EIROPAS KOMISIJA
Briselē, 23.6.2026
COM(2026) 314 final
2026/0173(COD)
Priekšlikums
EIROPAS PARLAMENTA UN PADOMES REGULA,
ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti
PASKAIDROJUMA RAKSTS
1.PRIEKŠLIKUMA KONTEKSTS
•Priekšlikuma pamatojums un mērķi
Regula (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās (ESDAR) tika izstrādāta, lai izveidotu saskaņotu un modernizētu datu aizsardzības režīmu visām ES iestādēm, struktūrām, birojiem un aģentūrām. Regulas (ES) 2018/1725 IX nodaļa bija īpaši paredzēta, lai reglamentētu “operatīvo personas datu” (t. i., personas datu, ko apstrādā, lai īstenotu darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa) apstrādi, ko veic ES tieslietu un iekšlietu (TI) aģentūras un struktūras, arī Eiropols, Eurojust, Eiropas Prokuratūra (EPPO) un – ierobežotā apmērā – Frontex.
Neraugoties uz ESDAR pieņemšanu, ES TI aģentūrām un struktūrām piemērojamais datu aizsardzības regulējums joprojām ir sadrumstalots. Konkrētāk, IX nodaļa neattiecas uz EPPO, kuras izveides regula ir pieņemta pirms ESDAR. Tāpēc daži EPPO regulas noteikumi pēc būtības atšķiras no attiecīgajiem noteikumiem, kas izklāstīti ESDAR IX nodaļā, vai ir formulēti citādi. Turklāt ESDAR ir paredzēts, ka operatīvo personas datu apstrādei piemēro tikai 3. pantu (definīcijas) un IX nodaļu. No vienas puses, šādi attiecīgo struktūru, biroju vai aģentūru dibināšanas aktos ir saglabāti noteikumi, kas reglamentē konkrētus aspektus saistībā ar operatīvo personas datu apstrādi. No otras puses, ir radusies juridiskā nenoteiktība par to, vai un cik lielā mērā II-VIII nodaļā ietvertie noteikumi, piemēram, par apstrādes darbību vai datu aizsardzības speciālista uzdevumu reģistriem, ir piemērojami situācijās, kad analogu noteikumu nav ne IX nodaļā, ne attiecīgo struktūru, biroju vai aģentūru dibināšanas aktos. Šī sadrumstalotība ne tikai mazina juridisko noteiktību, bet arī rada praktiskus šķēršļus efektīvai sadarbībai starp ES struktūrām, birojiem un aģentūrām datu apmaiņas jomā. Pirmajā 2022. gada ziņojumā par ESDAR piemērošanu Komisija atzina šos trūkumus un apsvēra leģislatīvu iejaukšanos, lai tos novērstu.
Šajā kontekstā šā priekšlikuma mērķis ir vienkāršot piemērojamo datu aizsardzības regulējumu un nodrošināt tā konsekvenci, proti, saskaņojot attiecīgos noteikumus starp ES struktūrām un aģentūrām. Paredzams, ka šī saskaņošana mazinās to administratīvo slogu un atvieglos datu apmaiņu starp tām, vienlaikus uzlabojot juridisko noteiktību. Konsekvences labad un saskaņā ar vispārējo mērķi līdz minimumam samazināt datu aizsardzības noteikumu sadrumstalotību priekšlikuma pamatā ir četri primārie mērķi.
Nodrošināt datu aizsardzības konsekventu piemērošanu visās ES iestādēs, struktūrās, birojos un aģentūrās
IX nodaļas tvērums ir jāpaplašina, lai nodrošinātu tās konsekventu piemērošanu visās ES aģentūrās, struktūrās un birojos krimināltiesību un tiesībaizsardzības jomā. Ar to EPPO tiks integrēta ESDAR satvarā. Tas tiks darīts, neskarot iespēju EPPO regulā saglabāt īpašos datu aizsardzības noteikumus, kas vajadzīgi, lai atspoguļotu EPPO kā neatkarīgas Savienības prokuratūras unikālo raksturu. IX nodaļas noteikumi jau ir saskaņoti ar attiecīgajiem Tiesībaizsardzības direktīvas (ES) 2016/680 noteikumiem, un rezultātā tiks izveidots vienots, saskaņots noteikumu kopums visām iesaistītajām pusēm, lai samazinātu sadrumstalotību un nodrošinātu piemēroto noteikumu konsekvenci.
Tiesiskās noteiktības uzlabošana
Pašlaik IX nodaļā nav noteikumu par vairākiem svarīgiem aspektiem, arī par datu aizsardzības speciālistu (DAS) lomu, apstrādes darbību reģistru uzturēšanu, sadarbību starp uzraudzības iestādēm un operatīvo personas datu starptautisku nosūtīšanu. Priekšlikuma mērķis ir konsolidēt noteikumus vienuviet, vienkāršojot atbilstības nodrošināšanu, taču būtiski neietekmējot darbību. Tas arī nodrošinās lielāku skaidrību pārziņiem, apstrādātājiem un datu subjektiem.
Eiropas Datu aizsardzības uzraudzītāju pilnvaru racionalizēšana
Pašlaik EDAU uzraudzības pilnvaras ir reglamentētas Eiropola, Eurojust un EPPO dibināšanas aktos, un katrā no tiem ir atšķirīgi noteikumi, kas rada nenoteiktību un neefektivitāti. Frontex dibināšanas akts nereglamentē EDAU uzraudzību attiecībā uz operatīvo datu apstrādi, tādējādi radot ievērojamu atšķirību.
Priekšlikuma mērķis ir precizēt, ka EDAU ir piešķirtas uzraudzības pilnvaras, kas atbilst ESDAR 58. pantā paredzētajām pilnvarām, tomēr ir pielāgotas operatīvo datu apstrādes kontekstam, īpaši attiecībā uz EPPO saistībā ar izmeklēšanas un kriminālvajāšanas darbībām. Šajā sakarā priekšlikumā ir izmantots EDAU pilnvaru modelis no Eiropola 2022. gada reformas, vienlaikus nodrošinot saskaņotību ar ESDAR VI nodaļu un Tiesībaizsardzības direktīvu (LED). Ar priekšlikumu no dibināšanas aktiem tiek svītroti katrai aģentūrai specifiski noteikumi par EDAU uzdevumiem un pilnvarām.
Vispārēja racionalizācija
Visbeidzot, priekšlikuma mērķis ir racionalizēt noteikumus, lai novērstu dublēšanos, pārklāšanos un nekonsekvenci datu aizsardzības jomā Savienības TI struktūrām, birojiem un aģentūrām, kad tās veic darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. un 5. nodaļa. Tādējādi noteikumi par operatīvo datu apstrādi attiecīgā gadījumā tiek saskaņoti ar digitālās Omnibus paketes priekšlikumu.
•Saskanība ar spēkā esošajiem noteikumiem konkrētajā politikas jomā
Priekšlikuma mērķis ir saskaņot ESDAR noteikumus ar spēkā esošo datu aizsardzības politiku, tā stiprinot principus, kas noteikti Vispārīgajā datu aizsardzības regulā (VDAR) un Tiesībaizsardzības direktīvā. Tas attiecīgā gadījumā nodrošina saskaņotību ar digitālajā Omnibus paketē ierosinātajiem datu aizsardzības regulējuma grozījumiem.
•Saskanība ar citām Savienības politikas jomām
Priekšlikums ir daļa no krimināltiesību iniciatīvu kopuma, kam ir saskaņots un papildinošs mērķis: stiprināt Savienības spēju novērst, atklāt, izmeklēt smagus pārrobežu noziegumus un saukt pie atbildības par tiem arvien sarežģītākā drošības vidē. Modernizējot tiesisko regulējumu, kas reglamentē sadarbību starp tiesībaizsardzības, tiesu un citām attiecīgajām iestādēm, paketes mērķis ir stiprināt Savienības iekšējās drošības arhitektūras efektivitāti, saskaņotību un sadarbspēju.
Šo centienu pamatā ir ierosinātā Eiropola un Eurojust regulu pārskatīšana. Eiropols un Eurojust veic atsevišķas, bet savstarpēji papildinošas funkcijas brīvības, drošības un tiesiskuma telpā: Eiropols atbalsta noziedzīgu darbību novēršanu, atklāšanu un izmeklēšanu, savukārt Eurojust veicina tiesu iestāžu sadarbību un nodrošina efektīvus turpmākos pasākumus kriminālvajāšanā un tiesā. Tāpēc paketes mērķis ir stiprināt sadarbību un papildināmību starp abām aģentūrām, kā arī ar citiem attiecīgajiem Savienības dalībniekiem tieslietu un iekšlietu un krāpšanas apkarošanas arhitektūras (AFA) jomās, lai nodrošinātu netraucētu nepārtrauktību starp tiesībaizsardzības darbībām un turpmākiem pasākumiem tiesā visos krimināltiesību ķēdes posmos.
Šajā kontekstā grozījumi Eiropas izmeklēšanas rīkojuma regulējumā un šis priekšlikums vēl vairāk veicina šā mērķa sasniegšanu, veicinot efektīvu pārrobežu sadarbību, uzlabojot informācijas apmaiņas nosacījumus un nodrošinot saskaņotu tiesisko regulējumu, kas pielāgots operatīvajai realitātei un tehnoloģiju attīstībai. Kopumā šajā paketē ierosinātie pasākumi uzlabos Savienības spēju reaģēt uz mainīgajiem drošības apdraudējumiem, vienlaikus pilnībā ievērojot pamattiesības, tiesiskumu un pienākumu sadalījumu starp dažādiem iesaistītajiem dalībniekiem.
Konkrētāk, šajā priekšlikumā ir apzināti visi kopsaucēji datu aizsardzības noteikumiem, kas piemērojami Eiropolam un Eurojust, un tie ir pārgrupēti ESDAR, tādējādi novēršot sadrumstalotību un dublēšanos. Tas ļauj Savienības struktūru, biroju un aģentūru, kas darbojas tiesībaizsardzības un krimināltiesību jomā, dibināšanas aktos saglabāt tikai tos īpaši pielāgotos datu aizsardzības noteikumus, kas izstrādāti, lai atspoguļotu to attiecīgās īpašās operatīvās vajadzības un būtību.
Priekšlikums tiek pieņemts vienlaikus ar Eiropola un Eurojust regulu pārskatīšanu, tādējādi nodrošinot saistību un saskaņotību starp attiecīgajiem tiesiskajiem regulējumiem. Tajā arī paredzēta EPPO dibināšanas akta – Regulas (ES) 2017/1939 gaidāmā pārskatīšana, ņemot vērā tās turpmāko attīstību un neskarot EPPO regulas pārskatīšanas iespējamo politikas risinājumu novērtējumu. Šī koordinētā pieeja veicina visaptverošu un konsekventu satvaru operatīvo datu apstrādei Savienības struktūrās un aģentūrās.
2.JURIDISKAIS PAMATS, SUBSIDIARITĀTE UN PROPORCIONALITĀTE
•Juridiskais pamats
Fizisko personu aizsardzība attiecībā uz viņu personas datu apstrādi ir pamattiesības, kas noteiktas Eiropas Savienības Pamattiesību hartas 8. panta 1. punktā.
Šā priekšlikuma pamatā ir LESD 16. pants, kas ir juridiskais pamats datu aizsardzības noteikumu pieņemšanai. Ar šo pantu atļauts pieņemt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko veic Savienības iestādes, struktūras, biroji un aģentūras, kad tās īsteno darbības, kas ietilpst Savienības tiesību aktu darbības jomā. Tas arī ļauj pieņemt noteikumus par personas datu, arī minēto iestāžu, struktūru, biroju un aģentūru apstrādāto personas datu, brīvu apriti.
•Subsidiaritāte (neekskluzīvas kompetences gadījumā)
Neattiecas
•Proporcionalitāte
Neattiecas
•Juridiskā instrumenta izvēle
Neattiecas
3.EX POST IZVĒRTĒJUMU, APSPRIEŠANOS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMU REZULTĀTI
•Ex post izvērtējumi / spēkā esošo tiesību aktu atbilstības pārbaudes
Komisijas 2022. gada pirmajā ESDAR piemērošanas ziņojumā secināts, ka kopumā ESDAR darbojas labi un atbilst paredzētajam mērķim. Tajā pašā laikā tajā konstatēts, ka ir vajadzīga leģislatīva iejaukšanās, lai līdz minimumam samazinātu datu aizsardzības noteikumu sadrumstalotību ES iestādēm un struktūrām, kas apstrādā operatīvos personas datus, īstenojot darbības policijas sadarbības un tiesu iestāžu sadarbības krimināllietās jomā (ESDAR IX nodaļa, “Tiesībaizsardzības nodaļa”).
•Apspriešanās ar ieinteresētajām personām
Mērķorientētas apspriešanās ar ieinteresētajām personām notika ar visiem subjektiem, uz kuriem pašlaik attiecas vai turpmāk attieksies ESDAR IX nodaļa (t. i., Eiropolu, Eurojust, EPPO, Frontex), kā arī ar Eiropas Datu aizsardzības uzraudzītāju, kuram jāpārrauga atbilstība.
•Ekspertu atzinumu pieprasīšana un izmantošana
Neattiecas
•Ietekmes novērtējums
Ietekmes novērtējums šai iniciatīvai netiek uzskatīts par piemērotu, ņemot vērā tās ierobežoto tvērumu un ierosināto grozījumu lielākoties tehnisko raksturu. Priekšlikums ir vērsts uz konkrētiem ESDAR noteikumiem, kas skar tikai nelielu ES subjektu grupu tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā, taču nemaina vispārējo satvaru. Izmaiņu mērķis ir nodrošināt saskaņotāku režīmu, un tās neietver jaunus politikas risinājumus, un paredzams, ka tām būs minimāla, skaitļos neizsakāma ietekme uz pamattiesībām un nebūs nekādu ekonomisku, sociālu vai vidisku seku. Turklāt attiecīgajām aģentūrām jau tiek veikti atsevišķi izvērtējumi un ietekmes novērtējumi, arī attiecībā uz tām piemērojamajiem datu aizsardzības noteikumiem. Atsevišķs novērtējums saskaņā ar ESDAR dublētu šo uzdevumu. Priekšlikums saskan ar Komisijas iepriekšējo apņemšanos tās pirmajā ESDAR piemērošanas ziņojumā 2022. gadā, un turpmāka ESDAR izvērtēšana ir paredzēta 2027. gadā. Visbeidzot, bažas par subsidiaritāti nerodas, jo ESDAR attiecas tikai uz ES struktūrām, kuras dalībvalstis nevar regulēt.
•Normatīvā atbilstība un vienkāršošana
Ar priekšlikumu tiek saskaņoti un vienkāršoti datu aizsardzības noteikumi, kas piemērojami Savienības aģentūrām, birojiem un struktūrām, kuras darbojas krimināltiesiskās aizsardzības un krimināltiesību jomā. Tajā paredzētā spēkā esošo noteikumu racionalizēšana uzlabo juridisko skaidrību un konsekvenci visā iestāžu sistēmā, tādējādi atvieglojot to piemērošanu un samazinot administratīvo sarežģītību. Lai gan ieguvumi nav viegli izsakāmi skaitļos, paredzams, ka priekšlikums samazinās atbilstības nodrošināšanas izmaksas un administratīvo slogu, kas saistīts ar atšķirīgu vai pārklājošos prasību izpildi. Priekšlikums arī atbalsta informācijas apmaiņas mehānisma izveidi starp iesaistītajiem dalībniekiem, kas apsvērts saistībā ar krāpšanas apkarošanas arhitektūras (AFA) pārskatīšanu.
•Pamattiesības
Izmaiņu mērķorientētais raksturs nodrošina, ka tiek saglabāts pašreizējais datu aizsardzības līmenis, vienlaikus paredzot uzlabojumus attiecībā uz piemērojamo noteikumu konsekvenci un turpmāku saskaņošanu.
4.IETEKME UZ BUDŽETU
Neattiecas
5.CITI ELEMENTI
•Īstenošanas plāni un uzraudzīšanas, izvērtēšanas un ziņošanas kārtība
Neattiecas
•Detalizēts konkrētu priekšlikuma noteikumu skaidrojums
Regulas (ES) 2018/1725 1. pantā ir izklāstīti noteikumi par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās.
Ar šā panta 1. punktu aizstāj 2. panta 2. punktu un paplašina Regulas (ES) 2018/1725 43., 44. un 45. panta un VII un VIII nodaļas piemērošanas jomu, attiecinot to arī uz operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, neskarot konkrētus datu aizsardzības noteikumus, kas piemērojami Savienības struktūrām, birojiem vai aģentūrām. Ar to arī svītro 2. panta 3. punktu, tādējādi paplašinot ESDAR piemērošanu, attiecinot to arī uz EPPO, tomēr neapdraudot nepieciešamību EPPO regulā saglabāt īpašus datu aizsardzības noteikumus, kas nosaka EPPO kā neatkarīgas Savienības izmeklēšanas un kriminālvajāšanas iestādes atšķirīgo raksturu.
Panta 2. punktā ir paredzēti tehniski pielāgojumi 45. panta formulējumā attiecībā uz datu aizsardzības speciālista uzdevumiem un nodrošināts, ka minētie uzdevumi attiecas arī uz operatīvo datu apstrādi.
Ar 3. punktu tiek nodrošināts, ka Eiropas Datu aizsardzības uzraudzītāja pilnvaras saskaņā ar Regulas (ES) 2018/1725 66. pantu piemērot administratīvus naudas sodus attiecas arī uz operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras.
Ar 4. punktu svītro Regulas (ES) 2018/1725 70. pantu, kas ir novecojis, ņemot vērā 2. panta 2. punktā izklāstītos noteikumus, kas piemērojami operatīvo datu apstrādei.
Ar 5. punktu groza Regulas (ES) 2018/1725 77. pantu, lai nodrošinātu saskaņotību ar digitālās Omnibus paketes priekšlikumu un uzlabotu juridisko noteiktību, šajā nolūkā precizējot, ka lēmumi, kuru pamatā ir tikai operatīvo personas datu automatizēta apstrāde, ir pieļaujami, ja ir izpildīti īpaši nosacījumi.
Ar 6. punktu groza Regulas (ES) 2018/1725 78. pantu, lai nodrošinātu saskaņotību ar digitālās Omnibus paketes priekšlikumu, šajā nolūkā precizējot ļaunprātīgu pieprasījumu jēdzienu piekļuves tiesību kontekstā. Konkrētāk, tajā ir precizēts, ka pieprasījumu var uzskatīt par acīmredzami nepamatotu, ja datu subjekts atsaucas uz piekļuves tiesībām nolūkos, kas nav saistīti ar viņa datu aizsardzību. Šādos gadījumos pārzinis var atteikties izpildīt pieprasījumu, vienlaikus saglabājot pienākumu pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
Ar 7. punktu Regulā (ES) 2018/1725 tiek ieviests jauns 87.a pants par operatīvo personas datu uzskaiti saskaņā ar Tiesībaizsardzības direktīvas noteikumiem.
Panta 8. un 9. punkts pievieno papildu aizsardzības pasākumus Regulas (ES) 2018/1725 88. pantam par ierakstu veikšanu.
Ar 10. punktu groza Regulas (ES) 2018/1725 92. panta 1. punktu, lai nodrošinātu saskaņotību ar digitālās Omnibus paketes priekšlikumu, pagarinot termiņu paziņošanai Eiropas Datu aizsardzības uzraudzītājam par personas datu aizsardzības pārkāpumu no 72 stundām līdz 96 stundām. Tajā arī paaugstināta paziņošanas robežvērtība un noteikts, ka paziņošana ir nepieciešama tikai tad, ja personas datu aizsardzības pārkāpums var radīt augstu risku fizisku personu tiesībām un brīvībām.
Ar 11. un 12. punktu tiek racionalizēts tiesiskais regulējums, kas reglamentē operatīvo personas datu nosūtīšanu uz trešām valstīm un starptautiskām organizācijām, tādējādi saskaņojot to ar regulējumu, kas izveidots ar Direktīvu (ES) 2016/680. Grozījumi nodrošina vienotu noteikumu kopumu, kas piemērojams Savienības struktūrām, birojiem un aģentūrām, kuras darbojas krimināltiesiskās aizsardzības un krimināltiesību jomā, vienlaikus ņemot vērā to īpašo operatīvo un juridisko kontekstu, arī sadarbības nolīgumus. Tie paredz, ka nosūtīšanu uz valstīm, par kurām ir pieņemts lēmums par aizsardzības līmeņa pietiekamību, drīkst veikt bez turpmākas papildu atļaujas; ja nav lēmuma par aizsardzības līmeņa pietiekamību, nosūtīšana ir atļauta, ja ar juridiski saistošu instrumentu vai pārziņa novērtējumu ir ieviestas atbilstošas garantijas; un konkrētos scenārijos, kad nav ne lēmuma par aizsardzības līmeņa pietiekamību, ne atbilstošu garantiju, piemēro dažas atkāpes. Visbeidzot, īpašos gadījumos ir paredzēta arī operatīvo personas datu nosūtīšana saņēmējiem, kas nav trešās valstīs iedibinātas kompetentās iestādes, ar noteikumu, ka ir izpildīti tajos uzskaitītie nosacījumi, arī tad, ja sazināšanās ar trešās valsts kompetento iestādi varētu būt neefektīva vai nepiemērota un nosūtīšana ir absolūti nepieciešama pārziņa uzdevumu veikšanai.
Ar 13. punktu tiek racionalizētas Eiropas Datu aizsardzības uzraudzītāja pilnvaras attiecībā uz operatīvajiem personas datiem visām Savienības struktūrām, birojiem un aģentūrām, kas darbojas krimināltiesiskās aizsardzības un krimināltiesību jomā, saskaņā ar Eiropas Datu aizsardzības uzraudzītāja pilnvarām, kas Eiropolam piemērojamas no 2022. gada.
2. pantā ir precizēts, kad stājas spēkā jauni noteikumi.
2026/0173 (COD)
Priekšlikums
EIROPAS PARLAMENTA UN PADOMES REGULA,
ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti
EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,
ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,
ņemot vērā Eiropas Komisijas priekšlikumu,
pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,
saskaņā ar parasto likumdošanas procedūru,
tā kā:
(1)Fizisku personu aizsardzība attiecībā uz personas datu apstrādi ir pamattiesības. Eiropas Savienības Pamattiesību hartas 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. Šīs tiesības tiek garantētas arī ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas 8. pantu.
(2)Ar Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 izveido tiesisko regulējumu personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās. Tomēr datu aizsardzības noteikumi par operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, joprojām ir izklāstīti sadrumstalotā veidā Regulas (ES) 2018/17/25 IX nodaļā un citos Savienības tiesību aktos. Minētās regulas 98. pantā ir noteikts, ka Komisijai ir jāpārskata noteikumi, kas piemērojami operatīvo personas datu apstrādei, lai apzinātu iespējamās neatbilstības, trūkumus un atšķirības. Tajā arī paredzēts, ka Komisija attiecīgā gadījumā novērš konstatētos trūkumus ar tiesību akta priekšlikumu, īpaši, lai attiecīgā gadījumā paplašinātu IX nodaļas piemērošanu, attiecinot to arī uz Eiropas Prokuratūru (EPPO), kas izveidota ar Padomes Regulu (ES) 2017/1939, un ieviestu nepieciešamos pielāgojumus minētajā nodaļā. Pirmajā piemērošanas ziņojumā par Regulu (ES) 2018/1725 Komisija apstiprināja regulas vispārējo efektivitāti augsta aizsardzības līmeņa nodrošināšanā personas datiem, vienlaikus uzsverot vairākas neatbilstības, atšķirības un juridisko sadrumstalotību, kas izriet no mijiedarbības starp IX nodaļu un citiem Regulas (ES) 2018/1725 noteikumiem, kā arī to, ka EPPO pastāv atsevišķs datu aizsardzības režīms.
(3)Pašlaik operatīvo personas datu apstrādei piemēro tikai Regulas (ES) 2018/1725 3. pantu un IX nodaļu kopā ar vairākiem īpašiem datu aizsardzības noteikumiem, kas paredzēti Eiropas Savienības Aģentūras tiesībaizsardzības sadarbībai (Eiropola) un Eiropas Savienības Aģentūras tiesu iestāžu sadarbībai krimināllietās (Eurojust) dibināšanas aktos. Tajā pašā laikā EPPO dibināšanas aktā ir savs atsevišķs datu aizsardzības režīms. Tāpēc Regula (ES) 2018/1725 būtu jāgroza, lai paplašinātu tās IX nodaļas piemērošanu, attiecinot to uz visām Savienības struktūrām, birojiem un aģentūrām, kas apstrādā operatīvos personas datus tiesībaizsardzības un krimināltiesību jomā, lai nodrošinātu juridisko noteiktību, novēršot nepilnības pašreizējā datu aizsardzības režīmā, īpaši attiecībā uz Eiropas Robežu un krasta apsardzes aģentūru, un lai racionalizētu noteikumus par personas datu starptautisku nosūtīšanu, kā arī noteikumus par Eiropas Datu aizsardzības uzraudzītāja pilnvarām. Tam nebūtu jāietekmē iespēja Regulā (ES) 2017/1939 saglabāt īpašos datu aizsardzības noteikumus, kas vajadzīgi, lai atspoguļotu EPPO kā Savienības neatkarīgās prokuratūras unikālo raksturu.
(4)Lai izveidotu saskaņotu, konsekventu, vienkāršotu un pilnīgu tiesisko regulējumu operatīvo personas datu apstrādei Savienības struktūrās, birojos un aģentūrās, Regulā (ES) 2018/1725 noteiktās definīcijas (I nodaļa), noteikumi par datu aizsardzības speciālistiem (IV nodaļas 6. iedaļa), noteikumi par sadarbību un konsekvenci (VII nodaļa), noteikumi par tiesību aizsardzības līdzekļiem, atbildību un sodiem (VIII nodaļa) un noteikumi par operatīvo personas datu apstrādi (kas būtu jāsaskaņo ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2016/680 – IX nodaļa) būtu jāpiemēro Savienības struktūrām, birojiem un aģentūrām, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļas darbības joma. Minētie noteikumi būtu jāpiemēro, ja tās veic šādas darbības, lai novērstu, atklātu, izmeklētu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem. Minētie noteikumi būtu jāpiemēro arī operatīvo personas datu apstrādei, ko veic Eiropas Robežu un krasta apsardzes aģentūra, nevis tikai Regulas (ES) 2018/1725 IX nodaļā minētie. Regulas (ES) 2018/1725 noteikumi būtu jāpiemēro, neskarot īpašos noteikumus, kas piemērojami operatīvo personas datu apstrādei, ko veic Savienības struktūras, biroji un aģentūras, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, īpaši noteikumus, kas paredzēti Eiropola, Eurojust un EPPO dibināšanas aktos. Šādi īpaši noteikumi būtu jāuzskata par lex specialis Regulas (ES) 2018/1725 noteikumiem par operatīvo personas datu apstrādi.
(5)Datu aizsardzības speciālistam visās Savienības iestādēs un struktūrās būtu jānodrošina, ka tiek piemēroti visi datu aizsardzības noteikumi, ieskaitot Regulu (ES) 2018/1725. Amatpersonām būtu arī jākonsultē pārziņi un apstrādātāji par viņu pienākumiem. Lai nodrošinātu konsekvenci un novērstu dublēšanos gan administratīvo, gan operatīvo personas datu jautājumos, datu aizsardzības speciālistiem vajadzētu būt tikai vienam noteikumu kopumam.
(6)Eiropas Datu aizsardzības uzraudzītājam vajadzētu būt pilnvarām kā galēju līdzekli piemērot administratīvus naudas sodus, arī par operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, kas darbojas tiesībaizsardzības un krimināltiesību jomā.
(7)Lai izvairītos no dublēšanās Regulā (ES) 2018/1725, tās 70. pants būtu jāsvītro, jo IX nodaļas darbības joma jau ir reglamentēta Regulas (ES) 2018/1725 2. pantā.
(8)Lai nodrošinātu saskaņotību ar Regulu (ES) …/… [digitālās Omnibus paketes priekšlikums], Regulas (ES) 2018/1725 77. pantā būtu jāprecizē, ka lēmumi, kuru pamatā ir tikai operatīvo personas datu automatizēta apstrāde, ir atļauti, ja ir izpildīti īpaši nosacījumi.
(9)Lai nodrošinātu saskaņotību ar Regulu (ES) …/… [digitālās Omnibus regulas priekšlikums], Regulas (ES) 2018/1725 78. pantā būtu jāprecizē, ka piekļuves tiesības, kas jau no paša sākuma ir labvēlīgas datu subjektiem, nevajadzētu ļaunprātīgi izmantot tādā nozīmē, ka datu subjekti tās ļaunprātīgi izmanto citiem mērķiem, nevis savu datu aizsardzībai.
(10)Lai pierādītu atbilstību Regulai (ES) 2018/1725, Savienības struktūrām, birojiem un aģentūrām, kas darbojas tiesībaizsardzības un krimināltiesību jomā, vajadzētu būt vienotiem noteikumiem par reģistru uzturēšanu attiecībā uz visām darbību kategorijām, kas ir to atbildības jomā. Visiem pārziņiem un apstrādātājiem vajadzētu būt pienākumam sadarboties ar Eiropas Datu aizsardzības uzraudzītāju un pēc pieprasījuma darīt tam pieejamus savus ierakstus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām.
(11)Savienības struktūrām, birojiem un aģentūrām nevajadzētu būt iespējai grozīt ierakstus. Ja Savienības struktūras, biroji un aģentūras saņem operatīvos personas datus no valstu kompetentajām iestādēm, Savienības struktūrām, birojiem un aģentūrām būtu jāpaziņo šīm iestādēm reģistra ieraksti, ja tie ir nepieciešami iekšējai datu aizsardzības atbilstības izmeklēšanai.
(12)Lai nodrošinātu saskaņotību ar Regulu (ES) …/… [digitālās Omnibus paketes priekšlikums], robežvērtībai vajadzētu būt augstākai un būtu jāpagarina termiņš paziņošanai Eiropas Datu aizsardzības uzraudzītājam par personas datu aizsardzības pārkāpumu.
(13)Visām Savienības struktūrām, birojiem un aģentūrām, kas darbojas tiesībaizsardzības un krimināltiesību jomā, būtu jāgūst labums no vienota noteikumu kopuma par operatīvo personas datu starptautisku nosūtīšanu, kas saskaņots ar Direktīvu (ES) 2016/680.
(14)Saskaņā ar Regulas (ES) 2016/680 36. pantā noteikto Komisija var izlemt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni. Šādos gadījumos Savienības struktūras, biroji un aģentūras var nosūtīt operatīvos personas datus uz attiecīgo trešo valsti vai starptautisko organizāciju bez nepieciešamības saņemt jebkādu turpmāku atļauju.
(15)Nosūtīšana, kas nebalstās uz šādu lēmumu par aizsardzības līmeņa pietiekamību, būtu jāatļauj tikai tad, ja juridiski saistošā instrumentā tiek sniegtas atbilstošas garantijas, kas nodrošina personas datu aizsardzību, vai ja pārzinis ir izvērtējis visus datu nosūtīšanas apstākļus un, pamatojoties uz šo izvērtējumu, uzskata, ka pastāv atbilstošas garantijas personas datu aizsardzībai. Šādi juridiski saistoši instrumenti varētu būt, piemēram, sadarbības nolīgumi starp Eurojust un trešo valsti, kas noslēgti pirms 2019. gada 12. decembra saskaņā ar Lēmuma 2002/187/TI 26. pantu, sadarbības nolīgumi starp Eiropolu un trešo valsti, kas noslēgti pirms 2017. gada 1. maija saskaņā ar Lēmuma 2009/371/TI 23. pantu, vai starptautiski nolīgumi, kas noslēgti starp Savienību un trešo valsti, ievērojot LESD 218. pantu.
(16)Ja nav lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju personas datu vai to kategorijas nosūtīšana var notikt tikai konkrētās situācijās. Atkāpes būtu interpretējamas sašaurināti, un ar tām nebūtu jāpieļauj personas datu bieža, masveida un strukturāla nosūtīšana vai apjomīga nosūtīšana, bet būtu jānosūta vienīgi dati, kas ir absolūti nepieciešami. Lai uzraudzītu nosūtīšanas likumīgumu, šāda nosūtīšana būtu jādokumentē, un pēc pieprasījuma tā būtu jādara pieejama Eiropas Datu aizsardzības uzraudzītājam.
(17)Konkrētos atsevišķos gadījumos standarta procedūras, kad ir jāsazinās ar kompetento iestādi trešā valstī, var nebūt efektīvas vai piemērotas, īpaši tāpēc, ka nosūtīšanu nevarētu veikt savlaicīgi vai minētā iestāde trešā valstī nerespektē tiesiskumu vai starptautisko cilvēktiesību normas un standartus. Tā var būt gadījumā, ja pastāv steidzama vajadzība nosūtīt personas datus privātam uzņēmumam trešā valstī, lai saņemtu informāciju par nezināmu noziedzīga nodarījuma izdarītāju vai, lai glābtu personas dzīvību, kurai draud kļūšana par noziedzīga nodarījuma upuri vai, lai novērstu kāda nozieguma, arī terora akta, tūlītēju izdarīšanu. Šādos gadījumos konkrētos apstākļos Savienības struktūras, biroji un aģentūras varētu nolemt operatīvos personas datus nosūtīt tieši saņēmējiem, kas nav kompetentās iestādes un ir iedibināti attiecīgajās trešās valstīs.
(18)Eiropas Datu aizsardzības uzraudzītājam ir vienots pilnvaru kopums, kas piemērojams operatīvo personas datu apstrādei, ko veic Savienības struktūras, biroji un aģentūras, kuras darbojas tiesībaizsardzības un krimināltiesību jomā. Šādas pilnvaras Eiropolam jau ir piemērojamas kopš 2022. gada, piemēram, pilnvaras uzdot datu pārzinim nodrošināt atbilstību Regulai (ES) 2018/1725, uzdot apturēt datu plūsmas saņēmējam dalībvalstī, trešā valstī vai starptautiskā organizācijā vai piemērot administratīvu naudas sodu, ja netiek izpildīts tā rīkojums.
(19)Saskaņā ar Regulas (ES) 2018/1725 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2026. gada XX XX sniedza atzinumu,
IR PIEŅĒMUŠI ŠO REGULU.
1. pants
Grozījumi
Regulā (ES) 2018/1725
Regulu (ES) 2018/1725
groza šādi:
1.regulas 2. pantu groza šādi:
(a)panta 2. punktu aizstāj ar šādu:
“2. Gadījumos, kad Savienības struktūras, biroji un aģentūras apstrādā operatīvos personas datus, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, piemēro tikai šīs regulas 3., 43., 44., 45. pantu un VII, VIII un IX nodaļu, neskarot īpašus datu aizsardzības noteikumus, kas piemērojami šādai Savienības struktūrai, birojam vai aģentūrai.”;
(b)regulas 3. pantu svītro;
2.regulas 45. panta 1. punkta d), e) un f) apakšpunktu aizstāj ar šādiem:
“d) pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību saskaņā ar 34. un 35. pantu vai 92. un 93. pantu paziņot vai informēt par personas datu aizsardzības pārkāpumu;
e) pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 39. vai 89. pantu un konsultēties ar Eiropas Datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešams novērtējums par ietekmi uz datu aizsardzību;
f) pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību iepriekš apspriesties ar Eiropas Datu aizsardzības uzraudzītāju saskaņā ar 40. vai 90. pantu; konsultēties ar Eiropas Datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešama iepriekšēja apspriešanās”;
3.regulas 66. panta 1. punkta pirmo daļu aizstāj ar šādu:
“1. Eiropas Datu aizsardzības uzraudzītājs var uzlikt Savienības iestādēm un struktūrām administratīvu naudas sodu, kas atkarīgs no katra konkrētā gadījuma apstākļiem, par to, ka Savienības iestāde vai struktūra nav izpildījusi Eiropas Datu aizsardzības uzraudzītāja rīkojumu saskaņā ar 58. panta 2. punkta d)–h) un j) apakšpunktu vai saskaņā ar 95.a panta 3. punkta c), e), f), j) un k) apakšpunktu.”;
4.regulas 70. pantu svītro;
5.regulas 77. panta 1. punktu aizstāj ar šādu:
“1. Lēmumu, kas datu subjektam rada tiesiskas sekas vai kas līdzīgā veidā ievērojami ietekmē viņu, uz automatizētu apstrādi, kas ietver profilēšanu, var balstīt tikai tad, ja minētais lēmums ir atļauts saskaņā ar Savienības tiesību aktiem, kuri attiecas uz pārzini un kuros ir paredzēti arī piemēroti pasākumi, lai aizsargātu datu subjekta tiesības un brīvības un leģitīmās intereses, vismaz tiesības panākt cilvēka iejaukšanos no pārziņa puses.”;
6.regulas 78. panta 4. punktu aizstāj ar šādu:
“4. Pārzinis sniedz informāciju saskaņā ar 79. pantu un visa saziņa vai darbības, ko veic saskaņā ar 80.–84. pantu un 92. pantu, ir bez maksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, īpaši to regulāras atkārtošanās dēļ, vai arī – attiecībā uz pieprasījumiem saskaņā ar 80. pantu – tāpēc, ka datu subjekts ļaunprātīgi izmanto piekļuves tiesības citiem mērķiem, nevis savu datu aizsardzībai, pārzinis var atteikties izpildīt pieprasījumu. Pārzinim ir pienākums pierādīt, ka pieprasījums ir acīmredzami nepamatots vai ka ir pamatots iemesls uzskatīt, ka tas ir pārmērīgs.”;
7.regulā iekļauj šādu 87.a pantu:
“87.a pants
Operatīvo personas datu apstrādes darbību kategoriju reģistri
1. Katrs pārzinis uztur reģistru ar visu kategoriju apstrādes darbībām, par kurām tas ir atbildīgs. Minētajā reģistrā ietver visu šādu informāciju:
a) pārziņa kontaktinformācija un datu aizsardzības speciālista vārds, uzvārds un kontaktinformācija, un attiecīgā gadījumā kopīgā pārziņa kontaktinformācija;
b) apstrādes nolūki;
c) to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tai skaitā privātās puses un saņēmēji trešās valstīs vai starptautiskās organizācijās;
d) datu subjektu kategoriju un personas datu kategoriju apraksts;
e) attiecīgā gadījumā profilēšanas izmantošana;
f) attiecīgā gadījumā kategorijas personas datu nosūtīšanai privātai pusei, trešai valstij vai starptautiskai organizācijai;
g) norāde par apstrādes darbības, arī tās nosūtīšanas juridisko pamats, kurai paredzēti personas dati;
h) ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;
i) ja iespējams, 91. panta 1. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
2. Katrs apstrādātājs uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, kas ietver šādu informāciju:
a) apstrādātāja vai apstrādātāju kontaktinformācija par katru pārzini, kura vārdā apstrādātājs darbojas, un datu aizsardzības speciālista kontaktinformācija;
b) katra pārziņa vārdā veiktās apstrādes kategorijas;
c) attiecīgā gadījumā informācija par personas datu nosūtīšanu privātai pusei, trešai valstij vai starptautiskai organizācijai, ja pārzinis ir devis skaidrus norādījumus tā rīkoties, arī šīs trešās valsts vai starptautiskās organizācijas identifikācija;
d) ja iespējams, 91. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, arī elektroniskā formātā. Savienības iestādes un struktūras pēc pieprasījuma nodrošina reģistra pieejamību Eiropas Datu aizsardzības uzraudzītājam.”;
8.regulas 88. panta 1. punktam pievieno šādu teikumu:
“Nav iespējas veikt izmaiņas reģistros.”;
9.regulas 88. panta 3. punktam pievieno šādu teikumu:
“Ja valsts kompetentā iestāde pieprasa veikt konkrētu izmeklēšanu saistībā ar atbilstību datu aizsardzības noteikumiem, 1. punktā minētos reģistra ierakstus paziņo minētajai iestādei.”;
10.regulas 92. panta 1. punktu aizstāj ar šādu:
“1. Ja personas datu aizsardzības pārkāpums var radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 96 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu Eiropas Datu aizsardzības uzraudzītājam. Ja paziņošana Eiropas Datu aizsardzības uzraudzītājam nav notikusi 96 stundu laikā, reizē ar paziņojumu informē par kavēšanās iemesliem.”;
11.regulas 94. pantu aizstāj ar šādu:
“94. pants
Vispārīgi principi operatīvo personas datu nosūtīšanai trešām valstīm un starptautiskām organizācijām
1. Pārzinis operatīvos personas datus var nosūtīt trešai valstij vai starptautiskai organizācijai, ievērojot piemērojamos datu aizsardzības noteikumus un pārējos šīs regulas noteikumus, un tikai tad, ja tiek izpildīti šādi nosacījumi:
(a)nosūtīšana ir nepieciešama pārziņa uzdevumu veikšanai;
(b)trešās valsts iestāde vai organizācija, kurai nosūta operatīvos personas datus, ir kompetenta tiesībaizsardzības un krimināltiesību jautājumos;
(c)ja nosūtāmos personas datus ir nosūtījusi vai darījusi pieejamus pārzinim dalībvalsts vai Savienības struktūra, birojs vai aģentūra, pārzinis saņem iepriekšēju atļauju nosūtīšanai no minētās dalībvalsts attiecīgās kompetentās iestādes vai no Savienības struktūras, biroja un aģentūras saskaņā ar tās valsts piemērojamajiem tiesību aktiem, ja vien minētā dalībvalsts vai Savienības struktūra, birojs vai aģentūra nav atļāvusi šādu nosūtīšanu vispārīgos noteikumos vai ar konkrētiem nosacījumiem;
(d)ja trešā valsts vai starptautiska organizācija datus tālāk nosūta citai trešai valstij vai starptautiskai organizācijai, pārzinis sūtītājai trešai valstij vai starptautiskai organizācijai pieprasa iegūt pārziņa iepriekšēju atļauju šai tālākai nosūtīšanai;
(e)pārzinis d) punktā minēto atļauju attiecīgā gadījumā sniedz tikai ar tās dalībvalsts vai Savienības struktūras, biroja un aģentūras iepriekšēju atļauju, no kuras dati iegūti, un pēc tam, kad ir pienācīgi ņemti vērā visi būtiskie faktori, arī noziedzīgā nodarījuma smagums, nolūks, kādā operatīvie personas dati sākotnēji tika nosūtīti, un personas datu aizsardzības līmenis trešā valstī vai starptautiskā organizācijā, kurai operatīvie personas dati jānosūta tālāk.
2. Ievērojot šā panta 1. punktā izklāstītos nosacījumus, pārzinis var nosūtīt operatīvos personas datus trešai valstij vai starptautiskai organizācijai, ja ir izpildīti 94.a, 94.b, 94.c vai 94.d panta nosacījumi.
3. Neskarot 94.c pantu, pārzinis var nosūtīt operatīvos personas datus tās valsts kompetentajai iestādei, kura ir asociēta Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā un kura ir īstenojusi un efektīvi piemēro
Direktīvas (ES) 2016/680
noteikumus un
Direktīvā (ES) 2023/977
paredzētos noteikumus par informācijas apmaiņu.
4. Steidzamos gadījumos pārzinis var nosūtīt operatīvos personas datus bez dalībvalsts vai Savienības struktūras, biroja un aģentūras iepriekšējas atļaujas saskaņā ar 1. punkta c) apakšpunktu. Pārzinis tā rīkojas tikai tad, ja operatīvo personas datu nosūtīšana ir nepieciešama, lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai vai kādas dalībvalsts būtiskām interesēm, un ja nav iespējams laikus iegūt iepriekšēju atļauju. Nekavējoties tiek informēta iestāde, kas atbildīga par iepriekšējas atļaujas sniegšanu.
5. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.”;
12.iekļauj šādus pantus:
“94.a pants
Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību
Pārzinis var nosūtīt operatīvos personas datus trešai valstij vai starptautiskai organizācijai, ja Komisija saskaņā ar
Direktīvas (ES) 2016/680 36. pantu
ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni.
94.b pants
Nosūtīšana, pamatojoties uz atbilstošām garantijām
1. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, pārzinis var nosūtīt operatīvos personas datus trešai valstij vai starptautiskai organizācijai, ja:
(a)juridiski saistošā instrumentā ir sniegtas atbilstošas garantijas attiecībā uz operatīvo personas datu aizsardzību;
(b)vai ja pārzinis ir izvērtējis visus apstākļus saistībā ar operatīvo personas datu nosūtīšanu un ir secinājis, ka pastāv atbilstošas garantijas attiecībā uz operatīvo personas datu aizsardzību.
2. Juridiski saistošais instruments saskaņā ar 1. punkta a) apakšpunktu ir:
(a)starptautisks nolīgums, kas noslēgts starp Savienību un trešo valsti vai starptautisko organizāciju saskaņā ar
LESD 218. pantu
un kas nodrošina atbilstošas garantijas attiecībā uz privātuma un personu pamattiesību un brīvību aizsardzību;
(b)sadarbības nolīgums, ar ko ļauj veikt operatīvo datu apmaiņu un kas pirms 2019. gada 12. decembra noslēgts starp Eurojust un attiecīgo trešo valsti vai starptautisko organizāciju saskaņā ar
Lēmuma 2002/187/TI 26.a pantu
; vai
(c)sadarbības nolīgums, ar ko ļauj veikt personas datu apmaiņu un kas pirms 2017. gada 1. maija noslēgts starp Eiropolu un attiecīgo trešo valsti vai starptautisko organizāciju saskaņā ar
Lēmuma 2009/371/TI 23. pantu
.
3. Savienības struktūras, biroji un aģentūras var noslēgt sadarbības vienošanās, lai noteiktu kārtību, kādā īstenojami 2. punktā minētie nolīgumi.
4. Pārzinis informē Eiropas Datu aizsardzības uzraudzītāju par 1. punkta b) apakšpunktā minētās nosūtīšanas kategorijām.
5. Ja nosūtīšana balstās uz 1. punkta b) apakšpunktu, šādu nosūtīšanu dokumentē un dokumentāciju pēc pieprasījuma dara pieejamu Eiropas Datu aizsardzības uzraudzītājam. Dokumentācijā ietver nosūtīšanas datuma un laika ierakstu un informāciju par saņēmēju kompetento iestādi, par nosūtīšanas pamatojumu un par nosūtītajiem operatīvajiem personas datiem.
94.c pants
Atkāpes īpašās situācijās
1. Ja nav lēmuma par aizsardzības līmeņa pietiekamību vai ja nav atbilstošu garantiju saskaņā ar 94.a. pantu, pārzinis var nosūtīt operatīvos personas datus trešai valstij vai starptautiskai organizācijai tikai ar nosacījumu, ka nosūtīšana ir vajadzīga:
(a)lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;
(b)lai aizsargātu datu subjekta leģitīmās intereses;
(c)lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai;
(d)vai atsevišķos gadījumos, lai veiktu pārziņa uzdevumus, ja vien pārzinis nekonstatē, ka nosūtīšanas gadījumā attiecīgā datu subjekta pamattiesības un pamatbrīvības ir svarīgākas par sabiedrības interesēm.
2. Ja nosūtīšana balstās uz 1. punktu, šādu nosūtīšanu dokumentē un dokumentāciju pēc pieprasījuma dara pieejamu Eiropas Datu aizsardzības uzraudzītājam. Dokumentācijā ietver nosūtīšanas datuma un laika ierakstu un informāciju par saņēmēju kompetento iestādi, par nosūtīšanas pamatojumu un par nosūtītajiem operatīvajiem personas datiem.
94.b pants
Operatīvo personas datu nosūtīšana saņēmējiem, kas iedibināti trešās valstīs
1. Atkāpjoties no 94. panta 1. punkta b) apakšpunkta un neskarot nevienu no šā panta 2. punktā minētajiem starptautiskajiem nolīgumiem, pārzinis atsevišķos un konkrētos gadījumos var nosūtīt operatīvos personas datus tieši saņēmējiem, kas iedibināti trešās valstīs, tikai tad, ja ir izpildīti visi turpmāk minētie nosacījumi:
(a)nosūtīšana ir absolūti nepieciešama pārziņa uzdevumu veikšanai tādiem nolūkiem, kādiem ir atļauts apstrādāt operatīvos personas datus;
(b)pārzinis konstatē, ka attiecīgā datu subjekta pamattiesības un pamatbrīvības nav svarīgākas par sabiedrības interesēm, kuru dēļ konkrētajā gadījumā ir nepieciešama nosūtīšana;
(c)pārzinis uzskata, ka nosūtīšana kompetentajai iestādei trešā valstī ir neefektīva vai nepiemērota, īpaši tāpēc, ka nosūtīšana nav paveicama laikus;
(d)kompetentā iestāde trešā valstī, tiek informēta bez nepamatotas kavēšanās, ja vien tas nav neefektīvi vai nepiemēroti;
(e)pārzinis informē saņēmēju par konkrēto nolūku vai nolūkiem, kas ir vienīgie, kādiem saņēmējs operatīvos personas datus drīkst apstrādāt ar noteikumu, ka šāda apstrāde ir vajadzīga.
2. Šā panta 1. punktā minētais starptautiskais nolīgums ir jebkurš spēkā esošs divpusējs vai daudzpusējs starptautisks nolīgums starp Savienību un trešām valstīm tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā.
3. Ja nosūtīšana balstās uz 1. punktu, šādu nosūtīšanu dokumentē un dokumentāciju pēc pieprasījuma dara pieejamu Eiropas Datu aizsardzības uzraudzītājam un tajā ietver nosūtīšanas datumu un laiku un informāciju par saņēmēju kompetento iestādi, par nosūtīšanas pamatojumu un par nosūtītajiem operatīvajiem personas datiem.”
13.regulā iekļauj šādu 95.a pantu:
“95.a pants
Uzraudzība, ko veic Eiropas Datu aizsardzības uzraudzītājs
1. Eiropas Datu aizsardzības uzraudzītājs atbild par tādu noteikumu piemērošanas uzraudzību un nodrošināšanu, kas saistīti ar fizisku personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi Savienības struktūrās, birojos un aģentūrās, un par padomu sniegšanu tām un datu subjektiem visos jautājumos, kas attiecas uz personas datu apstrādi. Šajā nolūkā viņš pilda 2. punktā noteiktos pienākumus un īsteno 3. punktā noteiktās pilnvaras, cieši sadarbojoties ar valstu uzraudzības iestādēm.
2. Eiropas Datu aizsardzības uzraudzītājam ir šādi pienākumi:
a) izskatīt un izmeklēt sūdzības un saprātīgā termiņā informēt datu subjektu par iznākumu; pēc savas iniciatīvas vai uz sūdzības pamata veikt pārbaudi un saprātīgā termiņā informēt datu subjektu par iznākumu;
b) uzraudzīt un nodrošināt šīs regulas un jebkura cita tāda Savienības akta piemērošanu, kas attiecas uz fizisku personu aizsardzību attiecībā uz operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras;
c) pēc savas iniciatīvas vai, atbildot uz lūgumu sniegt konsultācijas, konsultēt visas Savienības struktūras, birojus un aģentūras visos jautājumos, kas attiecas uz personas datu apstrādi, īpaši pirms tās izstrādā iekšējos noteikumus attiecībā uz pamattiesību un brīvību aizsardzību saistībā ar personas datu apstrādi;
d) uzturēt viņam paziņoto jauno apstrādes darbību veidu reģistru;
e) veikt iepriekšēju apspriešanos par viņam paziņoto apstrādi.
3. Eiropas Datu aizsardzības uzraudzītājs saskaņā ar šo regulu var:
a) sniegt padomus datu subjektiem par viņu tiesību īstenošanu;
b) nodot lietu Savienības struktūrai, birojam un aģentūrai, ja, iespējams, ir pārkāpti noteikumi, kas regulē operatīvo personas datu apstrādi, un attiecīgā gadījumā iesniegt priekšlikumus minētā pārkāpuma novēršanai un datu subjektu aizsardzības uzlabošanai;
c) izdot rīkojumu izpildīt pieprasījumus izmantot konkrētas tiesības saistībā ar operatīvajiem personas datiem, ja šādi pieprasījumi ir noraidīti, pārkāpjot piemērojamos noteikumus par datu subjektu tiesībām;
d) izteikt brīdinājumu vai aizrādījumu Savienības struktūrai, birojam vai aģentūrai;
e) izdot rīkojumu Savienības struktūrai, birojam vai aģentūrai labot, ierobežot piekļuvi, dzēst vai iznīcināt personas datus, kuri ir apstrādāti, pārkāpjot noteikumus, kas reglamentē personas datu apstrādi, un paziņot par to trešām personām, kurām šādi dati ir izpausti;
f) noteikt pagaidu vai galīgu aizliegumu Savienības struktūrai, birojam vai aģentūrai veikt apstrādes darbības, ar kurām tiek pārkāpti noteikumi, kas reglamentē operatīvo personas datu apstrādi;
g) nodot lietu Savienības struktūrai, birojam vai aģentūrai un vajadzības gadījumā Eiropas Parlamentam, Padomei un Komisijai;
h) nodot lietu Eiropas Savienības Tiesai saskaņā ar LESD paredzētajiem nosacījumiem;
i) iesaistīties lietās, kuras izskata Eiropas Savienības Tiesa;
j) uzdot pārzinim vai apstrādātājam nodrošināt apstrādes darbību atbilstību šai regulai un attiecīgā gadījumā datu aizsardzības noteikumiem, kas paredzēti Savienības struktūras, biroja vai aģentūras dibināšanas aktā, attiecīgā gadījumā – konkrētā veidā un konkrētā laikposmā;
k) izdot rīkojumu apturēt datu plūsmas saņēmējam dalībvalstī, trešā valstī vai starptautiskā organizācijā;
l) piemērot administratīvu naudas sodu saskaņā ar 66. pantu gadījumā, ja Savienības struktūra, birojs un aģentūra nav ievērojusi kādu no šā punkta c), e), f), j) un k) apakšpunktā minētajiem pasākumiem atkarībā no katras konkrētās lietas apstākļiem.
4. Eiropas Datu aizsardzības uzraudzītājam ir pilnvaras:
a) iegūt no Savienības struktūras, biroja un aģentūras piekļuvi visiem operatīvajiem personas datiem un visai informācijai, kas viņam vajadzīga pārbaudēm;
b) iegūt piekļuvi visām telpām, kurās Savienības struktūra, birojs vai aģentūra veic savas darbības, ja ir pamatoti iemesli pieņemt, ka tur tiek veikta darbība, uz kuru attiecas šī nodaļa.
5. Eiropas Datu aizsardzības uzraudzītājs sagatavo gada ziņojumu par savām uzraudzības darbībām attiecībā uz pārziņiem saskaņā ar šo nodaļu. Minētais ziņojums ir daļa no 60. pantā minētā Eiropas Datu aizsardzības uzraudzītāja gada ziņojuma.
EDAU aicina valstu uzraudzības iestādes iesniegt apsvērumus attiecībā uz minēto gada pārskata daļu pirms tiek pieņemts gada pārskats. EDAU maksimāli ņem vērā minētos apsvērumus un gada pārskatā atsaucas uz tiem.
Otrajā daļā minētajā gada pārskata daļā iekļauj statistikas informāciju par sūdzībām, pārbaudēm un izmeklēšanām, kā arī par operatīvo personas datu nosūtīšanu trešām valstīm un starptautiskām organizācijām, iepriekšējas apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju gadījumiem un šā panta 3. punktā noteikto pilnvaru izmantošanu.
6. Eiropas Datu aizsardzības uzraudzītājam, Eiropas Datu aizsardzības uzraudzītāja sekretariāta ierēdņiem un pārējiem darbiniekiem ir saistošs konfidencialitātes pienākums saskaņā ar 95. pantu.”
2. pants
Stāšanās spēkā
1.Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
2.Tomēr operatīvo personas datu apstrādei, ko veic Eiropas Prokuratūra, šo regulu piemēro no [diena, kad sāk piemērot jauno EPPO regulu].
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē,
Eiropas Parlamenta vārdā –
Padomes vārdā –
priekšsēdētāja
priekšsēdētāja
[...]
[...]