32001R0045



Oficiālais Vēstnesis L 008 , 12/01/2001 Lpp. 0001 - 0022


Eiropas parlamenta un padomes regula (EK) Nr. 45/2001

(2000. gada 18. decembris)

par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Eiropas Kopienas dibināšanas Līgumu un jo īpaši tā 286. pantu,

ņemot vērā Komisijas priekšlikumu [1],

ņemot vērā Ekonomikas un sociālo lietu komitejas atzinumu [2],

rīkojoties saskaņā ar Līguma 251. pantā paredzēto procedūru [3],

tā kā:

(1) Līguma 286. pantā ir paredzēts, ka Kopienas iestādēm un struktūrām jāpiemēro Kopienas tiesību akti par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti.

(2) Lai izveidotu visaptverošu personas datu aizsardzības sistēmu, jānosaka ne tikai datu subjekta tiesības un personas datu apstrādātāju pienākumi, bet arī jāparedz atbilstīgas sankcijas pārkāpējiem un neatkarīgas uzraudzības iestādes īstenota uzraudzība.

(3) Līguma 286. panta 2. punktā noteikts, ka jāizveido neatkarīga uzraudzības iestāde, kas uzrauga minēto Kopienas tiesību aktu piemērošanu attiecībā uz Kopienas iestādēm un struktūrām.

(4) Līguma 286. panta 2. punktā noteikts, ka attiecīgi jāparedz arī citi būtiski noteikumi.

(5) Vajadzīga regula, ar ko personai nodrošina tiesības ar juridisku spēku, precizē to personu pienākumus attiecībā uz datu apstrādi, kuras ir atbildīgas par datu apstrādi Kopienas iestādēs un struktūrās, un izveido neatkarīgu uzraudzības iestādi, kas ir atbildīga par tādas personas datu apstrādes uzraudzību, ko veic Kopienas iestādes un struktūras.

(6) Ir notikusi apspriešanās ar Darba grupu fizisku personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota saskaņā ar 29. pantu Eiropas Parlamenta un Padomes Direktīvā 95/46/EK par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un par šādu datu brīvu apriti [4].

(7) Aizsargājamās personas ir tās, kuru personas datus tā vai cita iemesla dēļ apstrādā Kopienas iestādes vai struktūras, piemēram, tādēļ, ka šīs personas strādā minētajās iestādēs vai struktūrās.

(8) Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu personu. Lai noteiktu, vai persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko personas datu apstrādātājs vai kāda cita persona pamatoti varētu izmantot, lai identificētu attiecīgo personu. Aizsardzības principus nepiemēro datiem, ko sniedz anonīmi — tā, ka datu subjekts vairs nav identificējams.

(9) Direktīvā 95/46/EK noteikts, ka dalībvalstīm jāaizsargā fizisko personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privāto dzīvi attiecībā uz personas datu apstrādi, lai nodrošinātu personas datu brīvu apriti Kopienā.

(10) Eiropas Parlamenta un Padomes 1997. gada 15. decembra Direktīva 97/66/EK par personas datu apstrādi un privātās dzīves aizsardzību telekomunikāciju nozarē [5] precizē un papildina Direktīvu 95/46/EK attiecībā uz personas datu apstrādi telekomunikāciju nozarē.

(11) Dažādi citi Kopienas pasākumi, to skaitā attiecīgo valstu iestāžu un Komisijas savstarpējās palīdzības pasākumi, arī precizē un papildina Direktīvu 95/46/EK tajās nozarēs, uz kurām tie attiecas.

(12) Visā Kopienā attiecībā uz personas datu apstrādi būtu jānodrošina personas pamattiesību un brīvību aizsardzības noteikumu konsekventa un vienveidīga piemērošana.

(13) Mērķis ir nodrošināt personu pamattiesību un brīvību aizsardzības noteikumu efektīvu ievērošanu un personas datu brīvu apriti starp dalībvalstīm un Kopienas iestādēm un struktūrām vai starp Kopienas iestādēm un struktūrām nolūkos, kas saistīti ar to darbību atbilstīgi savai kompetencei.

(14) Tādēļ būtu jāparedz pasākumi, kas ir saistoši Kopienas iestādēm un struktūrām. Šie pasākumi būtu jāpiemēro visu veidu personas datu apstrādei Kopienas iestādēs un struktūrās, ciktāl minētā apstrāde notiek, pildot darbības, kas pilnībā vai daļēji ietilpst Kopienas tiesību aktu darbības jomā.

(15) Ja Kopienas iestādes vai struktūras veic minēto apstrādi, pildot darbības, kas neietilpst šīs regulas darbības jomā un jo īpaši darbības, kas paredzētas Eiropas Savienības Līguma V un VI sadaļā, personu pamattiesību un brīvību aizsardzību nodrošina saskaņā ar Eiropas Savienības Līguma 6. pantu. Piekļuvi dokumentiem, to skaitā nosacījumus attiecībā uz piekļuvi dokumentiem, kas satur personas datus, reglamentē noteikumi, kas pieņemti, pamatojoties uz EK Līguma 255. pantu, kura darbības jomā ietilpst Eiropas Savienības Līguma V un VI sadaļa.

(16) Pasākumi nav jāpiemēro struktūrām, kas izveidotas ārpus Kopienas sistēmas, un Eiropas datu aizsardzības uzraudzītājs nav tiesīgs uzraudzīt personas datu apstrādi šajās struktūrās.

(17) Attiecībā uz personas datu apstrādi Savienībā, efektīvas fizisko personu aizsardzības priekšnoteikums ir to būtisko noteikumu un procedūru konsekvence, kas piemērojamas darbībām dažādās tiesiskajās jomās. Šajā sakarā par pirmo soli ir uzskatāma personas datu aizsardzības pamatprincipu izstrāde tiesiskās sadarbības krimināllietu, policijas un muitas jomā, sekretariāta izveidošana kopējām uzraudzības iestādēm, kas izveidotas saskaņā ar Eiropolakonvenciju, Konvencija par informācijas tehnoloģiju izmantošanu muitā un Šengenas konvencija.

(18) Šai regulai nebūtu jāietekmē dalībvalstu tiesības un pienākumi saskaņā ar direktīvām 95/46/EK un 97/66/EK; tajā nav paredzēts mainīt esošās procedūras un praksi, ko dalībvalstis likumīgi īsteno valsts drošības, nekārtību novēršanas vai noziedzīgu nodarījumu novēršanas, atklāšanas, izmeklēšanas un kriminālvajāšanas jomā, ievērojot Protokolu par Eiropas Kopienu privilēģijām un imunitāti, kā arī starptautiskās tiesības.

(19) Kopienas iestādēm un struktūrām būtu jāinformē dalībvalstu kompetentās iestādes, ja tās uzskata, ka būtu jāpārtver pārraides šo valstu telekomunikāciju tīklos, ievērojot attiecīgajā valstī piemērojamos noteikumus.

(20) Kopienas iestādēm un struktūrām piemērojamajiem noteikumiem būtu jāatbilst tiem, kas paredzēti saistībā ar attiecīgo valstu tiesību aktu saskaņošanu vai citas Kopienas politikas īstenošanu un jo īpaši — savstarpējās palīdzības jomā. Tomēr var rasties vajadzība precizēt vai papildināt minētos noteikumus, lai nodrošinātu aizsardzību, Kopienas iestādēm un struktūrām apstrādājot personas datus.

(21) Tas attiecas uz to fizisko personu tiesībām, kuru datus apstrādā, uz to Kopienas iestāžu un struktūru pienākumiem, kas veic apstrādi, un uz tās neatkarīgās uzraudzības iestādes pilnvarām, kura ir atbildīga par šīs regulas pienācīgas piemērošanas nodrošināšanu.

(22) Datu subjektam piešķirtajām tiesībām un to īstenošanai nebūtu jāietekmē pienākumi, kas uzticēti personai, kas ir atbildīga par datu apstrādi.

(23) Neatkarīgajai uzraudzības iestādei būtu jāveic tās uzraudzības funkcijas saskaņā ar Līgumu un, ievērojot cilvēktiesības un pamatbrīvības. Tai būtu jāveic izmeklēšana, ievērojot Protokolu par Eiropas Kopienu privilēģijām un imunitāti un Eiropas Kopienu Civildienesta noteikumus, kā arī Kopienu pārējo darbinieku nodarbināšanas kārtību.

(24) Būtu jāparedz vajadzīgie tehniskie pasākumi, lai ar neatkarīgās uzraudzības iestādes starpniecību ļautu piekļūt apstrādes darbību reģistriem, ko ved datu aizsardzības inspektori.

(25) Neatkarīgās uzraudzības iestādes lēmumi par šajā regulā paredzētajiem izņēmumiem, garantijām, atļaujām un nosacījumiem attiecībā uz datu apstrādi būtu jāpublicē darbības pārskatā. Neatkarīgā uzraudzības iestāde var publicēt ziņojumus par konkrētiem jautājumiem neatkarīgi no darbības gada pārskata publicēšanas.

(26) Konkrētas apstrādes darbības, kas var īpaši apdraudēt datu subjekta tiesības un brīvības, iepriekš pārbauda neatkarīgā uzraudzības iestāde. Atzinumam, ko sniedz sakarā ar minēto iepriekšējo pārbaudi, tostarp atzinumam, kas izriet no atbildes nesniegšanas noteiktajā termiņā, nebūtu jāattiecas uz neatkarīgās uzraudzības iestādes pilnvaru turpmāko īstenošanu attiecībā uz minēto apstrādi.

(27) Personas datu apstrāde, pildot uzdevumus, ko Kopienas iestādes un struktūras veic sabiedrības interesēs, ietver to personas datu apstrādi, kas vajadzīgi šo iestāžu un struktūru pārvaldībai un funkcionēšanai.

(28) Dažos gadījumos datu apstrāde būtu jāatļauj ar Kopienas noteikumiem vai tiesību aktiem, ar ko transponē Kopienas noteikumus. Pārejas posmā, kamēr nav pieņemti šādi noteikumi, Eiropas datu aizsardzības uzraudzītājs tomēr var atļaut minēto datu apstrādi ar noteikumu, ka ir paredzēti pietiekami aizsardzības pasākumi. To darot, jo īpaši būtu jāņem vērā noteikumi, ko līdzīgos gadījumos paredzējušas dalībvalstis.

(29) Minētie gadījumi attiecas uz tādu datu apstrādi, kas norāda uz rasi vai etnisko izcelsmi, politiskajiem uzskatiem, reliģisko vai filosofisko pārliecību vai piederību arodbiedrībai, kā arī datu par veselību vai seksuālo dzīvi apstrādi, kas jāveic, ievērojot par datu apstrādi atbildīgās personas specifiskās tiesības un pienākumus darba tiesību jomā, vai būtisku sabiedrības interešu dēļ. Tie attiecas arī uz tādu datu apstrādi, kas saistīti ar nodarījumiem, sodāmību vai drošības pasākumiem un atļauju piemērot datu subjektam lēmumu, kas viņam rada tiesiskas sekas vai ievērojami skar tā intereses un kura pamatā ir tikai tādu datu automātiska apstrāde, kas paredzēti dažu tādu personisku aspektu novērtēšanai, kas attiecas uz viņu.

(30) Lai novērstu neatļautu lietošanu, var rasties vajadzība uzraudzīt datortīklus, kuru lietošanu kontrolē Kopienas iestādes un struktūras. Eiropas datu aizsardzības uzraudzītājam būtu jānosaka, vai un ar kādiem nosacījumiem tas ir iespējams.

(31) Atbildību, kas izriet no šīs regulas noteikumu pārkāpšanas, reglamentē Līguma 288. panta otrā daļa.

(32) Katrā Kopienas iestādē vai struktūrā vienam vai vairākiem datu aizsardzības inspektoriem būtu jānodrošina šīs regulas noteikumu piemērošana un par datu apstrādi atbildīgās personas jākonsultē attiecībā uz viņu pienākumu izpildi.

(33) Saskaņā ar 21. pantu Padomes 1997. gada 17. februāra Regulā (EK) Nr. 322/97 par Kopienas statistiku [6], minēto regulu piemēro, neskarot Direktīvu 95/46/EK.

(34) Saskaņā ar 8. panta 8. punktu Padomes 1998. gada 23. novembra Regulā (EK) Nr. 2533/98 par Eiropas Centrālās bankas vāktajiem statistikas datiem [7], minēto regulu piemēro, neskarot Direktīvu 95/46/EK.

(35) Saskaņā ar 1. panta 2. punktu Padomes 1990. gada 11. jūnija Regulā (Euratom, EEK) Nr. 1588/90 par statistiski slepenu datu nosūtīšanu Eiropas Kopienu Statistikas birojam [8], minētā regula neatkāpjas no īpašajiem Kopienas vai attiecīgo valstu noteikumiem attiecībā uz tāda slepenuma aizsardzību, kas nav statistikas datu slepenums.

(36) Šīs regulas mērķis nav ierobežot dalībvalstu rīcības brīvību, izstrādājot attiecīgo valstu tiesību aktus par datu aizsardzību saskaņā ar Direktīvas 95/46/EK 32. pantu, ievērojot Līguma 249. pantu,

IR PIEŅĒMUŠI ŠO REGULU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Regulas mērķis

1. Saskaņā ar šo regulu iestādes un struktūras, kas izveidotas ar Eiropas Kopienu dibināšanas līgumiem vai, pamatojoties uz tiem, še turpmāk — "Kopienas iestādes un struktūras", aizsargā fizisku personu pamattiesības un brīvības, un jo īpaši viņu tiesības uz privāto dzīvi saistībā ar personas datu apstrādi, kā arī neierobežo un neaizliedz personas datu brīvu apriti to starpā vai ar saņēmējiem, uz ko attiecas atbilstīgie dalībvalstu normatīvie akti, ar kuriem īsteno Direktīvu 95/46/EK.

2. Ar šo regulu izveidotā neatkarīgā uzraudzības iestāde, še turpmāk — Eiropas datu aizsardzības uzraudzītājs, uzrauga šīs regulas noteikumu piemērošanu attiecībā uz visām apstrādes darbībām, ko veic Kopienas iestāde vai struktūra.

2. pants

Definīcijas

Šajā regulā:

a) "personas dati" ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, še turpmāk — "datu subjekts"; identificējama persona ir persona, ko var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikācijas numuru vai vienu vai vairākiem faktoriem, kas ir raksturīgi tās fiziskajai, fizioloģiskajai, garīgajai, ekonomiskajai, kultūras vai sociālajai identitātei;

b) "personas datu apstrāde", še turpmāk — "apstrāde", ir visas darbības ar personas datiem vai darbību kopums, kas ir vai nav automātiskas, piemēram, vākšana, reģistrēšana, organizēšana, uzglabāšana, adaptēšana vai mainīšana, izguve, konsultēšana, izmantošana, izpaušana pārraidot, izplatīšana vai pieejamības nodrošināšana citā veidā, saskaņošana vai kombinēšana, bloķēšana, izdzēšana vai iznīcināšana;

c) "personas datu reģistrācijas sistēma", še turpmāk — "reģistrācijas sistēma", ir jebkāds strukturēts personas datu kopumus, kas ir pieejams pēc īpašiem kritērijiem — centralizēti, decentralizēti vai izkliedēti atbilstīgi funkcijām vai ģeogrāfiskajam izvietojumam;

d) "par datu apstrādi atbildīgā persona" ir Kopienas iestāde vai struktūra, ģenerāldirektorāts, nodaļa vai cita organizatorisku vienība, kas viena pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un līdzekļus; ja apstrādes mērķus un līdzekļus nosaka ar īpašu Kopienas tiesību aktu, ar šo Komisijas tiesību aktu var nozīmēt par personas datu apstrādi atbildīgo personu vai paredzēt tās nozīmēšanas īpašos kritērijus;

e) "apstrādātājs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai cita struktūra, kas apstrādā personas datus par apstrādi atbildīgās personas uzdevumā;

f) "trešā persona" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai struktūra, kas nav datu subjekts, par apstrādi atbildīgā persona, apstrādātājs vai persona, kam atļauts apstrādāt datus saskaņā ar tiešu par apstrādi atbildīgās personas vai apstrādātāja atļauju;

g) "saņēmējs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai cita iestāde, kurai izpauž datus, neatkarīgi no tā, vai tā ir trešā persona vai nav; iestādes, kas var saņemt datus saistībā ar konkrētu izmeklēšanu, tomēr neuzskata par saņēmējiem;

h) "datu subjekta piekrišana" ir visi labprātīgi sniegti, konkrēti un pamatoti gribas izteikumi, ar ko datu subjekts dod piekrišanu to personas datu apstrādei, kas attiecas uz viņu.

3. pants

Darbības joma

1. Šo regulu piemēro attiecībā uz personas datu apstrādi visās Kopienas iestādēs un struktūrās, ciktāl minētā apstrāde notiek, pildot darbības, kas pilnībā vai daļēji ietilpst Kopienas tiesību aktu darbības jomā.

2. Šo regulu piemēro tādu personas datu pilnīgi vai daļēji automātiskai apstrādei un apstrādei, ko neveic automātiski, kuri ietilpst reģistrācijas sistēmā vai paredzēti iekļaušanai tajā.

II NODAĻA

VISPĀRĪGI NOTEIKUMI ATTIECĪBĀ UZ PERSONAS DATU APSTRĀDES LIKUMĪBU

1. IEDAĻA

PRINCIPI, KAS ATTIECAS UZ DATU KVALITĀTI

4. pants

Datu kvalitāte

1. Personas datiem jābūt:

a) godprātīgi un likumīgi apstrādātiem;

b) vāktiem konkrētiem, skaidriem un likumīgiem nolūkiem, un to turpmāka apstrāde nav notikusi veidā, kas nav savienojams ar minētajiem nolūkiem. Personas datu turpmāku apstrādi vēstures, statistikas vai zinātnes nolūkos neuzskata par nesavienojamu, ja par datu apstrādi atbildīgā persona nodrošina atbilstīgus aizsardzības pasākumus jo īpaši, lai nodrošinātu to, ka datus neapstrādā citos nolūkos vai neizmanto, pamatojot pasākumus vai lēmumus attiecībā uz konkrētām personām;

c) adekvātiem, atbilstīgiem un ne pārlieku apjomīgiem, ņemot vērā nolūkus, kādos tos vāc un/vai pēc tam apstrādā;

d) precīziem un vajadzības gadījumā tie jāatjaunina; jāveic visi atbilstīgie pasākumi, lai nodrošinātu to datu izdzēšanu vai izlabošanu, kuri nav precīzi vai ir nepilnīgi, ņemot vērā mērķus, kādiem tie ir savākti vai kādiem nolūkiem tos turpmāk apstrādā;

e) glabātiem formā, kas ļauj identificēt datu subjektus ne ilgāk, kā vajadzīgs nolūkiem, kādos dati ir savākti vai kādos tos pēc tam apstrādā. Kopienas iestāde vai struktūra paredz, ka personas dati, kas uzglabājami ilgāku laiku izmantošanai vēstures, statistikas vai zinātnes nolūkā, būtu jāglabā vai nu tikai anonīmā formā vai, ja tas nav iespējams, tikai ar šifrētu datu subjektu identitāti. Jebkurā gadījumā datus izmanto tikai vēstures, statistikas vai zinātnes nolūkos.

2. Par datu apstrādi atbildīgajai personai jānodrošina šā panta 1. punkta ievērošana.

2. IEDAĻA

DATU APSTRĀDES LIKUMĪGUMA KRITĒRIJI

5. pants

Apstrādes likumīgums

Personas datus drīkst apstrādāt tikai tad, ja:

a) apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs, pamatojoties uz Eiropas Kopienu dibināšanas līgumiem vai citiem juridiskiem aktiem, kuri pieņemti uz šo līgumu pamata, vai, likumīgi īstenojot oficiālas pilnvaras, kas uzticētas Kopienas iestādei vai struktūrai vai trešai personai, kam izpauž datus, vai

b) apstrāde ir vajadzīga, lai ievērotu juridiskus pienākumus, kas jāpilda par apstrādi atbildīgajai personai, vai

c) apstrāde ir vajadzīga, lai izpildītu līgumu, kur viena līgumslēdzēja puse ir datu subjekts, vai arī, lai pirms līguma noslēgšanas veiktu pasākumus pēc datu subjekta pieprasījuma, vai

d) datu subjekts nepārprotami ir devis savu piekrišanu, vai

e) apstrāde ir vajadzīga, lai aizsargātu datu subjekta īpaši svarīgas intereses.

6. pants

Nolūka maiņa

Neskarot 4., 5. un 10. pantu:

1. Personas datus apstrādā citā nolūkā, nevis tajā, kādā tie ir savākti, tikai tad, ja nolūka maiņa ir skaidri atļauta Kopienas iestādes vai struktūras iekšējos noteikumos.

2. Personas datus, ko vāc tikai apstrādes sistēmu vai darbību drošībai vai kontroles nodrošināšanai, neizmanto citā nolūkā, izņemot smagu noziedzīgu nodarījumu novēršanu, atklāšanu, izmeklēšanu vai kriminālvajāšanu.

7. pants

Personas datu nosūtīšana Kopienas iestādēs vai struktūrās vai starp tām

Neskarot 4., 5., 6. un 10. pantu:

1. Personas datus Kopienas iestādēs vai struktūrās vai to starpā nosūta tikai tad, ja dati ir vajadzīgi saņēmēja kompetencē ietilpstošo uzdevumu likumīgai izpildei.

2. Ja datus nosūta pēc saņēmēja pieprasījuma, gan persona, kas atbild par datu apstrādi, gan saņēmējs uzņemas atbildību par šīs sūtīšanas likumību.

Par datu apstrādi atbildīgajai personai jāpārbauda saņēmēja kompetence un provizoriski jānovērtē datu sūtīšanas nepieciešamība. Ja rodas šaubas par tās nepieciešamību, par datu apstrādi atbildīgā persona pieprasa no saņēmēja papildu informāciju.

Saņēmējs nodrošina to, ka pēc tam var pārbaudīt datu sūtīšanas nepieciešamību.

3. Saņēmējs apstrādā personas datus tikai nolūkā, kādā tie ir sūtīti.

8. pants

Personas datu nosūtīšana saņēmējiem, kas nav Kopienas iestādes un struktūras un kam piemēro Direktīvu 95/46/EK

Neskarot 4., 5., 6. un 10. pantu, personas datus nosūta tikai tiem saņēmējiem, uz kuriem attiecas valsts tiesību akti, kas pieņemti Direktīvas 95/46/EK īstenošanai,

a) ja saņēmējs pierāda, ka dati ir vajadzīgi, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai kas ir saistīts ar valsts varas īstenošanu, vai

b) ja saņēmējs pierāda vajadzību nosūtīt datus un nav pamata pieņemt, ka varētu tikt ierobežotas datu subjekta likumīgās intereses.

9. pants

Personas datu nosūtīšana saņēmējiem, kas nav Kopienas iestādes un struktūras un uz ko neattiecas Direktīva 95/46/EK

1. Personas datus nosūta saņēmējiem, kas nav Kopienas iestādes un struktūras un nav pakļauti attiecīgās valsts tiesību aktiem, kuri pieņemti saskaņā ar Direktīvu 95/46/EK, tikai tad, ja saņēmēja valstī vai saņēmēja starptautiskajā organizācijā ir nodrošināts atbilstīgs aizsardzības līmenis un datus sūta tikai, lai varētu izpildīt uzdevumus, kas ietilpst par datu apstrādi atbildīgās personas kompetencē.

2. Trešās valsts vai starptautiskas organizācijas piedāvātā aizsardzības līmeņa atbilstību novērtē, ņemot vērā visus apstākļus, kas saistīti ar datu vai datu kopuma nosūtīšanu; jo īpaši ņem vērā datu īpatnības, piedāvātās apstrādes darbības vai darbību nolūku un ilgumu, saņēmēju trešo valsti vai starptautisko organizāciju, vispārīgo un speciālo tiesību aktu noteikumus, kas ir spēkā attiecīgajā trešajā valstī vai starptautiskajā organizācijā, kā arī profesionālās darbības noteikumus un drošības pasākumus, ko ievēro minētajā trešajā valstī vai starptautiskajā organizācijā.

3. Kopienas iestādes un struktūras informē Komisiju un Eiropas datu aizsardzības uzraudzītāju par gadījumiem, kuros pēc šo iestāžu un struktūru domām attiecīgā trešā valsts vai starptautiskā organizācija nenodrošina atbilstīgu aizsardzības līmeni 2. punkta nozīmē.

4. Komisija informē dalībvalstis par visiem 3. punktā minētajiem gadījumiem.

5. Kopienas iestādes un struktūras veic visus vajadzīgos pasākumus, lai ievērotu Komisijas pieņemtos lēmumus, kuros tā saskaņā ar Direktīvas 95/46/EK 25. panta 4. un 6. punktu nosaka, ka trešā valsts vai starptautiska organizācija nodrošina vai nenodrošina atbilstīgu aizsardzības līmeni.

6. Atkāpjoties no 1. un 2. punkta, Kopienas iestāde vai struktūra var nosūtīt personas datus, ja:

a) datu subjekts nepārprotami ir piekritis iecerētajai nosūtīšanai; vai

b) nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un par datu apstrādi atbildīgo personu vai īstenotu pasākumus pirms līguma noslēgšanas, atbildot uz datu subjekta pieprasījumu; vai

c) nosūtīšana ir vajadzīga, lai noslēgtu vai izpildītu līgumu, ko datu subjekta interesēs slēdz par datu apstrādi atbildīgā persona un trešā persona; vai

d) nosūtīšana ir vajadzīga vai tiesiski pamatota saskaņā ar svarīgām sabiedrības interesēm, vai tāpēc, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; vai

e) nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta īpaši svarīgas intereses; vai

f) nosūtīšanu izdara no reģistra, kas saskaņā ar Kopienas tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un ko konsultēšanās nolūkā var izmantot sabiedrība kopumā vai personas, kas var pierādīt, ka tām ir likumīgas intereses, ciktāl konkrētajā gadījumā tiek pildīti Kopienas tiesību aktos paredzētie nosacījumi attiecībā uz konsultāciju sniegšanu.

7. Neskarot 6. punktu, Eiropas datu aizsardzības uzraudzītājs var atļaut veikt personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu uz trešo valsti vai starptautisku organizāciju, kas nenodrošina atbilstīgu aizsardzības līmeni 1. un 2. punkta nozīmē, ja par datu apstrādi atbildīgā persona sniedz atbilstīgas garantijas attiecībā uz personu privātās dzīves un pamattiesību un brīvību aizsardzību, kā arī atbilstīgo tiesību īstenošanu; minētās garantijas jo īpaši var izrietēt no atbilstīgiem līguma noteikumiem.

8. Kopienas iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kad tās piemērojušas 6. un 7. punktu.

3. IEDAĻA

ĪPAŠAS APSTRĀDES KATEGORIJAS

10. pants

Īpašu kategoriju datu apstrāde

1. Aizliegts apstrādāt personas datus, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filosofisko pārliecību, piederību arodbiedrībām, kā arī datus, kas attiecas uz veselību vai seksuālo dzīvi.

2. Šā panta 1. punktu nepiemēro, ja:

a) datu subjekts ir nepārprotami piekritis minēto datu apstrādei, izņemot gadījumus, kad Kopienas iestādes vai struktūras iekšējie noteikumi paredz, ka datu subjekta piekrišana neatceļ 1. punktā minēto aizliegumu, vai

b) apstrāde ir vajadzīga, lai ņemtu vērā par datu apstrādi atbildīgās personas īpašās tiesības un pienākumus darba tiesību jomā, ciktāl to atļauj Eiropas Kopienu dibināšanas līgumi vai citi juridiski akti, kuri pieņemti uz to pamata, vai pēc vajadzības, ciktāl tas saskaņots ar Eiropas datu aizsardzības uzraudzītāju, piemērojot atbilstīgus aizsardzības pasākumus, vai

c) apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, ja datu subjekts fiziski vai juridiski nav spējīgs dot savu piekrišanu, vai

d) apstrāde attiecas uz datiem, ko datu subjekts acīmredzami ir publiskojis vai kas vajadzīgi, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai

e) veicot likumīgas darbības un nodrošinot atbilstīgu aizsardzību, apstrādi veic bezpeļņas organizācija, kas ir integrēta Kopienas iestādē vai struktūrā, saskaņā ar Direktīvas 95/46/EK 4. pantu nav pakļauta attiecīgās valsts datu aizsardzības tiesību aktiem un dara to ar politisku, filosofisku, reliģisku vai ar arodbiedrībām saistītu mērķi, un ar nosacījumu, ka apstrāde attiecas tikai uz šīs organizācijas locekļiem vai personām, kas ar šo organizāciju uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjektu piekrišanas datus neizpauž trešām personām.

3. Šā panta 1. punktu nepiemēro, ja datu apstrāde jāveic profilaktiskās medicīnas, medicīniskās diagnostikas, aprūpes vai ārstēšanas nodrošināšanas vai veselības aprūpes pakalpojumu pārvaldības nolūkos un ja šos datus apstrādā medicīnas darbinieks, kura pienākums ir glabāt dienesta noslēpumu, vai cita persona, kam ir līdzvērtīgs pienākums glabāt noslēpumu.

4. Ievērojot noteikumu par atbilstīgiem aizsardzības pasākumiem, kā arī svarīgu sabiedrības interešu dēļ, Eiropas Kopienu dibināšanas līgumos vai citos juridiskos aktos, kas pieņemti uz to pamata, vai pēc vajadzības — ar Eiropas datu aizsardzības uzraudzītāja lēmumu papildus 2. punktā noteiktajiem izņēmumiem var paredzēt citus izņēmumus.

5. Datus, kas attiecas uz pārkāpumiem, sodāmību vai drošības pasākumiem, var apstrādāt tikai tad, ja to atļauj Eiropas Kopienas dibināšanas līgumi vai citi juridiski akti, kas pieņemti uz to pamata, vai pēc vajadzības — Eiropas datu aizsardzības uzraudzītājs, nodrošinot atbilstīgus īpašus aizsardzības pasākumus.

6. Eiropas datu aizsardzības uzraudzītājs paredz nosacījumus, saskaņā ar kuriem Kopienas iestāde vai struktūra var apstrādāt personas kodu vai citu vispārpiemērojamu identifikatoru.

4. IEDAĻA

DATU SUBJEKTAM SNIEDZAMĀ INFORMĀCIJA

11. pants

Sniedzamā informācija, ja dati ir iegūti no datu subjekta

1. Par apstrādi atbildīgā persona sniedz vismaz šādu informāciju datu subjektam, no kura ir ievākti uz viņu attiecošies dati, izņemot gadījumus, kad viņam jau ir pieejama minētā informācija:

a) par apstrādi atbildīgās personas identitāte;

b) tās apstrādes, kurai paredzēti dati, mērķis;

c) datu saņēmēji vai datu saņēmēju kategorijas;

d) norāde par to, vai atbildes jāsniedz obligāti vai brīvprātīgi, kā arī iespējamās atbildes nesniegšanas sekas;

e) par tiesībām piekļūt datiem, kas uz viņu attiecas, kā arī tiesībām šos datus labot;

f) papildu informācija, piemēram:

i) tās apstrādes, kurai paredzēti dati, tiesiskais pamats,

ii) datu uzglabāšanas termiņš,

iii) tiesības jebkurā laikā griezties ar prasību pie Eiropas datu aizsardzības uzraudzītāja,

ciktāl minētā papildu informācija ir vajadzīga, ņemot vērā īpašos apstākļus, kādos datus ievāc, lai garantētu godprātīgu apstrādi attiecībā uz datu subjektu.

2. Atkāpjoties no 1. punkta, informācijas vai tās daļas sniegšanu, izņemot 1. punkta a), b) un d) apakšpunktā minēto informāciju, var atlikt tik ilgi, cik tas vajadzīgs statistikas nolūkos. Informācija ir jāsniedz, tiklīdz vairs nepastāv iemesls, kura dēļ informācija ir aizturēta.

12. pants

Sniedzamā informācija, ja dati nav iegūti no datu subjekta

1. Ja dati nav iegūti no datu subjekta, par datu apstrādi atbildīgā persona, reģistrējot personas datus, vai, ja datus paredzēts izpaust trešai personai, ne vēlāk kā tos izpaužot pirmo reizi, sniedz datu subjektam vismaz šādu informāciju, izņemot gadījumus, kad viņam šī informācija jau ir pieejama:

a) par apstrādi atbildīgās personas identitāte;

b) apstrādes nolūki;

c) attiecīgo datu kategorijas;

d) saņēmēji vai saņēmēju kategorijas;

e) par tiesībām piekļūt datiem, kas uz viņu attiecas, kā arī tiesībām šos datus labot;

f) papildu informācija, piemēram:

i) tās apstrādes, kurai paredzēti dati, tiesiskais pamats,

ii) datu uzglabāšanas termiņš,

iii) tiesības jebkurā laikā griezties pie Eiropas datu aizsardzības uzraudzītāja,

iv) datu izcelsme, izņemot gadījumus, kad par apstrādi atbildīgā persona nevar izpaust šo informāciju dienesta noslēpuma dēļ,

ciktāl ir vajadzīga minētā papildu informācija, ņemot vērā īpašos apstākļus, kādos datus apstrādā, lai garantētu godprātīgu apstrādi attiecībā uz datu subjektu.

2. Šā panta 1. punktu nepiemēro, apstrādājot datus statistikai vai vēsturisku vai zinātnisku pētījumu nolūkos, ja minētās informācijas sniegšana nav iespējama vai prasītu nesamērīgus pūliņus, vai reģistrācija un izpaušana ir nepārprotami paredzēta Kopienas tiesību aktos. Tādos gadījumos pēc apspriešanās ar Eiropas datu aizsardzības uzraudzītāju Kopienas iestāde vai struktūra nodrošina atbilstīgus aizsardzības pasākumus.

5. IEDAĻA

DATU SUBJEKTA TIESĪBAS

13. pants

Piekļuves tiesības

Datu subjektam ir tiesības bez ierobežojumiem jebkurā laikā un bez maksas no personas, kas atbild par datu apstrādi, trīs mēnešu laikā pēc pieprasījuma saņemšanas, iegūt:

a) apstiprinājumu tam, vai dati, kas uz viņu attiecas, tiek vai netiek apstrādāti;

b) informāciju vismaz par apstrādes nolūkiem, attiecīgo datu kategorijām un saņēmējiem vai saņēmēju kategorijām, kam datus izpauž;

c) apstrādājamos datus saprotamā formā, kā arī visu pieejamo informāciju par šo datu avotu;

d) informāciju par loģiku, ko ietver visi automatizētās lēmumu pieņemšanas procesi, kuri attiecas uz datu subjektu.

14. pants

Izlabošana

Datu subjektam ir tiesības prasīt, lai par datu apstrādi atbildīgā persona nekavējoties izlabo neprecīzus vai nepilnīgus personas datus.

15. pants

Bloķēšana

1. Datu subjektam ir tiesības prasīt, lai par datu apstrādi atbildīgā persona bloķē datus, ja:

a) datu subjekts apstrīd datu precizitāti — uz laiku, kurā par datu apstrādi atbildīgā persona pārbauda datu precizitāti, to skaitā pilnīgumu, vai

b) par datu apstrādi atbildīgajai personai tie vairs nav vajadzīgi, lai veiktu savus uzdevumus, bet tie ir jāsaglabā kā pierādījumi, vai

c) apstrāde ir nelikumīga, un datu subjekts iebilst pret datu izdzēšanu, tā vietā pieprasot bloķēšanu.

2. Automatizētajās reģistrācijas sistēmās bloķēšanu principā nodrošina ar tehniskiem paņēmieniem. To, ka personas dati ir bloķēti, sistēmā atspoguļo tā, ka kļūst skaidrs, ka personas datus nedrīkst izmantot.

3. Izņemot uzglabāšanu, personas datus, kas bloķēti saskaņā ar šo pantu, apstrādā tikai pierādīšanas nolūkos vai ar datu subjekta piekrišanu, vai aizsargājot trešās personas tiesības.

4. Pirms datu atbloķēšanas par apstrādi atbildīgā persona par to informē datu subjektu, kurš ir pieprasījis un panācis savu datu bloķēšanu.

16. pants

Izdzēšana

Datu subjektam ir tiesības prasīt, lai par datu apstrādi atbildīgā persona izdzēš datus, ja to apstrāde nav likumīga, jo īpaši, ja ir pārkāpti II nodaļas 1., 2. un 3. iedaļas noteikumi.

17. pants

Paziņošana trešām personām

Datu subjektam ir tiesības prasīt, lai par apstrādi atbildīgā persona paziņo trešām personām, kurām izpausti dati, par datu labošanu, izdzēšanu vai bloķēšanu, ievērojot 13. līdz 16. pantu, ja vien tas nav neiespējams vai neprasa nesamērīgus pūliņus.

18. pants

Datu subjekta tiesības iebilst

Datu subjektam ir tiesības:

a) jebkurā laikā iebilst pret datu, kas uz viņu attiecas, apstrādi, ja tam ir likumīgs pamatojums, kurš saistīts ar viņa konkrēto stāvokli, izņemot gadījumus, kas paredzēti 5. panta b), c) un d) apakšpunktā. Ja iebildums ir pamatots, minētos datus vairs nedrīkst apstrādāt;

b) tikt informētam pirms personas datu izpaušanas pirmo reizi trešām personām vai pirms to izmantošanas trešo personu vārdā tirgus izpētē un nepārprotami iegūt tiesības bez maksas iebilst pret minēto izpaušanu vai izmantošanu.

19. pants

Automatizēti individuāli lēmumi

Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kas viņam rada tiesiskas sekas vai kas to būtiski skar un kura pamatā ir tikai datu automatizēta apstrāde, kas paredzēta dažu ar viņu saistītu personisku aspektu novērtēšanai, piemēram, viņa rezultāti darbā, uzticamība vai uzvedība, ja vien lēmums nepārprotami nav atļauts saskaņā ar attiecīgās valsts vai Kopienas tiesību aktiem vai pēc vajadzības to ir atbalstījis Eiropas datu aizsardzības uzraudzītājs. Jebkurā gadījumā jāparedz pasākumi, lai aizsargātu datu subjekta likumīgās intereses, piemēram, tādi, kas ļauj viņam izteikt savu viedokli.

6. IEDAĻA

IZŅĒMUMI UN IEROBEŽOJUMI

20. pants

Izņēmumi un ierobežojumi

1. Kopienas iestādes un struktūras var ierobežot 4. panta 1. punkta, 11. panta, 12. panta 1. punkta, 13. līdz 17. panta un 37. panta 1. punkta piemērošanu, ja minētie ierobežojumi ir vajadzīgi aizsardzības pasākumiem:

a) noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana vai kriminālvajāšana;

b) dalībvalsts vai Eiropas Kopienu svarīgas ekonomiskas vai finansiālas intereses, tostarp jautājumi, kas attiecas uz monetāro politiku, budžetu un nodokļiem;

c) datu subjekta vai citu personu tiesību un brīvību aizsardzība;

d) dalībvalstu valsts drošība un sabiedriskā drošība vai aizsardzība;

e) uzraudzības, pārbaudes vai regulatīvs uzdevums, pat tad, ja tikai sakritības dēļ saistīts ar valsts pārvaldes īstenošanu a) un b) apakšpunktā minētajos gadījumos.

2. Šīs regulas 13. līdz 16. pantu nepiemēro, ja datus apstrādā tikai zinātnisku pētījumu nolūkos vai glabā personas veidlapā, nepārsniedzot to laiku, kas vajadzīgs tikai statistikas sagatavošanai, ar noteikumu, ka datu subjekta privātā dzīve tiešām nav apdraudēta un par datu apstrādi atbildīgā persona nodrošina atbilstīgus juridiskas aizsardzības pasākumus, lai jo īpaši nodrošinātu datu neizmantošanu tādos pasākumos vai lēmumu pieņemšanā, kas attiecas uz konkrētām personām.

3. Ja piemēro 1. punktā paredzēto ierobežojumu, datu subjektu informē saskaņā ar Kopienas tiesību aktiem par galvenajiem iemesliem, kas ir pamatā ierobežojuma piemērošanai, kā arī par viņa tiesībām griezties pie Eiropas datu aizsardzības uzraudzītāja.

4. Ja 1. punktā paredzēto ierobežojumu izmanto, lai liegtu piekļuvi datu subjektam, Eiropas datu aizsardzības uzraudzītājs, izmeklējot sūdzību, informē datu subjektu tikai par to, vai dati ir apstrādāti pareizi un, ja nav — vai ir izdarīti vajadzīgie labojumi.

5. Šā panta 3. un 4. punktā minētās informācijas sniegšanu var atlikt tik ilgi, kamēr šāda informācija vairs nekavē saskaņā ar 1. punktu piemērotos ierobežojumus.

7. IEDAĻA

APSTRĀDES KONFIDENCIALITĀTE UN DROŠĪBA

21. pants

Apstrādes konfidencialitāte

Kopienas iestādē vai struktūrā nodarbināta persona un jebkura Kopienas iestāde vai struktūra, kas pati darbojas kā apstrādātājs, kam ir pieejami personas dati, tos neapstrādā citādi, kā tikai pēc par datu apstrādi atbildīgās personas attiecīgiem norādījumiem, ja vien apstrādi neparedz attiecīgās valsts vai Kopienas tiesību akti.

22. pants

Apstrādes drošība

1. Ņemot vērā jaunākos sasniegumus un to ieviešanas izmaksas, par datu apstrādi atbildīgā persona īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst ar apstrādi saistītajam riskam un aizsargājamo personas datu īpatnībām.

Minētos pasākumus veic jo īpaši, lai nepieļautu jebkādu neatļautu izpaušanu vai piekļuvi, nejaušu vai nelikumīgu iznīcināšanu vai nejaušu zaudējumu, vai izmaiņas, kā arī jebkura cita veida nelikumīgu apstrādi.

2. Ja personas datus apstrādā automātiski, veic atbilstīgus pasākumus, ņemot vērā risku, un jo īpaši, lai:

a) nepieļautu to, ka datorsistēmām, ar ko apstrādā personas datus, piekļūst persona bez attiecīgām pilnvarām;

b) nepieļautu neatļautu nolasīšanu, kopēšanu, mainīšanu vai izņemšanu no datu uzglabāšanas līdzekļiem;

c) nepieļautu neatļautu datu ievadīšanu atmiņā, kā arī personas datu neatļautu izpaušanu, mainīšanu vai izdzēšanu;

d) nepieļautu to, ka personas bez attiecīgām pilnvarām lieto datu apstrādes sistēmas, izmantojot datu pārsūtīšanas aprīkojumu;

e) nodrošinātu to, ka datu apstrādes sistēmas pilnvarotie lietotāji var piekļūt tikai tiem personu datiem, uz kuriem attiecas viņu piekļuves tiesības;

f) reģistrētu, kuri personas dati ir nosūtīti, kad un kam;

g) nodrošinātu iespēju pēc tam pārbaudīt, kuri personas dati ir apstrādāti, kad un kas tos ir apstrādājis;

h) nodrošinātu to, ka personas datus, ko apstrādā trešo personu vārdā, var apstrādāt tikai tā, kā to ir paredzējušas līgumslēdzējas iestādes vai struktūras;

i) nodrošinātu to, ka personas datu pārraides laikā un, transportējot datu uzglabāšanas līdzekļus, datus bez atļaujas nevar nolasīt, kopēt vai izdzēst;

j) izveidotu iestādē vai struktūrā organizatorisku struktūru, kas atbilstu īpašajām prasībām attiecībā uz datu aizsardzību.

23. pants

Personas datu apstrāde par datu apstrādi atbildīgo personu vārdā

1. Ja apstrādi veic par datu apstrādi atbildīgās personas vārdā, šī persona izvēlas apstrādātāju, kas sniedz pietiekamas garantijas attiecībā uz tehniskajiem un organizatoriskajiem drošības pasākumiem, kas prasīti 22. pantā, un nodrošina minēto pasākumu ievērošanu.

2. Apstrādi, ko veic apstrādātājs, reglamentē līgums vai normatīvs akts, kas nosaka apstrādātāja padotību par datu apstrādi atbildīgajai personai, un kurā jo īpaši ir paredzēts, ka:

a) apstrādātājs rīkojas tikai saskaņā ar norādījumiem, ko sniedz par datu apstrādi atbildīgā persona;

b) apstrādātājam ir saistoši arī 21. un 22. pantā minētie pienākumi, ja vien saskaņā ar Direktīvas 95/46/EK 16. pantu vai 17. panta 3. punkta otro ievilkumu uz apstrādātāju jau neattiecas konfidencialitātes un drošības ievērošanas pienākums, kas paredzēts kādas dalībvalsts normatīvajos aktos.

3. Drošības pēc tās līguma vai normatīvā akta daļas, kas attiecas uz datu aizsardzību, un prasības, kas attiecas uz 22. pantā minētajiem pasākumiem, ir rakstveidā vai citā līdzvērtīgā formā.

8. IEDAĻA

DATU AIZSARDZĪBAS INSPEKTORS

24. pants

Datu aizsardzības inspektora iecelšana un uzdevumi

1. Katra Kopienas iestāde un Kopienas struktūra ieceļ vismaz vienu datu aizsardzības inspektoru. Minētās personas uzdevums ir:

a) nodrošināt to, ka par datu apstrādi atbildīgās personas un datu subjekti ir informēti par savām tiesībām un pienākumiem saskaņā ar šo regulu;

b) atbildēt uz Eiropas datu aizsardzības uzraudzītāja pieprasījumiem un atbilstīgi savai kompetencei sadarboties ar Eiropas datu aizsardzības uzraudzītāju pēc tā pieprasījuma vai pēc savas iniciatīvas;

c) neatkarīgi nodrošināt šīs regulas noteikumu iekšēju piemērošanu;

d) vest par datu apstrādi atbildīgās personas veikto apstrādes darbību reģistru, kurā ir 25. panta 2. punktā minētā informācija;

e) informēt Eiropas datu aizsardzības uzraudzītāju par apstrādes darbībām, kas varētu ietvert īpašu risku 27. panta nozīmē.

Tādējādi minētā persona nodrošina to, ka apstrāde negatīvi neietekmēs datu subjektu tiesības un brīvības.

2. Datu aizsardzības inspektoru izvēlas, pamatojoties uz viņa personiskajām un profesionālajām īpašībām un jo īpaši uz viņa speciālajām zināšanām datu aizsardzības jomā.

3. Datu aizsardzības inspektora izvēlei nebūtu jārada interešu konflikts starp viņa kā datu aizsardzības inspektora pienākumiem un citiem oficiālajiem pienākumiem, jo īpaši attiecībā uz šīs regulas noteikumu piemērošanu.

4. Datu aizsardzības inspektoru ieceļ uz laiku no diviem līdz pieciem gadiem. Viņam ir tiesības būt atkārtoti ieceltam šajā amatā uz laiku, kas kopā nepārsniedz desmit gadus. Kopienas iestāde vai struktūra, kas iecēlusi datu aizsardzības inspektoru, var viņu atbrīvot no šā amata tikai ar Eiropas datu aizsardzības uzraudzītāja piekrišanu, ja inspektors vairs neatbilst nosacījumiem, kas vajadzīgi, lai pildītu tā pienākumus.

5. Iestāde vai struktūra, kas iecēlusi datu inspektoru, pēc iecelšanas viņu reģistrē Eiropas datu aizsardzības uzraudzītāja reģistrā.

6. Kopienas iestāde vai struktūra, kas iecēlusi datu aizsardzības inspektoru, nodrošina personālu un citus resursus, kas vajadzīgi tā pienākumu izpildei.

7. Datu aizsardzības inspektors nedrīkst saņemt nekādus norādījumus attiecībā uz savu pienākumu izpildi.

8. Katra Kopienas iestāde vai struktūra saskaņā ar pielikumā minētajiem noteikumiem paredz turpmākus izpildes noteikumus, kas attiecas uz datu aizsardzības inspektoru. Izpildes noteikumi jo īpaši attiecas uz datu aizsardzības inspektora uzdevumiem, pienākumiem un pilnvarām.

25. pants

Paziņojumi datu aizsardzības inspektoram

1. Par datu apstrādi atbildīgā persona iepriekš informē datu aizsardzības inspektoru par visām apstrādes darbībām vai to kopumu, ko paredzēts veikt vienā vai vairākos savstarpēji saistītos nolūkos.

2. Sniedzamajā informācijā ietilpst:

a) par datu apstrādi atbildīgās personas nosaukums un adrese, kā arī ir norādītas tās iestādes vai struktūras organizatoriskās vienības, kam uzticēta personas datu apstrāde konkrētā nolūkā;

b) apstrādes nolūks vai nolūki;

c) datu subjektu kategorija vai kategorijas un ar tām saistīto datu vai datu kategoriju apraksts;

d) tās apstrādes tiesiskais pamats, kam dati ir paredzēti;

e) saņēmēji vai saņēmēju kategorijas, kam datus varētu izpaust;

f) vispārīga norāde par termiņiem, kādos var veikt dažādu kategoriju datu bloķēšanu un izdzēšanu;

g) paredzētā datu nosūtīšana trešām valstīm vai starptautiskām organizācijām;

h) vispārīgs apraksts, kas ļauj veikt iepriekšēju novērtējumu to pasākumu atbilstībai, ko veic saskaņā ar 22. pantu, lai nodrošinātu apstrādes drošību.

3. Visas izmaiņas, kas skar 2. punktā minēto informāciju, nekavējoties dara zināmas datu aizsardzības inspektoram.

26. pants

Reģistrs

Katrs datu aizsardzības inspektors ved to apstrādes darbību reģistru, kuras paziņo saskaņā ar 25. pantu.

Reģistros ir vismaz 25. panta 2. punkta a) līdz g) apakšpunktā minētā informācija. Ar Eiropas datu aizsardzības uzraudzītāja starpniecību reģistrus tieši vai netieši var pārbaudīt jebkura persona.

9. IEDAĻA

IEPRIEKŠĒJĀ PĀRBAUDE, KO VEIC EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS, UN PIENĀKUMS SADARBOTIES

27. pants

Iepriekšēja pārbaude

1. Apstrādes darbības, kas savu īpatnību, darbības jomas vai mērķu dēļ var īpaši apdraudēt datu subjektu tiesības un brīvības, iepriekš pārbauda Eiropas datu aizsardzības uzraudzītājs.

2. Šādas apstrādes darbības var ietvert šādus riskus:

a) tādu datu apstrāde, kas attiecas uz veselību un aizdomām par izdarītiem nodarījumiem, nodarījumiem, sodāmību vai drošības pasākumiem;

b) apstrādes darbības, kas paredzētas tādu personisku aspektu novērtēšanai, kas attiecas uz datu subjektu, tostarp viņa spējām, efektivitāti un uzvedību;

c) apstrādes darbības, kas pieļauj tādas saites starp dažādos nolūkos apstrādājamiem datiem, kuras nav paredzētas saskaņā ar attiecīgās valsts vai Kopienas tiesību aktiem;

d) apstrāde, ko veic, lai personai atņemtu tiesības, priekšrocības vai izslēgtu no līguma.

3. Eiropas datu aizsardzības uzraudzītājs veic iepriekšējas pārbaudes pēc tam, kad ir saņēmis paziņojumu no datu aizsardzības inspektora, kas apspriežas ar Eiropas datu aizsardzības uzraudzītāju, ja viņam rodas šaubas par iepriekšējas pārbaudes vajadzību.

4. Eiropas datu aizsardzības uzraudzītājs sniedz savu atzinumu divos mēnešos pēc paziņojuma saņemšanas. Šo laikposmu var pagarināt, līdz Eiropas datu aizsardzības uzraudzītājs saņem papildu informāciju, ko tas varētu būt pieprasījis. Ja lieta ir sarežģīta, ar Eiropas datu aizsardzības uzraudzītāja lēmumu attiecīgo laikposmu var pagarināt vēl uz diviem mēnešiem. Pirms sākotnēji noteiktā divu mēnešu laikposma beigām šo lēmumu dara zināmu par datu apstrādi atbildīgajai personai.

Ja divos mēnešos vai attiecīgajā pagarinājuma laikā atzinumu nesniedz, uzskata, ka tas ir labvēlīgs.

Ja Eiropas datu aizsardzības uzraudzītājs atzīst, ka attiecīgā apstrāde var izraisīt kāda šīs regulas noteikuma pārkāpumu, tā attiecīgi sniedz ierosinājumus, lai izvairītos no šiem pārkāpumiem. Ja par datu apstrādi atbildīgā persona neizdara attiecīgas izmaiņas apstrādes darbībās, Eiropas datu aizsardzības uzraudzītājs var izmantot tam saskaņā ar 47. panta 1. punktu piešķirtās pilnvaras.

5. Eiropas datu aizsardzības uzraudzītājs ved visu to apstrādes darbību reģistru, par ko tam paziņots saskaņā ar 2. punktu. Reģistrā iekļauj 25. pantā minēto informāciju, un tas ir atvērts sabiedrības kontrolei.

28. pants

Apspriešanās

1. Plānojot administratīvus pasākumus, kas attiecas uz personas datu apstrādi, kurā Kopienas iestāde vai struktūra ir iesaistīta viena pati vai kopā ar citām, Kopienas iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju.

2. Ja Komisija pieņem normatīvā akta projektu, kas attiecas uz personas tiesību un brīvību aizsardzību saistībā ar personas datu apstrādi, Komisija apspriežas ar Eiropas datu aizsardzības uzraudzītāju.

29. pants

Pienākums sniegt informāciju

Kopienas iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju par pasākumiem, kas veikti saskaņā ar tā lēmumiem vai atļaujām, kā minēts 46. panta h) punktā.

30. pants

Pienākums sadarboties

Pēc Eiropas datu aizsardzības uzraudzītāja pieprasījuma par datu apstrādi atbildīgās personas palīdz tam veikt viņa pienākumus, jo īpaši sniedzot 47. panta 2. punkta a) apakšpunktā minēto informāciju un nodrošinot piekļuvi informācijai, kā paredzēts 47. panta 2. punkta b) apakšpunktā.

31. pants

Pienākums reaģēt uz pieņēmumiem

Atbildot uz Eiropas datu aizsardzības uzraudzītāja pilnvaru īstenošanu saskaņā ar 47. panta 1. punkta b) apakšpunktu, par datu apstrādi atbildīgā persona attiecīgā termiņā, ko precizē uzraudzītājs, izklāsta tam savu viedokli. Atbildē ietilpst arī veikto pasākumu apraksts (ja tādi ir veikti), reaģējot uz Eiropas datu aizsardzības uzraudzītāja piezīmēm.

III NODAĻA

TIESISKĀS AIZSARDZĪBAS LĪDZEKĻI

32. pants

Tiesiskās aizsardzības līdzekļi

1. Eiropas Kopienu Tiesai ir piekritīgi visi strīdi, kas attiecas uz šīs regulas noteikumiem, tostarp prasības par zaudējumu atlīdzību.

2. Neatkarīgi no tiesiskās aizsardzības līdzekļiem katrs datu subjekts var iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam, ja uzskata, ka viņa Līguma 286. pantā paredzētās tiesības ir pārkāptas Kopienas iestādes vai struktūras veiktās personas datu apstrādes rezultātā.

Ja atbildi no Eiropas datu aizsardzības uzraudzītāja nesaņem sešu mēnešu laikā, sūdzību uzskata par noraidītu.

3. Sūdzības par Eiropas datu aizsardzības uzraudzītāja lēmumiem iesniedz Eiropas Kopienu Tiesā.

4. Personai, kas cietusi zaudējumus nelikumīgas apstrādes dēļ vai tādas darbības dēļ, kas nav savienojama ar šo regulu, ir tiesības uz zaudējumu atlīdzību saskaņā ar Līguma 288. pantu.

33. pants

Kopienas darbinieku sūdzības

Visi, kas ir nodarbināti Kopienas iestādē vai struktūrā, var iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam, neizmantojot oficiālos kanālus, ja ir aizdomas par šīs regulas, kas reglamentē personas datu apstrādi, noteikumu pārkāpumu. Nevienam nebūtu jācieš tādēļ, ka Eiropas datu aizsardzības uzraudzītājam ir iesniegta sūdzība, kurā norādīts uz aizdomām par to noteikumu pārkāpumu, kas regulē personas datu apstrādi.

IV NODAĻA

PERSONAS DATU UN PRIVĀTĀS DZĪVES AIZSARDZĪBA IEKŠĒJOS TELEKOMUNIKĀCIJU TĪKLOS

34. pants

Darbības joma

Neskarot citus šīs regulas noteikumus, šo nodaļu piemēro personas datu apstrādei saistībā ar tādu telekomunikāciju tīklu vai termināliekārtu izmantošanu, kuru darbību kontrolē Kopienas iestādes vai struktūras.

Šajā nodaļā "lietotājs" ir visas fiziskās personas, kas izmanto telekomunikāciju tīklu vai termināliekārtu, kuras darbību kontrolē Kopienas iestādes vai struktūras.

35. pants

Drošība

1. Kopienas iestādes un struktūras veic atbilstīgus tehniskus un organizatoriskus pasākumus, lai telekomunikāciju tīklu un termināliekārtu izmantošana būtu droša, vajadzības gadījumā sadarbojoties ar publiski pieejamu telekomunikāciju pakalpojumu sniedzējiem vai publisko telekomunikāciju tīklu nodrošinātājiem. Ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, šiem pasākumiem jānodrošina iespējamajam riskam atbilstīgs drošības līmenis.

2. Gadījumā, ja pastāv konkrēts tīkla un termināliekārtas drošības pārkāpšanas risks, attiecīgā Kopienas iestāde vai struktūra informē lietotājus par šā riska esamību, kā arī par iespējamajiem aizsardzības līdzekļiem un alternatīviem komunikāciju līdzekļiem.

36. pants

Sakaru konfidencialitāte

Kopienas iestādes un struktūras saskaņā ar Kopienas tiesību aktu vispārējiem principiem nodrošina sakaru konfidencialitāti attiecībā uz telekomunikāciju tīkliem un termināliekārtām.

37. pants

Dati par informācijas plūsmu un rēķiniem

1. Neskarot 2., 3. un 4. punkta noteikumus, ar lietotājiem saistītos informācijas plūsmas datus, ko apstrādā un saglabā, lai noteiktu izsaukumus un citus savienojumus telekomunikāciju tīklā, pēc izsaukuma vai cita savienojuma beigām izdzēš vai padara anonīmus.

2. Vajadzības gadījumā informācijas plūsmas datus, kas norādīti ar Eiropas datu aizsardzības uzraudzītāju saskaņotajā sarakstā, drīkst apstrādāt telekomunikāciju budžeta un informācijas plūsmas pārvaldības vajadzībām, to skaitā telekomunikāciju sistēmu atļautas izmantošanas pārbaudei. Šos datus iespējami ātrāk un ne vēlāk kā sešus mēnešus pēc iegūšanas izdzēš vai padara anonīmus, ja vien tos nevajag saglabāt ilgāku laiku, lai izvirzītu, īstenotu vai aizstāvētu tiesības tiesas izskatītā likumīgā prasībā.

3. Informācijas plūsmas un rēķinu datu apstrādi veic tikai tās personas, kas nodarbojas ar rēķinu, informācijas plūsmas vai budžeta pārvaldību.

4. Telekomunikāciju tīklu lietotājiem ir tiesības saņemt rēķinus, kuros nav norādītas izdevumu pozīcijas vai fiksētas citas ziņas par izsaukumiem.

38. pants

Lietotāju saraksti

1. Personas datus, kas iekļauti iespiestos vai elektroniskos lietotāju sarakstos ierobežo, kā arī piekļuvi šiem sarakstiem atļauj tikai tiktāl, cik tas nepieciešams attiecīgā saraksta konkrētajam mērķim.

2. Kopienas iestādes un struktūras veic visus vajadzīgos pasākumus, lai nepieļautu to, ka šajos sarakstos esošos personas datus izmanto tirgus izpētē neatkarīgi no tā, vai tie ir publiski pieejami vai nav.

39. pants

Izsaucējas līnijas un izsaucamā līnijas identifikācijas uzrādīšana un ierobežojumi

1. Ja tiek piedāvāts identificēt izsaucēju līniju, lietotājam izsaucējam jābūt iespējai ar vienkāršiem līdzekļiem un bez maksas neļaut identificēt izsaucēju līniju.

2. Ja piedāvā identificēt izsaucēju līniju, izsaucamajam lietotājam jābūt iespējai ar vienkāršiem līdzekļiem un bez maksas nepieļaut ienākošo izsaukumu izsaucējas līnijas identificēšanu.

3. Ja piedāvā identificēt izsaucamo līniju, izsaucamajam lietotājam jābūt iespējai ar vienkāršiem līdzekļiem un bez maksas aizliegt uzrādīt izsaucamās līnijas identifikācijas datus lietotājam izsaucējam.

4. Ja piedāvā identificēt izsaucēju vai izsaucamo līniju, Kopienas iestādes un struktūras par to informē lietotājus, kā arī par 1., 2. un 3. punktā minētajām iespējām.

40. pants

Atkāpes

Kopienas iestādes un struktūras nodrošina pārskatāmas procedūras, kas regulē to, kā tās var neievērot aizliegumu identificēt izsaucēju līniju:

a) īslaicīgi, saņemot lietotāja iesniegumu ar pieprasījumu noskaidrot ļaunprātīgu vai traucējošu izsaukumu izcelsmi;

b) attiecībā uz atsevišķām līnijām tajās organizatoriskajās struktūrās, kas pieņem ārkārtas izsaukumus, lai atbildētu uz minētajiem izsaukumiem.

V NODAĻA

NEATKARĪGA UZRAUDZĪBAS IESTĀDE — EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS

41. pants

Eiropas datu aizsardzības uzraudzītājs

1. Ar šo izveido neatkarīgu uzraudzības iestādi, sauktu par Eiropas datu aizsardzības uzraudzītāju.

2. Attiecībā uz personas datu apstrādi Eiropas datu aizsardzības uzraudzītājs nodrošina to, ka Kopienas iestādes un struktūras ievēro fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privāto dzīvi.

Eiropas datu aizsardzības uzraudzītājs atbild par šīs regulas un citu Kopienas tiesību aktu tādu noteikumu piemērošanas uzraudzību un nodrošināšanu, kas saistīti ar fizisku personu pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādē vai struktūrā, kā arī par padomu sniegšanu Kopienas iestādēm un struktūrām un datu subjektiem visās lietās, kas attiecas uz personas datu apstrādi. Šajā sakarā tā pilda 46. pantā paredzētos pienākumus un īsteno ar 47. pantu piešķirtās pilnvaras.

42. pants

Iecelšana

1. Savstarpēji vienojoties, Eiropas Parlaments un Padome ieceļ Eiropas datu aizsardzības uzraudzītāju uz pieciem gadiem, pamatojoties uz sarakstu, ko Komisija sastāda, izsludinot atklātu pretendentu konkursu.

Saskaņā ar to pašu procedūru uz tādu pašu termiņu ieceļ uzraudzītāja palīgu, kas palīdz tam veikt visus viņa pienākumus un aizstāj uzraudzītāju viņa prombūtnē vai tad, ja uzraudzītājs nevar pildīt savus pienākumus.

2. Eiropas datu aizsardzības uzraudzītāju izvēlas no personām, kuru neatkarība nav apšaubāma un kuru pieredze un prasmes, kas vajadzīgas, lai veiktu Eiropas datu aizsardzības uzraudzītāja pienākumus, ir atzītas, jo, piemēram, tie strādā vai ir strādājuši Direktīvas 95/46/EK 28. pantā minētajās uzraudzības iestādēs.

3. Eiropas datu aizsardzības uzraudzītāju var atkārtoti iecelt amatā.

4. Papildus parastai nomaiņai vai nāves gadījumam Eiropas datu aizsardzības uzraudzītāja pienākumi beidzas, atkāpjoties no amata vai atlaišanas gadījumā saskaņā ar 5. pantu.

5. Pēc Eiropas Parlamenta, Padomes vai Komisijas pieprasījuma Tiesa var atlaist Eiropas datu aizsardzības uzraudzītāju no amata vai atņemt tam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst uzraudzītāja pienākumu izpildes nosacījumiem vai ir vainīgs smaga amatpārkāpuma izdarīšanā.

6. Parastas nomaiņas vai labprātīgas atkāpšanās gadījumā Eiropas datu aizsardzības uzraudzītājs tomēr paliek amatā, līdz to aizstāj.

7. Eiropas datu aizsardzības uzraudzītājam piemēro arī Protokola par Eiropas Kopienu privilēģijām un neaizskaramību 12. līdz 15. un 18. pantu.

8. Uzraudzītāja palīgam piemēro 2. līdz 7. punktu.

43. pants

Noteikumi un vispārīgi nosacījumi, kas reglamentē Eiropas datu aizsardzības uzraudzītāja pienākumu izpildi, darbiniekus un finanšu resursus

1. Savstarpēji vienojoties, Eiropas Parlaments, Padome un Komisija paredz noteikumus un vispārīgus nosacījumus, kas regulē Eiropas datu aizsardzības uzraudzītāja pienākumus un jo īpaši viņa algu, pabalstus un citas priekšrocības, ko piešķir atalgojuma vietā.

2. Budžeta plānošanas iestāde nodrošina Eiropas datu aizsardzības uzraudzītājam cilvēku un finanšu resursus, kas vajadzīgi viņa uzdevumu izpildei.

3. Eiropas Savienības kopējā budžeta VIII iedaļā Eiropas datu aizsardzības uzraudzītāja budžetu atspoguļo kā atsevišķu budžeta pozīciju.

4. Eiropas datu aizsardzības uzraudzītājam palīdz sekretariāts. Sekretariāta ierēdņus un citus darbiniekus ieceļ Eiropas datu aizsardzības uzraudzītājs; viņu vadītājs ir Eiropas datu aizsardzības uzraudzītājs, un tie ir pakļauti tikai viņam. Darbinieku skaitu katru gadu apstiprina ar budžeta procedūru.

5. Eiropas datu aizsardzības uzraudzītāja sekretariāta ierēdņi un citi darbinieki ir pakļauti noteikumiem, ko piemēro Eiropas Kopienu ierēdņiem un citiem darbiniekiem.

6. Jautājumos, kas attiecas uz sekretariāta darbiniekiem, Eiropas datu aizsardzības uzraudzītājam ir tāds pats statuss kā iestādēm Eiropas Kopienu Civildienesta nolikuma 1. panta nozīmē.

44. pants

Neatkarība

1. Veicot savus pienākumus, Eiropas datu aizsardzības uzraudzītājs rīkojas pilnīgi neatkarīgi.

2. Veicot savus pienākumus, Eiropas datu aizsardzības uzraudzītājs ne no viena nesaņem un negaida norādījumus.

3. Eiropas datu aizsardzības uzraudzītājs atturas veikt jebkādas darbības, kas nav savienojamas ar viņa pienākumiem, un esot amatā, neuzņemas nekādu citu algotu vai nealgotu darbu.

4. Pēc Eiropas datu aizsardzības uzraudzītāja pilnvaru laika beigām viņš izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.

45. pants

Dienesta noslēpums

Esot amatā un arī pēc pilnvaru laika beigām, Eiropas datu aizsardzības uzraudzītājam un tā darbiniekiem ir jāievēro pienākums glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus oficiālos pienākumus.

46. pants

Pienākumi

Eiropas datu aizsardzības uzraudzītājs:

a) izskata un izmeklē sūdzības un atbilstīgā termiņā informē datu subjektu par iznākumu;

b) veic izmeklēšanu pēc savas iniciatīvas vai, pamatojoties uz sūdzību, un atbilstīgā termiņā informē datu subjektus par iznākumu;

c) uzrauga un nodrošina šīs regulas un citu to Kopienas tiesību aktu noteikumu piemērošanu, kas attiecas uz fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādē vai struktūrā, izņemot Eiropas Kopienu Tiesu, kas rīkojas atbilstīgi savai tiesas kompetencei;

d) pēc savas iniciatīvas vai, atbildot uz lūgumu sniegt konsultāciju, konsultē visas Kopienas iestādes vai struktūras visos jautājumos, kas attiecas uz personas datu apstrādi, un jo īpaši pirms tās sastāda iekšējos noteikumus attiecībā uz pamattiesību un brīvību aizsardzību saistībā ar personas datu apstrādi;

e) vēro nozīmīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

f) i) sadarbojas ar Direktīvas 95/46/EK 28. pantā minētajām attiecīgo valstu uzraudzības iestādēm tajās valstīs, kurās piemēro minēto direktīvu, ciktāl tas vajadzīgs šo iestāžu attiecīgo pienākumu izpildei, un jo īpaši apmainoties ar visu lietderīgo informāciju, ko attiecīgā iestāde vai struktūra pieprasa, lai īstenotu savas pilnvaras, vai atbildot uz attiecīgās iestādes vai struktūras lūgumu;

ii) arī sadarbojas ar datu aizsardzības uzraudzības iestādēm, kas izveidotas saskaņā ar Eiropas Savienības Līguma VI sadaļu, jo īpaši lai uzlabotu konsekvenci to noteikumu un procedūru ievērošanā, ko tās izmanto, lai nodrošinātu atbilstību;

g) iesaistās pasākumos, ko rīko Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kura izveidota saskaņā ar Direktīvas 95/46/EK 29. pantu;

h) paredz, norāda iemeslus un publisko izņēmumus, aizsardzības pasākumus, atļaujas un nosacījumus, kas minēti 10. panta 2. punkta b) apakšpunktā un 4., 5. un 6. punktā, 12. panta 2. punktā, 19. pantā un 37. panta 2. punktā;

i) uztur to apstrādes darbību reģistru, kas tam paziņotas saskaņā ar 27. panta 2. punktu, un reģistrētas saskaņā ar 27. panta 5. punktu, kā arī nodrošina piekļuvi reģistriem, kurus saskaņā ar 26. pantu ved datu aizsardzības inspektori;

j) veic tādas apstrādes iepriekšējas pārbaudes, par ko viņam ir paziņots;

k) izstrādā savu reglamentu.

47. pants

Pilnvaras

1. Eiropas datu aizsardzības uzraudzītājs var:

a) sniegt konsultācijas datu subjektiem par viņu tiesību īstenošanu;

b) nodot jautājumu par datu apstrādi atbildīgajai personai, ja ir aizdomas par to noteikumu pārkāpumu, kas regulē personas datu apstrādi, un vajadzības gadījumā iesniedz priekšlikumus konkrētā pārkāpuma novēršanai un datu subjektu aizsardzības uzlabošanai;

c) izdot rīkojumus par to, ka jāievēro prasības par konkrētu tiesību īstenošanu attiecībā uz datiem, ja attiecīgās prasības ir noraidītas, pārkāpjot 13. līdz 19. pantu;

d) izteikt brīdinājumu vai aizrādījumu par datu apstrādi atbildīgajai personai;

e) izdot rīkojumu izlabot, bloķēt, izdzēst vai iznīcināt visus datus, ja tie ir apstrādāti, pārkāpjot noteikumus, kas regulē personas datu apstrādi, un paziņot par to trešām personām, kurām dati ir izpausti;

f) uzlikt pagaidu vai galīgu apstrādes aizliegumu;

g) nodot jautājumu attiecīgajai Kopienas iestādei vai struktūrai un vajadzības gadījumā — Eiropas Parlamentam, Padomei vai Komisijai;

h) nodot jautājumu Eiropas Kopienu Tiesai saskaņā ar Līgumā paredzētajiem nosacījumiem;

i) iestāties lietās, ko izskata Eiropas Kopienu Tiesa.

2. Eiropas datu aizsardzības uzraudzītājs ir pilnvarots:

a) no personas, kas atbild par datu apstrādi, Kopienas iestādes vai struktūras iegūt pieeju visiem personas datiem un visai informācijai, kas vajadzīga viņa veiktajai izmeklēšanai;

b) piekļūt visām telpām, kurās par datu apstrādi atbildīgā persona, Kopienas iestāde vai struktūra veic savu darbību, ja ir pamats pieņemt, ka tur veic darbības, uz ko attiecas šī regula.

48. pants

Darbības pārskats

1. Eiropas datu aizsardzības uzraudzītājs iesniedz gada pārskatu par savu darbību Eiropas Parlamentam, Padomei un Komisijai, vienlaikus to publiskojot.

2. Eiropas datu aizsardzības uzraudzītājs nosūta darbības pārskatu citām Kopienas iestādēm un struktūrām, kas var iesniegt piezīmes, ņemot vērā pārskata iespējamu izskatīšanu Eiropas Parlamentā, jo īpaši attiecībā uz to pasākumu aprakstu, kas veikti, reaģējot uz Eiropas datu aizsardzības uzraudzītāja saskaņā ar 31. pantu izteiktajām piezīmēm.

VI NODAĻA

NOBEIGUMA NOTEIKUMI

49. pants

Sankcijas

Ja Eiropas Kopienu ierēdnis vai cits darbinieks tīšām vai nolaidības dēļ neievēro šajā regulā paredzētos pienākumus, viņš ir disciplināri atbildīgs saskaņā ar noteikumiem un procedūrām, kas paredzētas Eiropas Kopienu Civildienesta noteikumos vai saskaņā ar pārējo Kopienu darbinieku nodarbinātības kārtību.

50. pants

Pārejas laiks

Kopienas iestādes un struktūras nodrošina to, ka viena gada laikā no šīs regulas spēkā stāšanās dienas tiek panākta tās datu apstrādes atbilstība šai regulai, kas ir sagatavošanā regulas spēkā stāšanās dienā.

51. pants

Stāšanās spēkā

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Kopienu Oficiālajā Vēstnesī.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē, 2000. gada 18. decembrī

Eiropas Parlamenta vārdā —

priekšsēdētājs

N. Fontaine

Padomes vārdā —

priekšsēdētājs

D. Voynet

[1] OV C 376E, 28.12.1999., 24. lpp.

[2] OV C 51, 23.2.2000., 48. lpp.

[3] Eiropas Parlamenta 2000. gada 14. novembra atzinums un Padomes 2000. gada 30. novembra lēmums.

[4] OV L 281, 23.11.1995., 31. lpp.

[5] OV L 24, 30.1.1998., 1. lpp.

[6] OV L 52, 22.2.1997., 1. lpp.

[7] OV L 318, 27.11.1998., 8. lpp.

[8] OV L 151, 15.6.1990., 1. lpp. Regula, kas grozīta ar Regulu (EK) Nr. 322/97 (OV L 52, 27.2.1997., 1. lpp.)

--------------------------------------------------

PIELIKUMS

1. Datu aizsardzības inspektors var sniegt rekomendācijas par datu aizsardzības praktisku uzlabošanu tai Kopienas iestādei vai struktūrai, kas viņu ir iecēlusi, kā arī tai un par datu apstrādi atbildīgajai attiecīgajai personai sniegt konsultācijas par datu aizsardzības noteikumu piemērošanu. Turklāt pēc savas iniciatīvas vai pēc tās Kopienas iestādes vai struktūras pieprasījuma, kas viņu ir iecēlusi, vai pēc pieprasījuma, ko iesniegusi par datu apstrādi atbildīgā persona, attiecīgā personāla komiteja vai jebkura fiziska persona, viņš var izmeklēt jautājumus un gadījumus, kas tieši ir saistīti ar viņa uzdevumiem un kas tam kļuvuši zināmi, un ziņot par rezultātiem personai, kas pasūtījusi attiecīgo izmeklēšanu, vai par datu apstrādi atbildīgajai personai.

2. Jautājumos, kas attiecas uz šīs regulas interpretāciju vai piemērošanu, ar datu aizsardzības inspektoru var apspriesties tā Kopienas iestāde vai struktūra, kas viņu ir iecēlusi, par datu apstrādi atbildīgā attiecīgā persona, attiecīgā personāla komiteja un jebkura persona, neizmantojot oficiālos kanālus.

3. Ja ir aizdomas par šīs regulas noteikumu pārkāpumu, neviens necieš tādēļ, ka lieta ir darīta zināma kompetentajam datu aizsardzības inspektoram.

4. Katrai attiecīgajai par datu apstrādi atbildīgajai personai jāpalīdz datu aizsardzības inspektoram pildīt pienākumus un jāsniedz informācija, atbildot uz jautājumiem. Pildot savus pienākumus, datu aizsardzības inspektoram jebkurā laikā ir pieejami dati, kas ir apstrādes priekšmets, kā arī pieeja visiem birojiem, datu apstrādes iekārtām un datu nesējiem.

5. Ciktāl vajadzīgs, datu aizsardzības inspektoru atbrīvo no citām darbībām. Datu aizsardzības inspektors un tā darbinieki, kam piemēro Līguma 287. pantu, nedrīkst izpaust informāciju vai dokumentus, ko tie iegūst, pildot savus pienākumus.

--------------------------------------------------