Šis dokuments ir tikai informatīvs, un tam nav juridiska spēka. Eiropas Savienības iestādes neatbild par tā saturu. Attiecīgo tiesību aktu un to preambulu autentiskās versijas ir publicētas Eiropas Savienības “Oficiālajā Vēstnesī” un ir pieejamas datubāzē “Eur-Lex”. Šie oficiāli spēkā esošie dokumenti ir tieši pieejami, noklikšķinot uz šajā dokumentā iegultajām saitēm

par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI

1. Šajā direktīvā ir paredzēti noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.

a) aizsargā fizisko personu pamattiesības un pamatbrīvības, un jo īpaši viņu tiesības uz personas datu aizsardzību; un

b) nodrošina, ka personas datu apmaiņa starp kompetentajām iestādēm Savienībā, kad šādu apmaiņu prasa Savienības vai dalībvalstu tiesības, nav ierobežota vai aizliegta tādu iemeslu dēļ, kas saistīti ar fizisko personu aizsardzību attiecībā uz personas datu apstrādi.

3. Šī direktīva dalībvalstīm neliedz paredzēt lielākas garantijas nekā tās, kas noteiktas šajā direktīvā, lai aizsargātu datu subjekta tiesības un brīvības attiecībā uz kompetento iestāžu veiktu personas datu apstrādi.

1. Šo direktīvu piemēro personas datu apstrādei, ko veic kompetentās iestādes 1. panta 1. punktā izklāstītajos nolūkos.

2. Šo direktīvu piemēro personas datu apstrādei, ko pilnībā vai daļēji veic ar automatizētiem līdzekļiem, un personas datu apstrādei bez automatizētiem līdzekļiem, ja tie veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas.

1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziskā persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās fiziskās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

2) “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3) “apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

4) “profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

5) “pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisko personu;

6) “kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

a) jebkura publiska iestāde, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst; vai

b) jebkura cita struktūra vai vienība, kam dalībvalsts tiesībās uzticēts īstenot publisku varu un publiskas pilnvaras ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst;

8) “pārzinis” ir kompetentā iestāde, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesībām, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesībās;

9) “apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

10) “saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai jebkura cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar dalībvalsts tiesībām, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

11) “personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

12) “ģenētiskie dati” ir visi personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

13) “biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas viennozīmīgu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

14) “veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

16) “starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāk valstu nolīgumu vai uz tā pamata.

b) tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un tie netiek apstrādāti ar minētajiem nolūkiem nesaderīgā veidā;

d) ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiek dzēsti vai laboti;

e) tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā tas ir nepieciešams tiem nolūkiem, kādos tos apstrādā;

f) tiek apstrādāti tā, lai tiktu nodrošināta atbilstīga personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstīgus tehniskos vai organizatoriskos pasākumus.

2. Apstrāde, ko veic tas pats vai cits pārzinis nolūkos, kuri ir izklāstīti 1. panta 1. punktā, bet nav tie paši, kādos personas dati tika vākti, ir atļauta, ciktāl:

a) pārzinim šādos nolūkos ir atļauts apstrādāt šādus personas datus saskaņā ar Savienības vai dalībvalsts tiesībām; un

b) apstrāde ir vajadzīga un samērīga ar minētajiem citiem nolūkiem saskaņā ar Savienības vai dalībvalsts tiesībām.

3. Apstrāde, ko veic tas pats vai cits pārzinis, var ietvert arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem 1. panta 1. punktā izklāstītajos nolūkos, ņemot vērā atbilstošas garantijas attiecībā uz datu subjektu tiesībām un brīvībām.

4. Pārzinis ir atbildīgs par atbilstību 1., 2. un 3. punktam un var to uzskatāmi parādīt.

Dalībvalstis paredz, ka tiek noteikti atbilstīgi termiņi personas datu dzēšanai vai personas datu glabāšanas vajadzības regulārai pārskatīšanai. Minēto termiņu ievērošanu nodrošina ar procesuāliem pasākumiem.

Dalībvalstis paredz, ka pārzinis attiecīgā gadījumā, cik iespējams, skaidri nošķir dažādu datu subjektu kategoriju personas datus, piemēram:

a) personas, attiecībā uz kurām pastāv nopietns iemesls uzskatīt, ka tās ir izdarījušas vai drīzumā izdarīs noziedzīgu nodarījumu;

c) noziedzīgā nodarījumā cietušie vai personas, attiecībā uz kurām konkrēti fakti liek uzskatīt, ka tās varētu būt noziedzīgā nodarījumā cietušie; un

d) citas personas saistībā ar noziedzīgu nodarījumu, piemēram, personas, kuras varētu aicināt sniegt liecības izmeklēšanas gaitā saistībā ar noziedzīgiem nodarījumiem vai pēcāk notiekošā kriminālprocesā, persona, kuras var sniegt informāciju par noziedzīgiem nodarījumiem, vai kontaktpersonas vai līdzdalībnieki kādai no a) un b) apakšpunktā minētajām personām.

1. Dalībvalstis paredz, ka personas dati, kas balstās uz faktiem, cik iespējams, tiek nošķirti no personas datiem, kas balstās uz personiskiem vērtējumiem.

2. Dalībvalstis paredz, ka kompetentās iestādes veic visus pamatotus pasākumus ar mērķi nodrošināt, lai personas dati, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, netiktu nosūtīti vai darīti pieejami. Tālab katra kompetentā iestāde, cik tas praktiski iespējams, pārbauda personas datu kvalitāti pirms personas dati tiek nosūtīti vai darīti pieejami. Cik vien iespējams, visos personas datu nosūtīšanas gadījumos pievieno nepieciešamo informāciju, kas ļauj datu saņēmējai kompetentajai iestādei izvērtēt personas datu precizitātes, pilnības un ticamības pakāpi, kā arī to, cik lielā mērā tie ir aktuāli.

3. Ja izrādās, ka ir nosūtīti nepareizi personas dati, vai personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē datu saņēmēju. Šādā gadījumā personas datus labo vai dzēš vai ierobežo to izmantošanu saskaņā ar 16. pantu.

1. Dalībvalstis paredz, ka apstrāde ir likumīga tikai tad un tiktāl, ciktāl šī apstrāde ir nepieciešama tā uzdevuma izpildei, ko kompetentā iestāde veic 1. panta 1. punktā minētajos nolūkos, un ka tā balstās uz Savienības vai dalībvalsts tiesībām.

2. Dalībvalsts tiesībās, ar ko regulē apstrādi šīs direktīvas darbības jomā, precizē vismaz apstrādes mērķus, apstrādājamos personas datus un apstrādes nolūkus.

1. Personas datus, ko kompetentās iestādes vāc 1. panta 1. punktā minētajos nolūkos, neapstrādā citos nolūkos, kas nav 1. panta 1. punktā minētie nolūki, izņemot, ja šāda apstrāde ir atļauta Savienības vai dalībvalsts tiesībās. Gadījumos, kad personas datus apstrādā šādos citos nolūkos, piemēro Regulu (ES) 2016/679, ja vien šādu apstrādi neveic darbībā, kura neietilpst Savienības tiesību darbības jomā.

2. Ja kompetentajām iestādēm ar dalībvalsts tiesībām ir uzticēta kādu citu, ne 1. panta 1. punktā izklāstītajos nolūkos veiktu uzdevumu izpilde, tad šādos nolūkos veiktai apstrādei piemēro Regulu (ES) 2016/679, tostarp arhivēšanai sabiedrības interesēs, zinātniskiem vai vēsturiskiem pētījumiem vai statistikas mērķiem, ja vien apstrādi neveic darbībā, kura neietilpst Savienības tiesību darbības jomā.

3. Dalībvalstis paredz, ka tad, kad Savienības vai dalībvalsts tiesībās, ko piemēro nosūtītājai kompetentajai iestādei, ir paredzēti specifiski nosacījumi apstrādei, nosūtītāja kompetentā iestāde par šādiem nosacījumiem un par prasību tos ievērot informē nosūtīto personas datu saņēmēju.

4. Dalībvalstis paredz, ka nosūtītāja kompetentā iestāde 3. punktā minētos nosacījumus nepiemēro saņēmējiem citās dalībvalstīs vai aģentūrās, birojos un struktūrās, kas izveidoti, ievērojot LESD V sadaļas 4. un 5. nodaļu, izņemot tos, kas piemērojami līdzīgām datu nosūtīšanām dalībvalstī, kurā atrodas nosūtītāja kompetentā iestāde.

Personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu apstrāde nolūkā veikt fiziskas personas viennozīmīgu identifikāciju, vai tādu datu apstrāde, kas attiecas uz veselību vai uz fiziskas personas dzimumdzīvi vai seksuālo orientāciju, ir atļauta tikai tad, kad tas ir absolūti nepieciešams, uz to attiecas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, un:

1. Dalībvalstis paredz, ka lēmums, kas balstās tikai uz automātisku apstrādi, tostarp uz profilēšanu, un kas rada nelabvēlīgas juridiskas sekas attiecībā uz datu subjektu vai būtiski viņu ietekmē, ir aizliegts, ja vien tas nav atļauts Savienības vai dalībvalsts tiesībās, kas attiecas uz pārzini un kurās ir paredzētas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, vismaz attiecībā uz tiesībām panākt cilvēka iejaukšanos no pārziņa puses.

2. Šā panta 1. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 10. pantā, izņemot, ja tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.

3. Profilēšana, kas izraisa diskrimināciju pret fiziskām personām, pamatojoties uz īpašu kategoriju personas datiem, kas minēti 10. pantā, ir aizliegta saskaņā ar Savienības tiesībām.

1. Dalībvalstis paredz, ka pārzinis veic pamatotus pasākumus, lai kodolīgā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. pantā minēto informāciju un nodrošinātu visu saziņu saistībā ar 11., 14.–18. un 31. pantu attiecībā uz apstrādi. Informāciju sniedz, izmantojot jebkādus atbilstīgus līdzekļus, tostarp elektroniski. Parasti pārzinis informāciju sniedz tādā pašā veidā, kādā ir iesniegts pieprasījums.

2. Dalībvalstis paredz, ka pārzinis atvieglo datu subjekta tiesību īstenošanu saskaņā ar 11. un 14.–18. pantu.

3. Dalībvalstis paredz, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par turpmākajiem pasākumiem, kas veikti saistībā ar tā pieprasījumu.

4. Dalībvalstis paredz, ka informācija, ko sniedz saskaņā ar 13. pantu, un visa saziņa vai darbība, ko veic, ievērojot ar 11., 14.–18. un 31. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:

a) pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

5. Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 14. vai 16. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

1. Dalībvalstis paredz, ka pārzinis datu subjektam dara pieejamu vismaz šādu informāciju:

e) tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, un personas datu attiecībā uz datu subjektu apstrādes ierobežošanu.

2. Papildus 1. punktā minētajai informācijai dalībvalstis likumā paredz, ka pārzinis datu subjektam konkrētos gadījumos sniedz šādu informāciju, lai datu subjekts varētu īstenot savas tiesības:

b) laikposms, cik ilgi personas dati tiks glabāti, vai – ja tas nav iespējams – kritēriji, kas izmantoti minētā laikposma noteikšanai;

c) attiecīgā gadījumā personas datu saņēmēju kategorijas, tostarp trešajās valstīs vai starptautiskajās organizācijās;

3. Dalībvalstis var pieņemt leģislatīvus pasākumus, lai atliktu, ierobežotu vai nesniegtu informāciju datu subjektam, ievērojot 2. punktu, ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

b) novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

4. Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties jebkurš no 3. punkta apakšpunktiem.

Ņemot vērā 15. pantu, dalībvalstis datu subjektam paredz tiesības saņemt no pārziņa apstiprinājumu par to, vai tiek apstrādāti personas dati, kuri attiecas uz viņu, un, ja tā ir, piekļūt personas datiem un šādai informācijai:

c) personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d) ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai – ja tas nav iespējams – kritēriji, kas izmantoti minētā laikposma noteikšanai;

e) tas, ka pastāv tiesības pieprasīt pārzinim datu subjekta personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu;

1. Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo datu subjekta piekļuves tiesības, ciktāl un tik ilgi, kamēr šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

b) novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

2. Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties 1. punktā minētie izņēmumi.

3. Gadījumos, kas minēti 1. un 2. punktā, dalībvalstis paredz, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no 1. punktā noteiktajiem nolūkiem. Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

4. Dalībvalstis paredz, ka pārzinis dokumentē faktiskos vai juridiskos iemeslus, kuri ir lēmuma pamatā. Minēto informāciju dara pieejamu uzraudzības iestādēm.

1. Dalībvalstis paredz, ka datu subjektam ir tiesības no pārziņa panākt neprecīzu datu subjekta personas datu labošanu bez nepamatotas kavēšanās. Ņemot vērā apstrādes nolūkus, dalībvalstis paredz, ka datu subjektam ir tiesības, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

2. Dalībvalstis liek, lai pārzinis bez nepamatotas kavēšanās dzēš personas datus un nodrošina datu subjektam tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu personas datus, kas uz to attiecas, ja apstrāde pārkāpj noteikumus, kas pieņemti saskaņā ar 4., 8. vai 10. pantu, vai ja personas dati ir jādzēš, lai izpildītu uz pārzini attiecināmu juridisku pienākumu.

Ja apstrāde ir ierobežota, ievērojot pirmās daļas a) apakšpunktu, pārzinis informē datu subjektu pirms apstrādes ierobežojuma atcelšanas.

4. Dalībvalstis paredz, ka pārzinis rakstiski informē datu subjektu par atteikumu labot personas datus, tos dzēst vai ierobežot apstrādi un par atteikuma iemesliem. Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo pienākumu sniegt šādu informāciju tiktāl, ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

b) novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

5. Dalībvalstis paredz, ka pārzinis par neprecīzo personas datu labošanu informē kompetento iestādi, no kuras iegūti neprecīzie personas dati.

6. Dalībvalstis paredz, ka gadījumos, kad personas dati ir tikuši laboti vai dzēsti vai ir ierobežota to apstrāde, ievērojot 1., 2. un 3. punktu, pārzinis paziņo saņēmējiem un saņēmēji personas datus labo vai dzēš vai ierobežo to atbildībā esošo personas datu apstrādi.

Tiesību īstenošana, ko veic datu subjekts, un pārbaude, ko veic uzraudzības iestāde

1. Dalībvalstis 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajos gadījumos pieņem pasākumus, ar ko paredz, ka datu subjekta tiesības var īstenot arī ar kompetentas uzraudzības iestādes starpniecību.

2. Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju īstenot savas tiesības ar uzraudzības iestādes starpniecību, ievērojot 1. punktu.

3. Ja tiek īstenotas 1. punktā minētās tiesības, uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu. Uzraudzības iestāde arī informē datu subjektu par viņa tiesībām vērsties tiesā.

Dalībvalstis var paredzēt, ka 13., 14. un 16. pantā minētās tiesības tiek īstenotas saskaņā ar dalībvalsts tiesībām, ja personas dati ir ietverti tiesas nolēmumā vai reģistrā, vai lietas materiālos, ko apstrādā kriminālizmeklēšanas un kriminālprocesa gaitā.

1. Dalībvalstis paredz, ka pārzinis, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo direktīvu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

2. Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.

1. Dalībvalstis paredz, ka pārzinis, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, kurus rada apstrāde, gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs direktīvas prasības un aizsargāt datu subjektu tiesības.

2. Dalībvalstis paredz, ka pārzinis īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez fiziskās personas līdzdalības nedara pieejamus nenoteiktam fizisko personu skaitam.

1. Dalībvalstis paredz, ka, ja divi vai vairāki pārziņi kopīgi nosaka apstrādes nolūkus un līdzekļus, tie ir kopīgi pārziņi. Tie pārredzamā veidā nosaka savus attiecīgos pienākumus, lai nodrošinātu atbilstību šai direktīvai, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt 13. pantā minēto informāciju, tiem savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti Savienības vai dalībvalsts tiesībās, kas piemērojamas pārziņiem. Ar vienošanos nosaka datu subjektu kontaktpunktu. Dalībvalstis var noteikt, kurš no kopīgajiem pārziņiem var darboties kā vienotais kontaktpunkts, lai datu subjekti īstenotu savas tiesības.

2. Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem dalībvalstis var paredzēt, ka datu subjekts atbilstīgi noteikumiem, kas pieņemti saskaņā ar šo direktīvu, var īstenot savas tiesības attiecībā uz un pret katru pārzini.

1. Dalībvalstis paredz, ka gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstīgi tehniskie un organizatoriskie pasākumi tā, ka apstrādē tiks ievērotas šīs direktīvas prasības un tiks nodrošināta datu subjektu tiesību aizsardzība.

2. Dalībvalstis paredz, ka apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3. Dalībvalstis paredz, ka apstrādi, ko veic apstrādātājs, saskaņā ar Savienības vai dalībvalsts tiesībām reglamentē ar līgumu vai citu juridisku aktu, kas ir saistošs apstrādātājam attiecībā uz pārzini un kurā norāda apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

b) nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts atbilstīgs likumisks pienākums ievērot konfidencialitāti;

c) palīdz pārzinim, izmantojot jebkādus atbilstīgus līdzekļus, lai nodrošinātu atbilstību noteikumiem par datu subjekta tiesībām;

d) pēc datu apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesībās nav paredzēta personas datu glabāšana;

4. Šā panta 3. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstveidā, ieskaitot elektronisko formātu.

5. Ja apstrādātājs, pārkāpjot šo direktīvu, nosaka apstrādes nolūkus un līdzekļus, minēto apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

Dalībvalstis paredz, ka apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus, izņemot gadījumus, kad pārzinis ir devis norādījumus, ja vien tas nav pieprasīts Savienības vai dalībvalsts tiesībās.

1. Dalībvalstis paredz, ka pārziņi uztur reģistru ar visu kategoriju apstrādes darbībām, par kurām tie ir atbildīgi. Minētajā reģistrā ietver visu šādu informāciju:

a) pārziņa, vajadzības gadījumā – visu kopīgo pārziņu un datu aizsardzības speciālista nosaukums un kontaktinformācija;

c) to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

f) attiecīgā gadījumā kategorijas, kurās ietilpst personas datu sūtījumi uz trešo valsti vai starptautiskai organizācijai;

2. Dalībvalstis paredz, ka katrs apstrādātājs uztur reģistru ar visu kategoriju apstrādes darbībām, kas veiktas pārziņa vārdā, un reģistrā ietver šādu informāciju:

a) apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, un vajadzības gadījumā datu aizsardzības speciālista nosaukums un kontaktinformācija;

c) attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, ja pārzinis ir devis skaidrus norādījumus tā rīkoties, tostarp minētās trešās valsts vai starptautiskās organizācijas identifikācija;

3. Šā panta 1. un 2. punktā minētie reģistri tiek vesti rakstveidā, ieskaitot elektronisko formātu.

Pārzinis un apstrādātājs pēc pieprasījuma dara minētos reģistrus pieejamus uzraudzības iestādei.

1. Dalībvalstis paredz, ka ieraksti tiek veikti vismaz par šādām apstrādes darbībām automatizētās apstrādes sistēmās: vākšanu, pārveidošanu, aplūkošanu, izpaušanu, tostarp nosūtīšanu, kombinēšanu un dzēšanu. Ierakstos par aplūkošanu un izpaušanu rada iespēju noteikt šādu darbību pamatojumu, datumu un laiku, un, ciktāl iespējams, tās personas identificēšanu, kura aplūkoja vai izpauda personas datus, kā arī šādu personas datu saņēmēju identitāti.

2. Ierakstus izmanto tikai, lai pārbaudītu apstrādes likumīgumu, veiktu pašuzraudzību, nodrošinātu personas datu integritāti un drošību, un kriminālprocesa vajadzībām.

3. Pārzinis un apstrādātājs šos ierakstus pēc pieprasījuma dara pieejamus uzraudzības iestādei.

Dalībvalstis paredz, ka pārzinis un apstrādātājs pēc pieprasījuma sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē.

1. Ja apstrādes veids, jo īpaši izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, varētu radīt augstu risku fizisko personu tiesībām un brīvībām, dalībvalstis paredz, ka pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību.

2. Šā panta 1. punktā minētajā novērtējumā ietver vismaz plānoto apstrādes darbību vispārīgu aprakstu, novērtējumu par riskiem datu subjektu tiesībām un brīvībām, pasākumus, kas paredzēti minēto risku novēršanai, garantijas, drošības pasākumus un mehānismus, ar kuriem nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī direktīva, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

1. Dalībvalstis paredz, ka pārzinis vai apstrādātājs pirms tādu personas datu apstrādes, ko ietvers jaunizveidotā kartotēkā, apspriežas ar uzraudzības iestādi gadījumos, ja:

a) šīs direktīvas 27. pantā paredzētajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku; vai

b) apstrādes veids, jo īpaši, izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, ir saistīts ar augstu risku datu subjektu tiesībām un brīvībām.

2. Dalībvalstis paredz, ka notiek apspriešanās ar uzraudzības iestādi, kamēr tiek gatavots priekšlikums leģislatīvam pasākumam, ko pieņems valsts parlaments, vai regulatīvs pasākums, kas balstās uz šādu leģislatīvu pasākumu, kurš attiecas uz apstrādi.

3. Dalībvalstis paredz, ka uzraudzības iestāde var izveidot to apstrādes darbību sarakstu, par kurām veic iepriekšēju apspriešanos, ievērojot 1. punktu.

4. Dalībvalstis paredz, ka pārzinis, ievērojot 27. pantu, iesniedz uzraudzības iestādei novērtējumā par ietekmi uz datu aizsardzību un pēc pieprasījuma jebkuru citu informāciju, kas ļauj uzraudzības iestādei izvērtēt apstrādes atbilstību, jo īpaši riskus datu subjekta personas datu aizsardzībai un attiecīgās garantijas.

5. Dalībvalstis paredz, ka gadījumā, ja uzraudzības iestāde uzskata, ka šā panta 1. punktā minētā apstrāde pārkāptu noteikumus, kas pieņemti saskaņā ar šo direktīvu, jo īpaši gadījumos, kad pārzinis nav pietiekami apzinājis vai mazinājis risku, uzraudzības iestāde ilgākais sešu nedēļu laikā pēc apspriešanās pieprasījuma saņemšanas sniedz rakstisku padomu pārzinim un attiecīgā gadījumā apstrādātājam un var izmantot jebkuru no tās 47. pantā minētajām pilnvarām. Minēto laikposmu var pagarināt par vienu mēnesi, ņemot vērā paredzētās apstrādes sarežģītību. Uzraudzības iestāde informē pārzini un attiecīgā gadījumā apstrādātāju par šādiem pagarinājumiem, kā arī par kavēšanās iemesliem viena mēneša laikā pēc apspriešanās pieprasījuma saņemšanas.

1. Dalībvalstis paredz, ka pārzinis un apstrādātājs, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes risku attiecībā uz fizisko personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas ir atbilstīgs riskam, jo īpaši attiecībā uz 10. pantā minēto īpašu kategoriju personas datu apstrādi.

2. Attiecībā uz automatizētu apstrādi katra dalībvalsts paredz, ka pārzinis vai apstrādātājs pēc risku izvērtēšanas īsteno pasākumus, lai:

a) liegtu nepilnvarotām personām pieeju apstrādes iekārtām, kuras izmanto apstrādei (“piekļuves kontrole iekārtām”);

b) novērstu nesankcionētu datu nolasīšanu, kopēšanu, grozīšanu vai datu nesēju izņemšanu (“datu nesēju kontrole”);

c) liegtu neatļautu personas datu ievadīšanu, kā arī liegtu neatļautu saglabāto personas datu apskati, grozīšanu vai dzēšanu (“glabāšanas kontrole”);

d) liegtu izmantot apstrādes automatizētas sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (“lietotāju kontrole”);

e) nodrošinātu, ka personām, kas ir pilnvarotas izmantot apstrādes automatizētu sistēmu, ir piekļuve tikai tiem personas datiem, uz kuriem attiecas viņu piekļuves tiesības (“datu piekļuves kontrole”);

f) nodrošinātu, ka ir iespējams pārbaudīt un noteikt struktūras, kurām personas dati ir vai var tikt nosūtīti vai izpausti, izmantojot datu komunikācijas iekārtas (“komunikācijas kontrole”);

g) nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kādi personas dati ir ievadīti automatizētas apstrādes sistēmās, kā arī personas datu ievadīšanas laiku un ievadītāju (“ievades kontrole”);

h) novērstu nesankcionētu personas datu nolasīšanu, kopēšanu, grozīšanu vai dzēšanu personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (“transportēšanas kontrole”);

j) nodrošinātu, ka sistēma funkcionē tā, ka par darbības kļūdu parādīšanos tiek ziņots (“drošums”) un saglabātie dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (“integritāte”).

1. Dalībvalstis paredz, ka personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisko personu tiesībām un brīvībām. Ja paziņojums uzraudzības iestādei nav sniegts 72 stundu laikā, tam pievieno kavēšanās iemeslu izklāstu.

2. Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.

a) apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b) paziņo datu aizsardzības speciālista nosaukumu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju;

d) apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.

4. Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

5. Dalībvalstis paredz, ka pārzinis dokumentē visus 1. punktā minētos personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu.

6. Dalībvalstis paredz, ka gadījumā, ja personas datu aizsardzības pārkāpums ietver personas datus, ko ir nosūtījis citas dalībvalsts pārzinis vai kas ir nosūtīti citas dalībvalsts pārzinim, 3. punktā minēto informāciju bez nepamatotas kavēšanās paziņo šīs dalībvalsts pārzinim.

1. Dalībvalstis paredz, ka gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisko personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2. Šā panta 1. punktā minētajā paziņojumā datu subjektam, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 30. panta 3. punkta b), c) un d) apakšpunktā minēto informāciju un pasākumus.

3. Šā panta 1. punktā minētais paziņojums datu subjektam nav jāsniedz, ja ir izpildīts kāds no šiem nosacījumiem:

a) pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b) pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c) tas prasītu nesamērīgi lielas pūles. Tādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4. Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

5. Šā panta 1. punktā minēto paziņojumu datu subjektam var atlikt, ierobežot vai nesniegt, ievērojot nosacījumus un pamatojoties uz iemesliem, kas minēti 13. panta 3. punktā.

1. Dalībvalstis paredz, ka pārzinis ieceļ datu aizsardzības speciālistu. Dalībvalstis no minētā pienākuma var atbrīvot tiesas un citas neatkarīgas tiesu iestādes, kad tās pilda tiesas funkcijas.

2. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 34. pantā minētos uzdevumus.

3. Vienu datu aizsardzības speciālistu var iecelt vairākām kompetentām iestādēm, ņemot vērā to organizatorisko uzbūvi un lielumu.

4. Dalībvalstis paredz, ka pārzinis publicē datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei.

1. Dalībvalstis paredz, ka pārzinis nodrošina, ka datu aizsardzības speciālistu pienācīgi un laicīgi iesaista visos jautājumos saistībā ar personas datu aizsardzību.

2. Pārzinis atbalsta datu aizsardzības speciālistu 34. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas.

Dalībvalstis paredz, ka pārzinis datu aizsardzības speciālistam uztic vismaz šādus uzdevumus:

a) informēt un konsultēt pārzini un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo direktīvu un citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību;

b) uzraudzīt atbilstību šai direktīvai, citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību un pārziņa politikai saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c) pēc pieprasījuma sniegt padomu attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 27. pantu;

e) būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, tostarp 28. pantā minēto iepriekšējo apspriešanos, un attiecīgā gadījumā konsultēt par jebkuru citu jautājumu.

Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

1. Dalībvalstis paredz, ka kompetentās iestādes, ievērojot saskaņā ar šo direktīvu pieņemtos valsts noteikumus, jebkādus personas datus, kas tiek apstrādāti vai pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju ir paredzēti apstrādei, tostarp tālākai pārsūtīšanai uz citu trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja ir ievēroti šajā nodaļā izvirzītie nosacījumi, proti:

b) personas dati tiek nosūtīti tādam pārzinim trešā valstī vai starptautiskā organizācijā, kas ir iestāde, kura ir kompetenta 1. panta 1. punktā minētajos nolūkos;

c) ja personas datus ir nosūtījusi vai darījusi pieejamus kāda cita dalībvalsts, tad minētā dalībvalsts ir nosūtīšanai devusi iepriekšēju atļauju saskaņā ar savām valsts tiesībām;

d) Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību saskaņā ar 36. pantu vai, ja tāda lēmuma nav, tiek sniegtas vai pastāv atbilstošas garantijas saskaņā ar 37. pantu, vai ja nav saskaņā ar 36. pantu pieņemta lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju saskaņā ar 37. pantu, ir piemērojamas atkāpes īpašās situācijās saskaņā ar 38. pantu; un

e) ja dati tiek nosūtīti tālāk uz kādu citu trešo valsti vai starptautisku organizāciju, sākotnējo nosūtīšanu veikusī kompetentā iestāde vai kāda cita tās pašas dalībvalsts kompetentā iestāde dod atļauju tālākai nosūtīšanai pēc tam, kad tā ir pienācīgi ņēmusi vērā visus būtiskos faktorus, tostarp noziedzīgā nodarījuma smagumu, mērķi, kādam personas dati sākotnēji tika nosūtīti, un personas datu aizsardzības līmeni trešā valstī vai starptautiskā organizācijā, uz kuru personas dati tiek tālāk nosūtīti.

2. Dalībvalstis paredz, ka nosūtīšana bez citas dalībvalsts iepriekšējas atļaujas saskaņā ar 1. punkta c) apakšpunktu ir atļauta tikai tad, ja personas datu nosūtīšana ir nepieciešama, lai novērstu tiešus un nopietnus draudus kādas dalībvalsts vai trešās valsts sabiedriskajai drošībai vai kādas dalībvalsts būtiskām interesēm, un nav iespējams laikus iegūt iepriekšēju atļauju. Nekavējoties informē iestādi, kas atbildīga par iepriekšējas atļaujas sniegšanu.

3. Visus šīs nodaļas noteikumus piemēro tā, lai nodrošinātu, ka nemazinās ar šo direktīvu nodrošinātais fizisko personu aizsardzības līmenis.

1. Dalībvalstis paredz, ka personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, teritorija vai viens vai vairāki sektori minētajā trešajā valstī, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus faktorus:

a) tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām, un publisko iestāžu piekļuvi personas datiem, kā arī minēto tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva tiesību aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

b) tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un panākšanu, tostarp ar piemērotam izpildes pilnvarām, par palīdzību un konsultācijām datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c) starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas, pieņemot īstenošanas aktu, var nolemt, ka trešā valsts, trešās valsts teritorija, viens vai vairāki konkrēti sektori trešā valstī, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā tiek paredzēts mehānisms periodiskai, vismaz reizi četros gados notiekošai pārskatīšanai, kurā ir ņemtas vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā tiek precizēta tā teritoriālā un sektoriālā piemērošana un attiecīgā gadījumā norādīta šā panta 2. punkta b) apakšpunktā minētā uzraudzības iestāde vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 58. panta 2. punktā.

4. Komisija trešajās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar 3. punktu pieņemto lēmumu darbību.

5. Ja saskaņā ar pieejamo informāciju, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, atklājas, ka kāda trešā valsts, teritorija vai viens vai vairāki sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija vajadzīgā apmērā atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu, pieņemot īstenošanas aktu, bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 58. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 58. panta 3. punktā, pieņem nekavējoties piemērojamus īstenošanas aktus.

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7. Dalībvalstis paredz, ka saskaņā ar 5. punktu pieņemtais lēmums neskar personas datu nosūtīšanu uz attiecīgo trešo valsti, teritoriju vai vienu vairākus konkrētus sektorus minētajā trešā valstī, vai starptautisku organizāciju, ievērojot 37. un 38. pantu.

8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka to aizsardzības līmeņa pietiekamība ir vai vairs nav nodrošināta.

1. Ja nav pieņemts lēmums saskaņā ar 36. panta 3. punktu, dalībvalstis paredz, ka personas datu nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt, ja:

b) pārzinis ir izvērtējis visus apstākļus saistībā ar personas datu nosūtīšanu un secina, ka pastāv atbilstošas garantijas attiecībā uz personas datu aizsardzību.

2. Pārzinis informē uzraudzības iestādi par 1. punkta b) apakšpunktā minēto datu sūtījumu kategorijām.

3. Ja nosūtīšana balstās uz 1. punkta b) apakšpunktu, šādu datu sūtījumu dokumentē, un dokumentāciju pēc pieprasījuma dara pieejamu uzraudzības iestādei, ietverot nosūtīšanas datumu un laiku, informāciju par saņēmēju kompetento iestādi, nosūtīšanas pamatojumu un nosūtītos personas datus.

1. Ja nav lēmuma par aizsardzības līmeņa pietiekamību saskaņā ar 36. pantu vai par atbilstošu garantiju saskaņā ar 37. pantu, dalībvalstis nodrošina, ka personas datu nosūtīšana vai sūtījumu kategorija uz trešo valsti vai starptautisku organizāciju notiek tikai ar nosacījumu, ka nosūtīšana ir vajadzīga:

b) lai aizsargātu leģitīmas datu subjekta intereses gadījumos, kad tā ir noteikts nosūtošās dalībvalsts tiesībās;

e) atsevišķā gadījumā, lai celtu, īstenotu vai aizstāvētu likumīgas prasības saistībā ar 1. panta 1. punktā izklāstītajiem nolūkiem.

2. Personas datus nenosūta, ja nosūtošā kompetentā iestāde konstatē, ka 1. punkta d) un e) apakšpunktā izklāstītās nosūtīšanas gadījumā attiecīgā datu subjekta pamattiesības un pamatbrīvības ir svarīgākas par sabiedrības interesēm.

3. Ja nosūtīšana balstās uz 1. punktu, šādu datu sūtījumu dokumentē, un dokumentāciju pēc pieprasījuma dara pieejamu uzraudzības iestādei, tostarp nosūtīšanas datumu un laiku, informāciju par saņēmēju kompetento iestādi, nosūtīšanas pamatojumu un nosūtītos personas datus.

Personas datu nosūtīšana saņēmējiem, kas veic uzņēmējdarbību trešās valstīs

1. Atkāpjoties no 35. panta 1. punkta b) apakšpunkta un neskarot nevienu no šā panta 2. punktā minētajiem starptautiskajiem nolīgumiem, Savienības vai dalībvalsts tiesībās var paredzēt, ka 3. panta 7. punkta a) apakšpunktā minētās kompetentās iestādes atsevišķos un īpašos gadījumos saņēmējiem, kas veic uzņēmējdarbību trešās valstīs, personas datus tieši var nosūtīt tikai tad, ja ir ievēroti pārējie šīs direktīvas noteikumi un ir izpildīti visi turpmāk minētie nosacījumi:

a) nosūtīšana ir absolūti nepieciešama kāda nosūtošās kompetentās iestādes uzdevuma veikšanai saskaņā ar Savienības vai dalībvalsts tiesībām nolūkos, kas izklāstīti 1. panta 1. punktā;

b) nosūtošā kompetentā iestāde konstatē, ka attiecīgā datu subjekta pamattiesības un pamatbrīvības nav svarīgākas par sabiedrības interesēm, kuru dēļ konkrētajā gadījumā ir nepieciešama nosūtīšana;

c) nosūtošā kompetentā iestāde uzskata, ka nosūtīšana iestādei, kas trešā valstī ir kompetenta 1. panta 1. punktā minētajos nolūkos, ir neefektīva vai nepiemērota, jo īpaši tādēļ, ka nosūtīšana nav paveicama laikus;

d) iestāde, kas ir kompetenta 1. panta 1. punktā minētajos nolūkos trešā valstī, tiek informēta bez nepamatotas kavēšanās, ja vien tas nav neefektīvi vai nepiemēroti;

e) nosūtošā kompetentā iestāde informē saņēmēju par to, kādam konkrētam mērķim vai mērķiem tā personas datus drīkst apstrādāt ar noteikumu, ka šāda datu apstrāde ir vajadzīga.

2. Starptautisks nolīgums, kas minēts 1. punktā, ir jebkurš spēkā esošs divpusējs vai daudzpusējs starptautisks nolīgums starp dalībvalstīm un trešām valstīm par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību.

3. Nosūtošā kompetentā iestāde uzraudzības iestādi informē par datu sūtījumiem saskaņā ar šo pantu.

Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un dalībvalstis veic atbilstošus pasākumus, lai:

a) izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

b) sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņojumus, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas personas datu aizsardzībai un citas pamattiesības un pamatbrīvības;

c) iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir uzlabot starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d) veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz konfliktiem par jurisdikciju ar trešām valstīm.

1. Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šās direktīvas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā (“uzraudzības iestāde”).

2. Katra uzraudzības iestāde palīdz nodrošināt konsekventu šīs direktīvas piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu.

3. Dalībvalstis var paredzēt, ka uzraudzības iestāde, kas izveidota saskaņā ar Regulu (ES) 2016/679, ir šajā direktīvā minētā uzraudzības iestāde un uzņemas atbildību par tās uzraudzības iestādes uzdevumiem, kura ir jāizveido saskaņā ar šā panta 1. punktu.

4. Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, minētā dalībvalsts izraugās uzraudzības iestādi, kas pārstāv šīs iestādes 51. pantā minētajā kolēģijā.

1. Katra dalībvalsts nodrošina, ka katra tās uzraudzības iestāde rīkojas pilnīgi neatkarīgi, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo direktīvu.

2. Dalībvalstis paredz, ka to uzraudzības iestāžu loceklis vai locekļi, pildot tiem uzticētos uzdevumus un īstenojot pilnvaras saskaņā ar šo direktīvu, nav pakļauti nekādai ne tiešai, ne netiešai ārējai ietekmei un ka tie ne no viena nelūdz un nepieņem norādījumus.

3. Dalībvalstu uzraudzības iestāžu locekļi atturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un, esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4. Katra dalībvalsts nodrošina, ka katrai no tās uzraudzības iestādēm ir piešķirti cilvēkresursi, tehniskie un finanšu resursi, telpas un infrastruktūra, kas nepieciešami efektīvai tās uzdevumu izpildei un tās pilnvaru īstenošanai, tostarp arī tādu uzdevumu izpildei un pilnvaru īstenošanai, kuri jāveic saistībā ar savstarpējo palīdzību, sadarbību un dalību kolēģijā.

5. Katra dalībvalstis nodrošina, ka katra no tās uzraudzības iestādēm izvēlas personālu un tai ir pašai savs personāls, kas ir pakļauts attiecīgās uzraudzības iestādes locekļa vai locekļu vadībai.

6. Katra dalībvalstis nodrošina, ka katra no tās uzraudzības iestādēm ir pakļauta tādai finanšu kontrolei, kas neietekmē tās neatkarību, un to, ka tai ir atsevišķs publisks gada budžets, kas var būt daļa no kopējā valsts budžeta.

1. Dalībvalstis paredz, ka katru uzraudzības iestāžu locekli, izmantojot pārredzamu procedūru, amatā ieceļ:

2. Katram loceklim ir tāda kvalifikācija, pieredze un prasmes, jo īpaši personas datu aizsardzības jomā, kādas vajadzīgas, lai pildītu uzticētos pienākumus un īstenotu pilnvaras.

3. Locekļa pienākumi beidzas līdz ar amata pilnvaru termiņa beigām, atkāpjoties no amata vai atlaišanas gadījumā, ievērojot attiecīgās dalībvalsts tiesības.

4. Locekli atbrīvo no amata tikai smaga amata pienākumu pārkāpuma gadījumā vai tad, ja viņš vairs neatbilst nosacījumiem, kas izvirzīti pienākumu pildīšanai.

d) tādu locekļa vai locekļu amata pilnvaru laiku katrā uzraudzības iestādē, kurš ir vismaz četri gadi, izņemot pirmo iecelšanu pēc 2016. gada 6. maija, kad daļēji var iecelt uz īsāku laiku, ja tas ir nepieciešams, lai aizsargātu uzraudzības iestādes neatkarību, šim nolūkam amatā iecelšanas procedūru rīkojot ar laika nobīdi;

e) to, vai katras uzraudzības iestādes locekli vai locekļus var atkārtoti iecelt amatā, un, ja var, tad to, uz cik pilnvaru termiņiem;

f) nosacījumus, ar ko reglamentē locekļa vai locekļu un personāla pienākumus katrā uzraudzības iestādē, aizliegumus attiecībā uz rīcību, ieņemamajiem amatiem un priekšrocībām, kas nav ar tiem savienojami, esot amatā un pēc pilnvaru termiņa beigām, un noteikumus attiecībā uz nodarbinātības pārtraukšanu.

2. Katras uzraudzības iestādes loceklis vai locekļi un personāls saskaņā ar Savienības vai dalībvalsts tiesībām ievēro pienākumu glabāt dienesta noslēpumu, gan esot amatā, gan arī pēc pilnvaru termiņa beigām, attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus vai īstenojot pilnvaras. Viņu pilnvaru laikā minētais pienākums glabāt dienesta noslēpumu jo īpaši attiecas uz fizisku personu ziņojumiem par šīs direktīvas pārkāpumiem.

1. Katra dalībvalsts paredz, ka katra uzraudzības iestādes savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo direktīvu.

2. Katra dalībvalsts paredz, ka katras uzraudzības iestādes kompetencē nav uzraudzīt apstrādes darbības, ko veic tiesa, pildot tiesas funkciju. Dalībvalstis var paredzēt, ka to uzraudzības iestādes nav kompetentas uzraudzīt apstrādes darbības, ko veic citas neatkarīgas tiesu iestādes, pildot tiesas funkciju.

b) veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi;

c) saskaņā ar dalībvalsts tiesībām konsultē valsts parlamentu, valdību un citas iestādes un struktūras par leģislatīviem un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi;

e) pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņa tiesību īstenošanu saskaņā ar šo direktīvu un, ja nepieciešams, šajā ziņā sadarbojas ar citu dalībvalstu uzraudzības iestādēm;

f) izskata datu subjekta, struktūras vai organizācijas, vai asociācijas iesniegtās sūdzības saskaņā ar 55. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

g) pārbauda apstrādes likumīgumu saskaņā ar 17. pantu un saprātīgā termiņā informē datu subjektu par saskaņā ar minētā panta 3. punktu veiktas pārbaudes rezultātiem vai iemesliem, kādēļ pārbaude netika veikta;

h) sadarbojas ar citām uzraudzības iestādēm, tostarp apmainoties ar informāciju, un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs direktīvas piemērošanu un izpildi;

i) veic izmeklēšanu par šīs direktīvas piemērošanu, tostarp pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

j) uzrauga būtiskas norises, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

2. Katra uzraudzības iestāde atvieglo 1. punkta f) apakšpunktā minēto sūdzību iesniegšanu ar tādiem pasākumiem kā, piemēram, nodrošinot sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3. Attiecībā uz datu subjektu un datu aizsardzības speciālistu katra uzraudzības iestāde savus uzdevumus veic bez maksas.

4. Ja pieprasījums ir acīmredzami nepamatots vai pārmērīgs, jo īpaši tā atkārtošanās dēļ, uzraudzības iestāde var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, vai var atteikties veikt pieprasīto darbību. Uzraudzības iestādes pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

1. Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir efektīvas izmeklēšanas pilnvaras. Minētās pilnvaras ietver vismaz pilnvaras iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem, kas tiek apstrādāti, un visai informācijai, kas nepieciešama tās uzdevumu veikšanai.

2. Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir tādas efektīvas korektīvās pilnvaras kā, piemēram:

a) brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti saskaņā ar šo direktīvu pieņemti noteikumi;

b) izdot rīkojumu pārzinim vai apstrādātājam panākt apstrādes darbību atbilstību saskaņā ar šo direktīvu pieņemtiem noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā; jo īpaši izdodot rīkojumu par datu labošanu, apstrādes ierobežošanu vai dzēšanu, ievērojot 16. pantu;

3. Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir efektīvas padomdevēja pilnvaras konsultēt pārzini saskaņā ar 28. pantā minēto iepriekšējas apspriešanās procedūru un pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, tās valdībai vai atbilstoši savas valsts tiesībām – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību.

4. Uzraudzības iestāde atbilstoši šim pantam piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalsts tiesībās saskaņā ar hartu.

5. Katra dalībvalsts likumā paredz, ka tās uzraudzības iestādei ir pilnvaras vērst tiesu iestāžu uzmanību uz šīs direktīvas pārkāpumiem, un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu saskaņā ar šo direktīvu pieņemtos noteikumus.

Dalībvalstis paredz, ka kompetentās iestādes izveido efektīvus mehānismus, lai iedrošinātu konfidenciālu ziņošanu par šīs direktīvas pārkāpumiem.

Katra uzraudzības iestāde par savu darbību sagatavo gada ziņojumu, kurā var būt iekļauts saraksts ar paziņoto pārkāpumu un piemēroto sankciju veidiem. Minētos ziņojumus nosūta valsts parlamentam, valdībai un citām iestādēm, kas izraudzītas dalībvalsts tiesībās. Tos dara pieejamus sabiedrībai, Komisijai un kolēģijai.

1. Katra dalībvalstis nodrošina, ka to uzraudzības iestādes sniedz cita citai attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo direktīvu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt konsultācijas, veikt pārbaudes vai izmeklēšanas.

2. Katra dalībvalstis paredz, ka katra uzraudzības iestāde veic visus atbilstīgos pasākumus, kas nepieciešami, lai bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas atbildētu uz citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgas informācijas par izmeklēšanas gaitu nosūtīšanu.

3. Palīdzības pieprasījumos norāda visu nepieciešamo informāciju, tostarp nolūku un pamatojumu. Apmaiņā iegūto informāciju var izmantot tikai tam nolūkam, kādam tā ir pieprasīta.

4. Uzraudzības iestāde, kurai pieprasījumus adresēts, neatsakās izpildīt pieprasījumu, ja vien:

b) pieprasījuma izpilde pārkāptu šo direktīvu vai Savienības vai dalībvalsts tiesības, ko piemēro uzraudzības iestādei, kas saņēmusi pieprasījumu.

5. Uzraudzības iestāde, kurai pieprasījumus adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem, vai attiecīgā gadījumā par pieprasījuma izpildei veikto pasākumu progresu. Uzraudzības iestāde, kurai pieprasījumus adresēts, sniedz pamatojumu atteikumam izpildīt pieprasījumu, ievērojot 4. punktu.

6. Uzraudzības iestādes, kurām pieprasījumus adresēts, parasti sniedz citas uzraudzības iestādes pieprasīto informāciju elektroniskā veidā, izmantojot standarta formātu.

7. Uzraudzības iestādes, kurām pieprasījumus adresēts, par to darbībām, kas veiktas, ievērojot savstarpējās palīdzības pieprasījumu, neprasa samaksu. Uzraudzības iestādes var vienoties par noteikumiem, kā viena otrai kompensē īpašos izdevumus, kas radušies no savstarpējas palīdzības sniegšanas ārkārtas apstākļos.

8. Komisija, pieņemot īstenošanas aktus, var noteikt šajā pantā minētās savstarpējās palīdzības formātu un procedūras un kārtību, kādā uzraudzības iestādes ar elektroniskiem līdzekļiem savā starpā un ar kolēģiju apmainās informācijā. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 58. panta 2. punktā.

1. Ar Regulu (ES) 2016/679 izveidotā kolēģija šīs direktīvas darbības jomā attiecībā uz apstrādes darbībām īsteno visus šādus uzdevumus:

a) sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tostarp par visiem ierosinātajiem šīs direktīvas grozījumiem;

b) pēc pašas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādu jautājumu, kas attiecas uz šīs direktīvas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs direktīvas konsekventu piemērošanu;

c) izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 47. panta 1. un 3. punktā minēto pasākumu piemērošanu;

d) saskaņā ar šīs daļas b) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 30. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

e) saskaņā ar šīs daļas b) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt paaugstinātu risku fizisku personu tiesībām un brīvībām, kā minēts 31. panta 1. punktā;

g) sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai šādā trešā valstī, teritorijā, konkrētā sektorā vai starptautiskā organizācija vairs netiek nodrošināts pietiekams aizsardzības līmenis;

h) veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

i) veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

j) veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesībām un praksi ar uzraudzības iestādēm visā pasaulē.

Attiecībā uz pirmās daļas g) apakšpunktu Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, teritoriju vai konkrētu nozari minētajā trešajā valstī vai starptautisku organizāciju.

2. Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību.

3. Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 58. panta 1. punktā norādītajai komitejai un publisko tos.

4. Komisija informē kolēģiju par darbību, kas veikta, ņemot vērā kolēģijas sagatavotos atzinumus, pamatnostādnes, ieteikumus un paraugpraksi.

1. Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, dalībvalstis paredz, ka katram datu subjektam ir tiesības iesniegt sūdzību vienā uzraudzības iestādē, ja datu subjekts uzskata, ka personas datu apstrāde, kas uz viņu attiecas, pārkāpj saskaņā ar šo direktīvu pieņemtos noteikumus.

2. Dalībvalstis paredz, ka gadījumā, ja sūdzība nav iesniegta tajā uzraudzības iestādē, kas ir kompetenta saskaņā ar 45. panta 1. punktu, tad uzraudzības iestāde, kurā ir iesniegta sūdzība, to bez nepamatotas kavēšanās nosūta kompetentajai uzraudzības iestādei. Datu subjektu informē par nosūtīšanu.

3. Dalībvalstis paredz, ka tā uzraudzības iestāde, kurā ir iesniegta sūdzība, sniedz turpmāku palīdzību pēc datu subjekta pieprasījuma.

4. Kompetentā uzraudzības iestāde informē datu subjektu par sūdzības izskatīšanas virzību un iznākumu, tostarp par tiesību aizsardzības iespēju tiesā saskaņā ar 53. pantu.

1. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, dalībvalstis fiziskām vai juridiskām personām paredz tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas tās skar.

2. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 45. panta 1. punktu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 52. pantu, izskatīšanas virzību vai rezultātiem.

3. Dalībvalstis paredz, ka prasību pret uzraudzības iestādi ceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde.

Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju

Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tostarp tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 52. pantu, dalībvalstis datu subjektiem paredz tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības, kas izklāstītas saskaņā ar šo direktīvu pieņemtos noteikumos, ir aizskartas personas datu apstrādes rezultātā, kura neatbilst minētajiem noteikumiem.

Dalībvalstis saskaņā ar dalībvalsts procesuālajām tiesībām nodrošina, ka datu subjektam ir tiesības pilnvarot kādu bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesībām, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjektu tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņu vārdā iesniegtu sūdzību un viņu vārdā īstenotu 52., 53. un 54. pantā minētās tiesības.

Dalībvalstis nodrošina, ka jebkurai personai, kurai nodarīts materiāls vai nemateriāls kaitējums nelikumīgas datu apstrādes vai jebkādas rīcības dēļ, kas pārkāpj valsts noteikumus, kas pieņemti, ievērojot šo direktīvu, ir tiesības no personas datu pārziņa vai kādas citas saskaņā ar dalībvalsts tiesībām kompetentas iestādes saņemt kompensāciju par nodarīto kaitējumu.

Dalībvalstis paredz noteikumus par sankcijām, kas piemērojamas par tādu noteikumu pārkāpumiem, kas pieņemti, ievērojot šo direktīvu, un veic visus vajadzīgos pasākumus, lai nodrošinātu to īstenošanu. Paredzētās sankcijas ir iedarbīgas, samērīgas un atturošas.

1. Komisijai palīdz komiteja, kas izveidota ar Regulas (ES) 2016/679 93. pantu. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.

3. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 8. pantu saistībā ar tās 5. pantu.

2. Atsauces uz atcelto lēmumu, kas minēts 1. punktā, uzskata par atsaucēm uz šo direktīvu.

Īpašie noteikumi par personas datu aizsardzību, kas iekļauti Savienības tiesību aktos, kuri tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā stājās spēkā 2016. gada 6. maijā, kuri reglamentē apstrādi starp dalībvalstīm un dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām šīs direktīvas darbības jomā, kas izveidotas, pamatojoties uz Līgumiem, paliek neskarti.

Saistība ar iepriekš noslēgtiem starptautiskiem nolīgumiem par tiesu iestāžu sadarbību krimināllietās un policijas sadarbību

Starptautiskie nolīgumi, kuri ietver personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām un kurus dalībvalstis ir noslēgušas pirms 2016. gada 6. maija, un kuri atbilst Savienības tiesībām, kuras bija piemērojamas pirms minētā datuma, paliek spēkā līdz brīdim, kad tie tiek grozīti, aizstāti vai atsaukti.

1. Komisija līdz 2022. gada 6. maijam un pēc tam reizi četros gados iesniedz šīs direktīvas novērtējuma un pārskata ziņojumus Eiropas Parlamentam un Padomei. Ziņojumus publisko.

2. Saistībā ar 1. punktā minētajiem novērtējumiem un pārskatiem, Komisija jo īpaši pārbauda, kā tiek piemērota un darbojas V nodaļa par personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, īpaši attiecībā uz lēmumiem, kas pieņemti saskaņā ar 36. panta 3. punktu un 39. pantu.

3. Šā panta 1. un 2. punktā minētajos nolūkos Komisija var pieprasīt informāciju no dalībvalstīm un uzraudzības iestādēm.

4. Veicot 1. un 2. punktā minētos novērtējumus un pārskatīšanu, Komisija ņem vērā Eiropas Parlamenta un Padomes viedokļus un atzinumus un tos, kas iegūti no citām attiecīgajām struktūrām un avotiem.

5. Komisija, ja nepieciešams, iesniedz atbilstīgus priekšlikumus, lai izdarītu grozījumus šajā direktīvā, jo īpaši ņemot vērā informācijas tehnoloģiju attīstību un progresu informācijas sabiedrībā.

6. Komisija līdz 2019. gada 6. maijam pārskata citus Savienības pieņemtos tiesību aktus, ar kuriem reglamentē apstrādi, ko kompetentas iestādes veic 1. panta 1. punktā izklāstītajos nolūkos, tostarp tos, kas minēti 60. pantā, lai izvērtētu nepieciešamību tos pielāgot šai direktīvai, un, ja nepieciešams, iesniedz vajadzīgos priekšlikumus minēto aktu grozīšanai, lai nodrošinātu konsekventu pieeju to personas datu aizsardzībai, uz kuriem attiecas šīs direktīvas darbības joma.

1. Dalībvalstis līdz 2018. gada 6. maijam pieņem un publicē normatīvos un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Dalībvalstis tūlīt dara Komisijai zināmus minēto noteikumu tekstus. Tās piemēro minētos noteikumus no 2018. gada 6. maija.

Kad dalībvalstis pieņem minētos noteikumus, tajos ietver atsauci uz šo direktīvu vai arī šādu atsauci pievieno to oficiālajai publikācijai. Dalībvalstis nosaka, kā izdarāma šāda atsauce.

2. Atkāpjoties no 1. punkta, dalībvalsts var paredzēt, ka izņēmuma gadījumos, kas saistīti ar nesamērīgi lielām pūlēm, pirms 2016. gada 6. maija izveidotās automatizētas apstrādes sistēmas tiek saskaņotas ar 25. panta 1. punktu līdz 2023. gada 6. maijam.

3. Atkāpjoties no šā panta 1. un 2. punkta, dalībvalsts var izņēmuma apstākļos šā panta 2. punktā minēto automatizēto apstrādes sistēmu saskaņot ar 25. panta 1. punktu konkrētā termiņā, kas ir vēlāks nekā šā panta 2. punktā minētais termiņš, ja citādi tas radītu nopietnus sarežģījumus kādas konkrētas automatizētas sistēmas darbībā. Attiecīgā dalībvalsts informē Komisiju par minēto nopietno sarežģījumu cēloņiem un sniedz pamatojumu termiņam, kuru tā noteikusi, lai attiecīgo automatizētas apstrādes sistēmu saskaņotu ar 25. panta 1. punktu. Noteiktais termiņš nekādā gadījumā nepārsniedz 2026. gada 6. maiju.

4. Dalībvalstis dara Komisijai zināmus galvenos noteikumus tiesību aktos, kurus tās ir pieņēmušas jomā, uz ko attiecas šī direktīva.

Šī direktīva stājas spēkā nākamajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.