu aizsardzības speciālistu, pēc iecelšanas viņu reģistrē Eiropas datu aizsardzības uzraudzītāja reģistrā.
45. pants
Datu aizsardzības speciālista uzdevumi
1. Datu aizsardzības speciālistam ir šādi uzdevumi:
a) |
informēt un konsultēt pārzini vai apstrādātāju un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo regulu un ar citiem Savienības noteikumiem par datu aizsardzību; |
b) |
neatkarīgā veidā nodrošināt šīs regulas iekšējo piemērošanu un uzraudzīt, vai tiek ievērota šī regula, citi piemērojamie Savienības tiesību akti, kuros ir noteikumi par datu aizsardzību, un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām; |
c) |
nodrošināt, ka datu subjekti tiek informēti par viņu tiesībām un pienākumiem saskaņā ar šo regulu; |
d) |
pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību paziņot vai ziņot par personas datu aizsardzības pārkāpumu saskaņā ar 34. un 35. pantu; |
e) |
pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 39. pantu, un konsultēties ar Eiropas datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešams novērtējums par ietekmi uz datu aizsardzību; |
f) |
pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību iepriekš apspriesties ar Eiropas datu aizsardzības uzraudzītāju saskaņā ar 40. pantu un konsultēties ar Eiropas datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešama iepriekšēja apspriešanās; |
g) |
atbildēt uz Eiropas datu aizsardzības uzraudzītāja pieprasījumiem un atbilstīgi savai kompetencei sadarboties un konsultēties ar Eiropas datu aizsardzības uzraudzītāju pēc tā pieprasījuma vai pēc savas iniciatīvas; |
h) |
nodrošināt, ka apstrādes darbības negatīvi neietekmē datu subjektu tiesības un brīvības. |
2. Datu aizsardzības speciālists var sagatavot ieteikumus pārzinim un apstrādātājam par to, kā praktiski uzlabot datu aizsardzību, un konsultēt viņus jautājumos, kas attiecas uz datu aizsardzības noteikumu piemērošanu. Turklāt pēc savas iniciatīvas vai pēc pārziņa vai apstrādātāja, attiecīgās personāla komitejas un jebkuras fiziskas personas pieprasījuma viņš var izmeklēt jautājumus un gadījumus, kas tieši ir saistīti ar viņa uzdevumiem un kas tam kļuvuši zināmi, un attiecīgā gadījumā ziņot par rezultātiem personai, kura pasūtījusi attiecīgo izmeklēšanu, vai pārzinim vai apstrādātājam.
3. Turpmākus īstenošanas noteikumus attiecībā uz datu aizsardzības speciālistu pieņem katra Savienības iestāde vai struktūra atsevišķi. Īstenošanas noteikumi jo īpaši attiecas uz datu aizsardzības speciālista uzdevumiem, pienākumiem un pilnvarām.
V NODAĻA
PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM
46. pants
Nosūtīšanas vispārīgie principi
Personas datus, kuri tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.
47. pants
Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību
1. Personas datus var nosūtīt uz trešo valsti vai starptautisku organizāciju, ja Komisija saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai Direktīvas (ES) 2016/680 36. panta 3. punktu ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni, un personas datus nosūta vienīgi ar mērķi ļaut pārzinim izpildīt viņa kompetencē esošus uzdevumus.
2. Savienības iestādes un struktūras informē Komisiju un Eiropas datu aizsardzības uzraudzītāju par gadījumiem, kuros tās uzskata, ka trešā valsts, kāda trešās valsts teritorija vai viens vai vairāki konkrēti sektori vai attiecīgā starptautiskā organizācija nenodrošina pietiekamu aizsardzības līmeni 1. punkta nozīmē.
3. Savienības iestādes un struktūras veic visus vajadzīgos pasākumus, lai pildītu Komisijas pieņemtos lēmumus, kuros tā, ievērojot Regulas (ES) 2016/679 45. panta 3. vai 5. punktu vai Direktīvas (ES) 2016/680 36. panta 3. vai 5. punktu, nosaka, ka trešā valsts, kāda trešās valsts teritorija vai viens vai vairāki konkrēti sektori vai starptautiska organizācija nodrošina vai vairs nenodrošina pietiekamu aizsardzības līmeni.
48. pants
Nosūtīšana, pamatojoties uz atbilstošām garantijām
1. Ja nav pieņemts lēmums saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai Direktīvas (ES) 2016/680 36. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.
2. Šā panta 1. punktā minētās atbilstošās garantijas, neprasot īpašu atļauju Eiropas datu aizsardzības uzraudzītājam, var tikt nodrošinātas ar:
a) |
starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu instrumentu; |
b) |
standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 96. panta 2. punktā minēto pārbaudes procedūru; |
c) |
standarta datu aizsardzības klauzulām, ko pieņem Eiropas datu aizsardzības uzraudzītājs un apstiprina Komisija saskaņā ar 96. panta 2. punktā minēto pārbaudes procedūru; |
d) |
ja apstrādātājs nav Savienības iestāde vai struktūra – saistošiem uzņēmuma noteikumiem, rīcības kodeksiem vai sertifikācijas mehānismiem saskaņā ar Regulas (ES) 2016/679 46. panta 2. punkta b), e) un f) apakšpunktu. |
3. Ja Eiropas datu aizsardzības uzraudzītājs dod atļauju, tad 1. punktā minētās atbilstošās garantijas var arī nodrošināt jo īpaši ar:
a) |
starp pārzini vai apstrādātāju un trešā valstī vai starptautiskā organizācijā esošu pārzini, apstrādātāju vai personas datu saņēmēju noslēgtu līgumu klauzulām; vai |
b) |
noteikumiem, kuri iekļaujami administratīvajās vienošanās starp publiskām iestādēm vai struktūrām un kuri ietver īstenojamas un efektīvas datu subjektu tiesības. |
4. Eiropas datu aizsardzības uzraudzītāja atļaujas, kas izsniegtas saskaņā ar Regulas (EK) Nr. 45/2001 9. panta 7. punktu, ir spēkā, kamēr Eiropas datu aizsardzības uzraudzītājs tās vajadzības gadījumā negroza, neaizstāj vai neatceļ.
5. Savienības iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kuros šis pants ir piemērots.
49. pants
Datu nosūtīšana vai izpaušana, kas saskaņā ar Savienības tiesību aktiem nav atļauta
Neskarot citus nosūtīšanas pamatus saskaņā ar šo nodaļu, ikviens trešās valsts tiesas spriedums un ikviens trešās valsts administratīvās iestādes lēmums, kurā pārzinim vai apstrādātājam pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību.
50. pants
Atkāpes īpašās situācijās
1. Ja nav pieņemts lēmums saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai Direktīvas (ES) 2016/680 36. panta 3. punktu vai nav nodrošināti atbilstoši aizsardzības pasākumi saskaņā ar šīs regulas 48. pantu, personas datus var nosūtīt vai vairākkārtīgi nosūtīt uz trešo valsti vai starptautisku organizāciju tikai tad, ja ir izpildīts kāds no šādiem nosacījumiem:
a) |
datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ; |
b) |
nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma; |
c) |
nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei; |
d) |
nosūtīšana ir vajadzīga, ja ir svarīgi iemesli sabiedrības interesēs; |
e) |
nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; |
f) |
nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; vai |
g) |
nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var uzskatāmi parādīt, ka tai ir leģitīmas intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības tiesību aktos paredzētie izmantošanas nosacījumi. |
2. Šā panta 1. punkta a), b), un c) apakšpunktu nepiemēro darbībām, ko Savienības iestādes un struktūras veic, īstenojot savas publiskās pilnvaras.
3. Sabiedrības intereses, kas minētas 1. punkta d) apakšpunktā, ir atzītas Savienības tiesībās.
4. Nosūtot datus saskaņā ar 1. punkta g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datu vai veselas personas datu kategorijas, izņemot, ja to atļauj Savienības tiesību akti. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.
5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai.
6. Savienības iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kuros šis pants ir piemērots.
51. pants
Starptautiskā sadarbība personas datu aizsardzības jomā
Attiecībā uz trešām valstīm un starptautiskām organizācijām Eiropas datu aizsardzības uzraudzītājs sadarbībā ar Komisiju un Eiropas Datu aizsardzības kolēģiju veic atbilstošus pasākumus, lai:
a) |
izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi; |
b) |
sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņošanu, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas attiecībā uz personas datu aizsardzību un citas pamattiesības un pamatbrīvības; |
c) |
iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir padziļināt starptautisko sadarbību datu aizsardzības tiesību aktu izpildē; |
d) |
veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz jurisdikcijas konfliktiem ar trešām valstīm. |
VI NODAĻA
EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS
52. pants
Eiropas datu aizsardzības uzraudzītājs
1. Ar šo izveido Eiropas datu aizsardzības uzraudzītāja amatu.
2. Attiecībā uz personas datu apstrādi Eiropas datu aizsardzības uzraudzītājs nodrošina to, ka Savienības iestādes un struktūras ievēro fizisku personu pamattiesības un pamatbrīvības un jo īpaši viņu tiesības uz datu aizsardzību.
3. Eiropas datu aizsardzības uzraudzītājs atbild par šīs regulas un citu Savienības tiesību aktu tādu noteikumu piemērošanas uzraudzību un nodrošināšanu, kas saistīti ar fizisku personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi Savienības iestādē vai struktūrā, kā arī par padomu sniegšanu Savienības iestādēm un struktūrām un datu subjektiem visās lietās, kas attiecas uz personas datu apstrādi. Šiem nolūkiem Eiropas datu aizsardzības uzraudzītājs pilda 57. pantā noteiktos uzdevumus un īsteno 58. pantā piešķirtās pilnvaras.
4. Eiropas datu aizsardzības uzraudzītāja rīcībā esošajiem dokumentiem piemēro Regulu (EK) Nr. 1049/2001. Eiropas datu aizsardzības uzraudzītājs pieņem detalizētus noteikumus par Regulas (EK) Nr. 1049/2001 piemērošanu attiecībā uz minētajiem dokumentiem.
53. pants
Eiropas datu aizsardzības uzraudzītāja iecelšana
1. Savstarpēji vienojoties, Eiropas Parlaments un Padome ieceļ Eiropas datu aizsardzības uzraudzītāju uz pieciem gadiem, pamatojoties uz sarakstu, ko Komisija sagatavo pēc atklāta pretendentu konkursa izsludināšanas. Pretendentu konkursā ir jānodrošina, ka visi interesenti visā Savienībā var iesniegt pieteikumus. Komisijas sagatavotais kandidātu saraksts ir publisks, un tajā ir vismaz trīs kandidāti. Pamatojoties uz Komisijas sagatavoto sarakstu, Eiropas Parlamenta kompetentā komiteja var pieņemt lēmumu organizēt uzklausīšanu, lai tā varētu noteikt, kuram kandidātam tā dod priekšroku.
2. Sarakstā, kas minēts 1. punktā, iekļauj personas, par kuru neatkarību nav ne mazāko šaubu un kuras ir atzītas par tādām, kam ir speciālās zināšanas datu aizsardzības jomā, kā arī pieredze un prasmes, kas nepieciešamas Eiropas datu aizsardzības uzraudzītāja pienākumu pildīšanai.
3. Eiropas datu aizsardzības uzraudzītāja pilnvaru termiņu var atjaunot vienreiz.
4. Eiropas datu aizsardzības uzraudzītāja pienākumu izpildi izbeidz šādos gadījumos:
a) |
Eiropas datu aizsardzības uzraudzītājs tiek aizstāts; |
b) |
Eiropas datu aizsardzības uzraudzītājs atkāpjas; |
c) |
Eiropas datu aizsardzības uzraudzītājs tiek atlaists vai atbrīvots no amata. |
5. Pēc Eiropas Parlamenta, Padomes vai Komisijas pieprasījuma Tiesa var atlaist Eiropas datu aizsardzības uzraudzītāju no amata vai atņemt viņam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst uzraudzītāja pienākumu izpildes nosacījumiem vai ir vainīgs smaga pārkāpuma izdarīšanā.
6. Parastas aizstāšanas vai labprātīgas atkāpšanās gadījumā Eiropas datu aizsardzības uzraudzītājs tomēr paliek amatā, līdz viņu aizstāj.
7. Eiropas datu aizsardzības uzraudzītājam piemēro arī Protokola par Eiropas Kopienu privilēģijām un neaizskaramību 11.–14. un 17. pantu.
54. pants
Noteikumi un vispārīgi nosacījumi, kas reglamentē Eiropas datu aizsardzības uzraudzītāja pienākumu izpildi, darbiniekus un finanšu resursus
1. Eiropas datu aizsardzības uzraudzītājs ir uzskatāms par līdzvērtīgu Tiesas tiesnesim attiecībā uz to, kā nosaka atalgojumu, pabalstus, izdienas pensijas un jebkuru citu atlīdzību, ko saņem kā atalgojumu.
2. Budžeta plānošanas iestāde nodrošina Eiropas datu aizsardzības uzraudzītājam cilvēku un finanšu resursus, kas vajadzīgi viņa uzdevumu izpildei.
3. Eiropas datu aizsardzības uzraudzītāja budžetu atspoguļo kā atsevišķu budžeta pozīciju Savienības kopējā budžeta iedaļā par administratīvajiem izdevumiem.
4. Eiropas datu aizsardzības uzraudzītājam palīdz sekretariāts. Sekretariāta ierēdņus un citus darbiniekus ieceļ Eiropas datu aizsardzības uzraudzītājs, un Eiropas datu aizsardzības uzraudzītājs ir viņu vadītājs. Viņi ir pakļauti tikai Eiropas datu aizsardzības uzraudzītājam. Darbinieku skaitu katru gadu apstiprina ar budžeta procedūru. Eiropas datu aizsardzības uzraudzītāja darbiniekiem, kas piedalās tādu Eiropas Datu aizsardzības kolēģijas uzdevumu izpildē, kuri tai uzdoti ar Savienības tiesību aktiem, piemēro Regulas (ES) 2016/679 75. panta 2. punktu.
5. Eiropas datu aizsardzības uzraudzītāja sekretariāta ierēdņi un citi darbinieki ir pakļauti noteikumiem, ko piemēro Savienības ierēdņiem un citiem darbiniekiem.
6. Eiropas datu aizsardzības uzraudzītāja mītne atrodas Briselē.
55. pants
Neatkarība
1. Eiropas datu aizsardzības uzraudzītājs, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo regulu, rīkojas pilnīgi neatkarīgi.
2. Eiropas datu aizsardzības uzraudzītājs, pildot savus uzdevumus un īstenojot pilnvaras saskaņā ar šo regulu, ir brīvs no ārējas – tiešas vai netiešas – ietekmes un ne no viena nelūdz un nepieņem norādījumus.
3. Eiropas datu aizsardzības uzraudzītājs atturas veikt jebkādas darbības, kas nav savienojamas ar viņa pienākumiem, un, esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.
4. Pēc Eiropas datu aizsardzības uzraudzītāja pilnvaru termiņa beigām viņš izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.
56. pants
Dienesta noslēpums
Esot amatā un arī pēc pilnvaru termiņa beigām, Eiropas datu aizsardzības uzraudzītājam un tā darbiniekiem ir pienākums glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko viņi ir ieguvuši, pildot savus oficiālos pienākumus.
57. pants
Uzdevumi
1. Neskarot citus uzdevumus, kas noteikti ar šo regulu, Eiropas datu aizsardzības uzraudzītājs:
a) |
uzrauga un īsteno šīs regulas piemērošanu Savienības iestādēs un struktūrās, izņemot personas datu apstrādi Tiesā, kas rīkojas atbilstīgi savai tiesas kompetencei; |
b) |
veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem; |
c) |
veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uzliek šī regula; |
d) |
pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņa tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar valstu uzraudzības iestādēm; |
e) |
izskata sūdzības, ko iesniedzis datu subjekts vai – saskaņā ar 67. pantu – struktūra, organizācija vai apvienība, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi; |
f) |
veic izmeklēšanu par šīs regulas piemērošanu, tostarp pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes; |
g) |
pēc savas iniciatīvas vai pēc pieprasījuma konsultē visas Savienības iestādes un struktūras par likumdošanas un administratīviem pasākumiem, kas saistīti ar personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi; |
h) |
vēro attiecīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību; |
i) |
apstiprina 29. panta 8. punktā un 48. panta 2. punkta c) apakšpunktā minētās līguma standartklauzulas; |
j) |
izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 39. panta 4. punktu; |
k) |
piedalās Eiropas Datu aizsardzības kolēģijas darbībā; |
l) |
saskaņā ar Regulas (ES) 2016/679 75. pantu nodrošina Eiropas Datu aizsardzības kolēģiju ar sekretariātu; |
m) |
sniedz padomus par 40. panta 2. punktā minēto apstrādi; |
n) |
apstiprina 48. panta 3. punktā minētās līguma klauzulas un noteikumus; |
o) |
uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 58. panta 2. punktu veiktajiem pasākumiem; |
p) |
pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību; un |
q) |
izstrādā savu reglamentu. |
2. Eiropas datu aizsardzības uzraudzītājs atvieglo 1. punkta e) apakšpunktā minēto sūdzību iesniegšanu, piedāvājot sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.
3. Attiecībā uz datu subjektu Eiropas datu aizsardzības uzraudzītājs savus pienākumus veic bez maksas.
4. Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, Eiropas datu aizsardzības uzraudzītājs var atteikties izpildīt pieprasījumu. Eiropas datu aizsardzības uzraudzītāja pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
58. pants
Pilnvaras
1. Eiropas datu aizsardzības uzraudzītājam ir šādas izmeklēšanas pilnvaras:
a) |
izdot rīkojumu pārzinim un apstrādātājam sniegt visu informāciju, kas nepieciešama viņa uzdevumu veikšanai; |
b) |
veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas; |
c) |
paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu; |
d) |
iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama viņa uzdevumu veikšanai; |
e) |
iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības tiesībām; |
2. Eiropas datu aizsardzības uzraudzītājam ir šādas korektīvās pilnvaras:
a) |
brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, visticamāk, tiks pārkāpti šīs regulas noteikumi; |
b) |
izteikt aizrādījumu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi; |
c) |
nodot jautājumu attiecīgajam pārzinim vai apstrādātājam un vajadzības gadījumā – Eiropas Parlamentam, Padomei un Komisijai; |
d) |
izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības; |
e) |
izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā; |
f) |
izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu; |
g) |
uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu; |
h) |
izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 18., 19. un 20. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 19. panta 2. punktu un 21. pantu; |
i) |
piemērot administratīvu naudas sodu saskaņā ar 66. pantu gadījumā, ja Savienības iestāde vai struktūra nav ievērojusi kādu no šā punkta d)–h) un j) apakšpunktā minētajiem pasākumiem atkarībā no katras konkrētās lietas apstākļiem; |
j) |
izdot rīkojumu apturēt datu plūsmu pie saņēmēja dalībvalstī, trešā valstī vai pie starptautiskas organizācijas. |
3. Eiropas datu aizsardzības uzraudzītājam ir šādas atļauju izsniegšanas un padomdevēja pilnvaras:
a) |
sniegt padomus datu subjektiem par viņu tiesību īstenošanu; |
b) |
konsultēt pārzini saskaņā ar 40. pantā minēto iepriekšējas apspriešanās procedūru un saskaņā ar 41. panta 2. punktu; |
c) |
pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus Savienības iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību; |
d) |
pieņemt standarta datu aizsardzības klauzulas, kas minētas 29. panta 8. punktā un 48. panta 2. punkta c) apakšpunktā; |
e) |
apstiprināt līguma klauzulas, kas minētas 48. panta 3. punkta a) apakšpunktā; |
f) |
apstiprināt administratīvās vienošanās, kas minētas 48. panta 3. punkta b) apakšpunktā; |
g) |
atļaut vai neatļaut apstrādes darbības, ievērojot īstenošanas aktus, kas pieņemti atbilstīgi 40. panta 4. punktam. |
4. Eiropas datu aizsardzības uzraudzītājam ir pilnvaras nodot lietas Tiesai saskaņā ar Līgumos paredzētajiem nosacījumiem un iestāties lietās, kas tiek izskatītas Tiesā.
5. Eiropas datu aizsardzības uzraudzītājs saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības tiesību aktos.
59. pants
Pārziņu un apstrādātāju pienākums reaģēt uz pieņēmumiem
Ja Eiropas datu aizsardzības uzraudzītājs īsteno pilnvaras, kas tam piešķirtas 58. panta 2. punkta a), b) un c) apakšpunktā, attiecīgais pārzinis vai apstrādātājs informē Eiropas datu aizsardzības uzraudzītāju par savu viedokli saprātīgā termiņā, kuru nosaka Eiropas datu aizsardzības uzraudzītājs, ņemot vērā konkrētā gadījuma apstākļus. Atbildē apraksta arī pasākumus (ja tādi ir veikti), kas veikti, reaģējot uz Eiropas datu aizsardzības uzraudzītāja piezīmēm.
60. pants
Darbības pārskats
1. Eiropas datu aizsardzības uzraudzītājs iesniedz gada pārskatu par savu darbību Eiropas Parlamentam, Padomei un Komisijai, vienlaikus to publiskojot.
2. Šā panta 1. punktā minēto pārskatu Eiropas datu aizsardzības uzraudzītājs nosūta pārējām Savienības iestādēm un struktūrām, kas var iesniegt piezīmes, ņemot vērā pārskata iespējamu izskatīšanu Eiropas Parlamentā.
VII NODAĻA
SADARBĪBA UN KONSEKVENCE
61. pants
Eiropas datu aizsardzības uzraudzītāja un valstu uzraudzības iestāžu sadarbība
Eiropas datu aizsardzības uzraudzītājs sadarbojas ar valstu uzraudzības iestādēm un ar apvienoto uzraudzības iestādi, kas izveidota saskaņā ar Padomes Lēmuma 2009/917/TI (19) 25. pantu, tādā apmērā, cik ir vajadzīgs to attiecīgo pienākumu izpildei, jo īpaši savstarpēji sniedzot nepieciešamo informāciju, savstarpēji prasot izmantot to pilnvaras un savstarpēji atbildot uz pieprasījumiem.
62. pants
Eiropas datu aizsardzības uzraudzītāja un valstu uzraudzības iestāžu koordinēta uzraudzība
1. Ja kāds Savienības tiesību akts atsaucas uz šo pantu, Eiropas datu aizsardzības uzraudzītājs un valstu uzraudzības iestādes, rīkojoties savu attiecīgo kompetenču robežās, aktīvi sadarbojas savu pienākumu izpildē, lai nodrošinātu lielapjoma IT sistēmu un Savienības struktūru, biroju un aģentūru efektīvu uzraudzību.
2. Eiropas datu aizsardzības uzraudzītājs un valstu uzraudzības iestādes, darbojoties savu attiecīgo kompetenču robežās un pienākumu ietvaros, pēc nepieciešamības apmainās ar būtisku informāciju, cita citai palīdz veikt revīzijas un pārbaudes, izskata šīs regulas un citu piemērojamu Savienības tiesību aktu interpretācijas vai piemērošanas grūtības, analizē problēmas saistībā ar neatkarīgas uzraudzības īstenošanu vai datu subjektu tiesību īstenošanu, izstrādā saskaņotus priekšlikumus problēmu risinājumiem un veicina informētību par tiesībām datu aizsardzības jomā.
3. Šā panta 2. punktā noteiktajiem mērķiem Eiropas datu aizsardzības uzraudzītājs vismaz divas reizes gadā Eiropas Datu aizsardzības kolēģijā tiekas ar valstu uzraudzības iestādēm. Ja nepieciešams, šajā nolūkā Eiropas Datu aizsardzības kolēģija var izstrādāt turpmākas darba metodes.
4. Eiropas Datu aizsardzības kolēģija reizi divos gados Eiropas Parlamentam, Padomei un Komisijai sniedz kopīgu ziņojumu par koordinētas uzraudzības darbībām.
VIII NODAĻA
TIESĪBU AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SODI
63. pants
Tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam
1. Neskarot tiesiskus, administratīvus un ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam, ja viņš uzskata, ka viņa personas datu apstrāde neatbilst šai regulai.
2. Eiropas datu aizsardzības uzraudzītājs informē sūdzības iesniedzēju par sūdzības virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 64. pantu.
3. Ja Eiropas datu aizsardzības uzraudzītājs trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības izskatīšanas virzību vai rezultātiem, uzskata, ka Eiropas datu aizsardzības uzraudzītājs ir pieņēmis negatīvu lēmumu.
64. pants
Tiesības uz efektīvu tiesību aizsardzību tiesā
1. Tiesai ir piekritīgi visi strīdi, kas attiecas uz šīs regulas noteikumiem, tostarp prasības par zaudējumu atlīdzību.
2. Prasības pret Eiropas datu aizsardzības uzraudzītāja lēmumiem, tostarp 63. panta 3. punktā minētajiem lēmumiem, ceļ Tiesā.
3. Tiesai ir neierobežota jurisdikcija attiecībā uz 66. pantā minēto administratīvo naudas sodu pārskatīšanu. Tā, ņemot vērā 66. pantā noteiktos ierobežojumus, var minētos naudas sodus atcelt, samazināt vai palielināt.
65. pants
Tiesības uz kompensāciju
Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no Savienības iestādes vai struktūras saņemt kompensāciju par tai nodarīto kaitējumu saskaņā ar Līgumu nosacījumiem.
66. pants
Administratīvie naudas sodi
1. Eiropas datu aizsardzības uzraudzītājs var uzlikt Savienības iestādēm un struktūrām administratīvu naudas sodu, kas atkarīgs no katra konkrētā gadījuma apstākļiem, par to, ka Savienības iestāde vai struktūra nav izpildījusi Eiropas datu aizsardzības uzraudzītāja rīkojumu saskaņā ar 58. panta 2. punkta d)–h) un j) apakšpunktu. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:
a) |
pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru; |
b) |
jebkādu Savienības iestādes vai struktūras rīcību datu subjektiem nodarītā kaitējuma mazināšanai; |
c) |
Savienības iestādes vai struktūras atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumus, ko tie īsteno saskaņā ar 27. un 33. pantu; |
d) |
jebkādus līdzīgus Savienības iestādes vai struktūras iepriekšējus pārkāpumus; |
e) |
to, kāda ir sadarbība ar Eiropas datu aizsardzības uzraudzītāju nolūkā atlīdzināt pārkāpumu un mazināt tā iespējamās nelabvēlīgās sekas; |
f) |
to, kādu kategoriju personas datus ietekmējis pārkāpums; |
g) |
veidu, kādā par pārkāpumu uzzināja Eiropas datu aizsardzības uzraudzītājs, jo īpaši to, vai Savienības iestāde vai struktūra ir ziņojusi par pārkāpumu, un šādā gadījumā – kādā apjomā; |
h) |
to, kā ir tikuši pildīti jebkādi 58. pantā minētie pasākumi, kas par šo pašu priekšmetu iepriekš ir tikuši vērsti pret attiecīgo Savienības iestādi vai struktūru. Procedūras, kuru rezultātā tiek uzlikts naudas sods, veic pieņemamā laikposmā atbilstoši lietas apstākļiem un ņemot vērā 69. pantā minētās darbības un procedūras. |
2. Ja Savienības iestāde vai struktūra neievēro savus pienākumus, kas paredzēti 8., 12., 27. līdz 35., 39., 40., 43., 44. un 45. pantā, saskaņā ar šā panta 1. punktu tām var uzlikt administratīvu naudas sodu, kura apmērs par katru pārkāpumu nepārsniedz 25 000 EUR, bet par gadu kopā - 250 000 EUR.
3. Ja Savienības iestāde vai struktūra neievēro turpmāk minētos noteikumus, saskaņā ar 1. punktu tām var uzlikt administratīvu naudas sodu, kura apmērs par katru pārkāpumu nepārsniedz 50 000 EUR, bet par gadu kopā - 500 000 EUR:
a) |
apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 4., 5., 7. un 10. pantu; |
b) |
datu subjekta tiesības saskaņā ar 14.–24. pantu; |
c) |
personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 46.–50. pantu. |
4. Ja Savienības iestāde vai struktūra attiecībā uz to pašu vai saistītu vai nepārtrauktu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus vai to pašu regulas noteikumu vairākas reizes, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.
5. Pirms pieņemt lēmumus saskaņā ar šo pantu, Eiropas datu aizsardzības uzraudzītājs dod Savienības iestādei vai struktūrai, kas ir uzraudzītāja veikto procedūru subjekts, iespēju izteikt savu viedokli par jautājumiem, par kuriem uzraudzītājs ir izteicis iebildumus. Eiropas datu aizsardzības uzraudzītājs balsta savus lēmumus vienīgi uz tiem iebildumiem, kurus iesaistītās puses ir varējušas komentēt. Sūdzību iesniedzējus cieši iesaista šajos procesos.
6. Šajos procesos pilnībā respektē attiecīgo pušu aizstāvības tiesības. Tām ir tiesības piekļūt Eiropas datu aizsardzības uzraudzītāja lietas materiāliem, ievērojot fizisku personu likumīgās intereses personas datu aizsardzībā un uzņēmumu likumīgās intereses komercnoslēpumu aizsardzībā.
7. Līdzekļi, kas iegūti, uzliekot naudas sodus saskaņā ar šo pantu, ir Savienības vispārējā budžeta ieņēmumi.
67. pants
Datu subjektu pārstāvība
Datu subjektiem ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjektu tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņu vārdā iesniegtu sūdzību Eiropas datu aizsardzības uzraudzītājam, īstenotu 63. un 64. pantā minētās tiesības un īstenotu 65. pantā minētās tiesības saņemt kompensāciju.
68. pants
Savienības darbinieku sūdzības
Visi, kas ir nodarbināti kādā Savienības iestādē vai struktūrā, var iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam, neizmantojot oficiālos kanālus, ja ir aizdomas par šīs regulas noteikumu pārkāpumu. Neviena intereses netiek skartas tādēļ, ka Eiropas datu aizsardzības uzraudzītājam ir iesniegta sūdzība, kurā norādīts uz aizdomām par šādu pārkāpumu.
69. pants
Sankcijas
Ja Savienības ierēdnis vai cits darbinieks tīšām vai nolaidības dēļ neievēro šajā regulā paredzētos pienākumus, attiecīgo ierēdni vai citu darbinieku var saukt pie disciplināras vai cita veida atbildības saskaņā ar noteikumiem un procedūrām, kas paredzētas Civildienesta noteikumos.
IX NODAĻA
OPERATĪVO PERSONAS DATU APSTRĀDE, KO VEIC SAVIENĪBAS STRUKTŪRAS, BIROJI UN AĢENTŪRAS, ĪSTENOJOT DARBĪBAS, UZ KURĀM ATTIECAS LESD TREŠĀS DAĻAS V SADAĻAS 4. VAI 5. NODAĻA
70. pants
Nodaļas darbības joma
Šī nodaļa attiecas tikai uz personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, neskarot īpašus datu aizsardzības noteikumus, kas piemērojami šādai Savienības struktūrai, birojam vai aģentūrai.
71. pants
Ar operatīvo personas datu apstrādi saistītie principi
1. Operatīvie personas dati:
a) |
tiek apstrādāti likumīgi un godprātīgi (“likumīgums un godprātība”); |
b) |
tiek vākti konkrētos, skaidros un leģitīmos nolūkos un netiek apstrādāti ar minētajiem nolūkiem nesaderīgā veidā (“nolūka ierobežojums”); |
c) |
ir adekvāti un būtiski un nav pārmērīgi attiecībā pret nolūkiem, kādos tos apstrādā (“datu minimizēšana”); |
d) |
ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgie pasākumi, lai nodrošinātu, ka neprecīzi operatīvie personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”); |
e) |
tiek saglabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos operatīvos personas datus apstrādā (“glabāšanas ierobežojums”); |
f) |
ar atbilstošu tehnisko vai organizatorisko pasākumu palīdzību tiek apstrādāti tādā veidā, ka tiek nodrošināta atbilstoša operatīvo personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu (“integritāte un konfidencialitāte”). |
2. Apstrāde, ko veic tas pats vai cits pārzinis nolūkos, kuri ir izklāstīti Savienības struktūras, biroja vai aģentūras izveides aktā, bet kuri nav tie paši, kādos operatīvie personas dati tiek vākti, ir atļauta, ciktāl:
a) |
pārzinim saskaņā ar Savienības tiesību aktiem ir atļauts šādā nolūkā apstrādāt šādus operatīvos personas datus; un |
b) |
apstrāde ir nepieciešama un samērīga ar minēto citu nolūku saskaņā ar Savienības tiesību aktiem. |
3. Apstrāde, ko veic tas pats vai cits pārzinis, var ietvert arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem Savienības struktūras, biroja vai aģentūras izveides aktā izklāstītajos nolūkos, ņemot vērā atbilstošas garantijas attiecībā uz datu subjektu tiesībām un brīvībām.
4. Pārzinis ir atbildīgs par atbilstību 1., 2. un 3. punktam un var to uzskatāmi pierādīt.
72. pants
Operatīvo personas datu apstrādes likumība
1. Operatīvo personas datu apstrāde ir likumīga tikai tad un tikai tiktāl, cik apstrāde ir nepieciešama uzdevuma izpildei, ko Savienības struktūras, biroji un aģentūras veic, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, un ja tā pamatojas uz Savienības tiesību aktiem.
2. Īpašos Savienības tiesību aktos, ar ko reglamentē apstrādi, uz kuru attiecas šī nodaļa, nosaka vismaz apstrādes mērķus, apstrādājamos operatīvos personas datus, apstrādes nolūkus un termiņus operatīvo personas datu glabāšanai vai operatīvo personas datu turpmākas glabāšanas vajadzības regulārai pārskatīšanai.
73. pants
Dažādu datu subjektu kategoriju nošķiršana
Pārzinis, attiecīgos gadījumos un ciktāl iespējams, skaidri nošķir dažādu datu subjektu kategoriju operatīvos personas datus, piemēram, tādās kategorijās, kas minētas Savienības struktūru, biroju un aģentūru izveides tiesību aktos.
74. pants
Dažādu operatīvo personas datu nošķiršana un operatīvo personas datu kvalitātes pārbaude
1. Pārzinis, ciktāl iespējams, nošķir operatīvos personas datus, kas balstās uz faktiem, no operatīvajiem personas datiem, kas balstās uz personiskiem vērtējumiem.
2. Pārzinis veic visus saprātīgos pasākumus, lai nodrošinātu, ka operatīvos personas datus, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, nepārsūta vai nedara pieejamus. Tāpēc, pirms personas dati tiek nosūtīti vai darīti pieejami, pārzinis, ciktāl tas praktiski iespējams un nepieciešams, pārbauda operatīvo personas datu kvalitāti, piemēram, apspriežoties ar kompetento iestādi, no kuras dati ir iegūti. Ciktāl iespējams, visos operatīvo personas datu nosūtīšanas gadījumos pārzinis pievieno nepieciešamo informāciju, kas datu saņēmējam ļauj izvērtēt operatīvo personas datu pareizuma, pilnīguma un ticamības pakāpi, kā arī to, cik lielā mērā tie ir aktuāli.
3. Ja izrādās, ka ir nosūtīti nepareizi operatīvie personas dati vai operatīvie personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē datu saņēmēju. Šādā gadījumā attiecīgos operatīvos personas datus labo vai dzēš vai ierobežo to apstrādi saskaņā ar 82. pantu.
75. pants
Īpaši apstrādes nosacījumi
1. Ja Savienības tiesību aktos, kuri piemērojami pārzinim, kas nosūta datus, ir paredzēti īpaši apstrādes nosacījumi, pārzinis par šiem nosacījumiem un prasību tos ievērot informē šādu operatīvo personas datu saņēmēju.
2. Pārzinis ievēro īpašus datu apstrādes nosacījumus, kurus kompetentā iestāde, kas nosūta datus, ir paredzējusi saskaņā ar Direktīvas (ES) 2016/680 9. panta 3. un 4. punktu.
76. pants
Īpašu kategoriju operatīvo personas datu apstrāde
1. Operatīvo personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu apstrāde nolūkā veikt fiziskas personas viennozīmīgu identifikāciju, vai tādu operatīvo personas datu apstrāde, kas attiecas uz veselību, fiziskas personas dzimumdzīvi vai seksuālo orientāciju, ir atļauta tikai tad, ja tas ir absolūti nepieciešams operatīvos nolūkos, tiek veikta attiecīgās Savienības struktūras, biroja vai aģentūras pilnvaru robežās un uz to attiecas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām. Fizisku personu diskriminācija uz šādu personas datu pamata ir aizliegta.
2. Datu aizsardzības speciālistu, lieki nekavējoties, informē par šā panta izmantošanu.
77. pants
Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana
1. Lēmums, kas balstās tikai uz automatizētu apstrādi, tostarp profilēšanu, un kas datu subjektam rada nelabvēlīgas juridiskas sekas vai būtiski viņu ietekmē, ir aizliegts, ja vien tas nav atļauts Savienības vai dalībvalstu tiesību aktos, kuri attiecas uz pārzini un kuros ir paredzētas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, vismaz attiecībā uz tiesībām panākt cilvēka iejaukšanos no pārziņu puses.
2. Šā panta 1. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 76. pantā, izņemot, ja tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības, brīvības un leģitīmās intereses.
3. Saskaņā ar Savienības tiesību aktiem profilēšana, kas izraisa diskrimināciju pret fiziskām personām, pamatojoties uz 76. pantā minēto īpašu kategoriju personas datiem, ir aizliegta.
78. pants
Saziņa un kārtība datu subjekta tiesību īstenošanai
1. Pārzinis veic saprātīgus pasākumus, lai datu subjektam sniegtu jebkādu 79. pantā minēto informāciju un sakarā ar 80. līdz 84. pantu un 92. pantu apstrādes jautājumos ar datu subjektu vienmēr sazinātos kodolīgā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Informāciju sniedz, izmantojot jebkādus atbilstīgus līdzekļus, tostarp elektroniskos līdzekļus. Parasti pārzinis informāciju sniedz tādā pašā veidā, kādā ir iesniegts pieprasījums.
2. Pārzinis atvieglina datu subjekta tiesību īstenošanu saskaņā ar 79. līdz 84. pantu.
3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā vēlākais trīs mēnešu laikā pēc datu subjekta pieprasījuma saņemšanas rakstiski informē datu subjektu par turpmākajām darbībām saistībā ar viņa pieprasījumu.
4. Pārzinis sniedz informāciju saskaņā ar 79. pantu, un visa saziņa vai darbības, ko veic saskaņā ar 80. līdz 84. pantu un 92. pantu, tiek nodrošinātas bez maksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var atteikties izpildīt pieprasījumu. Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
5. Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 80. vai 82. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.
79. pants
Informācija, ko dara pieejamu vai sniedz datu subjektam
1. Pārzinis datu subjektam dara pieejamu vismaz šādu informāciju:
a) |
Savienības struktūras, biroja vai aģentūras identitāti un kontaktinformāciju; |
b) |
datu aizsardzības speciālista kontaktinformāciju; |
c) |
apstrādes nolūkus, kam paredzēti operatīvie personas dati; |
d) |
informāciju par tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un viņa kontaktinformāciju; |
e) |
informāciju par tiesībām no pārziņa prasīt piekļuvi datu subjekta operatīvajiem personas datiem un to labošanu vai dzēšanu, un ar datu subjektu saistītu operatīvo personas datu apstrādes ierobežošanu. |
2. Papildus 1. punktā minētajai informācijai pārzinis datu subjektam Savienības tiesību aktos paredzētos konkrētos gadījumos sniedz šādu informāciju, lai datu subjekts varētu īstenot savas tiesības:
a) |
informāciju par apstrādes juridisko pamatu; |
b) |
informāciju par laikposmu, cik ilgi operatīvie personas dati tiks glabāti, vai – ja tas nav iespējams – informāciju par kritērijiem, kas izmantoti minētā laikposma noteikšanai; |
c) |
attiecīgā gadījumā operatīvo personas datu saņēmēju kategorijas, tostarp trešās valstīs vai starptautiskajās organizācijās; |
d) |
ja nepieciešams, papildu informāciju, jo īpaši tad, ja operatīvos personas datus vāc bez datu subjekta ziņas. |
3. Pārzinis var atlikt, ierobežot vai nesniegt informāciju datu subjektam saskaņā ar 2. punktu, ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:
a) |
nepieļautu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras; |
b) |
nepieļautu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei; |
c) |
aizsargātu dalībvalstu sabiedrisko drošību; |
d) |
aizsargātu dalībvalstu nacionālo drošību; |
e) |
aizsargātu citu personu, piemēram, cietušo un liecinieku, tiesības un brīvības. |
80. pants
Datu subjekta piekļuves tiesības
Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek veikta operatīvo personas datu apstrāde, un, ja tiek veikta, datu subjektam ir tiesības piekļūt operatīvajiem personas datiem un saņemt šādu informāciju:
a) |
apstrādes nolūki un juridiskais pamats; |
b) |
apstrādāto operatīvo personas datu kategorijas; |
c) |
operatīvo personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās; |
d) |
ja iespējams – paredzētais laikposms, cik ilgi operatīvie personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
e) |
tiesības no pārziņa prasīt operatīvo personas datu labošanu vai dzēšanu vai ar datu subjektu saistītu operatīvo personas datu apstrādes ierobežošanu; |
f) |
tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un tā kontaktinformācija; |
g) |
paziņojums par apstrādē esošajiem operatīvajiem personas datiem un visa pieejamā informācija par datu avotu. |
81. pants
Piekļuves tiesību ierobežojumi
1. Pārzinis var pilnībā vai daļēji ierobežot datu subjekta piekļuves tiesības, ciktāl un tik ilgi, cik šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:
a) |
nepieļautu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras; |
b) |
nepieļautu, ka tiek traucēta noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana vai saukšana pie atbildības par tiem, vai kriminālsodu izpilde; |
c) |
aizsargātu dalībvalstu sabiedrisko drošību; |
d) |
aizsargātu dalībvalstu nacionālo drošību; |
e) |
aizsargātu citu personu, piemēram, cietušo un liecinieku, tiesības un brīvības. |
2. Šā panta 1. punktā minētajos gadījumos pārzinis bez nepamatotas kavēšanās informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no 1. punktā noteiktajiem nolūkiem. Pārzinis informē datu subjektu par iespēju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam vai vērsties Tiesā. Pārzinis dokumentē faktiskos vai juridiskos iemeslus, kuri ir lēmuma pamatā. Šo informāciju pēc pieprasījuma dara pieejamu Eiropas datu aizsardzības uzraudzītājam.
82. pants
Tiesības uz operatīvo personas datu labošanu vai dzēšanu un apstrādes ierobežošanu
1. Ikvienam datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus operatīvos personas datus, kas attiecas uz datu subjektu. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi operatīvie personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.
2. Pārzinis bez nepamatotas kavēšanās dzēš operatīvos personas datus un datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu operatīvos personas datus, kas attiecas uz datu subjektu, ja apstrāde pārkāpj 71. pantu, 72. panta 1. punktu vai 76. pantu vai ja operatīvie personas dati ir jādzēš, lai izpildītu uz pārzini attiecināmu juridisku pienākumu.
3. Dzēšanas vietā pārzinis ierobežo apstrādi, ja:
a) |
datu subjekts apstrīd personas datu precizitāti un datu precizitāti vai neprecizitāti nevar noteikt; vai |
b) |
personas dati ir jāsaglabā pierādījumu nolūkā. |
Ja apstrāde ir ierobežota, ievērojot pirmās daļas a) apakšpunktu, pārzinis informē datu subjektu pirms apstrādes ierobežojuma atcelšanas.
Datus, kuriem piekļuve ierobežota, apstrādā tikai mērķim, kas novērsa to dzēšanu.
4. Pārzinis rakstiski informē datu subjektu par atteikumu labot vai dzēst operatīvos personas datus vai ierobežot to apstrādi un par atteikuma iemesliem. Pārzinis var pilnībā vai daļēji ierobežot šādas informācijas sniegšanu, ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:
a) |
nepieļautu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras; |
b) |
nepieļautu, ka tiek traucēta noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana vai saukšana pie atbildības par tiem, vai kriminālsodu izpilde; |
c) |
aizsargātu dalībvalstu sabiedrisko drošību; |
d) |
aizsargātu dalībvalstu nacionālo drošību; |
e) |
aizsargātu citu personu, piemēram, cietušo un liecinieku, tiesības un brīvības. |
Pārzinis informē datu subjektu par iespēju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam vai vērsties Tiesā.
5. Pārzinis par neprecīzo operatīvo personas datu labošanu informē kompetento iestādi, no kuras iegūti neprecīzie operatīvie personas dati.
6. Gadījumos, kad, ievērojot šā panta 1., 2. un 3. punktu, operatīvie personas dati ir laboti vai dzēsti vai ir ierobežota to apstrāde, pārzinis paziņo saņēmējiem un informē tos, ka tiem ir jālabo vai jādzēš operatīvie personas dati vai jāierobežo to atbildībā esošo operatīvo personas datu apstrāde.
83. pants
Piekļuves tiesības kriminālizmeklēšanā un kriminālprocesos
Ja operatīvie personas dati iegūti no kompetentās iestādes, pirms lēmuma par datu subjekta piekļuves tiesībām pieņemšanas Savienības struktūras, biroji un aģentūras no attiecīgās kompetentās iestādes noskaidro, vai minētās kompetentās iestādes dalībvalstī šādi personas dati ir ietverti tiesas nolēmumā vai reģistrā vai lietas materiālos, ko apstrādā kriminālizmeklēšanas un kriminālprocesa gaitā. Ja tā ir, lēmumu par piekļuves tiesībām pieņem, apspriežoties un cieši sadarbojoties ar attiecīgo kompetento iestādi.
84. pants
Tiesību īstenošana, ko veic datu subjekts, un pārbaude, ko veic Eiropas datu aizsardzības uzraudzītājs
1. Šīs regulas 79. panta 3. punktā, 81. pantā un 82. panta 4. punktā minētajos gadījumos datu subjekta tiesības var īstenot arī ar Eiropas datu aizsardzības uzraudzītāja starpniecību.
2. Pārzinis informē datu subjektu, ka tam ir iespēja īstenot savas tiesības ar Eiropas datu aizsardzības uzraudzītāja starpniecību, ievērojot šā panta 1. punktu.
3. Ja tiek īstenotas 1. punktā minētās tiesības, Eiropas datu aizsardzības uzraudzītājs informē datu subjektu vismaz par to, ka viņš ir veicis visas nepieciešamās pārbaudes vai pārskatīšanu. Eiropas datu aizsardzības uzraudzītājs informē datu subjektu arī par viņa tiesībām vērsties Tiesā.
85. pants
Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma
1. Pārzinis, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, kurus rada apstrāde, gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas un tā izveides tiesību akta prasības un aizsargāt datu subjektu tiesības.
2. Pārzinis īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, nodrošinot, ka pēc noklusējuma tiek apstrādāti tikai tādi operatīvie personas dati, kas ir adekvāti, būtiski un nav pārmērīgi, ņemot vērā nolūkus, kādos tos apstrādā. Minētais pienākums attiecas uz vākto operatīvo personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma operatīvos personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.
86. pants
Kopīgi pārziņi
1. Ja apstrādes mērķus un veidus kopīgi nosaka divi vai vairāk pārziņi vai viens vai vairāk pārziņi kopā ar vienu vai vairāk pārziņiem, kas nav Savienības iestādes un struktūras, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus izpildīt tiem piemērojamās datu aizsardzības prasības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un kopīgo pārziņu attiecīgajiem pienākumiem sniegt 79. pantā minēto informāciju; kopīgie pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie kopīgo pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami kopīgajiem pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.
2. Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektu. Vienošanās galveno saturu dara pieejamu datu subjektam.
3. Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem datu subjekts saskaņā ar šo regulu var īstenot savas tiesības attiecībā uz un pret katru pārzini.
87. pants
Apstrādātājs
1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas un pārziņa izveides tiesību akta prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.
2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.
3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kurš ir saistošs apstrādātājam attiecībā uz pārzini un kurā norāda apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, operatīvo personas datu veidu un datu subjektu kategorijas, un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:
a) |
rīkojas tikai saskaņā ar pārziņa norādījumiem; |
b) |
nodrošina, ka personas, kuras ir pilnvarotas apstrādāt operatīvos personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti; |
c) |
palīdz pārzinim, izmantojot jebkādus piemērotus līdzekļus, nodrošināt atbilstību noteikumiem par datu subjekta tiesībām; |
d) |
pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus operatīvos personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības tiesību aktos vai dalībvalsts tiesību aktos nav paredzēta operatīvo personas datu glabāšana; |
e) |
pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai uzskatāmi parādītu, ka tiek pildīti šajā pantā paredzētie pienākumi; |
f) |
izpilda 2. punktā un šajā punktā minētos nosacījumus cita apstrādātāja piesaistīšanai. |
4. Šā panta 3. punktā minētais līgums vai cits juridiskais akts tiek sagatavots rakstiski, tostarp elektroniski.
5. Ja apstrādātājs, nosakot apstrādes nolūkus un līdzekļus, pārkāpj šo regulu vai pārziņa izveides tiesību aktu, minēto apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.
88. pants
Ierakstu veikšana
1. Pārzinis glabā ierakstus par visām šādām apstrādes darbībām automatizētās apstrādes sistēmās: operatīvo personas datu vākšanu, pārveidošanu, piekļuvi tiem, aplūkošanu, izpaušanu, tostarp nosūtīšanu, kombinēšanu un dzēšanu. Ieraksti par aplūkošanu un izpaušanu dod iespēju noteikt šādu darbību pamatojumu un to datumu un laiku, tās personas identificēšanu, kura aplūkoja vai izpauda operatīvos personas datus, un, ciktāl iespējams, šādu operatīvo personas datu saņēmēju identitāti.
2. Ierakstus izmanto tikai tālab, lai pārbaudītu apstrādes likumību, veiktu pašuzraudzību, nodrošinātu operatīvo personas datu integritāti un drošību, un kriminālprocesa vajadzībām. Šādus ierakstus dzēš pēc trīs gadiem, ja vien tie nav nepieciešami vēl notiekošai kontrolei.
3. Pārzinis pēc pieprasījuma nodrošina ierakstu pieejamību saviem datu aizsardzības speciālistiem un Eiropas datu aizsardzības uzraudzītājam.
89. pants
Novērtējums par ietekmi uz datu aizsardzību
1. Ja apstrādes veids, jo īpaši jaunu tehnoloģiju lietojums, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, ļoti iespējams, varētu radīt augstu risku fizisko personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības varētu ietekmēt operatīvo personas datu aizsardzību.
2. Šā panta 1. punktā minētajā novērtējumā ietver vismaz vispārēju aprakstu par plānotajām apstrādes darbībām, novērtējumu par riskiem datu subjektu tiesībām un brīvībām, pasākumus, kas paredzēti minēto risku novēršanai, garantijas, drošības pasākumus un mehānismus, ar kuriem nodrošina operatīvo personas datu aizsardzību un uzskatāmi parāda, ka ir ievēroti datu aizsardzības noteikumi, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.
90. pants
Iepriekšēja apspriešanās ar Eiropas datu aizsardzības uzraudzītāju
1. Pārzinis pirms tādu personas datu apstrādes, ko ietvers jaunizveidotā kartotēkā, apspriežas ar Eiropas datu aizsardzības uzraudzītāju gadījumos, ja:
a) |
šīs direktīvas 89. pantā paredzētajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku; vai |
b) |
apstrādes veids, jo īpaši jaunu tehnoloģiju, mehānismu vai procedūru lietojums, ir saistīts ar augstu risku datu subjektu tiesībām un brīvībām. |
2. Eiropas datu aizsardzības uzraudzītājs var izveidot to apstrādes darbību sarakstu, par kurām veic iepriekšēju apspriešanos, ievērojot šā panta 1. punktu.
3. Pārzinis iesniedz Eiropas datu aizsardzības uzraudzītājam 89. pantā minēto novērtējumu par ietekmi uz datu aizsardzību un pēc pieprasījuma jebkuru citu informāciju, kas ļauj Eiropas datu aizsardzības uzraudzītājam izvērtēt apstrādes atbilstību, jo īpaši riskus datu subjekta operatīvo personas datu aizsardzībai un attiecīgās garantijas.
4. Ja Eiropas datu aizsardzības uzraudzītājs uzskata, ka ar šā panta 1. punktā minēto paredzēto apstrādi tiktu pārkāpta šī regula vai Savienības struktūras, biroja vai aģentūras izveides tiesību akts, jo īpaši gadījumos, kad pārzinis nav pietiekami apzinājis vai mazinājis risku, Eiropas datu aizsardzības uzraudzītājs ilgākais sešu nedēļu laikā pēc apspriešanās pieprasījuma saņemšanas sniedz pārzinim rakstisku padomu. Minēto laikposmu var pagarināt par vienu mēnesi, ņemot vērā paredzētās apstrādes sarežģītību. Eiropas datu aizsardzības uzraudzītājs viena mēneša laikā pēc apspriešanās pieprasījuma saņemšanas informē pārzini par jebkādu šādu pagarinājumu, kā arī par kavēšanās iemesliem.
91. pants
Operatīvo personas datu apstrādes drošība
1. Pārzinis un apstrādātājs, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas ir atbilstīgs riskiem, jo īpaši attiecībā uz īpašo kategoriju operatīvo personas datu apstrādi.
2. Attiecībā uz automatizētu apstrādi pārzinis un apstrādātājs pēc risku izvērtēšanas īsteno pasākumus, kas paredzēti, lai:
a) |
liegtu nepilnvarotām personām piekļuvi datu apstrādes iekārtām, kuras izmanto datu apstrādei (“iekārtu piekļuves kontrole”); |
b) |
nepieļautu datu nesankcionētu nolasīšanu, kopēšanu, modifikāciju vai datu nesēju izņemšanu (“datu nesēju kontrole”); |
c) |
nepieļautu operatīvo personas datu nesankcionētu ievadīšanu, kā arī liegtu saglabāto operatīvo personas datu nesankcionētu apskati, modifikāciju vai dzēšanu (“glabāšanas kontrole”); |
d) |
liegtu izmantot automatizētas apstrādes sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (“lietotāju kontrole”); |
e) |
nodrošinātu, ka personām, kas ir pilnvarotas izmantot automatizētas apstrādes sistēmu, ir piekļuve tikai tiem operatīvajiem personas datiem, uz kuriem attiecas viņu piekļuves tiesības (“datu piekļuves kontrole”); |
f) |
nodrošinātu, ka ir iespējams pārbaudīt un noteikt struktūras, kurām operatīvie personas dati ir vai var tikt nosūtīti vai darīti pieejami, izmantojot datu komunikāciju (“komunikācijas kontrole”); |
g) |
nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kuri operatīvie personas dati ir ievadīti datu automatizētās apstrādes sistēmās, un operatīvo personas datu ievadīšanas laiku un ievadītāju (“ievades kontrole”); |
h) |
nepieļautu operatīvo personas datu nesankcionētu nolasīšanu, kopēšanu, modifikāciju vai dzēšanu operatīvo personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (“transportēšanas kontrole”); |
i) |
nodrošinātu, ka traucējumu gadījumā uzstādītās sistēmas var atjaunot (“atgūšana”); |
j) |
nodrošinātu, ka sistēmas funkcijas darbojas, ka par darbības kļūdu parādīšanos tiek ziņots (“uzticamība”) un ka saglabātie operatīvie personas dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (“integritāte”). |
92. pants
Personas datu aizsardzības pārkāpuma paziņošana Eiropas datu aizsardzības uzraudzītājam
1. Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu Eiropas datu aizsardzības uzraudzītājam, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana Eiropas datu aizsardzības uzraudzītājam nav notikusi 72 stundu laikā, reizē ar paziņojumu informē par kavēšanās iemesliem.
2. Paziņojumā, kas minēts 1. punktā, vismaz:
a) |
apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo operatīvo personas datu ierakstu kategorijas un aptuveno skaitu; |
b) |
uzrāda datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju; |
c) |
apraksta personas datu aizsardzības pārkāpuma iespējamās sekas; |
d) |
apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, ar kuriem mazināt tā iespējamās nelabvēlīgās sekas. |
3. Ja un ciktāl 2. punktā minēto informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.
4. Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, kas minēti 1. punktā, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj Eiropas datu aizsardzības uzraudzītājam pārbaudīt šā panta ievērošanu.
5. Ja personas datu aizsardzības pārkāpums ietver operatīvos personas datus, kurus ir nosūtījušas kompetentās iestādes vai kuri ir nosūtīti kompetentajām iestādēm, pārzinis bez nepamatotas kavēšanās paziņo 2. punktā minēto informāciju attiecīgajām kompetentajām iestādēm.
93. pants
Datu subjekta informēšana par personas datu aizsardzības pārkāpumu
1. Ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.
2. Šā panta 1. punktā minētajā informācijā datu subjektam, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 92. panta 2. punkta b), c) un d) apakšpunktā paredzēto informāciju un ieteikumus.
3. Šā panta 1. punktā minētais paziņojums datu subjektam nav jāsniedz, ja ir izpildīts kāds no šiem nosacījumiem:
a) |
pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus, un minētie pasākumi ir piemēroti operatīvajiem personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas operatīvos personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana; |
b) |
pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām; |
c) |
tas prasītu nesamērīgi lielas pūles. Tādā gadījumā tā vietā izmanto publisku paziņojumu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā. |
4. Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, Eiropas datu aizsardzības uzraudzītājs, apsvēris iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīts kāds no 3. punktā minētajiem nosacījumiem.
5. Šā panta 1. punktā minēto paziņošanu datu subjektam var atlikt, ierobežot vai neveikt, ievērojot nosacījumus un pamatojoties uz iemesliem, kas minēti 79. panta 3. punktā.
94. pants
Operatīvo personas datu nosūtīšana trešām valstīm un starptautiskām organizācijām
1. Ievērojot Savienības struktūras, biroja vai aģentūras izveides tiesību aktā noteiktos ierobežojumus un nosacījumus, pārzinis operatīvos personas datus var nosūtīt trešai valstij vai starptautiskai organizācijai, ja šāda nosūtīšana ir nepieciešama pārziņa uzdevumu izpildei, un tikai tad, ja ir izpildīti šā panta nosacījumi, proti:
a) |
Komisija saskaņā ar Direktīvas (ES) 2016/680 36. panta 3. punktu ir pieņēmusi lēmumu par pietiekamību, kurā tā secina, ka trešā valsts vai teritorija vai apstrādājošais sektors minētajā trešā valstī vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni; |
b) |
ja nav Komisijas lēmuma par pietiekamību atbilstīgi a) apakšpunktam, starp Savienību un minēto trešo valsti vai starptautisko organizāciju saskaņā ar LESD 218. pantu ir noslēgts starptautisks nolīgums, kas nodrošina pietiekamus aizsardzības pasākumus attiecībā uz privātuma un personu pamattiesību un pamatbrīvību aizsardzību; |
c) |
ja nav Komisijas lēmuma par pietiekamību atbilstīgi a) apakšpunktam vai ja nav starptautiska nolīguma, kas minēts b) apakšpunktā, pirms attiecīgās Savienības struktūras, biroja vai aģentūras izveides tiesību akta piemērošanas dienas starp minēto Savienības struktūru, biroju vai aģentūru un attiecīgo trešo valsti ir noslēgts sadarbības nolīgums, kurā ir paredzēta apmaiņa ar operatīvajiem personas datiem. |
2. Savienības struktūru, biroju un aģentūru izveides tiesību aktos var ietvert vai ar tiem var ieviest detalizētākus noteikumus par to, kādi ir operatīvo personas datu starptautiskās nosūtīšanas nosacījumi, jo īpaši par personas datu nosūtīšanu, nodrošinot pienācīgas garantijas un piemērojot atkāpes īpašās situācijās.
3. Pārzinis savā tīmekļa vietnē publisko un atjaunina sarakstu, kurā iekļauti lēmumi par pietiekamību, kas minēti 1. punkta a) apakšpunktā, nolīgumi, administratīvās vienošanās un citi instrumenti, kas attiecas uz operatīvo personas datu nosūtīšanu saskaņā ar 1. punktu.
4. Pārzinis veic detalizētu uzskaiti par visiem nosūtīšanas gadījumiem, kas veikti, ievērojot šo pantu.
95. pants
Tiesas izmeklēšanas un kriminālprocesa konfidencialitāte
Ar tādu Savienības struktūru, biroju vai aģentūru izveides tiesību aktiem, kuras veic darbības, uz ko attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, var noteikt, ka Eiropas datu aizsardzības uzraudzītājam, īstenojot savas uzraudzības pilnvaras, ir pienākums maksimāli respektēt tiesas izmeklēšanas un kriminālprocesa konfidencialitāti saskaņā ar Savienības vai dalībvalsts tiesību aktiem.
X NODAĻA
ĪSTENOŠANAS AKTI
96. pants
Komiteju procedūra
1. Komisijai palīdz komiteja, kas izveidota ar Regulas (ES) 2016/679 93. pantu. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.
2. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.
XI NODAĻA
PĀRSKATĪŠANA
97. pants
Pārskatīšanas klauzula
Ne vēlāk 2022. gada 30. aprīlī un pēc tam ik pēc pieciem gadiem Komisija iesniedz Eiropas Parlamentam un Padomei ziņojumu par šīs regulas piemērošanu, ja vajadzīgs, kopā ar attiecīgiem tiesību aktu priekšlikumiem.
98. pants
Savienības tiesību aktu pārskatīšana
1. Līdz 2022. gada 30. aprīlim Komisija pārskata uz Līgumu pamata pieņemtos tiesību aktus, kuri regulē operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, lai
a) |
novērtētu to saskanību ar Direktīvu (ES) 2016/680 un šīs regulas IX nodaļu; |
b) |
apzinātu atšķirības, kas var traucēt operatīvo personas datu apmaiņai starp Savienības struktūrām, birojiem vai aģentūrām, tām darbojoties minētajās jomās, un kompetentajām iestādēm; un |
c) |
apzinātu atšķirības, kas var izraisīt datu aizsardzības tiesību aktu juridisko sadrumstalotību Savienībā. |
2. Pamatojoties uz pārskatīšanu, nolūkā nodrošināt fizisku personu vienādu un konsekventu aizsardzību attiecībā uz apstrādi Komisija var iesniegt attiecīgus leģislatīvu aktu priekšlikumus, jo īpaši nolūkā piemērot šīs regulas IX nodaļu Eiropolam un Eiropas Prokuratūrai un kas ietver šīs regulas IX nodaļas pielāgojumus.
XII NODAĻA
NOBEIGUMA NOTEIKUMI
99. pants
Regulas (EK) Nr. 45/2001 un Lēmuma Nr. 1247/2002/EK atcelšana
Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK atceļ no 2018. gada 11. decembra. Atsauces uz atcelto regulu un atcelto lēmumu uzskata par atsaucēm uz šo regulu.
100. pants
Pārejas pasākumi
1. Šī regula neietekmē Eiropas Parlamenta un Padomes Lēmumu Nr. 2014/886/ES (20) un Eiropas datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru laikus.
2. Uzraudzītāja palīgs ir līdzvērtīgs Tiesas sekretāram attiecībā uz to, kā nosaka atalgojumu, pabalstus, izdienas pensijas un jebkuru citu atlīdzību, ko saņem kā atalgojumu.
3. Uz pašreizējo uzraudzītāja palīgu līdz pilnvaru termiņa beigām ir attiecināms regulas 53. panta 4., 5. un 7. punkts un 55. un 56. pants.
4. Uzraudzītāja palīgs palīdz Eiropas datu aizsardzības uzraudzītājam visu tā pienākumu izpildē un aizvieto Eiropas datu aizsardzības uzraudzītāju viņa prombūtnes laikā vai tad, kad viņš nevar pildīt savus pienākumus, līdz uzraudzītāja palīga pilnvaru termiņa beigām.
101. pants
Stāšanās spēkā un piemērošana
1. Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
2. Taču personas datu apstrādei, ko veic Eurojust, šo regulu piemēro no 2019. gada 12. decembris.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Strasbūrā, 2018. gada 23. oktobrī
Eiropas Parlamenta vārdā
priekšsēdētājs
A. TAJANI
Padomes vārdā
priekšsēdētāja
K. EDTSTADLER
(1) OV C 288, 31.8.2017., 107. lpp.
(2) Eiropas Parlamenta 2018. gada 13. septembra nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2018. gada 11. oktobra lēmums.
(3) Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).
(4) Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).
(5) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV L 119, 4.5.2016., 89. lpp.).
(6) Padomes Direktīva 93/13/EEK (1993. gada 5. aprīlis) par negodīgiem noteikumiem patērētāju līgumos (OV L 95, 21.4.1993., 29. lpp.).
(7) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1338/2008 (2008. gada 16. decembris) attiecībā uz Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā (OV L 354, 31.12.2008., 70. lpp.).
(8) Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (Direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37. lpp.).
(9) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).
(10) OV L 56, 4.3.1968., 1. lpp.
(11) Eiropas Parlamenta un Padomes Regula (ES) Nr. 182/2011 (2011. gada 16. februāris), ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).
(12) Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (2009. gada 11. marts) par Eiropas statistiku un ar ko atceļ Eiropas Parlamenta un Padomes Regulu (EK, Euratom) Nr. 1101/2008 par tādas statistikas informācijas nosūtīšanu Eiropas Kopienu Statistikas birojam, uz kuru attiecas konfidencialitāte, Padomes Regulu (EK) Nr. 322/97 par Kopienas statistiku un Padomes Lēmumu 89/382/EEK, Euratom, ar ko nodibina Eiropas Kopienu Statistikas programmu komiteju (OV L 87, 31.3.2009., 164. lpp.).
(13) Eiropas Parlamenta, Padomes un Komisijas Lēmums Nr. 1247/2002/EK (2002. gada 1. jūlijs), ar ko paredz Eiropas datu aizsardzības uzraudzītāja uzdevumu izpildes reglamentu un vispārējos noteikumus (OV L 183, 12.7.2002., 1. lpp.).
(14) OV C 164, 24.5.2017., 2. lpp.
(15) Eiropas Parlamenta un Padomes Regula (ES) 2016/794 (2016. gada 11. maijs) par Eiropas Savienības Aģentūru tiesībaizsardzības sadarbībai (Eiropolu) un ar kuru aizstāj un atceļ Padomes Lēmumus 2009/371/TI, 2009/934/TI, 2009/935/TI, 2009/936/TI un 2009/968/TI (OV L 135, 24.5.2016., 53. lpp.).
(16) Padomes Regula (ES) 2017/1939 (2017. gada 12. oktobris), ar ko īsteno ciešāku sadarbību Eiropas Prokuratūras izveidei (“EPPO”) (OV L 283, 31.10.2017., 1. lpp.).
(17) Eiropas Parlamenta un Padomes Direktīva (ES) 2015/1535 (2015. gada 9. septembris), ar ko nosaka informācijas sniegšanas kārtību tehnisko noteikumu un Informācijas sabiedrības pakalpojumu noteikumu jomā (OV L 241, 17.9.2015., 1. lpp.).
(18) Komisijas Direktīva 2008/63/EK (2008. gada 20. jūnijs) par konkurenci telekomunikāciju termināliekārtu tirgos (OV L 162, 21.6.2008., 20. lpp.).
(19) Padomes Lēmums 2009/917/TI (2009. gada 30. novembris) par informācijas tehnoloģiju izmantošanu muitas vajadzībām (OV L 323, 10.12.2009., 20. lpp.).
(20) Eiropas Parlamenta un Padomes Lēmums 2014/886/ES (2014. gada 4. decembris), ar ko ieceļ Eiropas datu aizsardzības uzraudzītāju un uzraudzītāja palīgu (OV L 351, 9.12.2014., 9. lpp.).