Padomes paskaidrojuma raksts: Padomes Nostāja (ES) Nr. 6/2016 pirmajā lasījumā, lai pieņemtu Eiropas Parlamenta un Padomes Regulu par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

(2016/C 159/02)

I.   IEVADS

Komisija 2012. gada 25. janvārī ierosināja visaptverošu datu aizsardzības reformu, kurā ir ietverts:

Eiropas Parlaments 2014. gada 12. martā pieņēma nostāju pirmajā lasījumā par ierosināto Vispārīgo datu aizsardzības regulu (7427/14).

Padome 2015. gada 15. jūnijā vienojās par vispārēju pieeju, tādējādi piešķirot prezidentvalstij sarunu pilnvaras sākt trialogus ar Eiropas Parlamentu (9565/15).

Eiropas Parlaments Pilsoņu brīvību, tieslietu un iekšlietu komitejas līmenī 2015. gada 17. decembrī un Padome – Pastāvīgo pārstāvju komitejas līmenī 2015. gada 18. decembrī apstiprināja vienošanos par kompromisa tekstu, kas tika panākts trialoga sarunās.

Padome 2016. gada 12. februāra sanāksmēs panāca politisku vienošanos par šīs regulas projektu (5455/15). Padome 2016. gada 8. aprīlī pieņēma nostāju pirmajā lasījumā, kas pilnībā saskan ar regulas kompromisa tekstu, par ko panākta vienošanās Padomes un Eiropas Parlamenta neformālajās sarunās.

Ekonomikas un sociālo lietu komiteja 2012. gadā iesniedza atzinumu par regulu (OV C 229, 31.7.2012., 90. lpp.).

Reģionu komiteja iesniedza atzinumu par regulu (OV C 391, 18.12.2012., 127. lpp.).

Ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, un 2012. gadā tas sniedza pirmo atzinumu (OV C 192, 30.6.2012., 7. lpp.) un 2015. gadā – otro atzinumu (OV C 301, 12.9.2015., 1.–8. lpp.).

Pamattiesību aģentūra iesniedza atzinumu 2012. gada 1. oktobrī.

II.   MĒRĶIS

Vispārīgā datu aizsardzības regula saskaņo datu aizsardzības noteikumus Eiropas Savienībā. Regulas mērķis ir pastiprināt fizisku personu datu aizsardzības tiesības, atvieglot personas datu brīvu apriti vienotajā tirgū un mazināt administratīvo slogu.

III.   PADOMES PIRMĀ LASĪJUMA NOSTĀJAS ANALĪZE

A.    Vispārīgi apsvērumi

Ņemot vērā Eiropadomes izvirzīto mērķi – līdz 2015. gada beigām panākt vienošanos par datu aizsardzības reformu –, Eiropas Parlaments un Padome ir risinājuši neformālas sarunas, lai panāktu nostāju saskanību. Padomes pirmā lasījuma nostājas par Vispārīgo datu aizsardzības regulu teksts pilnībā atspoguļo kompromisu, kas panākts starp abiem likumdevējiem, kuriem palīdz Eiropas Komisija.

Padomes nostājā pirmajā lasījumā ir saglabāti Direktīvas 95/46/EK mērķi – datu aizsardzības tiesību aizsardzība un datu brīva aprite. Vienlaikus tā cenšas pielāgot pašreiz spēkā esošos datu aizsardzības noteikumus, ņemot vērā to, ka tehnoloģiju izmaiņu un globalizācijas rezultātā arvien palielinās to personas datu apjoms, kuri tiek apstrādāti. Lai panāktu, ka regulu neietekmē turpmākas izmaiņas, Padomes pirmā lasījuma nostājā iekļautie datu aizsardzības noteikumi ir tehnoloģiski neitrāli.

Lai nodrošinātu fizisku personu konsekventu aizsardzības līmeni visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, Padomes nostāja pirmajā lasījumā visumā paredz vienotu noteikumu kopumu, kas ir tieši piemērojams visā Savienībā. Šī saskaņošana novērsīs sadrumstalotību, kas izriet no dalībvalstu dažādajiem likumiem, ar kuriem īsteno Direktīvu 95/46. Tomēr, ņemot vērā konkrētu datu apstrādes situāciju prasības, tostarp publiskajam sektoram, Padomes nostāja pirmajā lasījumā ļauj dalībvalstīm sīkāk precizēt regulā noteikto datu aizsardzības noteikumu piemērošanu to valsts tiesībās.

Personas datu aizsardzība ir pamattiesības, kas nostiprinātas Eiropas Savienības Pamattiesību hartas 8. panta 1. punktā. Turklāt Līguma par Eiropas Savienības darbību 16. pantā ir noteikts, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību neatkarīgi no tās valstspiederības vai dzīvesvietas un ka būtu jāparedz noteikumi šajā nolūkā un personas datu brīvas aprites nolūkā. Pamatojoties uz to, Padomes nostāja pirmajā lasījumā nosaka fizisku personu aizsardzības principus un noteikumus attiecībā uz viņu personas datu apstrādi.

Lai sasniegtu regulas mērķus, Padomes nostāja pirmajā lasījumā pastiprina pārziņu (kuri ir atbildīgi par personas datu apstrādes mērķu un līdzekļu noteikšanu) un apstrādātāju (kuri ir atbildīgi par personas datu apstrādi pārziņa vārdā) pārskatatbildību, lai veicinātu reālu datu aizsardzības kultūru. Ņemot vērā šo pamatinformāciju, visā regulā tiek ieviesta uz risku balstīta pieeja, kas ļauj modulēt pārziņa un apstrādāja pienākumus saskaņā ar riskiem, kādi piemīt viņu veiktajai datu apstrādei. Saskanību ar datu aizsardzības noteikumiem turklāt sekmē rīcības kodeksi un sertifikācijas mehānismi. Šī pieeja novērš pārāk preskriptīvus noteikumus un mazina administratīvo slogu, nemazinot atbilstību. Turklāt potenciālo sankciju, kuras var uzlikt, atturošais raksturs rada stimulu pārziņiem ievērot šīs regulas prasības.

Jaunie datu aizsardzības noteikumi, kas iekļauti Padomes nostājā pirmajā lasījumā, paredz arī nostiprinātas un īstenojamas iedzīvotāju tiesības. Tas dod iespēju fiziskām personām labāk kontrolēt savus personas datus, tādējādi veicinot uzticību pārrobežu mēroga tiešsaistes pakalpojumiem, kas stimulēs digitālo vienoto tirgu. Bērniem pienākas īpaša aizsardzība, jo viņi, iespējams, mazāk apzinās riskus saistībā ar personas datu apstrādi, kā arī savas tiesības.

Turklāt Padomes nostāja pirmajā lasījumā pastiprina uzraudzības iestāžu neatkarību, vienlaikus saskaņojot to uzdevumus un pilnvaras. Sadarbības noteikumi pārrobežu lietās starp uzraudzības iestādēm un attiecīgā gadījumā ar Komisiju (konsekvences mehānisms) palīdzēs nodrošināt regulas konsekventu piemērošanu visā Eiropas Savienībā. Tas palielinās juridisko noteiktību un mazinās administratīvo slogu. Turklāt vienas pieturas aģentūras mehānisms nodrošinās vienu kontaktpersonu pārziņiem un apstrādātājiem saistībā ar viņu veiktu pārrobežu apstrādi, tostarp saistošus lēmumus strīdu gadījumos, ko pieņem jaunizveidotā Eiropas Datu aizsardzības kolēģija. Pateicoties šim mehānismam, regulas piemērošana būs konsekventāka. Turklāt tā sniegs lielāku juridisko noteiktību un mazinās administratīvo slogu.

Visbeidzot, Padomes nostāja pirmajā lasījumā paredz visaptverošu regulējumu personas datu nosūtīšanai no Eiropas Savienības saņēmējiem trešās valstīs vai starptautiskās organizācijās, paredzot jaunus instrumentus salīdzinājumā ar Direktīvu 95/46/EK.

B.    Galvenie jautājumi

Padome un Eiropas Parlaments ar Eiropas Komisijas palīdzību neformālās sarunās saskaņoja savas nostājas, kas attiecīgi izklāstītas Padomes vispārējā pieejā un Parlamenta pirmā lasījuma nostājā. Padomes nostāja pirmajā lasījumā par Vispārīgo datu aizsardzības regulu pilnībā atspoguļo panāktos kompromisus. Turpmāk ir izklāstīti Padomes nostājas pirmajā lasījumā galvenie jautājumi.

1.    Piemērošanas joma

1.1.   Regulas materiālā piemērošanas joma un nošķīrums no tiesībaizsardzības direktīvas

Padomes nostāja pirmajā lasījumā paredz, ka Vispārīgo datu aizsardzības regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no jebkura strukturēta personas datu kopuma, kas ir pieejams saskaņā ar konkrētiem kritērijiem, vai ir paredzēti, lai veidotu daļu no šāda strukturēta kopuma, ja apstrādi neveic ar automatizētiem līdzekļiem. Vispārīgās datu aizsardzības regulas materiālā piemērošanas joma un Datu aizsardzības direktīvas piemērošanas joma tiesībaizsardzības jomā ir savstarpēji izslēdzošas. Ir konkrēti norādīts, ka regulu nepiemēro personas datu apstrādei, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Šis nošķīrums ļauj tiesībaizsardzības iestādēm, jo īpaši policijai, parasti piemērot direktīvas datu aizsardzības režīmu, vienlaikus nodrošinot to fizisku personu personas datu saskanīgu un augsta līmeņa aizsardzību, uz kurām attiecas tiesībaizsardzības darbības.

1.2.   ES iestādes un struktūras

Lai panāktu datu subjektu vienādu un saskanīgu aizsardzību attiecībā uz viņu personas datu apstrādi, Padomes pirmā lasījuma nostājā ir norādīts, ka pēc Vispārīgās datu aizsardzības regulas pieņemšanas būtu jāveic nepieciešamie pielāgojumi Regulā (EK) 45/2001, kuru piemēro ES iestādēm, struktūrām, birojiem un aģentūrām, lai tā varētu būt piemērojama vienlaikus ar Vispārīgo datu aizsardzības regulu.

1.3.   Izņēmums attiecībā uz mājsaimniecībām

Lai nepieļautu, ka tiek noteikti noteikumi, kas rada nevajadzīgu slogu fiziskām personām, Padomes nostāja pirmajā lasījumā paredz, ka regulu nepiemēro personas datu apstrādei, kuru veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā un kura tādējādi nav saistīta ar profesionālu vai komerciālu darbību.

1.4.   Teritoriālā piemērošanas joma

Padomes nostāja pirmajā lasījumā rada vienlīdzīgus konkurences apstākļus pārziņiem un apstrādātājiem teritoriālās piemērošanas jomas ziņā, aptverot visus pārziņus un apstrādātājus neatkarīgi no tā, vai tie veic uzņēmējdarbību Savienībā vai ne.

Pirmkārt, regula paredz, ka datu aizsardzības noteikumus piemēro personas datu apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā. Otrkārt, lai panāktu, ka fiziskām personām netiek liegta viņu datu aizsardzība, regulu piemēro to datu subjektu personas datu apstrādei, kuri ir Savienībā, pat ja pārzinis vai apstrādātājs neveic uzņēmējdarbību Savienībā, bet ja tā apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem Savienībā, kā arī viņu uzvedības novērošanai, ciktāl viņu uzvedība notiek Eiropas Savienībā. Turklāt šāda darbības jomas noteikšana sekmē juridisko noteiktību pārziņiem un datu subjektiem – fiziskām personām, kuru personas dati tiek apstrādāti.

Padomes nostāja pirmajā lasījumā arī nodrošina, ka gadījumā, ja pārziņi vai apstrādātāji neveic uzņēmējdarbību Savienībā, bet ietilpst regulas piemērošanas jomā, datu subjektiem un uzraudzības iestādēm ir kontaktpunkts Eiropas Savienībā – viņiem ir rakstiski jāieceļ pārstāvis Savienībā. Lai nepieļautu nevajadzīgu administratīvo slogu, šis pienākums neattiecas uz apstrādi, par kuru ir maz ticams, ka tā varētu radīt risku fizisku personu tiesībām un brīvībām, un uz apstrādi, kuru veic trešās valsts publiska iestāde vai struktūra.

2.    Personas datu apstrādes principi

Personas datu apstrādes principus piemēro visai informācijai, kas attiecas uz identificējamu vai identificētu fizisku personu, tostarp informācijai, ko vairs nevar saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, kamēr šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu datu ne-saistīšanu ar identificētu vai identificējamu fizisku personu (pseidonimizācija). Salīdzinājumā ar Direktīvu 95/46 regula kopumā nodrošina turpināmību attiecībā uz principiem, kas ir pamatā personas datu apstrādei. Vienlaikus “datu minimizēšanas” princips ir pielāgots, lai ņemtu vērā digitālo realitāti un lai panāktu līdzsvaru starp personas datu aizsardzību, no vienas puses, un pārziņu iespējām apstrādāt datus, no otras puses.

3.    Apstrādes likumīgums

3.1.   Likumīguma nosacījumi

Lai panāktu juridisko noteiktību, Padomes nostāja pirmajā lasījumā pilnveido Direktīvu 95/46, precizējot, ka personas datu apstrāde ir likumīga tikai tad, ja ir izpildīts vismaz viens no šādiem nosacījumiem:

Divi nosacījumi būtu jāiztirzā plašāk – piekrišana un pārziņa vai trešās personas leģitīmas intereses.

3.1.1.   Piekrišana

Lai ļautu apstrādāt viņa personas datus, datu subjekts savu piekrišanu apstrādei var dot ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par savu piekrišanu viņa personas datu apstrādei. Šāda piekrišana attiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana jādod visiem apstrādes nolūkiem. Turklāt pārzinim jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nav piekrišana. Piekrišanas jēdziena konceptualizācija nodrošina turpināmību attiecībā uz acquis, kas ir izstrādāts saistībā ar šā jēdziena izmantošanu, pamatojoties uz Direktīvu 95/46/EK, kā arī sekmē piekrišanas kopīgu izpratni un piemērošanu visā Eiropas Savienībā.

Turklāt nolūkā aizsargāt datu subjekta datu aizsardzības tiesības, tiek konkrēti noteikts, ka tad, ja datu subjekts savu piekrišanu ir sniedzis saistībā ar rakstisku deklarāciju, kas attiecas arī uz citiem jautājumiem, jebkura minētās deklarācijas daļa, kas pārkāpj regulu, nav saistoša. Turklāt novērtējot to, vai piekrišana ir sniegta brīvi, maksimāli jāņem vērā tas, vai cita starpā līguma izpilde ir padarīta atkarīga no piekrišanas tādu datu apstrādei, kuri nav nepieciešami šā līguma izpildei.

Visbeidzot, lai pieļautu atkāpes no īpašu kategoriju personas datu apstrādes vispārēja aizlieguma, Padomes nostāja pirmajā lasījumā paredz augstāku slieksni nekā attiecībā uz citu apstrādi, jo datu subjektam jādod nepārprotama piekrišana šādu sensitīvu personas datu apstrādei.

Attiecībā uz bērniem Padomes nostāja pirmajā lasījumā paredz īpašu aizsargājošu režīmu bērnu dotai piekrišanai saistībā ar informācijas sabiedrības pakalpojumu piedāvājumiem. Bērna, kas ir jaunāks par maksimālo vecumu – 16 gadiem, personas datu apstrāde ir likumīga tad, ja, ņemot vērā pieejamo tehnoloģiju, var saprātīgi pārbaudīt, vai šādu piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu. Dalībvalstīm, kuras uzskata, ka piemērotāks ir jaunāks vecums, ir atļauts noteikt jaunāku maksimālo vecumu – ar noteikumu, ka tas nav mazāks par 13 gadiem.

3.1.2.   Pārziņa leģitīmās intereses

Personas datu apstrāde var būt likumīga tad, ja apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai. Tomēr šādas leģitīmas intereses nav pietiekams pamats likumīgai apstrādei, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.

Jāizvērtē, vai pastāv leģitīmas intereses, tostarp, vai datu subjekts personas datu vākšanas laikā un saistībā ar to var saprātīgi paredzēt, ka var notikt šai nolūkā paredzēta apstrāde. Var uzskatīt, ka personas datu apstrāde tiešās tirgvedības vajadzībām ir veikta leģitīmās interesēs. Ņemot vērā, ka personas datu apstrādes juridiskais pamats publiskām iestādēm ar likumu ir jānosaka likumdevējam, tas neattiecas uz personas datu apstrādi, ko veic publiskas iestādes, pildot savus uzdevumus.

3.2.   Konkrēti dalībvalstu noteikumi, ar kuriem pielāgo regulas piemērošanu

Padomes nostāja pirmajā lasījumā atļauj dalībvalstīm saglabāt vai ieviest konkrētākus noteikumus, ar kuriem pielāgo regulas noteikumu piemērošanu, ja personas datu apstrādi veic, lai izpildītu juridisku pienākumu, vai ja tā ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Atkāpes, konkrētas prasības un citi pasākumi ir turklāt paredzēti saistībā ar īpašām apstrādes darbībām, ar kurām dalībvalstis saglabā līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību, publisku piekļuvi oficiāliem dokumentiem, valsts identifikācijas numuru apstrādi, apstrādi saistībā ar nodarbinātību un apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos.

3.3.   Turpmāka apstrāde

Padomes nostāja pirmajā lasījumā paredz, ka apstrāde citā nolūkā nekā tajā, kādā personas dati sākotnēji tika vākti, ir likumīga tikai tad, ja minētā turpmākā apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika apstrādāti. Tomēr, ja datu subjekts ir devis piekrišanu vai ja apstrāde balstās uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai jo īpaši aizsargātu svarīgus vispārējo sabiedrības interešu mērķus, pārzinim tiek atļauts veikt personas datu turpmāku apstrādi neatkarīgi no nolūku saderības. Turpmākas apstrādes gadījumā ir pastiprinātas datu subjekta tiesības, jo īpaši saistībā ar tiesībām uz informāciju un tiesībām iebilst pret šādu turpmāku apstrādi, ja tā nav nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.

Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim cita starpā ir jāņem vērā jebkura saikne starp sākotnējiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem, konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjekta gaidas, kuru pamatā ir viņa attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu, personas datu raksturs, sekas, ko paredzētā turpmākā apstrāde rada datu subjektam, un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.

3.4.   Īpašu kategoriju personas datu apstrāde

Personas datiem, kas pēc savas būtības ir īpaši sensitīvi, ir nepieciešama īpaša aizsardzība, jo to apstrādes konteksts var radīt būtiskus riskus fizisku personu pamattiesībām un pamatbrīvībām. Šā iemesla dēļ Padomes pirmā lasījuma nostājā pamatā ir saglabāta Direktīvas 95/46 pieeja, aizliedzot apstrādāt īpašu kategoriju personas datus.

Atkāpjoties no šā noteikuma, konkrētās, izsmeļoši uzskaitītās situācijās sensitīvu datu apstrāde tiek atļauta, piemēram, ja datu subjekts ir devis nepārprotamu piekrišanu, ja apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, vai ja apstrāde ir nepieciešama citu nolūku dēļ, cita starpā veselības jomā.

Visbeidzot, Padomes nostāja pirmajā lasījumā paredz, ka dalībvalstis var ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi. Tomēr šie sīkākie nosacījumi nedrīkst traucēt datu brīvu apriti Savienībā.

4.    Datu subjektu tiesību nostiprināšana

4.1.   Ievads

Padomes nostāja pirmajā lasījumā nostiprina datu subjektu tiesības, paredzot tiem pastiprinātas datu aizsardzības tiesības un paredzot pienākumus pārziņiem. Datu subjekta tiesības ietver tiesības uz informāciju; uz piekļuvi personas datiem; uz labošanu; uz personas datu dzēšanu, tostarp, “tiesības tikt aizmirstam”; uz apstrādes ierobežošanu; uz datu pārnesamību; tiesības iebilst; un tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana. Turpmāk ir iztirzātas tiesības, attiecībā uz kurām ir veiktas būtiskas izmaiņas salīdzinājumā ar Direktīvu 95/46.

Pārziņiem ir pienākums atvieglot datu subjektu tiesību īstenošanu un apstrādāt personas datus, ievērojot pārredzamības principu, jo īpaši, sniedzot informāciju par personas datu apstrādi, ko tie veic.

Tomēr, ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt datu subjektu, datu pārzinim nav pienākuma iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana.

Neraugoties uz šīm datu subjektu tiesībām un šiem pārziņu pienākumiem, Padomes pirmā lasījuma nostājā ir saglabāta Direktīvas 95/46 pieeja, pieļaujot vispārīgo principu un fiziskas personas tiesību ierobežojumus, ja šāds ierobežojums balstās uz Savienības vai dalībvalsts tiesību aktiem. Šādos ierobežojumos ir jāievēro pamattiesību un pamatbrīvību būtība, un tiem jābūt demokrātiskā sabiedrībā nepieciešamiem un samērīgiem, lai garantētu konkrētas sabiedrības intereses.

4.2.   Pārredzamība

Saskaņā ar pārredzamības principu pārziņiem informācija un saziņa saistībā ar personas datu apstrādi jāsniedz īsā, pārredzamā, skaidrā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, jo īpaši, ja informācija ir adresēta bērnam. Informācija jāsniedz rakstiski vai citā veidā, attiecīgā gadījumā – izmantojot elektroniskos līdzekļus.

Padomes nostāja pirmajā lasījumā turklāt paredz termiņus, kādos jāpieprasa informācija, saziņa vai jebkura cita pārziņa darbība, kas parasti jāveic bez maksas. Tomēr, ja datu subjekta pieprasījums ir acīmredzami nepamatots vai pārmērīgs, jo īpaši tā regulāras atkārtošanās dēļ, pārzinis var iekasēt saprātīgu maksu, ņemot vērā prasītās informācijas sniegšanas vai saziņas nodrošināšanas vai jebkuras citas darbības administratīvās izmaksas, vai pārzinis var atteikties veikt pieprasīto darbību. Šādos gadījumos pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

4.3.   Informācija un saziņa, ko sniedz un nodrošina pārzinis

Lai rastu līdzsvaru starp pietiekamas informācijas sniegšanu datu subjektiem par viņu personas datu apstrādi, no vienas puses, un izvairīšanos no apgrūtinošiem pienākumiem pārziņiem, no otras puses, Padomes nostāja pirmajā lasījumā paredz divposmu pieeju nolūkā nodrošināt, ka datu subjekti tiek pienācīgi informēti gan tad, ja personas dati ir vākti no datu subjekta, gan tad, ja personas dati nav iegūti no datu subjekta. Pirmajā posmā pārzinim ir pienākums brīdī, kad tiek iegūti personas dati, sniegt datu subjektam informāciju, kas ir uzskaitīta regulā. Otrajā posmā pārzinim jāsniedz papildu informācija, kas ir uzskaitīta regulā un kas ir vajadzīga, lai nodrošinātu godprātīgu un efektīvu apstrādi. Pārziņi arī informē datu subjektus, ja tie plāno veikt personas datu turpmāku apstrādi citā nolūkā nekā tajā, kādā personas dati sākotnēji tika vākti.

Pārzinim nav pienākuma sniegt ne pirmajā, ne otrajā posmā uzskaitīto informāciju, ja šī informācija jau ir datu subjekta rīcībā. Ja personas dati nav iegūti no datu subjekta, pārzinis nesniedz datu subjektam nekādu informāciju, ja personas datu reģistrācija vai izpaušana citām pusēm ir skaidri paredzēta likumā vai ja informācijas sniegšana datu subjektam nav iespējama vai prasītu nesamērīgas pūles.

Visbeidzot, pārziņiem ir pienākums paziņot par jebkādu labošanu, dzēšanu vai apstrādes ierobežošanu katram saņēmējam, kuram personas dati ir izpausti, izņemot tad, ja tas nav iespējams vai prasītu nesamērīgas pūles. Turklāt pārzinim jāinformē datu subjekts par šādiem saņēmējiem, ja datu subjekts to pieprasa.

4.4.   Ikonas

Pārredzamas apstrādes principi nozīmē to, ka datu subjekts tiek informēts par apstrādes esamību un tās nolūkiem. To ņemot vērā, Padomes nostāja pirmajā lasījumā paredz, ka datu subjektam sniegto informāciju var papildināt ar standartizētām ikonām. Pārziņi uz brīvprātības pamata var lemt, vai personas datu apstrādē, ko tie veic, ir lietderīgi izmantot šīs standartizētās ikonas. Ikonām viegli uztveramā, saprotamā un skaidri salasāmā veidā būtu jāsniedz jēgpilns pārskats par paredzēto apstrādi. Ikonas jāsniedz tajā pašā laikā, kad tiek sniegta informācija. Ja ikonas attēlo elektroniski, tām jābūt mašīnlasāmām. Lai sekmētu ikonu standartizētu izmantošanu Eiropas Savienībā, regulā Komisija tiek pilnvarota pieņemt deleģētos aktus, ar kuriem nosaka, kāda informācija būtu jāsniedz ar ikonām, kā arī standartizētu ikonu nodrošināšanas procedūras. Eiropas Datu aizsardzības kolēģijai jāsniedz atzinums par Komisijas ierosinātajām ikonām. Deleģēto aktu pieņemšanas iespēja neliedz Eiropas Datu aizsardzības kolēģijai nākt klajā ar pamatnostādnēm, atzinumiem un paraugpraksi saistībā ar ikonām.

4.5.   Piekļuves tiesības

Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu netiek apstrādāti personas dati, un, ja šādi personas dati tiek apstrādāti, datu subjektam ir tiesības piekļūt regulā uzskaitītajai informācijai. To ņemot vērā, regulā ir sīkāk noteikts, ka pārzinim ir bez maksas jānodrošina apstrādē esošo personas datu kopija. Par visām papildu kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Tiesības saņemt kopiju nedrīkst nelabvēlīgi ietekmēt citu personu tiesības un brīvības.

4.6.   Tiesības uz dzēšanu (“tiesības tikt aizmirstam”)

Padomes nostāja pirmajā lasījumā paredz datu subjektu tiesības panākt viņu personas datu dzēšanu, ja šādu datu apstrāde neatbilst regulai vai Savienības vai dalībvalsts tiesību aktiem, kas ir piemērojami pārzinim.

Ar atsauci uz “tiesībām tikt aizmirstam” tiek atzīta vajadzība pielāgot tiesības uz dzēšanu jo īpaši digitālā kontekstā. Pārziņiem, kas ir publiskojuši personas datus, attiecībā uz kuriem datu subjekts vēlas, lai tie tiktu aizmirsti, ir jāveic saprātīgi pasākumi, tostarp tehniski pasākumi, lai par datu subjekta pieprasījumu informētu pārziņus, kas apstrādā personas datus, lai tie dzēstu saites uz šādiem datiem vai šādu datu kopijas vai atveidojumus, ņemot vērā pieejamo tehnoloģiju un īstenošanas izmaksas. Eiropas Datu aizsardzības kolēģija var nākt klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi par procedūrām saišu uz personas datiem, datu kopiju un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem.

Tiesības uz dzēšanu un pārziņa pienākumu informēt citus pārziņus par dzēšanas pieprasījumu nepiemēro, ciktāl personas datu apstrāde ir vajadzīga nolūkiem, kas izsmeļoši uzskaitīti regulā, piemēram, tiesības uz vārda un informācijas brīvību.

4.7.   Tiesības uz datu pārnesamību

Padomes nostāja pirmajā lasījumā paredz, ka tad, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektiem ir tiesības saņemt savus personas datus, kurus tie snieguši pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt šos datus citam pārzinim. Turklāt ir sīkāk noteikts, ka tad, ja tas ir tehniski iespējams, datu subjektiem ir tiesības panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam. Tas vēl vairāk nostiprina datu subjektu kontroli pār saviem datiem. Tas arī veicina konkurenci starp pārziņiem.

Tomēr šīs tiesības uz datu pārnesamību neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras. Turklāt, ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad datu subjekta tiesības saņemt personas datus neskar citu personu tiesības un brīvības.

4.8.   Tiesības iebilst

Gadījumos, kad personas datus var likumīgi apstrādāt tāpēc, ka apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, vai arī pamatojoties uz pārziņa vai trešās personas leģitīmajām interesēm, datu subjektam ir tiesības iebilst pret to, ka tiek apstrādāti jebkādi personas dati, kas attiecas uz viņa konkrēto situāciju. Šajā gadījumā pārzinim vairs nav atļauts apstrādāt personas datus, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

To ņemot vērā, ir sīkāk noteikts, ka tad, ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi. Tas ietver profilēšanu, ciktāl tā ir saistīta ar šādu tiešo tirgvedību. Profilēšana tiek definēta kā jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā minēto datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos. Ja datu subjekts iebilst pret datu apstrādi tiešās tirgvedības vajadzībām, personas datus šādā nolūkā apstrādāt vairs nav atļauts. Turklāt datu subjekts ir nepārprotami un skaidri jāinformē par šīm tiesībām vēlākais tad, kad notiek personas datu pārziņa pirmā saziņa ar datu subjektu.

Turklāt Padomes nostāja pirmajā lasījumā ietver atsauci uz tiešsaistes izsekošanas liegšanas elementiem, precizējot, ka saistībā ar informācijas sabiedrības pakalpojumu izmantošanu datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas.

4.9.   Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana

Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, ar ko izvērtē ar viņu saistītus personiskus aspektus un kas attiecībā uz viņu rada tiesiskās sekas vai kas līdzīgā veidā būtiski ietekmē viņu. Piemēri ir tiešsaistē iesniegta kredītpieteikuma automātisks noraidījums vai elektroniska darbā pieņemšanas prakse bez cilvēka līdzdalības. Šāda automatizēta apstrāde var ietvert profilēšanu. Tomēr šīs tiesības nebūt automatizētas apstrādes subjektam nepiemēro, ja tā

Datu subjekta tiesības ir vēl vairāk nostiprinātas, jo pārzinim ir pienākums datu subjektam sniegt, ja tas ir vajadzīgs, lai nodrošinātu godprātīgu un pārredzamu apstrādi, informāciju par to, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, un, vismaz minētajos gadījumos – jēgpilnu informāciju par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

Visbeidzot, automatizēta lēmumu pieņemšana un profilēšana, pamatojoties uz īpašām personas datu kategorijām, ir atļauta tikai saskaņā ar konkrētiem nosacījumiem, ietverot datu subjekta tiesības iebilst pret šādu apstrādi, ja tiek veikta šo personas datu turpmāka apstrāde zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.

Eiropas Datu aizsardzības kolēģija var nākt klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un nosacījumus uz profilēšanu balstītiem lēmumiem.

5.    Pārzinis un apstrādātājs

5.1.   Ievads

Padomes nostāja pirmajā lasījumā izveido tiesisko regulējumu attiecībā uz pienākumiem un atbildību saistībā ar jebkādu personas datu apstrādi, ko veic pārzinis vai – pārziņa vārdā – apstrādātājs. Saskaņā ar pārskatatbildības principu pārzinim ir pienākums īstenot atbilstīgus tehniskus un organizatoriskus pasākumus un spēt uzskatāmi parādīt, ka personas datu apstrāde notiek saskaņā ar šo regulu. To ņemot vērā, regulā ir paredzēti noteikumi attiecībā uz pārziņa pienākumiem saistībā ar ietekmes novērtējumiem, apstrādes reģistrēšanu, datu aizsardzības pārkāpumiem, datu aizsardzības speciālista iecelšanu un rīcības kodeksiem un sertifikācijas mehānismiem.

5.2.   Ietekmes novērtējumi

Pārzinis ir atbildīgs par novērtējuma par ietekmi uz datu aizsardzību veikšanu, lai izvērtētu, kad apstrāde varētu radīt augstu risku fizisku personu tiesībām un brīvībām. Padomes pirmā lasījuma nostājā ir izklāstīti gadījumi, kad novērtējums par ietekmi uz datu aizsardzību ir jo īpaši vajadzīgs, piemēram, attiecībā uz konkrētām specifiskām lielapjoma apstrādes darbībām. Ja šādā ietekmes novērtējumā ir norādīts, ka apstrādes darbības ietver augstu risku, ko pārzinis nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes jāveic apspriešanās ar uzraudzības iestādi. Uzraudzības iestāde tad var pārzinim sniegt padomus un izmantot visas savas pilnvaras.

Eiropas Datu aizsardzības kolēģija var nākt klajā ar pamatnostādnēm par apstrādes darbībām, kuras varētu radīt augstu risku fizisku personu tiesībām un brīvībām, un norādīt, kādi pasākumi var būt pietiekami šādos gadījumos, lai novērstu iespējamu risku.

5.3.   Apstrādes darbību reģistrēšana

Lai uzraudzības iestāde varētu veikt ex post pārbaudes, pārzinim vai attiecīgā gadījumā pārziņa pārstāvim, vai apstrādātājam jāreģistrē tā pakļautībā veiktās apstrādes darbības, tostarp datu aizsardzības pārkāpumi. Lai mazinātu administratīvo slogu, reģistrēšanas pienākumu nepiemēro uzņēmumiem vai organizācijām, kas nodarbina mazāk nekā 250 personas, izņemot, ja to veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver sensitīvus datus vai datus par sodāmību un pārkāpumiem.

5.4.   Datu aizsardzības pārkāpumi

Personas datu aizsardzības pārkāpums var izraisīt fiziskām personām tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai viņu tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai personai nelabvēlīga ekonomiskā vai sociālā situācija. Padomes nostāja pirmajā lasījumā paredz, ka pārziņiem ir jāpaziņo datu aizsardzības pārkāpumi uzraudzības iestādēm, izņemot gadījumus, kad ir maz ticams, ka datu aizsardzības pārkāpums varētu radīt risku fizisko personu tiesībām un brīvībām. Tiem ir arī jāinformē attiecīgie datu subjekti par tiem pārkāpumiem, kas varētu radīt augstu risku. Paziņošana uzraudzības iestādēm ļaus tām vajadzības gadījumā iejaukties. Turklāt attiecīgā datu subjekta informēšana dos tam iespēju veikt piesardzības pasākumus.

Lai mazinātu administratīvo slogu, Padomes nostāja pirmajā lasījumā piemēro dažādus sliekšņus attiecībā uz paziņošanu uzraudzības iestādei un attiecīgo datu subjektu informēšanu, informēšanai nosakot augstāku slieksni nekā paziņošanai. Pārziņiem ir pienākums, tiklīdz viņiem kļūst zināms, ka ir noticis personas datu aizsardzības pārkāpums, nekavējoties un, ja iespējams, ne vēlāk kā 72 stundas pēc tam, kad pārkāpums ir kļuvis zināms, paziņot par to kompetentajai uzraudzības iestādei. Tomēr pārziņi var neveikt paziņošanu, ja viņi var uzskatāmi parādīt, ka ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisko personu tiesībām un brīvībām. Atskaitot dažus izņēmumus, pārziņiem ir pienākums par datu aizsardzības pārkāpumu nekavējoties informēt attiecīgos datu subjektus, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku minēto datu subjektu tiesībām un brīvībām.

Eiropas Datu aizsardzības kolēģija var nākt klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt datu aizsardzības pārkāpumus un nepamatotu kavēšanos pēc tam, kad pārzinim ir kļuvis zināms par pārkāpumu, un tādus īpašus apstākļus, kādos pārzinim ir jāziņo par personas datu aizsardzības pārkāpumu, kā arī apstākļus, kādos personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisko personu tiesībām un brīvībām.

5.5.   Datu aizsardzības speciālists

Datu aizsardzības speciālista iecelšanas mērķis ir uzlabot atbilstību regulai. Tādēļ datu aizsardzības speciālistam jābūt personai, kam ir speciālās zināšanas datu aizsardzības tiesību un prakses jomā, un viņam jāpalīdz pārzinim vai apstrādātājam uzraudzīt iekšējo atbilstību regulai. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu. Vienu datu aizsardzības speciālistu var iecelt arī uzņēmumu grupai vai gadījumā, ja pārzinis vai apstrādātājs ir publiska iestāde. Padomes nostāja pirmajā lasījumā paredz, ka datu aizsardzības speciālists ir obligāti jāieceļ, ja

5.6.   Rīcības kodeksi un sertifikācijas mehānismi

Padomes nostāja pirmajā lasījumā stimulē rīcības kodeksu piemērošanu un veicina datu aizsardzības sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu plašāku izmantošanu. Šīs iniciatīvas sekmē datu aizsardzības noteikumu ievērošanu, vienlaikus novēršot pārāk preskriptīvus noteikumus un mazinot izmaksas publiskām iestādēm, kas ir atbildīgas par izpildi. Turklāt rīcības kodeksos var ņemt vērā apstrādes īpatnības konkrētās nozarēs, kā arī mikrouzņēmumu, mazo un vidējo uzņēmumu vajadzības. Savukārt sertifikācijas mehānismi un datu aizsardzības zīmogi un marķējumi sekmē regulas ievērošanu, jo datu subjekti var viegli novērtēt attiecīgo produktu un pakalpojumu datu aizsardzības līmeni.

Padomes nostāja pirmajā lasījumā ietver plašu noteikumu klāstu attiecībā uz rīcības kodeksiem un sertifikācijas mehānismiem, datu aizsardzības zīmogiem un marķējumiem, kas pieļauj privātu iniciatīvu, vienlaikus aizsargājot datu aizsardzības standartus, šajā nolūkā iesaistot uzraudzības iestādes.

5.6.1.   Rīcības kodeksi

Uzraudzības iestāde var apstiprināt rīcības kodeksus vai šādu rīcības kodeksu grozījumus vai papildinājumus. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, kompetentajai uzraudzības iestādei pirms apstiprināšanas jāiesniedz kodeksa projekts, grozījums vai papildinājums Eiropas Datu aizsardzības kolēģijai, lai saņemtu tās atzinumu.

Komisija var pieņemt īstenošanas aktus, ar kuriem nolemj, ka jaunie rīcības kodeksi un esošo rīcības kodeksu grozījumi vai papildinājumi, ko apstiprinājusi kompetentā uzraudzības iestāde, ir vispārēji piemērojami Savienībā.

Eiropas Datu aizsardzības kolēģijai būtu jāmudina izstrādāt rīcības kodeksus. Tai arī visi apstiprinātie rīcības kodeksi un to grozījumi ir jāsakopo reģistrā un jādara publiski pieejami, izmantojot jebkādus piemērotus līdzekļus.

5.6.2.   Sertifikācijas mehānismi, datu aizsardzības zīmogi un marķējumi

Padomes nostāja pirmajā lasījumā paredz, ka katrai dalībvalstij jānosaka, vai sertifikācijas struktūras akreditē uzraudzības iestāde vai valsts akreditācijas struktūra. Akreditētas sertifikācijas struktūras var sertificēt pārziņus un apstrādātājus, pamatojoties uz kritērijiem, kurus apstiprinājusi kompetentā uzraudzības iestāde vai – saskaņā ar konsekvences mehānismu – Eiropas Datu aizsardzības kolēģija. Pēdējā minētajā gadījumā, pamatojoties uz Eiropas Datu aizsardzības kolēģijas apstiprinātiem kritērijiem, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot. Sertifikācijas struktūrai ir jāsniedz uzraudzības iestādei informācija par prasītā sertifikāta piešķiršanas vai atsaukšanas iemesliem. Tādējādi uzraudzības iestāde var noraidīt šādu sertifikātu vai pasludināt to par nederīgu.

Komisijai ir kompetence pieņemt deleģētos aktus nolūkā precizēt prasības, kas jāņem vērā attiecībā uz datu aizsardzības sertifikācijas mehānismiem. Eiropas Datu aizsardzības kolēģijai jāsniedz atzinums par šīm prasībām. Komisija var pieņemt arī īstenošanas aktus par sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu tehniskajiem standartiem un mehānismiem sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu popularizēšanai un atzīšanai.

Visbeidzot, Eiropas Datu aizsardzības kolēģijai būtu jāveicina datu aizsardzības sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu izveide.

6.    Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

6.1.   Ievads

Personas datu pārrobežu plūsmas uz valstīm ārpus Savienības un uz starptautiskām organizācijām un no tām ir būtiskas globālās tirdzniecības un pārrobežu digitālās ekonomikas kontekstā. Savienības garantētajam aizsardzības līmenim nav jāsamazinās, ja ES iedzīvotāju personas dati tiek nosūtīti ārpus Savienības.

Vispārējais princips ir tāds, ka jebkāda personas datu nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja pārziņi vai apstrādātāji ievēro regulas noteikumus. Padomes nostājā pirmajā lasījumā ir pilnībā ņemta vērā Eiropas Savienības Tiesas judikatūra, tostarp tās 2015. gada 6. oktobra nolēmums lietā C-362/14. Padomes nostājā saglabāti dažādi veidi, kā atļaut personas datu pārrobežu nosūtīšanu, vienlaikus stiprinot garantijas, ka tiek ievērotas datu aizsardzības tiesības. Šie dažādie personas datu nosūtīšanas veidi ir lēmumi par aizsardzības līmeņa pietiekamību, atbilstošas garantijas un atkāpes.

Padomes pirmā lasījuma nostājā ir precizēts, ka ikviens trešās valsts tiesas nolēmums un ikviens trešās valsts administratīvās iestādes lēmums, kurā pārzinim vai apstrādātājam pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt jebkādā veidā izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību vai kādu dalībvalsti. Turklāt Padomes pirmā lasījuma nostājā ir skaidri noteikts, ka šādi starptautiski nolīgumi neskar citus pārrobežu nosūtīšanas pamatus, kas ir paredzēti regulā.

6.2.   Lēmumi par aizsardzības līmeņa pietiekamību

Starptautiska nosūtīšana var notikt, pamatojoties uz Komisijas lēmumu par aizsardzības līmeņa pietiekamību, kurā atzīts, ka trešā valsts vai kāda šīs valsts teritorija vai viens vai vairāki konkrēti sektori minētajā trešā valstī, vai attiecīgā starptautiskā organizācija nodrošina aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Savienībā garantētajam. Tādējādi visā Savienībā tiek nodrošināta juridiskā noteiktība un vienādība.

Komisija pēc paziņojuma sniegšanas un pilnvērtīga pamatojuma nosūtīšanas trešai valstij vai starptautiskai organizācijai var nolemt atsaukt lēmumu par aizsardzības līmeņa pietiekamību. Komisija lēmumus par aizsardzības līmeņa pietiekamību un lēmumus par šādu lēmumu atsaukšanu pieņem kā īstenošanas aktus. Īstenošanas aktos jāparedz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānisms. Komisijai ir jāuzrauga norises trešās valstīs un starptautiskajās organizācijās, kas varētu ietekmēt lēmumu par aizsardzības līmeņa pietiekamību darbību. Uzraudzības nolūkā un lai veiktu periodisko pārskatīšanu, Komisijai būtu jāņem vērā Eiropas Parlamenta un Padomes viedokļi un atzinumi, kā arī tie, kas iegūti no citām attiecīgām struktūrām un avotiem. Saistībā ar regulas izvērtēšanu un pārskatīšanu Komisijai arī regulāri jāiesniedz ziņojumi Padomei un Eiropas Parlamentam. Visbeidzot, Eiropas Datu aizsardzības kolēģijai jāsniedz Komisijai atzinums, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai vairs netiek nodrošināts pietiekams aizsardzības līmenis.

Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu. Tādā pašā veidā atļaujas, ko dalībvalsts vai uzraudzības iestāde piešķīrusi, pamatojoties uz Direktīvas 95/46/EK 26. panta 2. punktu, un lēmumi, kurus Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 26. panta 4. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ, ja tas ir vajadzīgs, attiecīgi minētā uzraudzības iestāde vai ar Komisijas lēmumu. Nodrošinot turpināmību, Padomes nostāja pirmajā lasījumā sniedz juridisko noteiktību.

6.3.   Atbilstošas garantijas

Papildus lēmumiem par aizsardzības līmeņa pietiekamību pārrobežu nosūtīšana var notikt arī tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, lai kompensētu datu aizsardzības trūkumu trešā valstī vai starptautiskā organizācijā. Šādas garantijas var ietvert starp publiskām iestādēm vai struktūrām juridiski saistošus un tiesiski īstenojamus instrumentus, saistošus uzņēmumu noteikumus, Komisijas pieņemtas standarta datu aizsardzības klauzulas, uzraudzības iestādes pieņemtas standarta datu aizsardzības klauzulas vai uzraudzības iestādes apstiprinātas līguma klauzulas. Pārziņi vai apstrādātāji trešā valstī var nodrošināt arī atbilstošas garantijas personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām. To viņi var darīt ar apstiprinātu rīcības kodeksu kopā ar saistošām un tiesiski īstenojamām saistībām piemērot atbilstošas garantijas, – izmantojot līgumiskus vai citus juridiski saistošus instrumentus –, tostarp attiecībā uz datu subjekta tiesībām. To viņi var darīt arī ar kompetentās uzraudzības iestādes apstiprinātu sertifikācijas mehānismu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošas garantijas, tostarp attiecībā uz datu subjektu tiesībām.

6.4.   Atkāpes

Ja nav lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt, pamatojoties uz atkāpēm, kas izsmeļoši uzskaitītas regulā. Viena no šādām atkāpēm attiecas uz pārziņa leģitīmo interešu ievērošanu, ja datu subjekta intereses vai tiesības un brīvības nav svarīgākas par šādām interesēm. Nolūkā sniegt pietiekamas garantijas saistībā ar personas datu pārrobežu nosūtīšanu, pārziņa leģitīmās intereses ir stingri noteiktas un uz tām var atsaukties tikai kā uz ultimum remedium. Lai nodrošinātu regulas konsekventu piemērošanu, Eiropas Datu aizsardzības kolēģijai pēc savas iniciatīvas vai pēc Komisijas lūguma jāizstrādā un jāpārskata pamatnostādnes, ieteikumi un paraugprakse, kā sīkāk noteikt kritērijus un prasības datu nosūtīšanai, ja nav lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju.

7.    Uzraudzības iestādes

7.1.   Neatkarība

Lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar viņu personas datu apstrādi un veicinātu personas datu brīvu apriti Savienībā, katrai dalībvalstij jāparedz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par regulas piemērošanas uzraudzību to teritorijā. Katrai uzraudzības iestādei un tās locekļiem jārīkojas pilnīgi neatkarīgi, tostarp godprātīgi, pildot uzdevumus un īstenojot pilnvaras, kas uzticētas minētajai uzraudzības iestādei un tās locekļiem.

Katrai uzraudzības iestādei jāpalīdz nodrošināt regulas konsekventu piemērošanu visā Savienībā. Šajā nolūkā uzraudzības iestādēm ir jāsadarbojas savā starpā un ar Eiropas Datu aizsardzības kolēģiju, kā arī ar Komisiju. Regulas konsekventa piemērošana tiek vēl vairāk nodrošināta, nosakot uzraudzības iestāžu kompetenci un definējot, vismaz kādiem jābūt uzraudzības iestāžu uzdevumiem un to izmeklēšanas, korektīvajām, atļauju izsniegšanas un padomdevēja pilnvarām.

7.2.   Dienesta noslēpums

Padomes nostāja pirmajā lasījumā nosaka dienesta noslēpuma noteikumus uzraudzības iestādēm un to locekļiem. Pirmkārt, katram uzraudzības iestādes loceklim vai locekļiem un personālam saskaņā ar Savienības vai dalībvalsts tiesību aktiem jāievēro pienākums glabāt dienesta noslēpumu, gan esot amatā, gan arī pēc pilnvaru termiņa beigām, attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus vai īstenojot pilnvaras. Tiek sīkāk precizēts, ka viņu pilnvaru laikā šis pienākums glabāt dienesta noslēpumu jo īpaši attiecas uz fizisku personu ziņojumiem par regulas pārkāpumiem. Turklāt Eiropas Datu aizsardzības kolēģijai ir uzdevums nākt klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā izveidot kopīgas procedūras attiecībā uz fizisku personu ziņojumiem par regulas pārkāpumiem.

8.    Sadarbība un konsekvence

8.1.   Eiropas Datu aizsardzības kolēģija

Ar Padomes nostāju pirmajā lasījumā tiek izveidota Eiropas Datu aizsardzības kolēģija kā Savienības struktūra un kā tiesību subjekts nolūkā nodrošināt regulas pareizu un konsekventu piemērošanu. Kolēģijas darbība jo īpaši ietver atzinumu sniegšanu vai saistošu lēmumu pieņemšanu saistībā ar strīdu risināšanu starp uzraudzības iestādēm, vai nākšanu klajā ar pamatnostādnēm par jebkādiem jautājumiem, kas attiecas uz šīs regulas piemērošanu, lai nodrošinātu regulas konsekventu izpildi.

Eiropas Datu aizsardzības kolēģija sastāv no katras dalībvalsts vienas uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja vai viņu attiecīgajiem pārstāvjiem. Komisijai ir tiesības piedalīties Eiropas Datu aizsardzības kolēģijas darbībā un sanāksmēs bez balsošanas tiesībām. Eiropas Datu aizsardzības kolēģijas apspriedes ir konfidenciālas, ja kolēģija to uzskata par nepieciešamu, kā paredzēts tās reglamentā.

Gadījumos, kad Eiropas Datu aizsardzības kolēģija pieņem saistošu lēmumu saistībā ar strīdu risināšanu, Eiropas Datu aizsardzības uzraudzītājam ir balsošanas tiesības vienīgi par lēmumiem, kas attiecas uz principiem un noteikumiem, kuri ir piemērojami Savienības iestādēm, struktūrām, birojiem un aģentūrām un kuri pēc būtības atbilst šīs regulas principiem un noteikumiem.

8.2.   Konsekvences mehānisms

Personas datu pārrobežu apstrādes gadījumā, ja ir iesaistīta vairāk nekā viena uzraudzības iestāde, konsekvences mehānisms nodrošina, ka tiek pieņemts viens lēmums, kurš būs piemērojams visā Eiropas Savienībā, vienlaikus ņemot vērā dažādu iesaistīto uzraudzības iestāžu viedokli. Tādējādi konsekvences mehānisms pastiprina “tuvumu” starp datu subjektiem un lēmuma pieņēmēju uzraudzības iestādi, lēmumu pieņemšanas procesā iesaistot “vietējās” uzraudzības iestādes. Turklāt strīdu gadījumā starp dažādu valstu uzraudzības iestādēm jaunizveidotā Eiropas Datu aizsardzības kolēģija ir kompetenta pieņemt saistošus lēmumus.

Noteikumus par konsekvences mehānismu nepiemēro, ja apstrādi veic publiskas iestādes vai privātas struktūras sabiedrības interesēs. Šādos gadījumos vienīgā kompetentā uzraudzības iestāde ir tās dalībvalsts uzraudzības iestāde, kurā publiskā iestāde vai privātā struktūra veic uzņēmējdarbību.

Padomes nostāja pirmajā lasījumā paredz, ka Komisijas veiktā regulas izvērtējuma kontekstā tiks izskatīta sadarbības un konsekvences mehānisma piemērošana.

9.    Aizsardzības līdzekļi, atbildība un sankcijas

Padomes nostāja pirmajā lasījumā nosaka sīki izstrādātu noteikumu kopumu, kuri datu subjektiem sniedz vairākas aizsardzības līdzekļu iespējas, tostarp kompensācijas pieprasīšanu par kaitējumu, kas tiem nodarīts regulas pārkāpuma rezultātā.

9.1.   Tiesības iesniegt sūdzību un tiesības uz tiesību aizsardzību tiesā

Padomes nostāja pirmajā lasījumā paredz, ka ikvienam datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, ja viņš uzskata, ka viņa personas datu apstrāde neatbilst šai regulai. Turklāt ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas viņu skar. Viņam ir tiesības arī uz efektīvu tiesību aizsardzību gadījumā, ja uzraudzības iestāde neizskata sūdzību vai neinformē datu subjektu par sūdzības izskatīšanas virzību vai rezultātiem.

Ikvienam datu subjektam turklāt ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas viņa personas datu apstrādes rezultātā, kura neatbilst regulai.

Ir nodrošināts “tuvums” starp datu subjektu un valsts tiesu, jo datu subjektam ir tiesības uz viņa datu aizsardzības iestādes pieņemta lēmuma pārskatīšanu valsts tiesā neatkarīgi no tā, kurā dalībvalstī pārzinis vai apstrādātājs veic uzņēmējdarbību. Prasība pret pārzini vai apstrādātāju jāceļ tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta. Alternatīvi šādu prasību var celt tās dalībvalsts tiesās, kur atrodas datu subjekta pastāvīgā dzīvesvieta, izņemot, ja pārzinis vai apstrādātājs ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras.

Visbeidzot, ikvienai fiziskai vai juridiskai personai ir tiesības saskaņā ar LESD 263. pantā paredzētajiem nosacījumiem celt Eiropas Savienības Tiesā prasību par to, lai tiktu atcelts Eiropas Datu aizsardzības kolēģijas lēmums.

9.2.   Datu subjektu pārstāvība

Datu subjektam ir tiesības pilnvarot struktūras, organizācijas vai apvienības, kas atbilst konkrētiem kritērijiem, piemēram, kas strādā uz bezpeļņas pamata un darbojas datu aizsardzības jomā, lai tās viņa vārdā iesniegtu sūdzību un viņa vārdā īstenotu tiesības uz tiesību aizsardzību tiesā un viņa vārdā īstenotu tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti. Šo konkrēto kritēriju mērķis ir nepieļaut komercprasību kultūras attīstību datu aizsardzības jomā. Turklāt dalībvalstis var paredzēt, ka jebkurai šādai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma šādā dalībvalstī ir tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un īstenot tiesības uz tiesību aizsardzību tiesā, ja tā uzskata, ka datu subjekta tiesības ir pārkāptas personas datu tādas apstrādes rezultātā, kura neatbilst regulai.

9.3.   Tiesvedības apturēšana

Lai nepieļautu, ka lietu par to pašu priekšmetu attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi, skata dažādas tiesas, jebkura kompetentā tiesa, kas nav tiesa, kurā pirmajā celta prasība, var apturēt tās tiesvedību vai – pēc kādas puses iesniegta pieteikuma – atteikties no jurisdikcijas.

9.4.   Tiesības uz kompensāciju un atbildība

Padomes nostāja pirmajā lasījumā paredz, ka jebkuram datu subjektam, kuram regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tam nodarīto kaitējumu. Lai sniegtu datu subjektiem iespēju kaitējuma gadījumā pieprasīt kompensāciju, vienlaikus sniedzot juridisko noteiktību pārziņiem un apstrādātājiem, regulā ir konkrēti noteikta to atbildība. Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi. Apstrādātājs ir atbildīgs tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājiem, vai arī ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem. Tomēr pārzini vai apstrādātāju atbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.

Ja vienā un tajā pašā apstrādē ir iesaistīts vairāk nekā viens pārzinis vai apstrādātājs vai pārzinis un apstrādātājs un ja tie ir atbildīgi par jebkādu kaitējumu, kas nodarīts ar apstrādi, katru pārzini vai apstrādātāju sauc pie atbildības par visu nodarīto kaitējumu, lai datu subjektam nodrošinātu efektīvu kompensāciju. Tomēr, ja pārzinis vai apstrādātājs par nodarīto kaitējumu pilnā apmērā ir izmaksājis kompensāciju, minētais pārzinis vai apstrādātājs ir tiesīgs no citiem šajā pašā apstrādē iesaistītajiem pārziņiem vai apstrādātājiem par kaitējumu pieprasīt kompensācijas daļu, kas atbilst to atbildības par kaitējumu apmēram.

9.5.   Sankcijas

Lai nodrošinātu atbilstību regulai, Padomes nostāja pirmajā lasījumā paredz, ka uzraudzības iestādes var piemērot administratīvos naudas sodus. Šiem naudas sodiem jābūt iedarbīgiem, samērīgiem un atturošiem. Dalībvalsts var noteikt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī. Līdztekus administratīvu naudas sodu piemērošanai uzraudzības iestādes var izmantot arī citas korektīvās pilnvaras, piemēram, brīdinājumus vai rājienus. Lai uzlabotu saskaņošanu, Eiropas Datu aizsardzības kolēģijai jāizstrādā pamatnostādnes uzraudzības iestādēm par uzraudzības iestāžu korektīvo pilnvaru piemērošanu un administratīvo naudas sodu noteikšanu.

Padomes pirmā lasījuma nostājā ir ietverts kritēriju saraksts, kas jāņem vērā uzraudzības iestādei, lemjot par to, vai uzlikt administratīvo naudas sodu un, ja to uzliek, tad kādā apmērā. Šie kritēriji cita starpā attiecas uz regulas pārkāpuma būtību, smagumu un ilgumu vai uz tā tīšu vai netīšu raksturu. Regulā uzskaitīti gan pārkāpumi, gan attiecīgie maksimālie administratīvie naudas sodi. Šo maksimālo administratīvo naudas sodu ietvaros uzraudzības iestādei jānosaka atbilstošais apjoms atkarībā no katra konkrētā pārkāpuma apstākļiem. Lai sniegtu juridisko noteiktību pārziņiem un apstrādātājiem un sekmētu administratīvo naudas sodu saskaņošanu Savienībā, vienlaikus saglabājot uzraudzības iestāžu rīcības brīvību, šie pārkāpumi tiek sīkāk iedalīti trīs kategorijās. Par pirmās kategorijas pārkāpumiem, kas attiecas uz pārziņu un apstrādātāju pienākumiem, var piemērot naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks. Par otrās kategorijas pārkāpumiem, kas attiecas uz datu subjektu tiesībām un vispārīgiem principiem, piemērojamo naudas sodu maksimālais apmērs ir EUR 20 000 000 vai 4 % no apgrozījuma. Trešās kategorijas pārkāpumi attiecas uz uzraudzības iestādes rīkojuma neievērošanu, un arī par tiem piemērojamo naudas sodu maksimālais apmērs ir EUR 20 000 000 vai 4 % no apgrozījuma.

10.    Īpašas datu apstrādes situācijas

10.1.   Personas datu apstrāde un vārda un informācijas brīvība

Dalībvalstīm tiesību aktos jāparedz tiesību uz personas datu aizsardzību saskaņošana ar tiesībām uz vārda un informācijas brīvību, tostarp personas datu apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām. Lai panāktu pārredzamību attiecībā uz šo tiesību saskaņošanu, katrai dalībvalstij ir pienākums paziņot Komisijai savu tiesību aktu attiecīgos noteikumus un minēto noteikumu grozījumus, kā arī attiecīgus jaunus noteikumus.

10.2.   Apstrāde saistībā ar nodarbinātību

Ar tiesību aktiem vai ar koplīgumiem dalībvalstis var paredzēt konkrētākus noteikumus, lai nodrošinātu tiesību un brīvību aizsardzību attiecībā uz darbinieku personas datu apstrādi saistībā ar nodarbinātību.

Šajos noteikumos jāiekļauj piemēroti un konkrēti pasākumi, lai garantētu datu subjekta cilvēka cieņu, leģitīmās intereses un pamattiesības. Katrai dalībvalstij ir jāpaziņo Komisijai savu tiesību aktu attiecīgie noteikumi un minēto noteikumu grozījumi, kā arī attiecīgi jauni noteikumi.

10.3.   Garantijas un atkāpes, ko piemēro personas datu apstrādei arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos

Padomes nostāja pirmajā lasījumā nosaka konkrētus noteikumus, ko piemēro personas datu apstrādei arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos. Šo noteikumu mērķis ir saskaņot, no vienas puses, intereses, lai personas dati būtu pieejami arhīvu uzturēšanai, statistikas datiem un pētniecībai, un, no otras puses, datu aizsardzības tiesības.

Uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, ievērojot regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Dalībvalstis ir pilnvarotas paredzēt – ar konkrētiem nosacījumiem un ievērojot atbilstošas garantijas datu subjektiem – specifikācijas un atkāpes attiecībā uz informācijas prasībām un tiesībām uz labošanu, uz dzēšanu, tiesībām tikt aizmirstam, tiesībām uz apstrādes ierobežošanu, uz datu pārnesamību un tiesībām iebilst, ja personas datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos.

Padomes nostāja pirmajā lasījumā arī pieļauj atkāpi no aizlieguma apstrādāt sensitīvus personas datus arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos. Šāda atkāpe tiek pieļauta, ja konkrētā apstrāde pamatojas uz Savienības vai dalībvalsts tiesību aktiem, kam jābūt samērīgiem ar izvirzīto mērķi, jāievēro tiesību uz datu aizsardzību būtība un jāparedz piemēroti un konkrēti pasākumi datu subjekta pamattiesību un interešu aizsardzībai.

11.    Iepriekš noslēgti nolīgumi

Padomes nostāja pirmajā lasījumā konkrēti nosaka, ka starptautiskie nolīgumi, kuri ietver personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām un kurus dalībvalstis ir noslēgušas pirms šīs regulas stāšanās spēkā, un kuri ir saderīgi ar Savienības tiesību aktiem, kas ir piemērojami pirms šīs regulas stāšanās spēkā, paliek spēkā līdz brīdim, kad tie tiek grozīti, aizstāti vai atcelti. Tas nodrošina juridisko noteiktību pārziņiem un novērš nevajadzīgu administratīvo slogu dalībvalstīm. Tiek ņemts vērā arī tas, ka saistībā ar grozījumu izdarīšanu esošos nolīgumos dalībvalstis ir atkarīgas no sadarbības ar trešo valsti vai starptautisko organizāciju.

IV.   SECINĀJUMS

Padomes nostāja pirmajā lasījumā atbilst kompromisam, kas panākts Padomes un Eiropas Parlamenta sarunās, kuras sekmējusi Komisija. Padome aicina Eiropas Parlamentu oficiāli apstiprināt Padomes nostāju pirmajā lasījumā bez grozījumiem, lai varētu tikt izveidots jauns ES leģislatīvais satvars datu aizsardzībai, kurš stiprinās datu aizsardzības tiesības, vienlaikus atvieglojot personas datu apriti digitālajā tirgū.