ISSN 1977-0715

Eiropas Savienības

Oficiālais Vēstnesis

L 295

European flag  

Izdevums latviešu valodā

Tiesību akti

61. gadagājums
2018. gada 21. novembris


Saturs

 

I   Leģislatīvi akti

Lappuse

 

 

REGULAS

 

*

Eiropas Parlamenta un Padomes Regula (ES) 2018/1724 (2018. gada 2. oktobris), ar ko izveido vienotu digitālo vārteju, lai sniegtu piekļuvi informācijai, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, un ar ko groza Regulu (ES) Nr. 1024/2012 ( 1 )

1

 

*

Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK ( 1 )

39

 

*

Eiropas Parlamenta un Padomes Regula (ES) 2018/1726 (2018. gada 14. novembris) par Eiropas Savienības Aģentūru lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā (eu-LISA) un ar ko groza Regulu (EK) Nr. 1987/2006 un Padomes Lēmumu 2007/533/TI un atceļ Regulu (ES) Nr. 1077/2011

99

 

*

Eiropas Parlamenta un Padomes Regula (ES) 2018/1727 (2018. gada 14. novembris) par Eiropas Savienības Aģentūru tiesu iestāžu sadarbībai krimināllietās (Eurojust) un ar ko aizstāj un atceļ Padomes Lēmumu 2002/187/TI

138

 


 

(1)   Dokuments attiecas uz EEZ.

LV

Tiesību akti, kuru virsraksti ir gaišajā drukā, attiecas uz kārtējiem jautājumiem lauksaimniecības jomā un parasti ir spēkā tikai ierobežotu laika posmu.

Visu citu tiesību aktu virsraksti ir tumšajā drukā, un pirms tiem ir zvaigznīte.


I Leģislatīvi akti

REGULAS

21.11.2018   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 295/1


EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2018/1724

(2018. gada 2. oktobris),

ar ko izveido vienotu digitālo vārteju, lai sniegtu piekļuvi informācijai, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, un ar ko groza Regulu (ES) Nr. 1024/2012

(Dokuments attiecas uz EEZ)

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 21. panta 2. punktu un 114. panta 1. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu (1),

saskaņā ar parasto likumdošanas procedūru (2),

tā kā:

(1)

Iekšējais tirgus ir viens no jūtamākajiem Savienības sasniegumiem. Ļaujot cilvēkiem, precēm, pakalpojumiem un kapitālam brīvi pārvietoties, tas dod pilsoņiem un uzņēmumiem jaunas iespējas. Šī regula ir viens no galvenajiem elementiem vienotajā tirgus stratēģijā, kas izveidota ar Komisijas 2015. gada 28. oktobra paziņojumu “vienotā tirgus pilnīgošana – plašākas iespējas cilvēkiem un uzņēmējdarbībai”. Minētās stratēģijas mērķis ir pilnībā atraisīt iekšējā tirgus potenciālu, pilsoņiem un uzņēmumiem atvieglojot pārvietošanos Savienības iekšienē un tirdzniecību, uzņēmējdarbības veikšanu un uzņēmumu izvēršanu pāri robežām.

(2)

Komisijas 2015. gada 6. maija paziņojumā “Digitālā vienotā tirgus stratēģija Eiropai” tika atzīta interneta un digitālo tehnoloģiju loma tajā, kā mainās mūsu dzīve un veidi, kādos pilsoņi un uzņēmumi piekļūst informācijai, iegūst zināšanas, pērk preces un pakalpojumus, piedalās tirgū un strādā, tādējādi radot iespējas inovācijai, izaugsmei un nodarbinātībai. Minētajā paziņojumā un vairākās Eiropas Parlamenta pieņemtās rezolūcijās tika atzīts, ka pilsoņu un uzņēmumu vajadzības viņu pašu valstī un pāri robežām varētu labāk apmierināt, paplašinot un integrējot pastāvošos Eiropas līmeņa portālus, tīmekļa vietnes, tīklus, pakalpojumus un sistēmas un tos sasaistot ar dažādiem valstu risinājumiem, tādējādi izveidojot vienotu digitālu vārteju, kas kalpotu kā vienots Eiropas kontaktpunkts (“vārteja”). Komisijas 2016. gada 19. aprīļa paziņojumā “ES e-pārvaldes rīcības plāns 2016.–2020. gadam. Pārvaldes digitalizēšanās paātrināšana” vārteja tika uzskaitīta pie 2017. gada darbībām. Komisijas 2017. gada 24. janvāra ziņojumā “Pilsoņu tiesību stiprināšana demokrātisku pārmaiņu Savienībā. 2017. gada ziņojums par ES pilsonību” vārteja tika uzskatīta par prioritāti Savienības pilsoņu tiesībās.

(3)

Eiropas Parlaments un Padome daudzkārt ir aicinājuši izveidot visaptverošāku un lietotājdraudzīgāku informācijas un palīdzības kopumu, kas pilsoņiem un uzņēmumiem ļautu vieglāk orientēties iekšējā tirgū un stiprinātu un saskaņotu iekšējā tirgus rīkus, lai labāk apmierinātu pilsoņu un uzņēmumu vajadzības to pārrobežu darbībā.

(4)

Šī regula ir atbilde uz minētajiem aicinājumiem, kas pilsoņiem un uzņēmumiem dod iespēju viegli piekļūt informācijai, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, kuri vajadzīgi, lai tie varētu izmantot savas tiesības iekšējā tirgū. Vārteja varētu palīdzēt padarīt pārredzamākus noteikumus un reglamentējumu attiecībā uz dažādiem profesionālās darbības un dzīves notikumiem tādās jomās kā ceļošana, pensionēšanās, izglītība, nodarbinātība, veselības aprūpe, patērētāju tiesības un ģimenes tiesības. Tā varētu arī palīdzēt vairot patērētāju uzticēšanos, novērst zināšanu trūkumu par patērētāju aizsardzību un iekšējā tirgus noteikumiem un mazināt atbilstības nodrošināšanas izmaksas uzņēmumiem. Regula izveido lietotājdraudzīgu, interaktīvu vārteju, kurai atkarībā no lietotāju vajadzībām tie būtu jāaizved pie visatbilstošākajiem pakalpojumiem. Šajā kontekstā Komisijai un dalībvalstīm minēto mērķu sasniegšanā vajadzētu būt svarīgai lomai.

(5)

Vārtejai vajadzētu atvieglot mijiedarbību starp pilsoņiem un uzņēmumiem, no vienas puses, un kompetentajām iestādēm, no otras puses, nodrošinot piekļuvi tiešsaistes risinājumiem, atvieglojot pilsoņu un uzņēmumu ikdienas darbības un pēc iespējas samazinot šķēršļus, ar kuriem nākas saskarties iekšējā tirgū. Tādas vienotas digitālas vārtejas pastāvēšana, kura nodrošina tiešsaistes piekļuvi precīzai un aktuālai informācijai, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, varētu palīdzēt uzlabot lietotāju informētību par dažādiem jau pastāvošiem tiešsaistes pakalpojumiem un varētu samazināt lietotāju izmaksas un ietaupīt viņu laiku.

(6)

Šai regulai ir trīs mērķi, proti, samazināt papildu administratīvo slogu pilsoņiem un uzņēmumiem, kuri izmanto vai vēlas izmantot savas tiesības iekšējā tirgū, tostarp pilsoņu brīvu pārvietošanos, pilnībā ievērojot valsts noteikumus un procedūras, izbeigt diskrimināciju un nodrošināt iekšējā tirgus darbību attiecībā uz sniegto informāciju, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem. Tā kā tā attiecas uz pilsoņu brīvu pārvietošanos, ko nevar uzskatīt par sekundāru jautājumu, šīs regulas pamatā vajadzētu būt Līguma par Eiropas Savienības darbību (LESD) 21. panta 2. punktam un 114. panta 1. punktam.

(7)

Lai Savienības pilsoņi un uzņēmumi iekšējā tirgū varētu baudīt brīvas pārvietošanās tiesības, Savienībai būtu jāpieņem konkrēti, nediskriminējoši pasākumi, kas pilsoņiem un uzņēmumiem ļautu viegli piekļūt pietiekami visaptverošai un ticamai informācijai par savām tiesībām saskaņā ar Savienības tiesību aktiem un informācijai par piemērojamajiem valsts noteikumiem un procedūrām, kas tiem būs jāizpilda, ja tie pārcelsies uz citu dalībvalsti, dzīvos vai mācīsies tajā, dibinās uzņēmumu vai veiks uzņēmējdarbību. Informācija būtu jāuzskata par pietiekami visaptverošu, ja tā ietver visu informāciju, kas lietotājiem nepieciešama, lai tie saprastu savas tiesības un pienākumus, un identificē to, kādi noteikumi tiem ir piemērojami saistībā ar darbībām, kuras tie vēlas veikt kā pārrobežu lietotāji. Informācijai vajadzētu būt skaidrai, lakoniskai un saprotamai, kā arī lietderīgai un piemērotai lietotāju mērķgrupai. Informācijai par procedūrām būtu jāaptver visi paredzamie procedūras posmi, kas ir aktuāli lietotājam. Tas ir svarīgi pilsoņiem un uzņēmumiem, kas saskaras ar sarežģītu regulatīvo vidi, piemēram, tiem, kas darbojas e-komercijā un sadarbīgajā ekonomikā, lai tie viegli varētu atrast piemērojamos noteikumus un informāciju par to, kā šie noteikumi attiecas uz to darbību. Viegla un lietotājdraudzīga piekļuve informācijai ir tāda, kas lietotājiem ļauj informāciju viegli atrast, viegli noteikt, kuras informācijas daļas attiecas uz to konkrēto situāciju, un attiecīgo informāciju viegli saprast. Valsts līmenī sniedzamajai informācijai būtu jāaptver ne tikai valstu normas, ar kurām tiek īstenoti Savienības tiesību akti, bet arī visi citi valsts noteikumi, kas piemērojami gan iekšzemes, gan pārrobežu lietotājiem.

(8)

Šīs regulas noteikumiem par sniedzamo informāciju nebūtu jāietver valstu tiesu sistēmas, jo minētajā jomā informācija, kas attiecas uz pārrobežu lietotājiem, ir jau iekļauta e-tiesiskuma portālā. Dažās situācijās, uz kurām attiecas šī regula, tiesas būtu jāuzskata par kompetentajām iestādēm, piemēram, ja tiesas pārvalda uzņēmējdarbības reģistrus. Turklāt nediskriminācijas princips būtu jāattiecina arī uz tām tiešsaistes procedūrām, kas nodrošina piekļuvi tiesvedībai.

(9)

Saprotams, ka pilsoņi un uzņēmumi no citām dalībvalstīm var būt nelabvēlīgā situācijā, jo tiem nav pazīstami valsts noteikumi un administratīvā sistēma, tiek lietotas citas valodas un kompetentās iestādes dalībvalstī, kas nav lietotāju izcelsmes dalībvalsts, no tiem ir ģeogrāfiski tālu. Efektīvākais iekšējā tirgus šķēršļu mazināšanas veids ir pārrobežu un iekšzemes lietotājiem informāciju darīt pieejamu tiešsaistē, valodā, kuru tie saprot, lai dotu tiem iespēju valsts noteikumu izpildei vajadzīgās procedūras pilnībā izpildīt tiešsaistē, un piedāvāt tiem palīdzību gadījumos, kad normas un procedūras nav gana skaidras vai kad tie, izmantojot savas tiesības, saskaras ar šķēršļiem.

(10)

Risinājumus ir mēģināts rast ar vairākiem Savienības tiesību aktiem, kas dažādās nozarēs ir radījuši vienotos kontaktpunktus, tostarp ar Eiropas Parlamenta un Padomes Direktīvu 2006/123/EK (3) izveidotos vienotos kontaktpunktus, kas tiešsaistē sniedz informāciju, palīdzību un piekļuvi procedūrām, kuras ir svarīgas pakalpojumu sniegšanai, ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 764/2008 (4) izveidotos produktu informācijas punktus un ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 305/2011 (5) izveidotos būvizstrādājumu informācijas punktus, kas nodrošina informāciju par izstrādājumiem piemērojamiem tehniskajiem noteikumiem, un ar Eiropas Parlamenta un Padomes Direktīvu 2005/36/EK (6) izveidotos valstu profesionālās kvalifikācijas atbalsta centrus, kuri palīdz profesijas praktizētājiem pārcelties uz citu valsti. Papildus tam ir izveidoti tīkli, piemēram, Eiropas patērētāju centri, lai veicinātu Savienības patērētāju tiesību izpratni un palīdzētu izskatīt sūdzības par pirkumiem, kas ceļojot vai tiešsaistē izdarīti citās tīklā iesaistītajās dalībvalstīs. Arī SOLVIT, kas minēts Komisijas Ieteikumā 2013/461/ES (7), cenšas privātpersonām un uzņēmumiem sniegt ātrus, efektīvus un neformālus risinājumus gadījumos, kad publiskās iestādes neatzīst tiesības, kas tiem ir iekšējā tirgū. Visbeidzot, lietotāju informēšanai par Savienības un dalībvalstu normām ir izveidoti vairāki informatīvi portāli, tādi kā “Tava Eiropa”, kas attiecas uz iekšējo tirgu, un e-tiesiskuma portāls, kurš attiecas uz tiesiskuma jomu.

(11)

Minētie Savienības tiesību akti ir nozaru akti, tāpēc pašlaik sniegtā tiešsaistes informācija un palīdzības pakalpojumi, kā arī problēmu risināšanas pakalpojumi līdz ar tiešsaistes procedūrām pilsoņiem un uzņēmumiem arvien vēl ir ļoti sadrumstaloti. Trūkst saskanības tiešsaistes informācijas un procedūru pieejamībā, pakalpojumi nav pietiekami kvalitatīvi, un minētā informācija, kā arī palīdzības un problēmu risināšanas pakalpojumi nav zināmi. Pārrobežu lietotājiem ir arī grūtības atrast un piekļūt minētajiem pakalpojumiem.

(12)

Ar šo regulu būtu jāizveido vienota digitāla vārteja, kas darbotos kā vienots punkts, no kura pilsoņi un uzņēmumi var piekļūt informācijai par Savienības vai valsts noteikumiem un prasībām, kas tiem jāizpilda. Vārtejai būtu jāvienkāršo pilsoņu un uzņēmumu saskare ar Savienības vai valsts līmenī izveidotajiem palīdzības un problēmu risināšanas pakalpojumiem un minētā saskare būtu jāpadara efektīvāka. Vārtejai būtu arī jāatvieglo tiešsaistes procedūru pieejamība un izpildāmība. Šai regulai nekādi nevajadzētu skart pastāvošās tiesības un pienākumus, ko minētajās politikas jomās nosaka Savienības vai valstu tiesību akti. Saistībā ar procedūrām, kuras uzskaitītas šīs regulas II pielikumā, kā arī procedūrām, kuras noteiktas Direktīvās 2005/36/EK un 2006/123/EK un Eiropas Parlamenta un Padomes Direktīvās 2014/24/ES (8) un 2014/25/ES (9), ar šo regulu būtu jāatbalsta vienreizējas iesniegšanas principa piemērošana un būtu pilnībā jāievēro pamattiesības uz personas datu aizsardzību apliecinājumu apmaiņā starp dažādu dalībvalstu kompetentajām iestādēm.

(13)

Vārtejai un tās saturam vajadzētu būt lietotājorientētiem un lietotājdraudzīgiem. Vārtejas mērķim vajadzētu būt novērst pārklāšanos, un tai būtu jānodrošina saites uz esošajiem pakalpojumiem. Tai būtu jāļauj pilsoņiem un uzņēmumiem mijiedarboties ar pārvaldes iestādēm valsts un Savienības līmenī, dodot tiem iespēju no tiešas pieredzes sniegt atsauksmes gan par vārtejā sniegtajiem pakalpojumiem, gan iekšējā tirgus darbību. Atsauksmju rīkam būtu jāļauj lietotājam uzrādīt, vienlaikus ļaujot lietotājam palikt anonīmam, saskatītās problēmas, trūkumus un vajadzības, lai būtu iespējams nemitīgi uzlabot pakalpojumu kvalitāti.

(14)

Vārtejas sekmes būs atkarīgas no Komisijas un dalībvalstu kopīgiem pūliņiem. Vārtejā vajadzētu būt arī pastāvošajā portālā “Tava Eiropa” integrētai kopīgai lietotājsaskarnei, ko pārvaldītu Komisija. Kopīgajai lietotājsaskarnei būtu jānodrošina saites uz informāciju, procedūrām un palīdzības vai problēmu risināšanas pakalpojumiem, kas pieejami dalībvalstu kompetento iestāžu un Komisijas pārvaldītos portālos. Lai vārteja būtu vieglāk lietojama, kopīgajai lietotājsaskarnei vajadzētu būt pieejamai visās Savienības iestāžu oficiālajās valodās (“Savienības oficiālās valodas”). Pastāvošajā portālā “Tava Eiropa” un tā piekļuves galvenajā tīmekļa lapā, kas pielāgota vārtejas prasībām, būtu jāsaglabā daudzvalodu pieeja attiecībā uz sniegto informāciju. Vārtejas darbība būtu jāatbalsta ar tehniskiem rīkiem, ko Komisija izstrādā ciešā sadarbībā ar dalībvalstīm.

(15)

Saskaņā ar Direktīvu 2006/123/EK izstrādātajā Elektronisko vienoto kontaktpunktu hartā, ko Padome atbalstīja 2013. gadā, dalībvalstis brīvprātīgi apņēmās vienotajos kontaktpunktos sniegtajā informācijā īstenot lietotājorientētu pieeju, lai aptvertu uzņēmumiem īpaši svarīgās jomas, tostarp PVN, ienākuma nodokļus, sociālo nodrošinājumu un darba tiesību prasības. Balstoties uz minēto hartu un ņemot vērā portāla “Tava Eiropa” pieredzi, šai informācijai būtu jāietver arī palīdzības un problēmu risināšanas pakalpojumu apraksts. Pilsoņiem un uzņēmumiem vajadzētu būt iespējai izmantot šādus pakalpojumus, ja tiem ir grūti saprast informāciju, attiecināt minēto informāciju uz savu situāciju vai izpildīt kādu procedūru.

(16)

Šajā regulā būtu jāuzskaita informācijas jomas, kas attiecas uz pilsoņiem un uzņēmumiem, kuri izmanto savas tiesības un pilda savus pienākumus iekšējā tirgū. Attiecībā uz minētajām jomām pietiekami visaptveroša informācija būtu jāsniedz valsts, tostarp reģionālā un vietējā, līmenī un Savienības līmenī, izskaidrojot piemērojamos noteikumus un pienākumus un procedūras, kas pilsoņiem un uzņēmumiem jāveic, lai pildītu minētos noteikumus un pienākumus. Lai nodrošinātu piedāvāto pakalpojumu kvalitāti, ar vārteju sniegtajai informācijai vajadzētu būt skaidrai, precīzai un aktuālai, pēc iespējas būtu jāsamazina sarežģītu terminu izmantošana un būtu jāizmanto tikai tādi akronīmi, kuri ir vienkāršoti un viegli saprotami apzīmējumi, kuru izpratnei nav nepieciešamas priekšzināšanas par attiecīgo jautājumu vai tiesību jomu. Minētā informācija būtu jāsniedz tādā veidā, lai lietotāji varētu viegli saprast pamata noteikumus un prasības, kas piemērojami to situācijai šajās jomās. Lietotāji būtu arī jāinformē par to, ka konkrētās dalībvalstīs nav valsts noteikumu informācijas jomās, kuras uzskaitītas I pielikumā, jo īpaši tad, ja citās dalībvalstīs uz šīm jomām attiecas valsts noteikumi. Šādu informāciju par valsts noteikumu neesamību varētu iekļaut portālā “Tava Eiropa”.

(17)

Kad vien iespējams, būtu jāizmanto informācija, ko Komisija jau ir savākusi no dalībvalstīm saskaņā ar esošajiem Savienības tiesību aktiem vai ar brīvprātīgiem mehānismiem, piemēram, informācija, kas savākta EURES portālam, kurš izveidots ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/589 (10), e-tiesiskuma portālam, kurš izveidots ar Padomes Lēmumu 2001/470/EK (11), vai reglamentēto profesiju datubāzei, kas izveidota ar Direktīvu 2005/36/EK, lai šī informācija veidotu daļu no informācijas, kas jādara pieejama pilsoņiem un uzņēmumiem Savienības un dalībvalstu līmenī saskaņā ar šo regulu. Nevajadzētu prasīt, lai dalībvalstis savās valsts tīmekļa vietnēs sniegtu informāciju, kas jau ir pieejama attiecīgajās Komisijas pārvaldītajās datubāzēs. Ja dalībvalstīm jau ir jānodrošina tiešsaistes informācija, ievērojot citus Savienības tiesību aktus, piemēram, Eiropas Parlamenta un Padomes Direktīvu 2014/67/ES (12), būtu jāpietiek ar to, ka dalībvalstis nodrošina saites uz esošo tiešsaistes informāciju. Ja konkrētas politikas jomas jau ir pilnībā saskaņotas Savienības tiesību aktos, piemēram, patērētāju tiesības, ar Savienības līmenī sniegtu informāciju parasti vajadzētu būt pietiekami, lai lietotājiem būtu iespējams saprast savas tiesības vai pienākumus. Šādos gadījumos dalībvalstīm būtu tikai jāsniedz papildu informācija par savas valsts administratīvajām procedūrām un palīdzības pakalpojumiem vai jebkādiem citiem valsts administratīvajiem noteikumiem, ja tas ir svarīgi lietotājiem. Informācijai par patērētāju tiesībām, piemēram, nebūtu jāietekmē līgumtiesības, bet būtu tikai jāinformē lietotāji par to tiesībām saskaņā ar Savienības un dalībvalstu tiesību aktiem saistībā ar komercdarījumiem.

(18)

Ar šo regulu būtu jāstiprina tiešsaistes procedūru iekšējā tirgus aspekts un tādējādi jāveicina iekšējā tirgus digitalizācija, ievērojot vispārīgo nediskriminēšanas principu, tostarp attiecībā uz pilsoņu vai uzņēmumu piekļuvi tām tiešsaistes procedūrām, kas valsts līmenī jau ir izveidotas, pamatojoties uz Savienības vai valsts tiesību aktiem, un procedūrām, kuras paredzēts darīt pilnībā pieejamas tiešsaistē saskaņā ar šo regulu. Ja lietotājs, kas ir saistīts tikai ar vienu dalībvalsti, var piekļūt un izpildīt procedūru tiešsaistē minētajā dalībvalstī jomā, uz kuru attiecas šī regula, pārrobežu lietotājam arī vajadzētu būt iespējai bez jebkādiem diskriminējošiem šķēršļiem tiešsaistē piekļūt minētajai procedūrai un to izpildīt, vai nu izmantojot to pašu tehnisko risinājumu, vai alternatīvu, tehniski nodalītu risinājumu, kura rezultāts ir tāds pats. Šādus šķēršļus var radīt valsts līmenī izstrādāti risinājumi, tādi kā veidlapu ailes, kurās jānorāda iekšzemes tālruņa numurs, valsts prefikss tālruņa numuram vai pasta indekss, maksājumi, kuri veicami vienīgi sistēmās, kas neļauj izdarīt pārrobežu maksājumus, detalizētu paskaidrojumu neesamība pārrobežu lietotājiem saprotamā valodā, elektronisku apliecinājumu no citas dalībvalsts iestādēm iesniegšanas neiespējamība un citās dalībvalstīs izdotu elektronisko identifikācijas līdzekļu nepieņemšana. Dalībvalstīm būtu jānodrošina risinājumi minēto šķēršļu novēršanai.

(19)

Kad lietotāji izpilda tiešsaistes procedūras pāri robežām, tiem vajadzētu būt iespējai saņemt visus attiecīgos paskaidrojumus kādā Savienības oficiālajā valodā, kuru lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits. Tas nenozīmē, ka dalībvalstīm ir jāiztulko savas ar procedūru saistītās administratīvās veidlapas vai arī procedūras izvaddati minētajā valodā. Tomēr dalībvalstis tiek mudinātas izmantot tādus tehniskus risinājumus, kuri lietotājiem pēc iespējas vairāk gadījumos ļautu izpildīt procedūras minētajā valodā, vienlaikus ievērojot dalībvalstu noteikumus attiecībā uz valodu lietojumu.

(20)

Valstu tiešsaistes procedūras, kuras attiecas uz pārrobežu lietotājiem, lai tie varētu izmantot savas iekšējā tirgus tiesības, ir atkarīgas no tā, vai tie pastāvīgi uzturas vai veic uzņēmējdarbību attiecīgajā dalībvalstī, vai arī vēlas piekļūt attiecīgās dalībvalsts procedūrām, lai gan pastāvīgi uzturas vai veic uzņēmējdarbību citā dalībvalstī. Ar šo regulu nebūtu dalībvalstīm jāliedz prasīt, ka pārrobežu lietotājiem, kas pastāvīgi uzturas vai veic uzņēmējdarbību to teritorijā, būtu jāsaņem valsts identifikācijas numurs, lai piekļūtu valsts procedūrām tiešsaistē, ar noteikumu, ka tas nerada nepamatotu papildu slogu vai izmaksas minētajiem lietotājiem. Tādu pārrobežu lietotāju vajadzībām, kas pastāvīgi neuzturas vai neveic uzņēmējdarbību attiecīgajā dalībvalstī, valsts tiešsaistes procedūrām, kuras neattiecas uz šo lietotāju iekšējā tirgus tiesību izmantošanu, piemēram, pieteikšanās tādu vietējo pakalpojumu saņemšanai kā atkritumu savākšana un stāvvietu atļaujas, nav jābūt pilnībā pieejamām tiešsaistē.

(21)

Šai regulai būtu jāpapildina Eiropas Parlamenta un Padomes Regulā (ES) Nr. 910/2014 (13) izklāstītie nosacījumi, ar kuriem dalībvalstis atzīst konkrētus fizisku un juridisku personu elektroniskās identifikācijas līdzekļus, uz ko attiecas citas dalībvalsts izziņotā elektroniskās identifikācijas shēma. Regula (ES) Nr. 910/2014 paredz nosacījumus, saskaņā ar kuriem lietotājiem ir atļauts izmantot savus elektroniskās identifikācijas un autentifikācijas līdzekļus, lai pārrobežu situācijās piekļūtu tiešsaistes publiskajiem pakalpojumiem. Savienības iestādes, struktūras, biroji un aģentūras tiek mudinātas pieņemt elektroniskās identifikācijas un autentifikācijas līdzekļus saistībā ar procedūrām, par kurām tās ir atbildīgas.

(22)

Vairākās nozarēs Savienības tiesību akti, tādi kā Direktīva 2005/36/EK, 2006/123/EK, 2014/24/ES un 2014/25/ES, prasa, lai procedūras būtu pilnībā pieejamas tiešsaistē. Ar šo regulu būtu jāprasa, lai vairākas citas procedūras, kas ir ļoti svarīgas lielākajai daļai pilsoņu un uzņēmumu, kuri izmanto savas tiesības un pilda savus pienākumus pāri robežām, būtu pilnībā pieejamas tiešsaistē.

(23)

Lai pilsoņiem un uzņēmumiem būtu iespējams tieši baudīt iekšējā tirgus priekšrocības, neradot nevajadzīgu papildu administratīvo slogu, ar šo regulu būtu jāprasa pilnībā digitalizēt lietotājsaskarni atsevišķām galvenajām pārrobežu lietotājiem izpildāmām procedūrām, kuras uzskaitītas šīs regulas II pielikumā. Ar šo regulu būtu arī jāparedz kritēriji, pēc kuriem noteikt, kā minētās procedūras kvalificējamas par pilnībā tiešsaistē izpildāmām. Šis pienākums nodrošināt to, lai šāda procedūru būtu pieejama tiešsaistē, būtu jāpiemēro tikai tad, ja attiecīgajā dalībvalstī šāda procedūra ir izveidota. Šai regulai nevajadzētu attiekties nedz uz sākotnējo uzņēmējdarbības reģistrāciju, nedz uz procedūrām, kuru rezultātā tiek izveidotas sabiedrības vai uzņēmumi kā juridiskas personas, vai uz šādu sabiedrību vai uzņēmumu turpmāk veiktu dokumentu iesniegšanu, jo tādās procedūrās ir vajadzīga visaptveroša pieeja, kam jāveicina digitālie risinājumi visā uzņēmuma pastāvēšanas laikā. Kad uzņēmumi sāk veikt uzņēmējdarbību citā dalībvalstī, tiem tiek prasīts reģistrēties sociālā nodrošinājuma sistēmā un apdrošināšanas sistēmā, lai varētu reģistrēt darbiniekus un izdarīt iemaksas abās sistēmās. Tiem var nākties paziņot par savu uzņēmējdarbību, saņemt atļaujas vai reģistrēt uzņēmējdarbības izmaiņas. Minētās procedūras attiecas uz uzņēmumiem, kuri darbojas daudzās tautsaimniecības nozarēs, tādēļ ir lietderīgi prasīt, lai šīs procedūras būtu pieejamas tiešsaistē.

(24)

Ar šo regulu būtu jāprecizē, ko nozīmē piedāvāt pilnībā tiešsaistē izpildāmu procedūru. Procedūra būtu jāuzskata par pilnībā tiešsaistē izpildāmu, ja lietotājs visus posmus mijiedarbībā starp lietotāju un kompetento iestādi (klientu apkalpošanas struktūrvienību) no piekļuves līdz procedūras izpildei var veikt elektroniski, attālināti un izmantojot tiešsaistes pakalpojumu. Šim tiešsaistes pakalpojumam būtu jāvada lietotājs, izmantojot sarakstu ar visām izpildāmajām prasībām un visiem iesniedzamajiem pamatojošiem apliecinājumiem, būtu jānodrošina, ka lietotājs var sniegt informāciju un pierādījumus par atbilstību visām šādām prasībām, un būtu jāsniedz lietotājam automātisks paziņojums par saņemšanu, ja vien procedūras izvaddati netiek sniegti uzreiz. Tam nevajadzētu liegt kompetentajām iestādēm tieši sazināties ar lietotājiem, ja saistībā ar procedūru nepieciešami sīkāki paskaidrojumi. Procedūras izvaddati, kā izklāstīts šajā regulā, kompetentajām iestādēm elektroniskā veidā būtu jāsniedz arī lietotājam, ja tas ir iespējams saskaņā ar piemērojamiem Savienības un dalībvalsts tiesību aktiem.

(25)

Šai regulai nebūtu jāskar to procedūru būtība, kas uzskaitītas II pielikumā, izveidotas valsts, reģionālā vai vietējā līmenī un neparedz materiālas vai procesuālas normas jomās, uz kurām attiecas II pielikums, tostarp nodokļu jomā. Šīs regulas mērķis ir noteikt tehniskās prasības, lai nodrošinātu, ka šādas procedūras, ja tās attiecīgajā dalībvalstī ir noteiktas, ir pilnībā pieejamas tiešsaistē.

(26)

Ar šo regulu nebūtu jāierobežo valsts iestāžu kompetence nevienā procedūrā, tostarp iesniegtās informācijas vai apliecinājumu pareizības un derīguma pārbaudē, kā arī autentiskuma pārbaudē gadījumos, kad apliecinājumi tiek iesniegti, izmantojot citus līdzekļus, nevis tehnisko sistēmu, kuras pamatā ir vienreizējas iesniegšanas princips. Ar šo regulu nebūtu arī jāierobežo procedūru digitalizētās un nedigitalizētās darbplūsmas kompetentajās iestādēs (“neredzamajās” struktūrvienībās) vai starp tām. Ja tas nepieciešams atsevišķās procedūrās, kas paredzētas uzņēmējdarbības izmaiņu reģistrācijai, dalībvalstīm būtu jāturpina pieprasīt notāru vai juristu līdzdalība, kas varētu vēlēties izmantot pārbaudes līdzekļus, tostarp videokonferences vai citus tiešsaistes līdzekļus, kuri nodrošina audiovizuālu savienojumu reālajā laikā. Tomēr šādai līdzdalībai nevajadzētu liegt izmaiņu reģistrācijas procedūras pilnībā izpildīt tiešsaistē.

(27)

Dažos gadījumos lietotājam var prasīt iesniegt apliecinājumus, lai pierādītu faktus, kurus nevar konstatēt, izmantojot tiešsaistes līdzekļus. Šādi apliecinājumi varētu ietvert medicīnisko izziņu, apliecinājumu, ka persona ir dzīva, apliecinājumu par mehānisko transportlīdzekļu tehnisko apskati vai to šasijas numura apstiprinājumu. Ja šādus apliecinājumus var iesniegt elektroniski, tas nebūtu jāuzskata par izņēmumu no principa, ka būtu jāpiedāvā pilnībā tiešsaistē izpildāma procedūra. Citos gadījumos joprojām varētu būt nepieciešama procedūras lietotāja personiska ierašanās kompetentajā iestādē saistībā ar tiešsaistes procedūru. Tādi izņēmumi, izņemot tos, kas izriet no Savienības tiesību aktiem, būtu pieļaujami tikai tad, ja tos pamato sevišķi svarīgi iemesli, kuri saistīti ar sabiedrības interesēm sabiedriskās drošības, sabiedrības veselības vai krāpšanas apkarošanas jomā. Pārredzamības nodrošināšanas nolūkā dalībvalstīm būtu jādalās ar Komisiju un citām dalībvalstīm ar informāciju par šādiem izņēmumiem, kā arī par pamatojumu un apstākļiem, kurus ņemot vērā, tos var piemērot. Nevajadzētu prasīt, lai dalībvalstis ziņo par katru atsevišķo gadījumu, kad izņēmuma kārtā ir tikusi prasīta fiziska klātbūtne, tām drīzāk būtu jāziņo par valsts noteikumiem, kuros paredzēti šādi gadījumi. Šajā sakarā vārtejas koordinācijas grupā būtu regulāri jāapspriež valsts līmeņa labākā prakse un tehnikas attīstība, kas ļauj veikt turpmāku digitalizāciju.

(28)

Pārrobežu situācijās procedūra adreses maiņas reģistrēšanai varētu sastāvēt no divām atsevišķām procedūrām: viena – izcelsmes dalībvalstī ar mērķi lūgt anulēt reģistrāciju vecajā adresē un otra – galamērķa dalībvalstī ar mērķi lūgt reģistrāciju jaunajā adresē. Šai regulai būtu jāattiecas uz abām procedūrām.

(29)

Tā kā uz to prasību, procedūru un formalitāšu digitalizāciju, kas saistītas ar profesionālo kvalifikāciju atzīšanu, jau attiecas Direktīva 2005/36/EK, tad šai regulai būtu jāattiecas tikai uz tās procedūras digitalizāciju, ar kuru lūdz diplomu, sertifikātu vai citu pabeigtu mācību kursu akadēmisku atzīšanu personai, kas vēlas sākt vai turpināt studijas vai izmantot akadēmisko titulu ārpus tām, neietverot formalitātes, kuras saistītas ar profesionālo kvalifikāciju atzīšanu.

(30)

Šai regulai nebūtu jāskar Eiropas Parlamenta un Padomes Regulās (EK) Nr. 883/2004 (14) un (EK) Nr. 987/2009 (15) iekļautie sociālās nodrošināšanas koordinācijas noteikumi, kuros definētas apdrošināto personu un sociālās nodrošināšanas iestāžu tiesības un pienākumi, un sociālās nodrošināšanas koordinācijas jomā piemērojamās procedūras.

(31)

Savienības un dalībvalstu līmenī ir izveidoti vairāki tīkli un dienesti, kas palīdz pilsoņiem un uzņēmumiem to pārrobežu darbībā. Ir svarīgi, lai šie dienesti, tostarp esošie palīdzības vai problēmu risināšanas pakalpojumi, kuri izveidoti Savienības līmenī, piemēram, Eiropas Patērētāju centru tīkls, “Tavs Eiropas padomdevējs”, SOLVIT, Intelektuālā īpašuma tiesību palīdzības dienests, Europe Direct un Eiropas Biznesa atbalsta tīkls, ietilptu vārtejā, lai nodrošinātu to, ka visi potenciālie lietotāji var tos atrast. III pielikumā uzskaitītie pakalpojumi ir izveidoti ar saistošiem Savienības tiesību aktiem, bet citi pakalpojumi tiek sniegti brīvprātīgā kārtā. Šajā regulā noteiktajām kvalitātes prasībām vajadzētu būt saistošām pakalpojumiem, kas izveidoti ar saistošiem Savienības tiesību aktiem. Pakalpojumiem, kurus sniedz brīvprātīgā kārtā, būtu jāatbilst minētajām kvalitātes prasībām, ja ir nodoms tos padarīt pieejamus, izmantojot vārteju. Ar šo regulu nevajadzētu mainīt minēto pakalpojumu darbības jomu un raksturu, to pārvaldības kārtību, esošos termiņus un brīvprātības, līgumisko vai citu pamatu, uz kā tie darbojas. Piemēram, ja to sniegtajai palīdzībai ir neformāls raksturs, šīs regulas rezultātam nevajadzētu būt tādam, ka šāda palīdzība tiktu padarīta par saistošu juridisku konsultāciju.

(32)

Turklāt dalībvalstīm un Komisijai vajadzētu būt iespējamam šajā regulā paredzētajā kārtībā pievienot vārtejai citus valsts palīdzības vai problēmu risināšanas pakalpojumus, ko sniedz kompetentās iestādes vai privāti vai daļēji privāti subjekti, vai publiskas struktūras, piemēram, tirdzniecības palātas vai nevalstiski palīdzības dienesti pilsoņiem. Par palīdzību pilsoņiem un uzņēmumiem ar piemērojamajām normām un procedūrām saistītos jautājumos, kurus nespēj pilnībā atrisināt tiešsaistes dienesti, principā būtu jāatbild kompetentajām iestādēm. Tomēr šauri specializētās jomās un tad, kad privāta vai daļēji privāta subjekta sniegtais pakalpojums apmierina lietotāja vajadzības, dalībvalstis var ierosināt Komisijai šādus pakalpojumus iekļaut vārtejā ar noteikumu, ka minētie pakalpojumi atbilst visiem šajā regulā paredzētajiem nosacījumiem un nedublē jau iekļautos palīdzības vai problēmu risināšanas pakalpojumus.

(33)

Lai palīdzētu lietotājiem noteikt vajadzīgo pakalpojumu, šai regulai būtu jānodrošina palīdzības pakalpojumu meklētājs, kas lietotājus automātiski aizvestu līdz īstajam pakalpojumam.

(34)

Kvalitātes prasību minimuma izpilde ir būtiska vārtejas sekmīgai izveidei, lai nodrošinātu, ka uz informācijas un pakalpojumu sniegšanu var paļauties, jo citādi tiktu nopietni apdraudēta visas vārtejas uzticamība. Galvenais atbilstības nodrošināšanas mērķis ir panākt, ka informācija vai pakalpojums tiek sniegts skaidrā un lietotājdraudzīgā veidā. Šī mērķa sasniegšanai noteikt, kādā veidā informācija tiek sniegta lietotāju maršruta laikā, ir dalībvalstu pienākums. Piemēram, lai arī ir lietderīgi pirms procedūras uzsākšanas informēt lietotājus par vispārpieejamiem pārsūdzēšanas līdzekļiem gadījumā, ja procedūras iznākums ir negatīvs, daudz lietotājdraudzīgāk ir konkrētu informāciju par iespējamām šādā gadījumā veicamām darbībām sniegt procedūras beigās.

(35)

Informācijas piekļūstamību pārrobežu lietotājiem var būtiski uzlabot, ja informācija ir pieejama Savienības oficiālajā valodā, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits. Šai valodai lielākajā daļā gadījumu vajadzētu būt svešvalodai, ko visbiežāk apgūst lietotāji visā Savienībā, bet dažos atsevišķos gadījumos, jo īpaši tad, kad mazām pašvaldībām, kuras atrodas netālu no dalībvalsts robežas, ir jāsniedz informācija vietējā līmenī, vispiemērotākā valoda varētu būt tā, kas ir pirmā valoda pārrobežu lietotājiem no kaimiņu dalībvalsts. Tulkojumam no attiecīgo dalībvalstu valsts valodas vai valodām minētajā citā Savienības oficiālajā valodā būtu precīzi jāatspoguļo oriģinālvalodā vai oriģinālvalodās sniegtās informācijas saturs. Var nodrošināt tulkojumu tikai tai informācijai, kura lietotājiem vajadzīga, lai saprastu pamatnoteikumus un prasības, kas attiecas uz to situāciju. Lai gan dalībvalstis būtu jāmudina tulkot pēc iespējas vairāk informācijas Savienības oficiālajā valodā, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits, saskaņā ar šo regulu tulkojamās informācijas apmērs būs atkarīgs no šim mērķim pieejamā finansējuma, īpaši no Savienības budžeta. Komisijai būtu jāveic atbilstoši pasākumi, lai nodrošinātu tulkojumu efektīvu sniegšanu dalībvalstīm pēc to pieprasījuma. Vārtejas koordinācijas grupai būtu jāapspriežas un jāsniedz norādījumi par Savienības oficiālo valodu vai valodām, kurās šāda informācija būtu jātulko.

(36)

Saskaņā ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2016/2102 (16) dalībvalstīm ir pienākums nodrošināt, lai to publisko struktūru tīmekļa vietnes būtu piekļūstamas atbilstīgi tādiem principiem kā uztveramība, funkcionalitāte, saprotamība un robustums un lai tās atbilstu minētajā direktīvā paredzētajām prasībām. Komisijai un dalībvalstīm būtu jānodrošina atbilstība Apvienoto Nāciju Organizācijas Konvencijai par personu ar invaliditāti tiesībām, jo īpaši tās 9. un 21. pantam, un, lai veicinātu cilvēku ar intelektuālās attīstības traucējumiem piekļuvi informācijai, pēc iespējas lielākā apmērā saskaņā ar proporcionalitātes principu būtu jānodrošina alternatīvas viegli lasāmā valodā. Kad dalībvalstis ratificēja un Savienība noslēdza (17) minēto konvenciju, tās apņēmās veikt atbilstošus pasākumus, lai cilvēkiem ar intelektuālās attīstības traucējumiem līdzvērtīgi citiem nodrošinātu piekļuvi jaunām informācijas un komunikācijas tehnoloģijām un sistēmām, tostarp internetam, veicinot cilvēku ar intelektuālās attīstības traucējumiem piekļuvi informācijai, pēc iespējas lielākā apmērā un proporcionāli nodrošinot alternatīvas viegli lasāmā valodā.

(37)

Direktīva (ES) 2016/2102 neattiecas uz Savienības iestāžu, struktūru, biroju un aģentūru tīmekļa vietnēm un mobilajām lietotnēm, taču Komisijai būtu jānodrošina, ka kopīgajai lietotājsaskarnei un tīmekļa lapām, par kurām tā ir atbildīga un kuras paredzēts iekļaut vārtejā, var piekļūt personas ar invaliditāti, t. i., tās ir uztveramas, funkcionālas, saprotamas un robustas. Uztveramība nozīmē, ka informācijai un kopīgās lietotājsaskarnes sastāvdaļām jābūt pasniegtām lietotājiem tiem uztveramā veidā; funkcionalitāte nozīmē, ka kopīgās lietotājsaskarnes sastāvdaļām un navigācijai jābūt funkcionālai; saprotamība nozīmē, ka informācijai un kopīgās lietotājsaskarnes izmantošanai jābūt saprotamai, un robustums nozīmē, ka saturam jābūt pietiekami robustam, lai dažādi lietotāju aģenti, tostarp atbalsta tehnoloģijas, varētu to uzticami interpretēt. Attiecībā uz jēdzieniem uztveramība, funkcionalitāte, saprotamība un robustumus Komisija tiek mudināta ievērot attiecīgos saskaņotos standartus.

(38)

Lai atvieglotu tādu maksājumu veikšanu, kas prasīti kā daļa no tiešsaistes procedūrām vai par palīdzības vai problēmu risināšanas pakalpojumu sniegšanu, pārrobežu lietotājiem vajadzētu būt iespējai izmantot kredīta pārvedumus vai tiešā debeta maksājumus, kā norādīts Eiropas Parlamenta un Padomes Regulā (ES) Nr. 260/2012 (18), vai citus parasti izmantotus pārrobežu maksāšanas līdzekļus, tostarp debetkartes vai kredītkartes.

(39)

Ir lietderīgi, lai lietotāji būtu informēti par procedūras paredzamo ilgumu. Tādēļ lietotājiem vajadzētu būt informētiem par piemērojamiem termiņiem vai klusējot izteiktu apstiprinājumu, vai par administratīvas klusēšanas mehānismiem, vai, ja tie nav piemērojami, vismaz vidējo, paredzamo vai indikatīvo laiku, kas attiecīgajai procedūrai parasti vajadzīgs. Šādām aplēsēm vai norādēm būtu tikai jāpalīdz lietotājiem plānot savas darbības vai turpmākos administratīvos soļus, un tām nevajadzētu būt juridiskam spēkam.

(40)

Ar šo regulu būtu arī jādod iespēja pārbaudīt lietotāju elektroniskā formā iesniegtos apliecinājumus, ja šādi apliecinājumi ir iesniegti bez elektroniskā zīmoga vai kompetentās izdevējiestādes apliecinājuma vai ja nav pieejams tehniskais rīks, kas izveidots ar šo regulu, vai jebkāda cita sistēma, kura dažādu dalībvalstu kompetentajām iestādēm ļauj tieši apmainīties ar apliecinājumiem vai tos pārbaudīt. Šādiem gadījumiem regulai būtu jāparedz efektīvs dalībvalstu kompetento iestāžu administratīvās sadarbības mehānisms, kas balstās uz Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1024/2012 (19) izveidoto Iekšējā tirgus informācijas sistēmu (“IMI”). Šādos gadījumos kompetentās iestādes lēmumam par IMI izmantošanu vajadzētu būt brīvprātīgam, bet tiklīdz minētā iestāde ir iesniegusi sadarbības vai informācijas pieprasījumu, izmantojot IMI, pieprasījuma saņēmējai kompetentajai iestādei vajadzētu būt pienākumam sadarboties un sniegt atbildi. Pieprasījumu, izmantojot IMI, var nosūtīt vai nu kompetentajai iestādei, kas izdevusi apliecinājumu, vai centrālajai iestādei, kura jāizraugās dalībvalstīm saskaņā ar to administratīvajiem noteikumiem. Lai izvairītos no nevajadzīgas dublēšanās un tā kā Eiropas Parlamenta un Padomes Regula (ES) 2016/1191 (20) reglamentē daļu no apliecinājumiem, kas attiecas uz procedūrām, kuras reglamentē šī regula, sadarbības kārtību, kas attiecībā uz IMI noteikta Regulā (ES) 2016/1191, var izmantot arī saistībā ar citiem apliecinājumiem, kas vajadzīgi procedūrās, kuras reglamentē šī regula. Regula (ES) Nr. 1024/2012 būtu jāgroza, lai par IMI dalībniekiem varētu kļūt Savienības struktūras, biroji vai aģentūras.

(41)

Kompetento iestāžu sniegtajiem tiešsaistes pakalpojumiem ir izšķirīga nozīme pilsoņiem un uzņēmumiem sniegto pakalpojumu kvalitātes un drošības uzlabošanā. Valsts pārvalde dalībvalstīs arvien biežāk cenšas panākt datu atkalizmantošanu, lai pilsoņiem un uzņēmumiem viena un tā pati informācija nebūtu jāsniedz vairākkārt. Būtu jāsekmē datu atkalizmantošana pārrobežu lietotājiem, lai mazinātu papildu slogu.

(42)

Lai nodrošinātu apliecinājumu un informācijas likumīgu pārrobežu apmaiņu, Savienības mērogā piemērojot vienreizējas iesniegšanas principu, šo regulu piemēro un vienreizējas iesniegšanas principu īsteno atbilstīgi visiem attiecīgajiem datu aizsardzības noteikumiem, tostarp datu apjoma samazināšanas, precizitātes, glabāšanas ierobežošanas, integritātes un konfidencialitātes, nepieciešamības, samērīguma un datu izmantošanas mērķa ierobežojuma principiem. Tās īstenošanā būtu pilnībā jāievēro arī integrētās drošības un integrētas privātuma aizsardzības princips, kā arī personu pamattiesības, tostarp tās, kas attiecas uz taisnīgumu un pārredzamību.

(43)

Dalībvalstīm būtu jānodrošina, ka procedūru lietotājiem tiek sniegta skaidra informācija par to, kā saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (21) 13. un 14. pantu un Regulas (ES) 2018/1725 (22) 15. un 16. pantu tiks apstrādāti ar viņiem saistītie personas dati.

(44)

Lai vēl vairāk atvieglotu tiešsaistes procedūru izmantošanu, šai regulai saskaņā ar vienreizējas iesniegšanas principu būtu jārada pamats pilnībā darbotiesspējīgas, drošas un aizsargātas tehniskas sistēmas izveidei un izmantošanai nolūkā veikt apliecinājumu automatizētu pārrobežu apmaiņu starp procedūrā iesaistītajiem dalībniekiem, ja to nepārprotami pieprasījuši pilsoņi un uzņēmumi. Ja apliecinājumu apmaiņa ietver personas datus, pieprasījums būtu jāuzskata par nepārprotamu, ja tas ietver labprātīgi sniegtu, konkrētu, apzinātu un skaidru norādi, ar kuru persona vai nu paziņojuma, vai apstiprinošas darbības veidā izsaka savu vēlmi veikt attiecīgo personas datu apmaiņu. Ja lietotājs nav tā persona, uz kuru attiecas dati, tiešsaistes procedūrai nevajadzētu ietekmēt tā tiesības saskaņā ar Regulu (ES) 2016/679. Vienreizējas iesniegšanas principa pārrobežu piemērošanas rezultātā pilsoņiem un uzņēmumiem vieni un tie paši dati nebūtu jāsniedz publiskās pārvaldes iestādēm vairāk kā vienu reizi un minētos datus pēc lietotāja pieprasījuma vajadzētu būt iespējamam izmantot arī nolūkā izpildīt pārrobežu tiešsaistes procedūras, kurās iesaistīti pārrobežu lietotāji. Attiecībā uz kompetento izdevējiestādi pienākumam izmantot tehnisko sistēmu apliecinājumu automatizētai apmaiņai starp dažādām dalībvalstīm vajadzētu būt spēkā tikai tad, ja iestādes savā dalībvalstī likumīgi izdod apliecinājumus elektroniskā formātā, kas ļauj īstenot šādu automatizētu apmaiņu.

(45)

Jebkurai apliecinājumu pārrobežu apmaiņai vajadzētu būt atbilstošam juridiskajam pamatam, tādam, kā norādīts Direktīvās 2005/36/EK, 2006/123/EK, 2014/24/ES vai 2014/25/ES, vai – attiecībā uz II pielikumā uzskaitītajām procedūrām – saskaņā ar citiem piemērojamiem Savienības vai valsts tiesību aktiem.

(46)

Ir lietderīgi šajā regulā noteikt, ka parasti automatizēta pārrobežu apliecinājumu apmaiņa notiek pēc lietotāja nepārprotama pieprasījuma. Tomēr šī prasība nebūtu jāpiemēro, ja attiecīgie Savienības vai valstu tiesību akti atļauj veikt automatizētu pārrobežu datu apmaiņu bez lietotāja nepārprotama pieprasījuma.

(47)

Ar šo regulu izveidotās tehniskās sistēmas izmantošanai joprojām vajadzētu būt brīvprātīgai, un lietotājam vajadzētu būt iespējai iesniegt apliecinājumus arī citā veidā, neizmantojot šo tehnisko sistēmu. Lietotājam vajadzētu būt iespējai priekšskatīt apliecinājumus un tiesībām neveikt apliecinājumu apmaiņu gadījumos, kad lietotājs pēc apmaiņai paredzēto apliecinājumu priekšskatījuma konstatē, ka informācija ir nepareiza, novecojusi vai plašāka, nekā vajadzīgs attiecīgajai procedūrai. Priekšskatījumā ietvertos datus vajadzētu uzglabāt tikai tik ilgi, cik tas ir tehniski nepieciešams.

(48)

Drošajai tehniskajai sistēmai, kas būtu jāizveido, lai būtu iespējams apmainīties ar apliecinājumiem saskaņā ar šo regulu, būtu jādod kompetentajām pieprasītājiestādēm pārliecība, ka apliecinājumus ir izdevusi pareizā izdevējiestāde. Pirms pieņemt lietotāja sniegto informāciju saistībā ar procedūru, kompetentajai iestādei šaubu gadījumā vajadzētu spēt pārbaudīt informāciju un konstatēt, ka tā ir precīza.

(49)

Vairāki esošie pamatelementi sniedz pamata spējas, kas var tikt izmantotas tehniskās sistēmas izveidei, piemēram, Eiropas infrastruktūras savienošanas instruments, kas izveidots ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1316/2013 (23), un e-piegādes un e-identifikācijas pamatelementi, kas ir daļa no minētā instrumenta. Minētajos pamatelementos ir ietvertas tehniskās specifikācijas, parauga programmatūras un atbalsta pakalpojumi, un to mērķis ir nodrošināt sadarbspēju starp esošajām informācijas un komunikācijas tehnoloģijas (IKT) sistēmām dažādās dalībvalstīs, lai pilsoņi, uzņēmumi un pārvaldes iestādes, lai kur arī Savienībā tie atrastos, var gūt labumu no integrētiem digitālajiem publiskajiem pakalpojumiem.

(50)

Ar šo regulu izveidotajai sistēmai vajadzētu būt pieejamai papildus citām sistēmām, kas nodrošina iestāžu sadarbības mehānismus, tādus kā IMI, un tām nebūtu jāskar citas sistēmas, tostarp Regulā (EK) Nr. 987/2009 paredzētā sistēma, Eiropas vienotais iepirkuma procedūras dokuments saskaņā ar Direktīvu 2014/24/ES, sociālā nodrošinājuma informācijas elektroniskā apmaiņa saskaņā ar Regulu (EK) Nr. 987/2009, Eiropas profesionālā karte saskaņā ar Direktīvu 2005/36/EK, valstu reģistru savstarpējie savienojumi un centrālo, komerciālo un uzņēmumu reģistru savienojumi saskaņā ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2017/1132 (24) un maksātnespējas reģistru savstarpēja savienojamība saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2015/848 (25).

(51)

Lai nodrošinātu vienādus nosacījumus tādas tehniskās sistēmas īstenošanai, kas ļauj automātiski apmainīties ar apliecinājumiem, būtu jāpiešķir īstenošanas pilnvaras Komisijai jo īpaši paredzēt tehniskās un darbības specifikācijas sistēmai, kas apstrādās lietotāja pieprasījumu apmainīties ar apliecinājumiem, un šādu apliecinājumu pārsūtīšanai, kā arī paredzēt noteikumus, kas vajadzīgi pārsūtīšanas integritātes un konfidencialitātes nodrošināšanai. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (26).

(52)

Lai panāktu, ka tehniskā sistēma nodrošina augsta līmeņa drošību vienreizējas iesniegšanas principa pārrobežu piemērošanas vajadzībām, Komisijai, pieņemot īstenošanas aktus, kuros ir izklāstītas šādas tehniskās sistēmas specifikācijas, būtu pienācīgi jāņem vērā Eiropas un starptautisko standartizācijas organizāciju un struktūru, jo īpaši Eiropas Standartizācijas komitejas (CEN), Eiropas telesakaru standartu institūta (ETSI), Starptautiskās Standartizācijas organizācijas (ISO) un Starptautiskās Telesakaru savienības (ITU), izstrādātie standarti, kā arī drošības standarti, kas minēti Regulas (ES) 2016/679 32. pantā un Regulas (ES) 2018/1725 22. pantā.

(53)

Kad tas nepieciešams, lai nodrošinātu to tehniskās sistēmas elementu, par kuriem ir atbildīga Komisija, izstrādi, pieejamību, uzturēšanu, uzraudzību, kontroli un drošības pārvaldību, Komisijai būtu jākonsultējas ar Eiropas Datu aizsardzības uzraudzītāju.

(54)

Kompetentajām iestādēm un Komisijai būtu jānodrošina, lai informācija, procedūras un pakalpojumi, par kuriem tās ir atbildīgas, atbilst kvalitātes kritērijiem. Saskaņā ar šo regulu ieceltajiem valstu koordinatoriem un Komisijai būtu regulāri jāpārrauga atbilstība kvalitātes un drošības kritērijiem attiecīgi dalībvalstu un Savienības līmenī un jārisina radušās problēmas. Turklāt valstu koordinatoriem būtu jāpalīdz Komisijai uzraudzīt to, kā darbojas tehniskā sistēma, kas nodrošina pārrobežu apmaiņu ar apliecinājumiem. Ar šo regulu būtu jāpiešķir Komisijai dažādi līdzekļi, lai novērstu vārtejā piedāvājamo pakalpojumu kvalitātes pasliktināšanos, atkarībā no tā, cik nopietni un noturīgi kvalitāte ir pasliktinājusies, vajadzības gadījumā iesaistot vārtejas koordinācijas grupu. Tam nebūtu jāmazina Komisijas vispārējā atbildība par šīs regulas ievērošanas uzraudzību.

(55)

Šajā regulā būtu jānosaka vārtejas funkciju nodrošināšanas tehnisko rīku galvenās funkcijas, īpaši kopīgā lietotājsaskarne, saišu repozitorijs un kopīgais palīdzības pakalpojumu meklētājs. Kopīgajai lietotājsaskarnei būtu jānodrošina, ka lietotāji valstu un Savienības līmeņa tīmekļa vietnēs var viegli atrast informāciju, procedūras un palīdzības un problēmu risināšanas pakalpojumus. Dalībvalstīm un Komisijai būtu jātiecas nodrošināt saites uz vienotu informācijas avotu, kas ir nepieciešams vārtejai, lai izvairītos no neskaidrību radīšanas lietotājiem, ko izraisa viena un tā pati informācija no dažādiem vai pilnībā vai daļēji dublējošiem avotiem. Ar to nevajadzētu liegt norādīt saites uz to pašu informāciju, ko piedāvā vietējās vai reģionālās kompetentās iestādes attiecībā uz dažādiem ģeogrāfiskajiem apgabaliem. Ar to nevajadzētu arī liegt zināmu informācijas dublēšanos, ja tas ir nenovēršami vai vēlami, piemēram, ja kādas Savienības tiesības, pienākumi un normas ir atkārtotas vai aprakstītas valstu tīmekļa lapās, lai uzlabotu lietotājdraudzīgumu. Lai pēc iespējas samazinātu cilvēku iejaukšanos kopīgās lietotājsaskarnes izmantojamo saišu atjaunināšanā, būtu jāizveido, ja tas ir tehniski iespējams, tiešs savienojums starp dalībvalstu attiecīgajām tehniskajām sistēmām un saišu repozitoriju. Kopīgajos IKT atbalsta rīkos varētu izmantot galveno publisko pakalpojumu vārdnīcu (Core Public Services Vocabulary (CPSV)), lai veicinātu sadarbspēju ar valstu pakalpojumu katalogiem un semantiku. Dalībvalstis būtu jāmudina izmantot CPSV, taču tās var nolemt izmantot valsts risinājumus. Repozitorijā iekļautā informācija attiecībā uz saitēm būtu jādara publiski pieejama atvērtā, plaši izmantotā un mašīnlasāmā formātā, piemēram, ar lietojumprogrammas saskarnēm (API), lai to varētu izmantot atkārtoti.

(56)

Kopīgās lietotājsaskarnes meklētājprogrammai būtu jāaizved lietotāji pie tiem nepieciešamās informācijas gan Savienības, gan dalībvalsts līmeņa tīmekļa vietnēs. Turklāt arī turpmāk, nodrošinot alternatīvu veidu lietotāju novešanai pie noderīgas informācijas, būs lietderīgi veidot saites starp esošām un papildinošām tīmekļa vietnēm vai tīmekļa lapām, tās pēc iespējas pilnveidojot un grupējot, un veidot saites starp Savienības un dalībvalsts līmeņa tīmekļa lapām un tīmekļa vietnēm, nodrošinot piekļuvi tiešsaistes pakalpojumiem un informācijai.

(57)

Šajā regulā būtu arī konkrēti jānorāda kopīgajai lietotājsaskarnei izvirzāmās kvalitātes prasības. Komisijai būtu jānodrošina kopīgās lietotājsaskarnes atbilstība minētajām prasībām, un šai saskarnei jo īpaši vajadzētu būt pieejamai un piekļūstamai tiešsaistē, izmantojot dažādus kanālus, kā arī būt viegli lietojamai.

(58)

Lai nodrošinātu vienādus nosacījumus vārtejas atbalsta tehnisko risinājumu īstenošanai, būtu jāpiešķir īstenošanas pilnvaras Komisijai, kas vajadzības gadījumā noteiktu piemērojamos standartus un sadarbspējas prasības, lai varētu vieglāk atrast informāciju par noteikumiem un pienākumiem, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, par ko atbildīgas ir dalībvalstis un Komisija. Minētās pilnvaras būtu jāizmanto saskaņā ar Regulu (ES) Nr. 182/2011.

(59)

Ar šo regulu būtu arī skaidri jānodala Komisijas un dalībvalstu atbildība par vārtejas atbalsta IKT lietojumprogrammu izstrādi, pieejamību, uzturēšanu un drošību. Pildot uzturēšanas uzdevumus, Komisijai un dalībvalstīm būtu regulāri jāuzrauga minēto IKT lietojumprogrammu pienācīga darbība.

(60)

Lai attīstītu visu vārtejā iekļaujamo dažādo informācijas jomu, procedūru un palīdzības un problēmu risināšanas pakalpojumu potenciālu, ir ievērojami jāuzlabo mērķauditorijas informētība par to pastāvēšanu un darbību. To iekļaušanai vārtejā būtu ievērojami jāatvieglo lietotājiem tiem nepieciešamās informācijas, procedūru un palīdzības un problēmu risināšanas pakalpojumu atrašana, pat ja šie lietotāji nav informēti ne par vienu no tiem. Turklāt būs vajadzīgi koordinēti popularizēšanas pasākumi, lai panāktu, ka pilsoņi un uzņēmumi visā Savienībā uzzina par vārtejas pastāvēšanu un tās sniegtajām priekšrocībām. Šādiem popularizēšanas pasākumiem būtu jāietver meklētājprogrammas optimizācija un citas tiešsaistes informētības palielināšanas darbības, jo tās ir izmaksu ziņā visizdevīgākās un tām ir potenciāls sasniegt visplašāko iespējamo mērķauditoriju. Lai minētajiem popularizēšanas pasākumiem būtu maksimāla iedarbība, tie būtu jākoordinē vārtejas koordinācijas grupā un dalībvalstīm popularizēšanas darbības būtu jāpielāgo tā, lai visos attiecīgos kontekstos būtu atsauce uz kopīgo zīmolu un arī iespēja vārtejas zīmolu koplietot ar dalībvalstu iniciatīvām.

(61)

Visas Savienības iestādes, struktūras un aģentūras būtu jāmudina popularizēt vārteju, iekļaujot tās logotipu un saites uz to visās attiecīgajās tīmekļa lapās, par kurām tās ir atbildīgas.

(62)

Vārtejas nosaukumam, ar kādu tā būtu jāatpazīst un jāpopularizē plašākai sabiedrībai, vajadzētu būt “Your Europe”. Kopīgajai lietotājsaskarnei vajadzētu būt labi pamanāmai un viegli atrodamai, jo īpaši attiecīgajās Savienības un dalībvalstu tīmekļa lapās. Vārtejas logotipam vajadzētu būt redzamam attiecīgās Savienības un dalībvalstu tīmekļa vietnēs.

(63)

Lai varētu iegūt atbilstīgu informāciju vārtejas snieguma mērīšanai un uzlabošanai, šai regulai kompetentajām iestādēm un Komisijai būtu jāuzliek par pienākumu vākt un analizēt datus, kas ir saistīti ar dažādu vārtejā piedāvāto informācijas jomu, procedūru un pakalpojumu izmantošanu. Lietotāju statistikas datu vākšanai, piemēram, datu attiecībā uz konkrētu tīmekļa lapu apmeklējumu skaitu, lietotāju skaitu dalībvalstī salīdzinājumā ar lietotāju skaitu no citām dalībvalstīm, lietotajiem meklētājvārdiem, visbiežāk apmeklētajām tīmekļa lapām, atsauces tīmekļa lapām vai palīdzības pieprasījumu skaitu, izcelsmi un tematu, būtu jāuzlabo vārtejas darbība, palīdzot noteikt mērķauditoriju, izstrādāt popularizēšanas pasākumus un uzlabot piedāvāto pakalpojumu kvalitāti. Lai novērstu dublēšanos, šādu datu vākšanā būtu jāņem vērā Komisijas veiktais ikgadējais e-pārvaldības kritēriju novērtējums.

(64)

Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanā, būtu jāpiešķir Komisijai īstenošanas pilnvaras noteikt vienotus noteikumus par lietotāju statistikas datu vākšanas un apmaiņas metodi. Minētās pilnvaras būtu jāizmanto saskaņā ar Regulu (ES) Nr. 182/2011.

(65)

Vārtejas kvalitāte ir atkarīga no tā, cik kvalitatīvi ir Savienības un dalībvalstu pakalpojumi, kurus sniedz, izmantojot vārteju. Tādēļ vārtejā pieejamās informācijas, procedūru un palīdzības un problēmu risināšanas pakalpojumu kvalitāte arī būtu regulāri jāuzrauga ar lietotāju atsauksmju rīku, kas lietotājiem lūdz novērtēt informācijas, procedūru un palīdzības un problēmu risināšanas pakalpojumu aptvērumu un kvalitāti un sniegt atsauksmes par to. Šīs atsauksmes būtu jāvāc ar kopīgu rīku, kuram vajadzētu būt pieejamam Komisijai, kompetentajām iestādēm un valstu koordinatoriem. Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai saistībā ar lietotāju atsauksmju rīku kopīgajām funkcijām un detalizētu kārtību, kādā notiek lietotāju atsauksmju vākšana un kopīga izmantošana, īstenošanas pilnvaras būtu jāpiešķir Komisijai. Minētās pilnvaras būtu jāizmanto saskaņā ar Regulu (ES) Nr. 182/2011. Komisijai būtu jāpublicē tiešsaistē anonimizēti kopsavilkuma pārskati par problēmām, ko atklāj informācija, galvenie lietotāju statistikas dati un galvenās lietotāju atsauksmes, kas savākti saskaņā ar šo regulu.

(66)

Turklāt vārtejā būtu jāiekļauj atsauksmju rīks, kas dod iespēju lietotājiem brīvprātīgi un anonīmi signalizēt par problēmām un grūtībām, ar ko tie saskārušies, izmantojot savas tiesības iekšējā tirgū. Šis rīks būtu jāuzskata tikai par papildinājumu sūdzību izskatīšanas mehānismiem, jo tas nespēj lietotājiem dot personalizētu atbildi. Saņemtās atbildes būtu jāapvieno ar apkopotu informāciju no palīdzības un problēmu risināšanas pakalpojumiem par to izskatītajām lietām, lai sagatavotu pārskatu par to, kā lietotāji uztver iekšējo tirgu, un apzinātu problēmjomas, kurās iespējama tālāka rīcība iekšējā tirgus darbības uzlabošanai. Minētais pārskats būtu jāpiesaista esošajiem ziņošanas rīkiem, piemēram, vienotā tirgus rezultātu apkopojumam.

(67)

Šai regulai nebūtu jāietekmē dalībvalstu tiesības lemt par to, kam būtu jāpilda valsts koordinatora loma. Dalībvalstīm būtu jāspēj ar vārteju saistītās valsts koordinatora funkcijas un pienākumus pielāgot savas valsts iekšējām administratīvajām struktūrām. Dalībvalstīm būtu jāspēj izraudzīties papildu valsts koordinatorus, kas veiktu šajā regulā paredzētos uzdevumus, darbojoties vienatnē vai kopā ar citiem, un kuru atbildībā būtu pārvaldes iestāžu struktūrvienības vai ģeogrāfiskais reģions, vai saskaņā ar citiem kritērijiem. Dalībvalstīm būtu jāinformē Komisija par vienīgo valsts koordinatoru, ko tās ir iecēlušas saziņai ar Komisiju.

(68)

Būtu jāizveido vārtejas koordinācijas grupa, kuru veidotu valstu koordinatori un vadītu Komisija, lai atvieglotu šīs regulas piemērošanu, jo īpaši daloties ar labāko praksi un sadarbojoties informācijas izklāsta konsekvences uzlabošanas nolūkā, kā to prasa šī regula. Vārtejas koordinācijas grupas darbā būtu jāņem vērā mērķi, kas izvirzīti gada darba programmā, kura Komisijai būtu tai jāiesniedz izskatīšanai. Gada darba programma būtu jāsagatavo dalībvalstīm nesaistošu pamatnostādņu vai ieteikumu veidā. Komisija pēc Eiropas Parlamenta pieprasījuma var pieņemt lēmumu aicināt Parlamentu nosūtīt ekspertus dalībai vārtejas koordinācijas grupas sanāksmēs.

(69)

Ar šo regulu būtu jāprecizē, kuras vārtejas daļas ir jāfinansē no Savienības budžeta un par kurām daļām ir atbildīgas dalībvalstis. Komisijai būtu jāpalīdz dalībvalstīm noteikt atkārtoti izmantojamus IKT pamatelementus un finansējumu, kurš pieejams no dažādiem Savienības līmeņa fondiem un programmām un var palīdzēt segt izmaksas par IKT pielāgojumiem un attīstīšanu, kas dalībvalstīm jāveic, lai izpildītu šīs regulas prasības. Budžetam, kas nepieciešams šīs regulas īstenošanai, vajadzētu būt saderīgam ar piemērojamo daudzgadu finanšu shēmu.

(70)

Dalībvalstis tiek mudinātas pastiprināt savstarpēju koordināciju, apmaiņu un sadarbību, lai palielinātu savas stratēģiskās, operatīvās, pētniecības un izstrādes spējas kiberdrošības jomā, jo īpaši īstenojot tīklu un informācijas sistēmu drošību, kas minēta Eiropas Parlamenta un Padomes Direktīvā (ES) 2016/1148 (27), lai stiprinātu savas valsts pārvaldes un pakalpojumu drošību un noturību. Dalībvalstis tiek mudinātas palielināt darījumu drošību un nodrošināt pietiekamu uzticēšanās līmeni elektroniskajiem līdzekļiem, izmantojot Regulā (ES) Nr. 910/2014 paredzēto eIDAS sistēmu un jo īpaši pienācīga līmeņa garantijas. Dalībvalstis var veikt pasākumus saskaņā ar Savienības tiesību aktiem, lai garantētu kiberdrošību un novērstu identitātes viltošanu vai cita veida krāpšanu.

(71)

Ja šīs regulas piemērošana ietver personas datu apstrādi, tā būtu jāveic saskaņā ar Savienības tiesību aktiem par personas datu aizsardzību, jo īpaši Regulu (ES) 2016/679 un Regulu (ES) 2018/1725. Saistībā ar šo regulu būtu jāpiemēro arī Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (28). Kā paredzēts Regulā (ES) 2016/679, dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz veselības datu apstrādi, un tās var arī paredzēt konkrētākus noteikumus attiecībā uz darbinieku personas datu apstrādi nodarbinātības jomā.

(72)

Ar šo regulu būtu jāveicina un jāatvieglo pārvaldības kārtības racionalizēšana vārtejā ietvertajiem pakalpojumiem. Šajā nolūkā Komisijai, cieši sadarbojoties ar dalībvalstīm, būtu jāpārskata esošā pārvaldības kārtība un vajadzības gadījumā tā jāpielāgo, lai novērstu dublēšanos un neefektivitāti.

(73)

Šīs regulas mērķis ir lietotājiem, kuri darbojas citās dalībvalstīs, nodrošināt tiešsaistes piekļuvi visaptverošai, uzticamai, piekļūstamai un saprotamai Savienības un dalībvalstu informācijai par tiesībām, normām un pienākumiem, piekļuvi tiešsaistes procedūrām, kuras ir pilnībā izpildāmas pāri robežām, un palīdzības un problēmu risināšanas pakalpojumiem. Tā kā minēto mērķi nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

(74)

Lai dalībvalstis un Komisija varētu izstrādāt un ieviest šīs regulas īstenošanai nepieciešamos rīkus, atsevišķām tās normām vajadzētu kļūt piemērojamām divus gadus pēc tās spēkā stāšanās dienas. Pašvaldību rīcībā vajadzētu būt līdz pat četriem gadiem pēc šīs regulas spēkā stāšanās, lai ieviestu prasību sniegt informāciju par noteikumiem, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, par kuriem tās ir atbildīgas. Šīs regulas noteikumi attiecībā uz procedūrām, kurām jābūt pilnībā izpildāmām tiešsaistē, pārrobežu piekļuvi tiešsaistes procedūrām un tehnisko sistēmu apliecinājumu automatizētai pārrobežu apmaiņai saskaņā ar vienreizējas iesniegšanas principu būtu jāīsteno ne vēlāk kā piecos gados pēc šīs regulas stāšanās spēkā.

(75)

Šajā regulā ir ņemtas vērā pamattiesības un ievēroti principi, kas jo īpaši atzīti Eiropas Savienības Pamattiesību hartā, un tā būtu jāīsteno saskaņā ar minētajām tiesībām un principiem.

(76)

Saskaņā ar Eiropas Parlamenta un Regulas (EK) Nr. 45/2001 (29) 28. panta 2. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2017. gada 1. augustā (30) sniedza atzinumu.

IR PIEŅĒMUŠI ŠO REGULU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Priekšmets

1.   Šajā regulā ir paredzēti noteikumi par:

a)

vienotas digitālās vārtejas izveidi un darbību, lai pilsoņiem un uzņēmumiem sniegtu vieglu piekļuvi kvalitatīvai informācijai, efektīvām procedūrām un noderīgiem palīdzības un problēmu risināšanas pakalpojumiem attiecībā uz Savienības un dalībvalstu noteikumiem, kurus piemēro pilsoņiem un uzņēmumiem, kas izmanto vai plāno izmantot tiem Savienības iekšējā tirgus tiesību aktos paredzētās tiesības, LESD 26. panta 2. punkta nozīmē;

b)

tiešsaistes procedūru izmantošanu pārrobežu lietotājiem un attiecībā uz vienreizējas iesniegšanas principa īstenošanu saistībā ar šīs regulas II pielikumā uzskaitītajām procedūrām un procedūrām, kas noteiktas Direktīvās 2005/36/EK, 2006/123/EK, 2014/24/ES un 2014/25/ES;

c)

to, kā ziņot par šķēršļiem iekšējā tirgū, balstoties uz savāktajām lietotāju atsauksmēm un statistiku par pakalpojumiem, kurus piedāvā vārteja.

2.   Ja šī regula ir pretrunā kādai normai, kas iekļauta citā Savienības tiesību aktā, kurš reglamentē specifiskus šīs regulas priekšmeta aspektus, noteicošā ir minētā cita Savienības tiesību akta norma.

3.   Šī regula neskar Savienības vai valsts līmenī noteiktas procedūras būtību, nedz arī tiesības, kas piešķirtas šādas procedūras īstenošanas rezultātā, nevienā no jomām, uz kurām attiecas šī regula. Turklāt šī regula neskar pasākumus, kas pieņemti saskaņā ar Savienības tiesību aktiem, lai garantētu kiberdrošību un novērstu krāpšanu.

2. pants

Vienotās digitālās vārtejas izveide

1.   Komisija un dalībvalstis saskaņā ar šo regulu izveido vienotu digitālu vārteju (turpmāk – “vārteja”). Vārteja sastāv no kopīgas lietotājsaskarnes (“kopīgā lietotājsaskarne”), ko pārvalda Komisija, kuru integrē portālā “Tava Eiropa” un kura ļauj piekļūt attiecīgām Savienības un dalībvalstu tīmekļa lapām.

2.   Vārtejas sniedz piekļuvi:

a)

informācijai par Savienības un dalībvalstu tiesību aktos noteiktajām tiesībām, pienākumiem un noteikumiem, kas piemērojami lietotājiem, kuri izmanto vai plāno izmantot tiem Savienības iekšējā tirgus tiesību aktos paredzētās tiesības I pielikumā uzskaitītajās jomās;

b)

informācijai par tiešsaistes un bezsaistes procedūrām un saitēm uz tiešsaistes procedūrām, tostarp II pielikumā minētajām procedūrām, kuras izveidotas Savienības vai valsts līmenī, lai lietotāji varētu izmantot tiesības un izpildīt pienākumus un noteikumus, kas iekšējā tirgus sfērā noteikti jomās, kuras uzskaitītas I pielikumā;

c)

informācijai par palīdzības un problēmu risināšanas pakalpojumiem, kuri uzskaitīti III pielikumā vai minēti 7. pantā un kurus pilsoņi un uzņēmumi var izmantot, ja tiem radušies jautājumi vai problēmas, kas saistītas ar šā punkta a) un b) apakšpunktā minētajām tiesībām, pienākumiem, noteikumiem vai procedūrām, un saitēm uz šiem pakalpojumiem.

3.   Kopīgā lietotājsaskarne ir pieejama visās Savienības oficiālajās valodās.

3. pants

Definīcijas

Šajā regulā piemēro šādas definīcijas:

1)

“lietotājs” ir vai nu Savienības pilsonis, fiziska persona ar pastāvīgu dzīvesvietu kādā no dalībvalstīm, vai juridiska persona ar juridisko adresi kādā no dalībvalstīm un kurš no vārtejas piekļūst 2. panta 2. punktā minētajai informācijai, procedūrām vai palīdzības vai problēmu risināšanas pakalpojumiem;

2)

“pārrobežu lietotājs” ir lietotājs situācijā, kura visos tās aspektos nav saistīta tikai ar vienu dalībvalsti;

3)

“procedūra” ir vairākas secīgas darbības, kuras lietotājiem ir jāizpilda, lai apmierinātu prasības vai no kompetentās iestādes saņemtu lēmumu, kas ļauj izmantot 2. panta 2. punkta a) apakšpunktā minētās tiesības;

4)

“kompetentā iestāde” ir jebkura dalībvalsts iestāde vai struktūra, kas izveidota valsts, reģiona vai vietējā līmenī un pilda konkrētus pienākumus attiecībā uz informāciju, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, kuri noteikti šajā regulā;

5)

“apliecinājums” ir jebkurš dokuments vai dati, tostarp teksts vai skaņa, vizuāls vai audiovizuāls ieraksts, uz jebkāda nesēja, ko kompetentā iestāde pieprasa, lai pierādītu faktus vai atbilstību procedūru prasībām, kas minētas 2. panta 2. punkta b) apakšpunktā.

II NODAĻA

VĀRTEJAS PAKALPOJUMI

4. pants

Piekļuve informācijai

1.   Dalībvalstis nodrošina, ka lietotājiem tiešsaistē savas valsts mājas lapās ir viegli pieejama:

a)

informācija par tiesībām, pienākumiem un normām, kas minētas 2. panta 2. punkta a) apakšpunktā un kas izriet no valsts tiesību aktiem;

b)

informācija par procedūrām, kas minētas 2. panta 2. punkta b) apakšpunktā un kas izveidotas valsts līmenī;

c)

informācija par palīdzības un problēmu risināšanas pakalpojumiem, kas minēti 2. panta 2. punkta c) apakšpunktā un kas tiek sniegti valsts līmenī.

2.   Komisija nodrošina, ka portālā “Tava Eiropa” lietotājiem ir tiešsaistē viegli pieejama:

a)

informācija par tiesībām, pienākumiem un noteikumiem, kas minēti 2. panta 2. punkta a) apakšpunktā, un kas izriet no Savienības tiesību aktiem;

b)

informācija par procedūrām, kas minētas 2. panta 2. punkta b) apakšpunktā, un kas izveidotas Savienības līmenī;

c)

informācija par palīdzības un problēmu risināšanas pakalpojumiem, kas minēti 2. panta 2. punkta c) apakšpunktā, un kas tiek sniegti Savienības līmenī.

5. pants

Piekļuve I pielikumā neiekļautai informācijai

1.   Dalībvalstis un Komisija var nodrošināt saites uz informāciju, ko kompetentās iestādes, Komisija vai Savienības struktūras, biroji un aģentūras piedāvā jomās, kuras I pielikumā nav uzskaitītas, ar noteikumu, ka tā ir informācija, kas ietilpst vārtejas piedāvājumā, kā definēts 1. panta 1. punkta a) apakšpunktā, un atbilst 9. pantā noteiktajām kvalitātes prasībām.

2.   Saites uz informāciju, kas minēta šā panta 1. punktā, nodrošina saskaņā ar 19. panta 2. un 3. punktu.

3.   Pirms jebkuras saites aktivizēšanas Komisija pārbauda to, vai ir izpildīti 1. punktā paredzētie nosacījumi, un apspriežas ar vārtejas koordinācijas grupu.

6. pants

Procedūras, kas pilnībā jāpiedāvā tiešsaistē

1.   Katra dalībvalsts nodrošina, ka lietotāji var piekļūt II pielikumā uzskaitītajām procedūrām un tās pilnībā izpildīt tiešsaistē, ja attiecīgā procedūra attiecīgajā dalībvalstī ir izveidota.

2.   Šā panta 1. punktā minētās procedūras ir uzskatāmas par pilnībā tiešsaistē paveicamām, ja:

a)

lietotāju identificēšanu, informācijas sniegšanu un pamatojoša apliecinājuma sniegšanu, parakstīšanos un galīgo iesniegšanu var izdarīt elektroniski no attāluma, izmantojot pakalpojumu kanālu, kas ļauj lietotājiem ar procedūru saistītās prasības izpildīt lietotājdraudzīgā un strukturētā veidā;

b)

lietotājiem nodrošina automātisku piegādes apstiprinājumu par saņemšanu, ja vien uzreiz netiek piegādāti procedūras izvaddati;

c)

procedūras izvaddati tiek sniegti elektroniski vai piegādāti fiziski gadījumos, ja tas vajadzīgs, lai atbilstu Savienības vai valsts tiesību aktiem; un

d)

lietotājiem tiek sniegts elektronisks paziņojums par procedūras izpildi.

3.   Ja izņēmuma gadījumos, kas pamatoti ar sabiedrības interesēm saistītu sevišķi svarīgu iemeslu dēļ tādās jomās kā sabiedriskā drošība, sabiedrības veselības vai cīņa pret krāpšanu iecerēto mērķi nevar pilnībā sasniegt tiešsaistē, dalībvalstis var pieprasīt lietotāja personisku ierašanos kompetentajā iestādē, lai izpildītu kādu procedūras posmu. Šādos izņēmuma gadījumos dalībvalstis ierobežo šādu fizisku klātbūtni, prasot tikai stingri nepieciešamo un objektīvi pamatoto, un nodrošina, ka citi procedūras posmi ir pilnībā izpildāmi tiešsaistē. Dalībvalstis arī nodrošina, ka fiziskas klātbūtnes prasības nekļūst par iemeslu pārrobežu lietotāju diskriminācijai.

4.   Dalībvalstis, izmantojot kopīgu repozitoriju, kas pieejams Komisijai un pārējām dalībvalstīm, paziņo un paskaidro, kādu iemeslu dēļ un kādos apstākļos 3. punktā minēto procedūras posmu izpildei varētu būt nepieciešama fiziska klātbūtne un kādu iemeslu dēļ un kādos apstākļos ir nepieciešama fiziska piegāde, kā minēts 2. punkta c) apakšpunktā.

5.   Šis pants nekādi neliedz dalībvalstīm piedāvāt lietotājiem papildu iespēju 2. panta 2. punkta b) apakšpunktā minētajām procedūrām piekļūt un tās izpildīt citiem līdzekļiem, kas nav tiešsaistes kanāls, un neliedz arī tieši sazināties ar pašiem lietotājiem.

7. pants

Piekļuve palīdzības un problēmu risināšanas pakalpojumiem

1.   Dalībvalstis un Komisija nodrošina, ka lietotājiem, arī pārrobežu lietotājiem, caur dažādiem kanāliem ir tiešsaistē viegli pieejami 2. panta 2. punkta c) apakšpunktā minētie palīdzības un problēmu risināšanas pakalpojumi.

2.   Valstu koordinatori, kas minēti 28. pantā, un Komisija var saskaņā ar 19. panta 2. un 3. punktu nodrošināt saites uz kompetento iestāžu, Komisijas vai Savienības struktūru, biroju un aģentūru sniegtajiem palīdzības un problēmu risināšanas pakalpojumiem, izņemot III pielikumā uzskaitītos pakalpojumus, ar noteikumu, ka šādi pakalpojumi atbilst 11. un 16. pantā noteiktajām kvalitātes prasībām.

3.   Lietotāju vajadzībām valsts koordinators var ierosināt Komisijai vārtejā iekļaut saites uz privātu vai daļēji privātu subjektu sniegtiem palīdzības vai problēmu risināšanas pakalpojumiem, ja minētie pakalpojumi atbilst šādiem nosacījumiem:

a)

tie sniedz informāciju vai palīdzību jomās un nolūkos, uz ko attiecas šī regula, un papildina vārtejā jau iekļautus pakalpojumus;

b)

tos sniedz par brīvu vai par cenu, ko var atļauties maksāt mikrouzņēmumi, bezpeļņas organizācijas un pilsoņi; un

c)

tie atbilst 8., 11. un 16. pantā noteiktajām prasībām.

4.   Ja valsts koordinators saskaņā ar šā panta 3. punktu ir ierosinājis Komisijai iekļaut kādu saiti un šādu saiti piedāvā saskaņā ar 19. panta 3. punktu, Komisija izvērtē, vai attiecībā uz pakalpojumu, kuru ar attiecīgo saiti ir piedāvāts iekļaut, ir izpildīti šā panta 3. punkta nosacījumi, un, ja tā ir, tā saiti aktivizē.

Ja Komisija konstatē, ka pakalpojums, kuru piedāvāts iekļaut, 3. punkta nosacījumiem neatbilst, tā informē valsts koordinatoru par iemesliem, kādēļ saite nav aktivizēta.

8. pants

Ar tīmekļa pieejamību saistītās kvalitātes prasības

Komisija nodrošina, ka tās tīmekļa vietnes un tīmekļa lapas, caur kurām tā ļauj piekļūt 4. panta 2. punktā minētajai informācijai un 7. pantā minētajiem palīdzības un problēmu risināšanas pakalpojumiem, ir vieglāk pieejamas, un tādēļ padara tās uztveramas, funkcionālas, saprotamas un robustas.

III NODAĻA

KVALITĀTES PRASĪBAS

1. SADAĻA

Kvalitātes prasības, ko izvirza informācijai par tiesībām, pienākumiem un normām, par procedūrām un par palīdzības un problēmu risināšanas pakalpojumiem

9. pants

Par tiesībām, pienākumiem un normām sniegtās informācijas kvalitāte

1.   Ja dalībvalstis un Komisija saskaņā ar 4. pantu ir atbildīgas par 2. panta 2. punkta a) apakšpunktā minētās informācijas pieejamību, tās nodrošina, ka attiecīgā informācija atbilst šādām prasībām:

a)

tā ir lietotājdraudzīga, lietotāji informāciju var viegli atrast un saprast un viegli noteikt, kuras informācijas daļas attiecas tieši uz lietotāju situāciju;

b)

tā ir precīza un pietiekami izsmeļoša, lai būtu ietvertas ziņas, kas lietotājiem vajadzīgas savu tiesību izmantošanai, pilnībā ievērojot attiecīgās spēkā esošās normas un pienākumus;

c)

attiecīgā gadījumā tajā ir norādes, saites uz tiesību aktiem, tehniskās specifikācijas un vadlīnijas;

d)

tajā ir par informācijas saturu atbildīgās kompetentās iestādes vai atbildīgā subjekta nosaukums;

e)

tajā ir dati saziņai ar jebkuru no attiecīgajiem palīdzības vai problēmu risināšanas dienestiem, piemēram, tālruņa numurs, e-pasta adrese, veidlapa informācijas pieprasīšanai tiešsaistē vai jebkāds cits elektronisko sakaru līdzeklis, ko parasti izmanto un kas ir vispiemērotākais piedāvātajam pakalpojuma veidam un attiecīgā pakalpojuma mērķauditorijai;

f)

tajā ir informācijas pēdējās atjaunināšanas datums, ja tāda ir veikta, vai informācijas publicēšanas datums, ja informācija nav atjaunināta;

g)

tā ir pareizi strukturēta un izklāstīta tā, ka lietotāji var ātri atrast vajadzīgo informāciju;

h)

to pastāvīgi atjaunina; un

i)

tā ir skaidri un vienkārši izklāstīta lietotāju mērķauditorijai saprotamā valodā.

2.   Dalībvalstis nodrošina, ka šā panta 1. punktā minētā informācija ir pieejama kādā Savienības oficiālajā valodā, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits, saskaņā ar 12. pantu.

10. pants

Par procedūrām sniegtās informācijas kvalitāte

1.   Regulas 4. panta izpildes nolūkā dalībvalstis un Komisija nodrošina, ka lietotājiem – pirms tie sevi identificē, lai sāktu procedūru, – ir pieejami pietiekami izsmeļoši, skaidri un ērti lietojami paskaidrojumi par, attiecīgā gadījumā, 2. panta 2. punkta b) apakšpunktā minēto procedūru elementiem:

a)

attiecīgie procedūras posmi, kas lietotājam ir jāizpilda, arī attiecīgie izņēmumi, kuri saskaņā ar 6. panta 3. punktu ir noteikti dalībvalstu pienākumam piedāvāt pilnībā tiešsaistē izpildāmu procedūru;

b)

par procedūru atbildīgās kompetentās iestādes nosaukums, tostarp tās kontaktinformācija;

c)

šajā procedūrā pieņemamie autentificēšanas, identificēšanas un parakstīšanas līdzekļi;

d)

iesniedzamā apliecinājuma veids un formāts;

e)

pārsūdzēšanas vai pārskatīšanas līdzekļi, kas parasti ir pieejami gadījumā, ja ar kompetentajām iestādēm rodas strīdi;

f)

piemērojamās maksas un tiešsaistes maksāšanas metodes;

g)

visi termiņi, kas jāievēro lietotājam vai kompetentajai iestādei, un, ja termiņi nav noteikti – vidējais, paredzamais vai indikatīvais laiks, kas kompetentajai iestādei ir vajadzīgs procedūras izpildei;

h)

visi noteikumi, kas attiecas uz gadījumiem, kad nav atbildes no kompetentās iestādes, un šādu gadījumu juridiskās sekas lietotājiem, ieskaitot klusējot izteiktu apstiprinājumu vai administratīvas klusēšanas mehānismus;

i)

jebkuras citas valodas, kurās procedūru var izpildīt.

2.   Ja nav klusējot izteikta apstiprinājuma, administratīvas klusēšanas vai līdzīgu mehānismu, kompetentās iestādes attiecīgā gadījumā informē lietotājus par iespējamo kavēšanos un par termiņa pagarināšanu un par jebkurām ar to saistītajām sekām.

3.   Ja 1. punktā minētie paskaidrojumi jau ir pieejami iekšzemes lietotājiem, tos attiecīgā gadījumā var izmantot vai atkārtoti izmantot šīs regulas vajadzībām, ar noteikumu, ka tā attiecas arī uz situāciju, kurā ir pārrobežu lietotāji.

4.   Dalībvalstis nodrošina, ka šā panta 1. punktā minētie paskaidrojumi ir pieejami kādā Savienības oficiālajā valodā, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits, saskaņā ar 12. pantu.

11. pants

Par palīdzības un problēmu risināšanas pakalpojumiem sniegtās informācijas kvalitāte

1.   Regulas 4. panta izpildes nolūkā dalībvalstis un Komisija nodrošina, ka pirms 2. panta 2. punkta c) apakšpunktā minēta pakalpojuma pieprasījuma iesniegšanas lietotājiem ir pieejami skaidri un lietotājdraudzīgi paskaidrojumi par šādiem elementiem:

a)

piedāvātā pakalpojuma veids, mērķis un gaidāmais iznākums;

b)

dati saziņai ar subjektu, kas atbildīgs par pakalpojumu, piemēram, tālruņa numurs, e-pasta adrese, veidlapa informācijas pieprasīšanai tiešsaistē vai jebkāds cits elektronisko sakaru līdzeklis, ko parasti izmanto un kas ir vispiemērotākais piedāvātajam pakalpojuma veidam un attiecīgā pakalpojuma mērķauditorijai;

c)

attiecīgā gadījumā – piemērojamās maksas un tiešsaistes maksāšanas metodes;

d)

visi termiņi, kas jāievēro, un, ja tādu nav, – vidējais vai paredzamais pakalpojuma sniegšanai vajadzīgais laiks;

e)

visas citas valodas, kurās pieprasījumu var iesniegt un kuras turpmāk var izmantot saziņai.

2.   Dalībvalstis nodrošina, ka šā panta 1. punktā minētie paskaidrojumi ir pieejami kādā Savienības oficiālajā valodā, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits, saskaņā ar 12. pantu.

12. pants

Informācijas tulkošana

1.   Ja dalībvalsts 9., 10. un 11. pantā un 13. panta 2. punkta a) apakšpunktā minēto informāciju, paskaidrojumus un norādījumus nesniedz kādā no Savienības oficiālajām valodām, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits, minētā dalībvalsts pieprasa Komisijai nodrošināt tulkojumus attiecīgajā valodā, nepārsniedzot pieejamo Savienības budžetu, kā norādīts 32. panta 1. punkta c) apakšpunktā.

2.   Dalībvalstis nodrošina, ka tekstos, kas iesniegti tulkošanai saskaņā ar šā panta 1. punktu, ir ietverta vismaz pamatinformācija visās I pielikumā uzskaitītajās jomās un, ja ir pieejams pietiekams Savienības budžets, ir ietverta arī jebkāda papildu informācija, paskaidrojumi un norādījumi saskaņā ar 9., 10. un 11. pantā un 13. panta 2. punkta a) apakšpunktā minēto, ņemot vērā pārrobežu lietotāju svarīgākās vajadzības. Dalībvalstis iesniedz repozitorijā 19. pantā minētās saites uz šādu tulkotu informāciju.

3.   Šā panta 1. punktā minētā valoda ir Savienības oficiālā valoda, ko lietotāji visā Savienībā visbiežāk apgūst kā svešvalodu. Izņēmuma kārtā, ja ir sagaidāms, ka tulkojamā informācija, paskaidrojumi vai norādījumi varētu galvenokārt interesēt pārrobežu lietotājus tikai no vienas konkrētas dalībvalsts, 1. punktā minētā valoda var būt Savienības oficiālā valoda, kas ir minēto pārrobežu lietotāju pirmā valoda.

4.   Ja dalībvalsts pieprasa tulkojumu Savienības oficiālajā valodā, kas nav valoda, kuru lietotāji visā Savienībā visbiežāk apgūst kā svešvalodu, tā savu pieprasījumu pamato. Ja Komisija konstatē, ka nav izpildīti 3. punktā minētie nosacījumi šādas citas valodas izvēlei, tā var pieprasījumu noraidīt un informē dalībvalsti par noraidījuma iemesliem.

2. SADAĻA

Ar tiešsaistes procedūrām saistītās prasības

13. pants

Tiešsaistes procedūru pārrobežu pieejamība

1.   Dalībvalstis nodrošina, ka 2. panta 2. punkta b) apakšpunktā minētā un valsts līmenī izveidotā procedūra, kas ir tiešsaistē pieejama un izpildāma iekšzemes lietotājiem, ir bez diskriminācijas tiešsaistē pieejama un izpildāma arī pārrobežu lietotājiem, izmantojot to pašu vai alternatīvu tehnisko risinājumu.

2.   Dalībvalstis nodrošina, ka saistībā ar šā panta 1. punktā minētajām procedūrām ir izpildītas vismaz šādas prasības:

a)

lietotājiem norādījumi par procedūras izpildi ir pieejami kādā no Savienības oficiālajām valodām, ko lielā mērā saprot pēc iespējas lielāks pārrobežu lietotāju skaits, saskaņā ar 12. pantu;

b)

pārrobežu lietotāji var pieprasīto informāciju iesniegt, arī tad, ja šādas informācijas struktūra atšķiras no līdzīgas informācijas attiecīgajā dalībvalstī;

c)

pārrobežu lietotāji var sevi elektroniski identificēt un autentificēt, elektroniski parakstīt vai apzīmogot dokumentus, kā paredzēts Regulā (ES) Nr. 910/2014, visos gadījumos, kad tas ir iespējams arī iekšzemes lietotājiem;

d)

pārrobežu lietotāji var iesniegt apliecinājumu par atbilstību piemērojamām prasībām un procedūru rezultātu saņemt elektroniski visos gadījumos, kad tas ir iespējams arī iekšzemes lietotājiem;

e)

ja par procedūras izpildi ir jāmaksā, lietotāji visas maksas var samaksāt tiešsaistē, izmantojot plaši pieejamus pārrobežu maksāšanas pakalpojumus, bez diskriminācijas, neatkarīgi no tā, kur atrodas maksāšanas pakalpojuma sniedzēja uzņēmējdarbības vieta, kur izveidots maksāšanas instruments vai kur Savienībā atrodas maksājumu konts.

3.   Ja procedūrai nav vajadzīga 2. punkta c) apakšpunktā minētā elektroniskā identifikācija vai autentifikācija un ja kompetentajām iestādēm saskaņā ar attiecīgajiem piemērojamiem valsts tiesību aktiem vai administratīvo praksi attiecībā uz iekšzemes lietotājiem ir atļauts pieņemt tādu neelektronisku identitātes apliecinājumu kā personas apliecības vai pases digitalizētas kopijas, minētās iestādes šādas digitalizētas kopijas pieņem arī no pārrobežu lietotājiem.

14. pants

Tehniskā sistēma apliecinājumu automatizētai pārrobežu apmaiņai un vienreizējas iesniegšanas principa piemērošana

1.   Lai būtu iespējama apliecinājumu apmaiņa šīs regulas II pielikumā uzskaitīto tiešsaistes procedūru un Direktīvās 2005/36/EK, 2006/123/EK, 2014/24/ES un 2014/25/ES noteikto procedūru vajadzībām, Komisija sadarbībā ar dalībvalstīm izveido tehnisku sistēmu automatizētai apliecinājumu apmaiņai starp kompetentajām iestādēm dažādās dalībvalstīs (“tehniskā sistēma”).

2.   Ja kompetentās iestādes savā dalībvalstī un elektroniskā formātā, kas ļauj īstenot automatizētu apmaiņu, likumīgi izdod apliecinājumus, kas ir svarīgi 1. punktā minētajām tiešsaistes procedūrām, tās nodrošina, ka šādi apliecinājumi elektroniskā formātā, kas ļauj īstenot automatizētu apmaiņu, ir pieejami arī citu dalībvalstu kompetentajām pieprasītājiestādēm.

3.   Tehniskā sistēma jo īpaši:

a)

ļauj apstrādāt apliecinājuma pieprasījumus tikai pēc lietotāja nepārprotama pieprasījuma;

b)

ļauj apstrādāt pieprasījumus piekļūt apliecinājumiem vai ar tiem apmainīties;

c)

ļauj pārsūtīt apliecinājumus no vienas kompetentās iestādes uz citu;

d)

ļauj apliecinājumus apstrādāt kompetentajai pieprasītājiestādei;

e)

nodrošina apliecinājumu konfidencialitāti un integritāti;

f)

dod iespēju lietotājam priekšskatīt apliecinājumus, kurus izmantos pieprasītājiestāde, un ļauj lietotājam izvēlēties, vai apmainīties ar apliecinājumiem vai ne;

g)

pienācīgā līmenī nodrošina sadarbspēju ar citām attiecīgām sistēmām;

h)

augstā līmenī garantē apliecinājumu drošu pārsūtīšanu un apstrādi;

i)

apstrādā apliecinājumus tikai tik lielā mērā, cik tas ir tehniski nepieciešams apmaiņai ar apliecinājumiem, un tikai tik ilgi, cik tas šim nolūkam ir vajadzīgs.

4.   Tehniskās sistēmas izmantošana lietotājiem nav obligāta, un to drīkst izmantot tikai pēc lietotāju nepārprotama pieprasījuma, ja vien Savienības vai valsts tiesību aktos nav noteikts citādi. Lietotāji drīkst apliecinājumus iesniegt arī ar citiem līdzekļiem, neizmantojot tehnisko sistēmu, un iesniegt tos tieši kompetentajai pieprasītājiestādei.

5.   Šā panta 3. punkta f) apakšpunktā minēto iespēju apliecinājumus priekšskatīt nepieprasa attiecībā uz procedūrām, kurās saskaņā ar attiecīgajiem spēkā esošajiem Savienības vai valsts tiesību aktiem ir atļauta datu automatizēta pārrobežu apmaiņa bez šādas priekšskatīšanas. Minētā apliecinājumu priekšskatīšanas iespēja neskar pienākumu sniegt informāciju saskaņā ar Regulas (ES) 2016/679 13. un 14. pantu.

6.   Dalībvalstis 1. punktā minētajās procedūrās integrē pilnībā funkcionālu tehnisko sistēmu.

7.   Par 1. punktā minētajām tiešsaistes procedūrām atbildīgās kompetentās iestādes pēc attiecīgā lietotāja nepārprotama, labprātīgi sniegta, konkrēta, informēta un viennozīmīga pieprasījuma apliecinājumus pieprasa tieši no kompetentajām iestādēm, kuras izdod apliecinājumus citās dalībvalstīs, izmantojot tehnisko sistēmu. Kompetentās izdevējiestādes, kas minētas 2. punktā, saskaņā ar 3. punkta e) apakšpunktu nodrošina, ka šādi apliecinājumi ir pieejami tajā pašā sistēmā.

8.   Kompetentajai pieprasītājiestādei ir pieejami tikai tie apliecinājumi, kas pieprasīti, un minētā iestāde tos izmanto tikai tai procedūrai, kuras vajadzībām notikusi apmaiņa ar apliecinājumiem. Apliecinājumus, ar kuriem apmainās, izmantojot tehnisko sistēmu, kompetentās pieprasītājiestādes vajadzībām uzskata par autentiskiem.

9.   Līdz 2021. gada 12. jūnijam Komisija pieņem īstenošanas aktus, ar ko nosaka šā panta īstenošanai nepieciešamās tehniskās sistēmas tehniskās un darbības specifikācijas. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 37. panta 2. punktā.

10.   Uz Savienības līmenī izveidotām procedūrām, kur apmaiņai ar apliecinājumiem ir paredzēti atšķirīgi mehānismi, 1. līdz 8. punkts attiecas tikai tad, ja attiecīgajās procedūrās ir integrēta šā panta īstenošanai nepieciešamā tehniskā sistēma saskaņā ar noteikumiem, kas paredzēti Savienības tiesību aktos par minēto procedūru izveidi.

11.   Komisija un katra no dalībvalstīm ir atbildīgas par savu attiecīgo tehniskās sistēmas daļu izstrādi, pieejamību, uzturēšanu, uzraudzību, pārraudzību un drošības pārvaldību.

15. pants

Apliecinājumu verificēšana starp dalībvalstīm

Ja tehniskā sistēma vai citas sistēmas, kas ļauj dalībvalstīm apmainīties ar apliecinājumiem vai apliecinājumus verificēt, nav pieejamas vai izmantojamas vai ja lietotājs neprasa izmantot tehnisko sistēmu, kompetentās iestādes sadarbībai izmanto Iekšējā tirgus informācijas sistēmu (IMI), ja tas vajadzīgs, lai pārliecinātos par to, ka apliecinājumi, ko lietotājs vienai no tām iesniedzis elektroniskā formātā tiešsaistes procedūras vajadzībām, ir autentiski.

3. SADAĻA

Kvalitātes prasības palīdzības un problēmu risināšanas pakalpojumiem

16. pants

Kvalitātes prasības palīdzības un problēmu risināšanas pakalpojumiem

Kompetentās iestādes un Komisija katra savā kompetences jomā nodrošina, ka III pielikumā uzskaitītie palīdzības un problēmu risināšanas pakalpojumi un pakalpojumi, kas vārtejā iekļauti saskaņā ar 7. panta 2., 3. un 4. punktu, atbilst šādām kvalitātes prasībām:

a)

tos sniedz saprātīgā termiņā, ņemot vērā to, cik pieprasījums ir sarežģīts;

b)

ja termiņi tiek pagarināti, lietotāji iepriekš tiek informēti par pagarināšanas iemesliem un par jauno noteikto termiņu;

c)

ja par pakalpojuma saņemšanu ir jāmaksā, lietotāji visas maksas var samaksāt tiešsaistē, izmantojot plaši pieejamus pārrobežu maksāšanas pakalpojumus, bez diskriminācijas, neatkarīgi no tā, kur atrodas maksāšanas pakalpojuma sniedzēja uzņēmējdarbības vieta, kur izveidots maksāšanas instruments vai kur Savienībā atrodas maksājumu konts.

4. SADAĻA

Kvalitātes uzraudzība

17. pants

Kvalitātes uzraudzība

1.   Valstu koordinatori, kas minēti 28. pantā, un Komisija katrs savā kompetences jomā regulāri īsteno uzraudzību pār to, vai vārtejā pieejamā informācija, procedūras un palīdzības un problēmu risināšanas pakalpojumi atbilst 8. līdz 13. un 16. pantā noteiktajām kvalitātes prasībām. Uzraudzību veic, pamatojoties uz datiem, kas savākti saskaņā ar 24. un 25. pantu.

2.   Ja pasliktinās kvalitāte 1. punktā minētajai informācijai, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, ko sniedz kompetentās iestādes, Komisija, ņemot vērā to, cik nopietni un noturīgi kvalitāte ir pasliktinājusies, veic vienu vai vairākus šādus pasākumus:

a)

informē attiecīgo valsts koordinatoru un prasa veikt korektīvus pasākumus;

b)

iesniedz apspriešanai vārtejas koordinācijas grupā ieteikumus par to, kā rīkoties, lai panāktu, ka kvalitātes prasības tiek pildītas labāk;

c)

nosūta attiecīgajai dalībvalstij vēstuli ar ieteikumiem;

d)

informācijas, procedūras vai palīdzības vai problēmu risināšanas pakalpojumu uz laiku atvieno no vārtejas.

3.   Ja palīdzības vai problēmu risināšanas pakalpojums, uz kuru ir piedāvāta saite saskaņā ar 7. panta 3. punktu, pastāvīgi neatbilst 11. un 16. pantā noteiktajām prasībām vai, spriežot pēc datiem, kas savākti saskaņā ar 24. un 25. pantu, vairs neapmierina lietotāju vajadzības, Komisija pēc apspriešanās ar attiecīgo valsts koordinatoru un, ja vajadzīgs, ar vārtejas koordinācijas grupu attiecīgo pakalpojumu var atvienot no vārtejas.

IV NODAĻA

TEHNISKIE RISINĀJUMI

18. pants

Kopīga lietotājsaskarne

1.   Komisija, cieši sadarbojoties ar dalībvalstīm, vārtejas pienācīgai darbībai nodrošina kopīgu lietotājsaskarni, kas integrēta portālā “Tava Eiropa”.

2.   Kopīgā lietotājsaskarne nodrošina, ka informācija, procedūras un palīdzības vai problēmu risināšanas pakalpojumi ir pieejami, izmantojot saites uz attiecīgajām un Savienības un valsts līmeņa tīmekļa vietnēm vai tīmekļa lapām, kas iekļautas 19. pantā minētajā saišu repozitorijā.

3.   Dalībvalstis un Komisija, pildot katra savus uzdevumus un pienākumus, kā noteikts 4. pantā, nodrošina, ka informācija par noteikumiem un pienākumiem, par procedūrām un par palīdzības un problēmu risināšanas pakalpojumiem ir organizēta un apzīmēta tā, ka kopīgajā lietotājsaskarnē to ir vieglāk atrast.

4.   Komisija nodrošina, ka kopīgā lietotājsaskarne atbilst šādām kvalitātes prasībām:

a)

to ir viegli lietot;

b)

tā ir pieejama tiešsaistē, izmantojot dažādas elektroniskās ierīces;

c)

tā ir izstrādāta un tiek optimizēta dažādām tīmekļa pārlūkprogrammām;

d)

tā atbilst šādām tīmekļa pieejamības prasībām: uztveramība, funkcionalitāte, saprotamība un robustums.

5.   Komisija var pieņemt īstenošanas aktus, ar ko nosaka sadarbspējas prasības, lai panāktu, ka kopīgajā lietotājsaskarnē ir vieglāk atrast informāciju par noteikumiem un pienākumiem, par procedūrām un par palīdzības un problēmu risināšanas pakalpojumiem. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 37. panta 2. punktā.

19. pants

Saišu repozitorijs

1.   Komisija, cieši sadarbojoties ar dalībvalstīm, izveido un uztur elektronisku repozitoriju saitēm uz 2. panta 2. punktā minēto informāciju, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, kas ļauj šādus pakalpojumus savienot ar kopīgo lietotājsaskarni.

2.   Komisija nodrošina, ka saišu repozitorijā ir saites uz informāciju, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, kas pieejami Savienības līmenī pārvaldītās tīmekļa vietnēs, un Komisija nodrošina, ka minētās saites ir pareizas un atjauninātas.

3.   Valstu koordinatori nodrošina, ka saišu repozitorijā ir saites uz informāciju, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, kas pieejami tīmekļa vietnēs, kuras pārvalda kompetentās iestādes vai privāti vai daļēji privāti subjekti, kā norādīts 7. panta 3. punktā, un valstu koordinatori nodrošina, ka minētās saites ir pareizas un atjauninātas.

4.   Ja tas ir tehniski iespējams, 3. punktā minētās saites starp attiecīgajām dalībvalstu tehniskajām sistēmām un saišu repozitoriju var veidot automātiski.

5.   Komisija nodrošina, ka saišu repozitorijā iekļautā informācija ir publiski pieejama atvērtā un mašīnlasāmā formātā.

6.   Komisija un valstu koordinatori nodrošina, ka saitēs uz vārtejā pieejamo informāciju, procedūrām un palīdzības vai problēmu risināšanas pakalpojumiem nav pilnīgas vai daļējas liekas dublēšanās un pārklāšanās, kas var lietotājus samulsināt.

7.   Ja arī citu Savienības tiesību aktu normas nosaka, ka ir jābūt pieejamai 4. pantā minētajai informācijai, Komisija un valstu koordinatori var piedāvāt saites uz attiecīgo informāciju, lai izpildītu minētā panta prasības.

20. pants

Kopīgais palīdzības pakalpojumu noteicējs

1.   Lai III pielikumā uzskaitītie vai 7. panta 2. un 3. punktā minētie palīdzības un problēmu risināšanas pakalpojumi būtu vieglāk pieejami, kompetentās iestādes un Komisija nodrošina, ka lietotājiem tie ir pieejami, izmantojot vārtejā piedāvāto kopīgo palīdzības un problēmu risināšanas pakalpojumu noteicēju (“kopīgais palīdzības pakalpojumu noteicējs”).

2.   Komisija izstrādā un pārvalda kopīgo palīdzības pakalpojumu noteicēju un lemj par to, kādas struktūras un kāda formāta apraksti un dati saziņai ar palīdzības un problēmu risināšanas dienestiem ir jāsniedz, lai kopīgais palīdzības pakalpojumu noteicējs pienācīgi darbotos.

3.   Šā panta 2. punktā minētos aprakstus un datus saziņai Komisija saņem no valstu koordinatoriem.

21. pants

Atbildība par vārtejas atbalsta IKT lietotnēm

1.   Komisija ir atbildīga par šādu IKT lietotņu un tīmekļa lapu izstrādi, pieejamību, uzraudzību, atjaunināšanu, uzturēšanu, drošību un mitināšanu:

a)

2. panta 1. punktā minētais portāls “Tava Eiropa”;

b)

18. panta 1. punktā minētā kopīgā lietotājsaskarne, arī meklētājprogramma vai jebkurš cits IKT rīks, kas ļauj meklēt tīmeklī informāciju un pakalpojumus;

c)

19. panta 1. punktā minētais saišu repozitorijs;

d)

20. panta 1. punktā minētais kopīgais palīdzības pakalpojumu noteicējs;

e)

25. panta 1. punktā un 26. panta 1. punkta a) apakšpunktā minētie rīki lietotāju atsauksmēm.

Lai izstrādātu IKT lietotnes, Komisija cieši sadarbojas ar dalībvalstīm.

2.   Dalībvalstis ir atbildīgas par IKT lietotņu izstrādi, pieejamību, uzraudzību, atjaunināšanu, uzturēšanu un drošību, ja attiecīgās lietotnes ir saistītas ar valsts tīmekļa vietnēm un tīmekļa lapām, ko dalībvalstis pārvalda un kas ir savienotas ar kopīgo lietotājsaskarni.

V NODAĻA

POPULARIZĒŠANA

22. pants

Nosaukums, logotips un kvalitātes zīme

1.   Vārtejas nosaukums, ar kādu tā ir atpazīstama un popularizējama plašākai sabiedrībai, ir “Your Europe”.

Lēmumu par logotipu, ar kādu vārteja ir atpazīstama un popularizējama plašākai sabiedrībai, Komisija, cieši sadarbojoties ar vārtejas koordinācijas grupu, pieņem ne vēlāk kā līdz 2019. gada 12. jūnijam.

Vārtejas logotipu un saiti uz vārteju padara redzamu un pieejamu attiecīgajās Savienības līmeņa un dalībvalsts līmeņa tīmekļa vietnēs, kas savienotas ar vārteju.

2.   Vārtejas nosaukums un logotips – kā pierādījums tam, ka ir izpildītas 9. 10. un 11. pantā minētās kvalitātes prasības, – kalpo arī par kvalitātes zīmi. Tomēr vārtejas logotipu izmanto kā kvalitātes zīmi tikai 19. pantā minētajā saišu repozitorijā iekļautajām tīmekļa lapām un tīmekļa vietnēm.

23. pants

Popularizēšana

1.   Dalībvalstis un Komisija popularizē vārteju, lai pilsoņi un uzņēmumi par to būtu informēti un to izmantotu, un nodrošina, lai vārteja un tajā iekļautā informācija, procedūras un palīdzības un problēmu risināšanas pakalpojumi ir sabiedrībai pamanāmi un viegli atrodami, izmantojot sabiedrībai pieejamas meklētājprogrammas.

2.   Dalībvalstis un Komisija koordinē savas 1. punktā minētās popularizēšanas darbības un šādās darbībās norāda uz vārteju un izmanto tās logotipu, attiecīgā gadījumā norādot arī uz jebkuru citu zīmolu nosaukumiem.

3.   Dalībvalstis un Komisija nodrošina, ka vārteja ir viegli atrodama, izmantojot saistītās tīmekļa vietnes, par kurām tās ir atbildīgas, un ka visās attiecīgajās Savienības un dalībvalsts līmeņa tīmekļa vietnēs ir skaidri norādītas saites uz kopīgo lietotājsaskarni.

4.   Valstu koordinatori vārteju popularizē valsts kompetentajās iestādēs.

VI NODAĻA

LIETOTĀJU ATSAUKSMJU UN STATISTIKAS DATU VĀKŠANA

24. pants

Statistikas dati par lietotājiem

1.   Kompetentās iestādes un Komisija nodrošina, ka vārtejas funkcionalitātes uzlabošanai tiek vākti statistikas dati par lietotāju apmeklējumiem vārtejā un tīmekļa lapās, ar kurām vārteja savieno, un ka dati tiek vākti tā, lai būtu garantēta lietotāju anonimitāte.

2.   Kompetentās iestādes, 7. panta 3. punktā minēto palīdzības vai problēmu risināšanas pakalpojumu sniedzēji un Komisija vāc datus par palīdzības un problēmu risināšanas pakalpojumu pieprasījumu skaitu, izcelsmi un tematu un par atbildes laiku un apmainās ar šo datu apkopojumu.

3.   Statistikā, kas saskaņā ar 1. un 2. punktu ir savākta saistībā ar informāciju, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, ar kuriem vārteja savieno, ir šādas datu kategorijas:

a)

dati par vārtejas lietotāju skaitu, izcelsmi un veidu;

b)

dati par lietotāju izvēles iestatījumiem un lietotāju maršrutiem;

c)

dati par informācijas, procedūru un palīdzības un problēmu risināšanas pakalpojumu izmantošanas un atrašanas iespējām un kvalitāti.

Šie dati ir publiski pieejami atvērtā un mašīnlasāmā formātā, ko visbiežāk ir ierasts izmantot.

4.   Komisija pieņem īstenošanas aktus, kuros nosaka, ar kādu metodi vāc šā panta 1., 2. un 3. punktā minētos lietotāju statistikas datus un apmainās ar tiem. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 37. panta 2. punktā.

25. pants

Lietotāju atsauksmes par vārtejas pakalpojumiem

1.   Lai tieši no lietotājiem varētu vākt informāciju par to, vai viņi ir apmierināti ar pakalpojumiem, kas sniegti, izmantojot vārteju, un tur pieejamo informāciju, Komisija vārtejā nodrošina lietotājdraudzīgu atsauksmēm paredzētu rīku, kas tiem ļauj uzreiz pēc tam, kad ir izmantots kāds no 2. panta 2. punktā minētajiem pakalpojumiem, anonīmi sniegt komentārus par vārtejā sniegto pakalpojumu, tajā sniegtās informācijas un kopīgās lietotājsaskarnes kvalitāti un pieejamību.

2.   Kompetentās iestādes un Komisija nodrošina, ka lietotājiem 1. punktā minētais rīks ir pieejams visās tīmekļa lapās, kuras ir vārtejā.

3.   Komisijai, kompetentajām iestādēm un valstu koordinatoriem ir tieša piekļuve lietotāju atsauksmēm, kas savāktas ar 1. punktā minēto rīku, lai tie varētu risināt uzrādītās problēmas.

4.   Kompetentajām iestādēm nav pienākuma nodrošināt, lai tīmekļa lapās, kas ir vārtejā, lietotājiem būtu pieejams 1. punktā minētais lietotāju atsauksmēm paredzētais rīks, ja to tīmekļa lapās pakalpojuma kvalitātes uzraudzības nolūkā lietotāju atsauksmēm jau ir pieejams rīks ar līdzīgām funkcijām. Kompetentās iestādes vāc lietotāju atsauksmes, ko tās saņem ar lietotāju atsauksmēm pašu izveidoto rīku, un nodrošina, ka ar šīm atsauksmēm var iepazīties arī Komisija un pārējo dalībvalstu valsts koordinatori.

5.   Komisija pieņem īstenošanas aktus, ar ko nosaka, kā lietotāju atsauksmes tiek vāktas un kā tiek nodrošināta to kopīga izmantošana. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 37. panta 2. punktā.

26. pants

Ziņošana par iekšējā tirgus darbību

1.   Komisija:

a)

nodrošina vārtejas lietotājiem iespēju izmantot lietotājdraudzīgu rīku, lai anonīmi signalizētu un sniegtu atsauksmes par jebkādām grūtībām, ko tiem ir nācies pārvarēt, izmantojot savas tiesības iekšējā tirgū;

b)

vāc apkopotu informāciju no palīdzības un problēmu risināšanas pakalpojumiem, kuri ir vārtejā, par pieprasījumu priekšmetu un atbildēm.

2.   Saskaņā ar 1. punkta a) apakšpunktu savāktās atsauksmes ir tieši pieejamas Komisijai, kompetentajām iestādēm un valstu koordinatoriem.

3.   Dalībvalstis un Komisija analizē un izmeklē problēmas, kuras saskaņā ar šo pantu uzrādījuši lietotāji, un ar piemērotiem līdzekļiem tās risina, kad vien iespējams.

27. pants

Kopsavilkuma pārskati tiešsaistē

Komisija publicē tiešsaistē anonīmus kopsavilkuma pārskatus par problēmām, kas rodas saistībā ar informācijas vākšanu atbilstoši 26. panta 1. punktam, par galvenajiem lietotāju statistikas datiem, kuri minēti 24. pantā, un par galvenajām lietotāju atsauksmēm, kas minētas 25. pantā.

VII NODAĻA

VĀRTEJAS PĀRVALDĪBA

28. pants

Valsts koordinators

1.   Katra dalībvalsts ieceļ valsts koordinatoru. Papildus 7., 17., 19., 20., 23. un 25. pantā noteiktajiem pienākumiem valsts koordinators:

a)

ir kontaktpunkts savās attiecīgajās pārvaldes iestādēs visos ar vārteju saistītajos jautājumos;

b)

veicina, lai to attiecīgās kompetentās iestādes vienoti piemēro 9. līdz 16. pantu;

c)

nodrošina 17. panta 2. punkta c) apakšpunktā minēto ieteikumu pareizu īstenošanu.

2.   Katra dalībvalsts saskaņā ar savu iekšējās pārvaldības struktūru var iecelt vienu vai vairākus koordinatorus, lai veiktu jebkuru no 1. punktā uzskaitītajiem uzdevumiem. Katrai dalībvalstij ir viens valsts koordinators, kurš ir atbildīgs par saziņu ar Komisiju attiecībā uz visiem jautājumiem, kas saistīti ar vārteju.

3.   Katra dalībvalsts dara pārējām dalībvalstīm un Komisijai zināmu sava valsts koordinatora vārdu un kontaktinformāciju.

29. pants

Koordinācijas grupa

Tiek izveidota koordinācijas grupa (“vārtejas koordinācijas grupa”). Tās sastāvā ir viens valsts koordinators no katras dalībvalsts, un to vada Komisijas pārstāvis. Tā pieņem savu reglamentu. Komisija nodrošina sekretariātu.

30. pants

Vārtejas koordinācijas grupas uzdevumi

1.   Vārtejas koordinācijas grupa atbalsta šīs regulas īstenošanu. Tā jo īpaši:

a)

atvieglo labākās prakses apmaiņu un regulāru atjaunināšanu;

b)

rosina izmantot arī citas pilnībā tiešsaistē izpildāmas procedūras, ne tikai tās, kas ir uzskaitītas šīs regulas II pielikumā, un autentifikācijai, identifikācijai un parakstīšanai tiešsaistē paredzētus rīkus, jo īpaši tos, kas paredzēti Regulā (ES) Nr. 910/2014;

c)

apspriež to, kā lietotājdraudzīgā veidā labāk izklāstīt informāciju I pielikumā uzskaitītajās jomās, jo īpaši pamatojoties uz statistikas datiem, kas savākti saskaņā ar 24. un 25. pantu;

d)

palīdz Komisijai izstrādāt kopīgus IKT risinājumus vārtejas atbalstam;

e)

apspriež gada darba programmas projektu;

f)

palīdz Komisijai uzraudzīt gada darba programmas izpildi;

g)

apspriež papildu informāciju, kas sniegta saskaņā ar 5. pantu, lai rosinātu arī citas dalībvalstis sniegt līdzīgu informāciju, ja tas ir svarīgi lietotājiem;

h)

palīdz Komisijai uzraudzīt 8. līdz 16. panta prasību izpildi, ievērojot 17. pantu;

i)

informē par 6. panta 1. punkta īstenošanu;

j)

apspriež darbības un iesaka kompetentajām iestādēm un Komisijai tās īstenot, lai nepieļautu vai likvidētu vārtejā pieejamo pakalpojumu lieku dublēšanos;

k)

sniedz atzinumus par procedūrām vai pasākumiem, lai varētu efektīvi risināt lietotāju uzrādītās pakalpojumu kvalitātes problēmas, vai ieteikumus, kā kvalitāti uzlabot;

l)

apspriež to, kā šīs regulas kontekstā īstenojami tādi principi kā integrētā drošība un integrēta privātuma aizsardzība;

m)

apspriež jautājumus, kas saistīti ar lietotāju atsauksmju un statistikas datu vākšanu, kā norādīts 24. un 25. pantā, tiecoties panākt, ka Savienības un dalībvalsts līmenī piedāvātie pakalpojumi tiek pastāvīgi pilnveidoti;

n)

apspriež problēmas, kas saistītas ar vārtejā pieejamo pakalpojumu kvalitātes prasībām;

o)

apmainās ar labāko praksi un palīdz Komisijai organizēt, strukturēt un izklāstīt 2. panta 2. punktā minēto pakalpojumu sniegšanas kārtību, lai kopīgā lietotājsaskarne varētu pienācīgi darboties;

p)

sekmē saskaņotu popularizēšanas pasākumu izstrādi un īstenošanu;

q)

sadarbojas ar informācijas, palīdzības vai problēmu risināšanas pakalpojumu pārvaldības struktūrām vai tīkliem;

r)

sniedz norādījumus par papildu vienu vai vairākām Savienības oficiālajām valodām, kas kompetentajām iestādēm jālieto saskaņā ar 9. panta 2. punktu, 10. panta 4. punktu, 11. panta 2. punktu un 13. panta 2. punkta a) apakšpunktu.

2.   Komisija ar vārtejas koordinācijas grupu var konsultēties par visiem jautājumiem, kas saistīti ar šīs regulas piemērošanu.

31. pants

Gada darba programma

1.   Komisija pieņem gada darba programmu, kurā jo īpaši nosaka:

a)

kādas darbības ir jāveic nolūkā uzlabot konkrētas informācijas izklāstu I pielikumā uzskaitītajās jomās un kādas darbības ir jāveic, lai kompetentajām iestādēm visos līmeņos, arī pašvaldības līmenī, palīdzētu laicīgi izpildīt prasības par informācijas sniegšanu;

b)

kādas darbības ir jāveic, lai būtu vieglāk izpildīt 6. un 13. pantu;

c)

kādas darbības ir jāveic, lai panāktu, ka pastāvīgi tiek pildītas 9.līdz 12. pantā noteiktās prasības;

d)

ar vārtejas popularizēšanu saistītos pasākumus saskaņā ar 23. pantu.

2.   Gatavojot gada darba programmas projektu, Komisija ņem vērā statistikas datus par lietotājiem un lietotāju atsauksmes, kas ir savākti saskaņā ar 24. un 25. pantu, un visus dalībvalstu ierosinājumus. Pirms gada darba programmas pieņemšanas Komisija programmas projektu iesniedz vārtejas koordinācijas grupai apspriešanai.

VIII NODAĻA

NOBEIGUMA NOTEIKUMI

32. pants

Izmaksas

1.   No Eiropas Savienības vispārējā budžeta sedz šādus izdevumus:

a)

šīs regulas īstenošanas atbalstam Savienības līmenī vajadzīgo IKT rīku izstrāde un uzturēšana;

b)

vārtejas popularizēšana Savienības līmenī;

c)

informācijas, paskaidrojumu un norādījumu tulkošana saskaņā ar 12. pantu, nepārsniedzot katrai dalībvalstij noteikto gada maksimālo apjomu un neskarot iespēju resursus pārdalīt, ja tas ir vajadzīgs, lai pieejamo budžetu varētu pilnībā izmantot.

2.   Ar valstu tīmekļa portāliem, informācijas platformām, palīdzības dienestiem un dalībvalsts līmenī izveidotām procedūrām saistītos izdevumus sedz no attiecīgo dalībvalstu budžetiem, ja vien Savienības tiesību aktos nav noteikts citādi.

33. pants

Personas datu aizsardzība

Personas datus saistībā ar šīs regulas īstenošanu kompetentās iestādēs apstrādā, ievērojot Regulu (ES) 2016/679. Personas datus saistībā ar šo regulu Komisija apstrādā, ievērojot Regulu (ES) 2018/1725.

34. pants

Sadarbība ar citiem informācijas un palīdzības tīkliem

1.   Pēc apspriešanās ar dalībvalstīm Komisija nolemj, par kādu pastāvošu neformālas pārvaldības kārtību attiecībā uz III pielikumā uzskaitītu palīdzības vai problēmu risināšanas pakalpojumu vai I pielikumā minētu informācijas jomu kļūs atbildīga vārtejas koordinācijas grupa.

2.   Ja informācijas un palīdzības pakalpojumi vai tīkli I pielikumā minētai informācijas jomai ir izveidoti ar juridiski saistošu Savienības tiesību aktu, Komisija koordinē vārtejas koordinācijas grupas un šādu pakalpojumu vai tīklu pārvaldības struktūru darbu, lai panāktu sinerģiju un izvairītos no dublēšanās.

35. pants

Iekšējā tirgus informācijas sistēma

1.   Šīs regulas 6. panta 4. punkta un 15. panta nolūkā un saskaņā ar tiem izmanto Iekšējā tirgus informācijas sistēmu (IMI), kas izveidota ar Regulu (ES) Nr. 1024/2012.

2.   Komisija var nolemt, ka izmantos IMI kā elektronisku repozitoriju saitēm, kā minēts 19. panta 1. punktā.

36. pants

Ziņošana un pārskatīšana

Līdz 2022. gada 12. decembrim un pēc tam reizi divos gados Komisija pārskata šīs regulas piemērošanu un iesniedz Eiropas Parlamentam un Padomei novērtējuma ziņojumu par vārtejas darbību un par iekšējā tirgus darbību, pamatojoties uz statistikas datiem un atsauksmēm, kas savākti saskaņā ar 24., 25. un 26. pantu. Pārskatīšanas procesā jo īpaši izvērtē šīs regulas 14. panta darbības jomu, ņemot vērā norises tehnoloģiju, tirgus un likumdošanas jomā attiecībā uz apmaiņu ar apliecinājumiem starp kompetentajām iestādēm.

37. pants

Komitejas procedūra

1.   Komisijai palīdz komiteja. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.

2.   Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

38. pants

Regulas (ES) Nr. 1024/2012 grozījumi

Regulu (ES) Nr. 1024/2012 groza šādi:

1)

regulas 1. pantu aizstāj ar šādu:

“1. pants

Priekšmets

Šajā regulā izklāstīti noteikumi par Iekšējā tirgus informācijas sistēmas (“IMI”) izmantošanu administratīvai sadarbībai starp IMI dalībniekiem, tostarp arī personas datu apstrādei.”;

2)

regulas 3. panta 1. punktu aizstāj ar šādu:

“1.   IMI izmanto informācijas apmaiņai, arī personas datu apmaiņai, starp IMI dalībniekiem un šādas informācijas apstrādei vienai vai otrai no šīm vajadzībām:

a)

administratīvā sadarbība, kas vajadzīga saskaņā ar pielikumā uzskaitītajiem aktiem;

b)

administratīvā sadarbība izmēģinājuma projektā, kuru īsteno saskaņā ar 4. pantu.”;

3)

regulas 5. panta otro daļu groza šādi:

a)

a) apakšpunktu aizstāj ar šādu:

“a)

IMI” ir Komisijas nodrošināts elektronisks rīks, kas atvieglo administratīvo sadarbību starp IMI dalībniekiem;”;

b)

b) apakšpunktu aizstāj ar šādu:

“b)

“administratīvā sadarbība” ir IMI dalībnieku sadarbība, kuras procesā notiek apmaiņa ar informāciju un informācijas apstrāde, lai varētu labāk piemērot Savienības tiesību aktus;”;

c)

g) apakšpunktu aizstāj ar šādu:

“g)

IMI dalībnieki” ir kompetentās iestādes, IMI koordinatori, Komisija un Savienības struktūras, biroji un aģentūras;”;

4)

regulas 8. panta 1. punktam pievieno šādu apakšpunktu:

“f)

nodrošināt koordināciju ar Savienības struktūrām, birojiem un aģentūrām un nodrošināt tām pieeju IMI.”;

5)

regulas 9. panta 4. punktu aizstāj ar šādu:

“4.   Dalībvalstis, Komisija un Savienības struktūras, biroji un aģentūras ievieš piemērotus līdzekļus, ar ko nodrošina, ka IMI sistēmā apstrādātajiem personas datiem IMI lietotājiem ir ļauts piekļūt tikai tad, ja ir vajadzība pēc informācijas, un tikai tajās iekšējā tirgus jomās, kurās lietotājiem ir piešķirtas piekļuves tiesības saskaņā ar 3. punktu.”;

6)

regulas 21. pantu groza šādi:

a)

panta 2. punktu aizstāj ar šādu:

“2.   Eiropas Datu aizsardzības uzraudzītāja pienākums ir uzraudzīt un nodrošināt šīs regulas piemērošanu, kad Komisija vai Savienības struktūras, biroji un aģentūras kā IMI dalībnieki apstrādā personas datus. Attiecīgi piemēro pienākumus un pilnvaras, kas minēti Regulas (ES) 2018/1725 (*1) 57. un 58. pantā.

(*1)  Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39 lpp.).”;"

b)

panta 3. punktu aizstāj ar šādu:

“3.   Valstu uzraudzības iestādes un Eiropas Datu aizsardzības uzraudzītājs, rīkojoties savas attiecīgās kompetences robežās, cits ar citu sadarbojas, lai nodrošinātu, ka uzraudzība pār IMI tiek īstenota saskaņoti un ka IMI dalībnieki šo sistēmu izmanto saskaņā ar Regulas (ES) 2018/1725 62. pantu.”;

c)

panta 4. punktu svītro;

7)

regulas 29. panta 1. punktu svītro;

8)

regulas pielikumam pievieno šādus punktus:

“11.

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (*2): 56. pants, 60. līdz 66. pants un 70. panta 1. punkts.

12.

Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 2. oktobris), ar ko izveido vienotu digitālos vārteju, lai sniegtu piekļuvi informācijai, procedūrām un palīdzības un problēmu risināšanas pakalpojumiem, un ar ko groza Regulu (ES) Nr. 1024/2012 (*3) 6. panta 4. punkts, 15. un 19. pants.

(*2)  OV L 119, 4.5.2016., 1. lpp."

(*3)  OV L 295, 21.11.2018., 39 lpp.”."

39. pants

Stāšanās spēkā

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

Šīs regulas 2. pantu, 4. pantu, 7. līdz 12. pantu, 16. pantu, 17. pantu, 18. panta 1. līdz 4. punktu, 19. pantu, 20. pantu, 24. panta 1., 2. un 3. punktu, 25. panta 1. līdz 4. punktu, 26. pantu un 27. pantu piemēro no 2020. gada 12. decembra.

Šīs regulas 6. pantu, 13. pantu, 14. panta 1. līdz 8. un 10. punktu un 15. pantu piemēro no 2023. gada 12. decembra.

Neatkarīgi no 2., 9., 10. un 11. panta piemērošanas dienas pašvaldību iestādes nodrošina, ka ne vēlāk kā 2022. gada 12. decembrī ir pieejama minētajos pantos minētā informācija, paskaidrojumi un norādījumi.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Strasbūrā, 2018. gada 2. oktobrī

Eiropas Parlamenta vārdā

priekšsēdētājs

A. TAJANI

– Padomes vārdā –

priekšsēdētāja

J. BOGNER-STRAUSS


(1)  OV C 81, 2.3.2018., 88. lpp.

(2)  Eiropas Parlamenta 2018. gada 13. septembra nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2018. gada 27. septembra lēmums.

(3)  Eiropas Parlamenta un Padomes Direktīva 2006/123/EK (2006. gada 12. decembris) par pakalpojumiem iekšējā tirgū (OV L 376, 27.12.2006., 36. lpp.).

(4)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 764/2008 (2008. gada 9. jūlijs), ar ko nosaka procedūras, lai dažus valstu tehniskos noteikumus piemērotu citā dalībvalstī likumīgi tirgotiem produktiem, un ar ko atceļ Lēmumu Nr. 3052/95/EK (OV L 218, 13.8.2008., 21. lpp.).

(5)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 305/2011 (2011. gada 9. marts), ar ko nosaka saskaņotus būvizstrādājumu tirdzniecības nosacījumus un atceļ Padomes Direktīvu 89/106/EEK (OV L 88, 4.4.2011., 5. lpp.).

(6)  Eiropas Parlamenta un Padomes Direktīva 2005/36/EK (2005. gada 7. septembris) par profesionālo kvalifikāciju atzīšanu (OV L 255, 30.9.2005., 22. lpp.).

(7)  Komisijas 2013. gada 17. septembra Ieteikums 2013/461/ES par principiem, kas reglamentē SOLVIT (OV L 249, 19.9.2013., 10. lpp.).

(8)  Eiropas Parlamenta un Padomes Direktīva 2014/24/ES (2014. gada 26. februāris) par publisko iepirkumu un ar ko atceļ Direktīvu 2004/18/EK (OV L 94, 28.3.2014., 65. lpp.).

(9)  Eiropas Parlamenta un Padomes Direktīva 2014/25/ES (2014. gada 26. februāris) par iepirkumu, ko īsteno subjekti, kuri darbojas ūdensapgādes, enerģētikas, transporta un pasta pakalpojumu nozarēs, un ar ko atceļ Direktīvu 2004/17/EK (OV L 94, 28.3.2014., 243. lpp.).

(10)  Eiropas Parlamenta un Padomes Regula (ES) 2016/589 (2016. gada 13. aprīlis) par Eiropas Nodarbinātības dienestu tīklu (EURES), darba ņēmēju piekļuvi mobilitātes pakalpojumiem un turpmāku darba tirgu integrāciju un ar ko groza Regulas (ES) Nr. 492/2011 un (ES) Nr. 1296/2013 (OV L 107, 22.4.2016., 1. lpp.).

(11)  Padomes Lēmums 2001/470/EK (2001. gada 28. maijs), ar ko izveido Eiropas Tiesiskās sadarbības tīklu civillietās un komerclietās (OV L 174, 27.6.2001., 25. lpp.).

(12)  Eiropas Parlamenta un Padomes Direktīva 2014/67/ES (2014. gada 15. maijs) par to, kā izpildīt Direktīvu 96/71/EK par darba ņēmēju norīkošanu darbā pakalpojumu sniegšanas jomā, un ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1024/2012 par administratīvo sadarbību, izmantojot Iekšējā tirgus informācijas sistēmu (“IMI regula”) (OV L 159, 28.5.2014., 11. lpp.).

(13)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 (2014. gada 23. jūlijs) par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (OV L 257, 28.8.2014., 73. lpp.).

(14)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 883/2004 (2004. gada 29. aprīlis) par sociālās nodrošināšanas sistēmu koordinēšanu (OV L 166, 30.4.2004., 1. lpp.).

(15)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 987/2009 (2009. gada 16. septembris), ar ko nosaka īstenošanas kārtību Regulai (EK) Nr. 883/2004 par sociālās nodrošināšanas sistēmu koordinēšanu (OV L 284, 30.10.2009., 1. lpp.).

(16)  Eiropas Parlamenta un Padomes Direktīva (ES) 2016/2102 (2016. gada 26. oktobris) par publiskā sektora struktūru tīmekļvietņu un mobilo lietotņu piekļūstamību (OV L 327, 2.12.2016., 1. lpp.).

(17)  Padomes Lēmums 2010/48/EK (2009. gada 26. novembris) par to, lai Eiropas Kopiena noslēgtu Apvienoto Nāciju Organizācijas Konvenciju par personu ar invaliditāti tiesībām (OV L 23, 27.1.2010., 35. lpp.).

(18)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 260/2012 (2012. gada 14. marts), ar ko nosaka tehniskās un darbības prasības kredīta pārvedumiem un tiešā debeta maksājumiem euro un groza Regulu (EK) Nr. 924/2009 (OV L 94, 30.3.2012., 22. lpp.).

(19)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 1024/2012 (2012. gada 25. oktobris) par administratīvo sadarbību, izmantojot Iekšējā tirgus informācijas sistēmu, un ar ko atceļ Komisijas Lēmumu 2008/49/EK (“IMI regula”) (OV L 316, 14.11.2012., 1. lpp.).

(20)  Eiropas Parlamenta un Padomes Regula (ES) 2016/1191 (2016. gada 6. jūlijs) par iedzīvotāju brīvas pārvietošanās veicināšanu, vienkāršojot dažu publisko dokumentu uzrādīšanas prasības Eiropas Savienībā, un grozījumiem Regulā (ES) Nr. 1024/2012 (OV L 200, 26.7.2016., 1. lpp.).

(21)  Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).

(22)  Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (skatīt šā Oficiālā Vēstneša 39. lpp.).

(23)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 1316/2013 (2013. gada 11. decembris), ar ko izveido Eiropas infrastruktūras savienošanas instrumentu, groza Regulu (ES) Nr. 913/2010 un atceļ Regulu (EK) Nr. 680/2007 un Regulu (EK) Nr. 67/2010 (OV L 348, 20.12.2013., 129. lpp.).

(24)  Eiropas Parlamenta un Padomes Direktīva (ES) 2017/1132 (2017. gada 14. jūnijs) attiecībā uz sabiedrību tiesību dažiem aspektiem (OV L 169, 30.6.2017., 46. lpp.).

(25)  Eiropas Parlamenta un Padomes Regula (ES) 2015/848 (2015. gada 20. maijs) par maksātnespējas procedūrām (OV L 141, 5.6.2015., 19. lpp.).

(26)  Eiropas Parlamenta un Padomes 2011. gada 16. februāra Regula (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).

(27)  Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (2016. gada 6. jūlijs) par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (OV L 194, 19.7.2016., 1. lpp.).

(28)  Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV L 119, 4.5.2016., 89. lpp.).

(29)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).

(30)  OV C 340, 11.10.2017., 6. lpp.


I PIELIKUMS

Saraksts. Informācijas jomas, kas ir būtiskas pilsoņiem un uzņēmumiem, kuri izmanto 2. panta 2. punkta a) apakšpunktā minētās tiesības iekšējā tirgū

Ar pilsoņiem saistītās informācijas jomas

Joma

INFORMĀCIJA PAR TIESĪBĀM, PIENĀKUMIEM UN NOTEIKUMIEM, KAS IZRIET NO SAVIENĪBAS UN DALĪBVALSTU TIESĪBU AKTIEM

A.

Ceļošana Savienībā

1.

Dokumenti, ko prasa no Savienības pilsoņiem, viņu ģimenes locekļiem, kuri nav Savienības pilsoņi, nepilngadīgajiem, kas ceļo vieni, un trešo valstu pilsoņiem, kad viņi šķērso robežas Savienības teritorijā (personas apliecība, vīza, pase)

2.

Lidmašīnas, vilciena, kuģa un autobusa pasažieru tiesības un pienākumi braucienos pa Savienību un izbraucot no tās, un to personu tiesības un pienākumi, kuras iegādājas kompleksos vai saistītos ceļojumus

3.

Palīdzība ierobežotas kustību spējas gadījumā braucienos pa Savienību un izbraucot no tās

4.

Dzīvnieku, augu, alkohola, tabakas, cigarešu un citu preču pārvadāšana braucienos pa Savienību

5.

Balss zvani, kā arī elektronisko ziņu un elektronisko datu nosūtīšana un saņemšana Savienības teritorijā

B.

Darbs un pensionēšanās Savienībā

1.

Darba meklēšana citā dalībvalstī

2.

Stāšanās darbā citā dalībvalstī

3.

Kvalifikācijas atzīšana darbam citā dalībvalstī

4.

Nodokļu piemērošana citā dalībvalstī

5.

Ar uzturēšanos vai nodarbinātību saistītie civiltiesiskās atbildības un obligātās apdrošināšanas noteikumi citā dalībvalstī

6.

Nodarbinātības kārtība un noteikumi, arī norīkotiem darba ņēmējiem, kā noteikts ar likumu vai normatīvu instrumentu (tostarp informācija par darba laiku, apmaksātu atvaļinājumu, tiesībām uz atvaļinājumu, ar virsstundām saistītām tiesībām un pienākumiem, veselības pārbaudēm, līgumu izbeigšanu, atlaišanu no darba un štatu samazināšanu)

7.

Vienāda attieksme (noteikumi par diskriminācijas aizliegumu darbavietā, noteikumi par vienādu samaksu vīriešiem un sievietēm un attiecībā uz darbinieku darba līgumiem uz laiku un nenoteiktu laiku)

8.

Ar veselību un drošību saistīti pienākumi dažādiem darbības veidiem

9.

Sociālā nodrošinājuma tiesības un pienākumi Savienībā, arī tie, kas saistīti ar pensijas saņemšanu

C.

Transportlīdzekļi Savienībā

1.

Mehāniskā transportlīdzekļa pagaidu vai pastāvīga ievešana citā dalībvalstī

2.

Vadītāja apliecības iegūšana un atjaunošana

3.

Transportlīdzekļa obligātā apdrošināšana

4.

Mehāniskā transportlīdzekļa iegādāšanās vai pārdošana citā dalībvalstī

5.

Valsts ceļu satiksmes noteikumi un prasības vadītājiem, arī vispārēji noteikumi par valsts ceļu infrastruktūras izmantošanu: par noteiktu laikposmu maksājamas nodevas (uzlīme), par noteiktu attālumu maksājamas nodevas (ceļa nodeva), emisiju uzlīmes

D.

Uzturēšanās citā dalībvalstī

1.

Pagaidu vai pastāvīga pārcelšanās uz citu dalībvalsti

2.

Nekustamā īpašuma iegāde un pārdošana, arī visi noteikumi un pienākumi, kas saistīti ar nodokļu uzlikšanu īpašumam, tiesībām uz īpašumu vai šāda īpašuma izmantošanu, cita starpā arī tad, ja tā ir otrā dzīvesvieta

3.

Piedalīšanās pašvaldības vēlēšanās un Eiropas Parlamenta vēlēšanās

4.

Uzturēšanās atļaujas prasības Savienības pilsoņiem un viņu ģimenes locekļiem, arī ģimenes locekļiem, kas nav Savienības pilsoņi

5.

Naturalizācijas prasības, kas piemērojamas citas dalībvalsts valstspiederīgajiem

6.

Noteikumi, kas piemērojami nāves gadījumā, tostarp noteikumi par mirstīgo atlieku repatriāciju uz citu dalībvalsti

E.

Mācības vai stažēšanās citā dalībvalstī

1.

Izglītības sistēma citā dalībvalstī, arī pirmsskolas izglītība un aprūpe, pamatizglītība un vidējā izglītība, augstākā izglītība un pieaugušo apmācība

2.

Brīvprātīgo darbs citā dalībvalstī

3.

Stažēšanās citā dalībvalstī

4.

Pētniecība citā dalībvalstī izglītības programmas laikā

F.

Veselības aprūpe

1.

Medicīniskās aprūpes saņemšana citā dalībvalstī

2.

Recepšu zāļu iegādāšanās dalībvalstī, kas nav dalībvalsts, kurā izrakstīta recepte (tiešsaistē vai personīgi)

3.

Noteikumi par veselības apdrošināšanu, kas piemērojami, ja persona īslaicīgi vai ilglaicīgi uzturas citā dalībvalstī, arī par to, kā pieteikties Eiropas veselības apdrošināšanas kartes saņemšanai

4.

Vispārēja informācija par tiesībām vai pienākumu saņemt valsts nodrošinātus profilaktiskus veselības aprūpes pakalpojumus

5.

Pakalpojumi, kas pieejami, zvanot valsts neatliekamās palīdzības dienestiem, arī uz 112 un 116 numuru dienestiem

6.

Tiesības un noteikumi par pastāvīgu pārcelšanos uz aprūpes iestādi

G.

Pilsoņi un ģimenes tiesības

1.

Dzimšana, aizgādības tiesības pār nepilngadīgajiem, vecāku pienākumi, noteikumi par bērna iznēsāšanu, ko veic surogātmāte, un par adopciju, arī tiesībām adoptēt dzīvesbiedra bērnus, un uzturēšanas saistības attiecībā uz bērniem pārrobežu ģimenes situācijās

2.

Kopdzīve ar citas valsts valstspiederīgo, arī viendzimuma pāriem (laulība, civila vai reģistrēta partnerība, laulāto atšķirtība, šķiršanās, laulāto īpašumtiesības, nelaulātu dzīvesbiedru tiesības)

3.

Noteikumi par dzimuma atzīšanu

4.

Mantojuma tiesības un pienākumi citā dalībvalstī, arī nodokļu noteikumi

5.

Tiesības un pienākumi, kas piemērojami bērna pārrobežu nolaupīšanas gadījumā, kad to izdarījis kāds no vecākiem

H.

Patērētāju tiesības

1.

Preču, digitālā satura vai pakalpojumu (tostarp finanšu pakalpojumu) iegādāšanās vai īrēšana no citas dalībvalsts tiešsaistē vai personīgi

2.

Bankas konta turēšana citā dalībvalstī

3.

Komunālo pakalpojumu, piemēram, gāzes, elektroenerģijas, ūdens, telesakaru un interneta, pieslēgšana un sadzīves atkritumu izvešana

4.

Maksājumi, arī kredīta pārvedumi, pārrobežu maksājumu kavēšanās

6.

Patērētāju tiesības un garantijas saistībā ar preču un pakalpojumu iegādi, arī kārtība, kādā tiek nodrošināta patērētāju strīdu izšķiršana un kompensācija

6.

Patēriņa preču nekaitīgums un drošība

7.

Mehāniskā transportlīdzekļa noma

I.

Personas datu aizsardzība

1.

Datu subjektu tiesību īstenošana attiecībā uz personas datu aizsardzību

Ar uzņēmumiem saistītas informācijas jomas

Joma

INFORMĀCIJA PAR TIESĪBĀM, PIENĀKUMIEM UN NOTEIKUMIEM

J.

Uzņēmējdarbības sākšana, veikšana un izbeigšana

1.

Uzņēmuma reģistrēšana, juridiskā statusa maiņa vai slēgšana (reģistrācijas procedūras un juridiskie statusi uzņēmējdarbības veikšanai)

2.

Uzņēmuma pārcelšana uz citu dalībvalsti

3.

Intelektuālā īpašuma tiesības (patenta pieteikums, preču zīmes, rasējuma vai dizaina reģistrēšana, licences saņemšana reproducēšanai)

4.

Komercprakses taisnīgums un pārredzamība, arī patērētāju tiesības un garantijas, kas saistītas ar preču un pakalpojumu pārdošanu

5.

Tiešsaistes rīku nodrošināšana pārrobežu maksājumiem preču un pakalpojumu tirdzniecībai tiešsaistē

6.

Tiesības un pienākumi, kas izriet no līgumtiesībām, arī procenti par nokavētu maksājumu

7.

Maksātnespējas procedūra un uzņēmumu likvidēšana

8.

Kredītapdrošināšana

9.

Uzņēmumu apvienošana vai pārdošana

10.

Uzņēmuma direktoru civiltiesiskā atbildība

11.

Noteikumi un pienākumi attiecībā uz personas datu apstrādi

K.

Darbinieki

1.

Nodarbinātības kārtība, kas noteikta ar likumu vai normatīvu instrumentu (arī darba laiks, apmaksāts atvaļinājums, tiesības uz atvaļinājumu, ar virsstundām saistītas tiesības un pienākumi, veselības pārbaudes, līgumu izbeigšana, atlaišana no darba un štatu samazināšana)

2.

Sociālā nodrošinājuma tiesības un pienākumi Savienībā (reģistrēšanās darba devēja statusā, darbinieku reģistrēšana, paziņošana par darbinieka līguma izbeigšanu, sociālo iemaksu veikšana, ar pensijām saistītās tiesības un pienākumi)

3.

Darba ņēmēju nodarbināšana citās dalībvalstīs (darba ņēmēju norīkošana, noteikumi par pakalpojumu brīvu sniegšanu, uzturēšanās prasības darba ņēmējiem)

4.

Vienāda attieksme (noteikumi par diskriminācijas aizliegumu darbavietā, noteikumi par vienādu samaksu vīriešiem un sievietēm un attiecībā uz darbinieku darba līgumiem uz laiku vai nenoteiktu laiku)

5.

Noteikumi par darbinieku pārstāvību

L.

Nodokļi

1.

PVN: informācija par vispārējiem noteikumiem, par likmēm un atbrīvojumiem, reģistrēšanās PVN reģistrā un PVN maksāšana, atmaksājuma saņemšana

2.

Akcīzes nodokļi: informācija par vispārējiem noteikumiem, par likmēm un atbrīvojumiem, reģistrēšanās akcīzes nodokļa maksātāja statusā un akcīzes nodokļa maksāšana, atmaksājuma saņemšana

3.

Muitas nodevas un citi nodokļi un nodevas, ko iekasē par importu

4.

Muitas procedūras importam un eksportam saskaņā ar Savienības Muitas kodeksu

5.

Citi nodokļi: maksāšana, likmes, nodokļu deklarācijas

M.

Preces

1.

CE marķējuma saņemšana

2.

Noteikumi un prasības produktiem

3.

Piemērojamo standartu noteikšana, tehniskās specifikācijas un ražojumu sertificēšana

4.

Tādu ražojumu savstarpēja atzīšana, kuriem nepiemēro Savienības specifikācijas

5.

Bīstamu ķīmisko vielu klasificēšanas, marķēšanas un iepakošanas prasības

6.

Tālpārdošana/pārdošana ārpus uzņēmuma telpām: informācija, kas jāsniedz klientiem pirms darījuma, līguma rakstiska apstiprināšana, atteikšanās no līguma, preču piegāde, citi konkrēti pienākumi

7.

Produkti ar trūkumiem: patērētāju tiesības un garantijas, pēcpārdošanas pienākumi, cietušā tiesiskās aizsardzības līdzekļi

8.

Sertifikācija, marķējumi (EMAS, energomarķējums, ekodizains, ES ekomarķējums)

9.

Pārstrāde un atkritumu apsaimniekošana

N.

Pakalpojumi

1.

Licenču, pilnvaru vai atļauju saņemšana uzņēmējdarbības sākšanai un uzņēmuma darbībai

2.

Paziņošana iestādēm par pārrobežu darbību

3.

Profesionālās kvalifikācijas, arī arodizglītības un arodapmācības, atzīšana

O.

Uzņēmuma finansēšana

1.

Piekļuves iegūšana finansējumam Savienības līmenī, arī Savienības finansēšanas programmas un dotācijas uzņēmumiem

2.

Piekļuves iegūšana finansējumam valsts līmenī

3.

Uzņēmējiem paredzētas iniciatīvas (jaunajiem uzņēmējiem paredzēta viedokļu apmaiņa, darbā ievadīšanas programmas utt.)

P.

Publiskā iepirkuma līgumi

1.

Dalība publiskajā iepirkumā: noteikumi un procedūras

2.

Piedāvājuma iesniegšana tiešsaistē, atbildot uz uzaicinājumu iesniegt piedāvājumus

3.

Ziņošana par iepirkuma procesa pārkāpumiem

Q.

Darba aizsardzība

1.

Darba aizsardzības pienākumi saistībā ar dažādiem darbības veidiem, arī risku novēršana, informācija un apmācība


II PIELIKUMS

Regulas 6. panta 1. punktā minētās procedūras

Dzīves notikumi

Procedūras

Paredzamais rezultāts, attiecīgā gadījumā kompetentajai iestādei veicot pieteikuma novērtējumu saskaņā ar savas valsts tiesību aktiem

Dzimšana

Dzimšanas reģistrācijas apliecinājuma pieprasīšana

Dzimšanas reģistrācijas apliecinājums vai dzimšanas apliecība

Uzturēšanās

Uzturēšanās apliecinājuma pieprasīšana

Apstiprinājums par faktiskās dzīvesvietas adreses reģistrāciju

Studijas

Pieteikšanās uz finansējumu augstākās izglītības iegūšanai, piemēram, stipendiju un aizdevumu studijām no valsts sektora struktūras vai iestādes

Lēmums par pieteikumu finansējuma iegūšanai vai apstiprinājums par saņemšanu

Sākotnējā pieteikuma iesniegšana par uzņemšanu valsts augstākās izglītības iestādē

Apstiprinājums par pieteikuma saņemšanu

Pieprasījums akadēmiski atzīt diplomus, sertifikātus vai citus apliecinājumus par mācību vai kursu pabeigšanu

Lēmums par atzīšanas pieprasījumu

Strādāšana

Pieprasījums noteikt tiesību aktus, kas ir piemērojami, ievērojot Regulas (EK) Nr. 883/2004 (1) II sadaļu

Lēmums par tiesību aktiem, kas ir piemērojami

Paziņošana par privātās vai darba dzīves apstākļu maiņu, ja persona saņem sociālā nodrošinājuma pabalstus un izmaiņas attiecas uz šādiem pabalstiem

Apstiprinājums par šādas apstākļu maiņas paziņojuma saņemšanu

Pieteikums uz Eiropas veselības apdrošināšanas karti (EHIC)

Eiropas veselības apdrošināšanas karte (EHIC)

Ienākuma nodokļa deklarācijas iesniegšana

Apstiprinājums par deklarācijas saņemšanu

Pārcelšanās

Adreses maiņas reģistrēšana

Apstiprinājums par izdeklarēšanos no iepriekšējās adreses un par jaunās adreses reģistrāciju

Mehāniskā transportlīdzekļa reģistrēšana standarta procedūras kārtībā, ja attiecīgais transportlīdzeklis ir no citas ES dalībvalsts vai ja tas ir citā ES dalībvalstī jau reģistrēts transportlīdzeklis (2)

Mehāniskā transportlīdzekļa reģistrācijas apliecinājums

Valsts ceļu infrastruktūras izmantošanai nepieciešamo uzlīmju iegāde: par noteiktu laikposmu maksājamas nodevas (uzlīme), par noteiktu attālumu maksājamas nodevas (ceļa nodeva), ko izsniegusi valsts sektora struktūra vai iestāde

Kvīts par ceļa nodevu vai uzlīme, vai cits maksājuma apliecinājums

Valsts sektora struktūras vai iestādes izsniegtas emisiju uzlīmes iegāde

Kvīts par emisiju uzlīmi vai cits maksājuma apliecinājums

Pensionēšanās

Pensijas un pirmspensijas pabalstu pieprasīšana no obligātajām shēmām

Apstiprinājums par pieprasījuma saņemšanu vai lēmums par pensijas vai pirmspensijas pabalstu pieprasījumu

Informācijas pieprasījums par datiem, kas saistīti ar pensiju no obligātajām shēmām

Paziņojums par personas pensijas datiem

Uzņēmējdarbības sākšana, veikšana un pārtraukšana

Paziņošana par uzņēmējdarbību, atļaujas veikt uzņēmējdarbību, uzņēmējdarbības veidu maiņa un uzņēmējdarbības izbeigšana, kas nav saistīta ar maksātnespējas vai likvidācijas procedūrām, izņemot uzņēmējdarbības sākotnējo reģistrāciju uzņēmumu reģistrā un izņemot procedūras, kas attiecas uz uzņēmumu vai sabiedrību dibināšanu, un jebkādus uzņēmumu vai sabiedrību vēlāk iesniegtus pieteikumus LESD 54. panta otrās daļas nozīmē

Apstiprinājums par paziņojuma vai izmaiņu saņemšanu vai par atļaujas veikt uzņēmējdarbību pieprasījuma saņemšanu

Darba devēja (fiziskas personas) reģistrēšana obligātajās pensiju un apdrošināšanas shēmās

Apstiprinājums par reģistrāciju vai sociālās nodrošināšanas reģistrācijas numurs

Darbinieku reģistrēšana obligātajās pensiju un apdrošināšanas shēmās

Apstiprinājums par reģistrāciju vai sociālās nodrošināšanas reģistrācijas numurs

Uzņēmumu ienākuma nodokļa deklarācijas iesniegšana

Apstiprinājums par deklarācijas saņemšanu

Paziņošana sociālās nodrošināšanas shēmām par darbinieka līguma izbeigšanu, izņemot procedūras attiecībā uz darbinieku darba līgumu kolektīvu izbeigšanu

Apstiprinājums par paziņojuma saņemšanu

Sociālo iemaksu veikšana par darbiniekiem

Kvīts vai cita veida apstiprinājums, ka ir veiktas sociālās iemaksas par darbiniekiem


(1)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 883/2004 (2004. gada 29. aprīlis) par sociālās nodrošināšanas sistēmu koordinēšanu (OV L 166, 30.4.2004., 1. lpp.).

(2)  Tas attiecas uz šādiem transportlīdzekļiem: a) jebkuru Eiropas Parlamenta un Padomes Direktīvas 2007/46/EK (OV L 263, 9.10.2007., 1. lpp.) 3. pantā minēto mehānisko transportlīdzekli vai piekabi un b) jebkuru divu riteņu vai trīs riteņu mehānisko transportlīdzekli, kam ir sapāroti vai citādi riteņi un kas paredzēts braukšanai pa autoceļiem, kā norādīts Eiropas Parlamenta un Padomes Regulas (ES) Nr. 168/2013 (OV L 60, 2.3.2013., 52. lpp.) 1. pantā.


III PIELIKUMS

Regulas 2. panta 2. punkta c) apakšpunktā minēto palīdzības un problēmu risināšanas pakalpojumu saraksts

1)

Vienotie kontaktpunkti (1)

2)

Produktu informācijas punkti (2)

3)

Būvizstrādājumu informācijas punkti (3)

4)

Valstu profesionālās kvalifikācijas atbalsta centri (4)

5)

Valsts pārrobežu veselības aprūpes kontaktpunkti (5)

6)

Eiropas Nodarbinātības dienestu tīkls (EURES(6)

7)

Strīdu izšķiršana tiešsaistē (SIT) (7)


(1)  Eiropas Parlamenta un Padomes Direktīva 2006/123/EK (2006. gada 12. decembris) par pakalpojumiem iekšējā tirgū (OV L 376, 27.12.2006., 36. lpp.).

(2)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 764/2008 (2008. gada 9. jūlijs), ar ko nosaka procedūras, lai dažus valstu tehniskos noteikumus piemērotu citā dalībvalstī likumīgi tirgotiem produktiem, un ar ko atceļ Lēmumu Nr. 3052/95/EK (OV L 218, 13.8.2008., 21. lpp.).

(3)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 305/2011 (2011. gada 9. marts), ar ko nosaka saskaņotus būvizstrādājumu tirdzniecības nosacījumus un atceļ Padomes Direktīvu 89/106/EEK (OV L 88, 4.4.2011., 5. lpp.).

(4)  Eiropas Parlamenta un Padomes Direktīva 2005/36/EK (2005. gada 7. septembris) par profesionālo kvalifikāciju atzīšanu (OV L 255, 30.9.2005., 22. lpp.).

(5)  Eiropas Parlamenta un Padomes Direktīva 2011/24/ES (2011. gada 9. marts) par pacientu tiesību piemērošanu pārrobežu veselības aprūpē (OV L 88, 4.4.2011., 45. lpp.).

(6)  Eiropas Parlamenta un Padomes Regula (ES) 2016/589 (2016. gada 13. aprīlis) par Eiropas Nodarbinātības dienestu tīklu (EURES), darba ņēmēju piekļuvi mobilitātes pakalpojumiem un turpmāku darba tirgu integrāciju un ar ko groza Regulas (ES) Nr. 492/2011 un (ES) Nr. 1296/2013 (OV L 107, 22.4.2016., 1. lpp.).

(7)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 524/2013 (2013. gada 21. maijs) par patērētāju strīdu izšķiršanu tiešsaistē un ar ko groza Regulu (EK) Nr. 2006/2004 un Direktīvu 2009/22/EK (Regula par patērētāju SIT) (OV L 165, 18.6.2013., 1. lpp.).


21.11.2018   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 295/39


EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2018/1725

(2018. gada 23. oktobris)

par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK

(Dokuments attiecas uz EEZ)

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu (1),

saskaņā ar parasto likumdošanas procedūru (2),

tā kā:

(1)

Fizisku personu aizsardzība attiecībā uz personas datu apstrādi ir pamattiesības. Eiropas Savienības Pamattiesību hartas (“Harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. Šīs tiesības tiek garantētas arī ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas 8. pantu.

(2)

Eiropas Parlamenta un Padomes Regulā (EK) Nr. 45/2001 (3) ir nodrošinātas fizisku personu juridiski īstenojamas tiesības, ir precizēti Savienības iestāžu un struktūru pārziņu datu apstrādes pienākumi, un ar to tiek izveidota neatkarīga uzraudzības iestāde – Eiropas Datu aizsardzības uzraudzītājs, kurš atbild par uzraudzību pār personas datu apstrādi Savienības iestādēs un struktūrās. Tomēr šī regula neattiecas uz personas datu apstrādi Savienības iestādēs un struktūrās tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā.

(3)

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (4) un Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (5) tika pieņemtas 2016. gada 27. aprīlī. Regula paredz vispārīgus noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei Savienībā, bet direktīva paredz īpašus noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei Savienībā tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomās.

(4)

Regulā (ES) 2016/679 ir paredzēta Regulas (EK) Nr. 45/2001 pielāgošana, lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā un lai to varētu piemērot paralēli Regulai (ES) 2016/679.

(5)

Saskaņotai pieejai personas datu aizsardzības jomā un personas datu brīvai apritei visā Savienībā ir svarīgi nodrošināt, lai Savienības iestāžu, struktūru, biroju un aģentūru datu aizsardzības noteikumi ir pēc iespējas vairāk saskaņoti ar tiem datu aizsardzības noteikumiem, kas publiskā sektora jomā pieņemti attiecībā uz dalībvalstīm. Ja šīs regulas un Regulas (ES) 2016/679 noteikumi ievēro vienus un tos pašus principus, tad abi šie noteikumu kopumi saskaņā ar Eiropas Savienības Tiesas (“Tiesa”) judikatūru būtu jāinterpretē viendabīgi, jo īpaši tāpēc, ka šīs regulas sistēma būtu jāuzskata par ekvivalentu Regulas (ES) 2016/679 sistēmai.

(6)

Personām, kuru datus Savienības iestādes un struktūras apstrādā jebkurā kontekstā, piemēram, tāpēc, ka šīs iestādes un struktūras nodarbina šīs personas, būtu jānodrošina aizsardzība. Šī regula nebūtu jāpiemēro mirušu personu personas datu apstrādei. Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju.

(7)

Lai izvairītos no tā, ka tiktu radīts nopietns risks, ka likums varētu tikt apiets, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem.

(8)

Šī regula būtu jāpiemēro personas datu apstrādei visās Savienības iestādēs, struktūrās, birojos un aģentūrās. Tā būtu jāpiemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem. Šīs regulas darbības jomai nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem.

(9)

Deklarācijā Nr. 21 par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās starpvaldību konferences nobeiguma aktam, konference atzina, ka personas datu īpašo iezīmju dēļ var būt nepieciešami īpaši noteikumi par šo datu aizsardzību un par to brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu. Tādēļ šīs regulas atsevišķa nodaļa, kurā iekļauti vispārēji noteikumi, būtu jāpiemēro gadījumos, kad operatīvos personas datus, piemēram, personas datus, ko apstrādā kriminālizmeklēšanas nolūkos, Savienības struktūras, biroji vai aģentūras apstrādā, kad tās veic darbības tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā.

(10)

Direktīva (ES) 2016/680 paredz saskaņotus noteikumus par tādu personas datu aizsardzību un brīvu apriti, kas tiek apstrādāti, lai novērstu, izmeklētu un atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Lai nodrošinātu to, ka fiziskām personām visā Savienībā ir vienāds aizsardzības līmenis ar juridiski īstenojamu tiesību palīdzību, un novērstu atšķirības, kas traucē personas datu apmaiņai starp Savienības struktūrām, birojiem vai aģentūrām, kad tās veic darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, un kompetentajām iestādēm, noteikumiem par šādu Savienības struktūru, biroju vai aģentūru apstrādāto operatīvo personas datu aizsardzību un brīvu apriti būtu jāatbilst Direktīvai (ES) 2016/680.

(11)

Vispārējie noteikumi, kas iekļauti šīs regulas nodaļā par operatīvo personas datu apstrādi, būtu jāpiemēro, neskarot speciālos noteikumus, kurus piemēro attiecībā uz operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa. Šādi speciālie noteikumi būtu jāuzskata par lex specialis attiecībā pret šīs regulas nodaļas par operatīvo personas datu apstrādi noteikumiem (lex specialis derogat legi generali). Lai samazinātu juridisko sadrumstalotību, speciālajiem datu aizsardzības noteikumiem, ko piemēro operatīvo personas datu apstrādei, ko veic Savienības struktūras, biroji un aģentūras, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, būtu jāatbilst principiem, uz kuriem balstās šīs regulas nodaļa par operatīvo personas datu apstrādi, kā arī ar šīs regulas noteikumiem par neatkarīgu uzraudzību, tiesību aizsardzības līdzekļiem, atbildību un sodiem.

(12)

Šīs regulas nodaļa par operatīvo personas datu apstrādi būtu jāattiecina arī uz Savienības struktūrām, birojiem un aģentūrām, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, turklāt neatkarīgi no tā, vai tās šādas darbības īsteno kā galveno vai papildu uzdevumu. Tomēr tā nebūtu jāpiemēro Eiropolam un Eiropas Prokuratūrai līdz brīdim, kad tiesību aktos par Eiropola un Eiropas Prokuratūras izveidi tiek veikti grozījumi, ar kuriem arī uz tiem attiecina pielāgotu šīs regulas nodaļu par operatīvo personas datu apstrādi.

(13)

Komisijai būtu jāpārskata šī regula, jo īpaši tās nodaļa par operatīvo personas datu apstrādi. Komisijai būtu jāpārskata arī citi uz Līgumu pamata pieņemtie tiesību akti, kuri reglamentē operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji vai aģentūras, kad tās īsteno darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa. Lai nodrošinātu fizisku personu vienādu un konsekventu aizsardzību attiecībā uz personas datu apstrādi, Komisija būtu jāvar pēc šādas pārskatīšanas iesniegt attiecīgus tiesību aktu priekšlikumus, tostarp jebkādus nepieciešamus šīs regulas nodaļas par operatīvo personas datu apstrādi pielāgojumus, lai to piemērotu Eiropolam un Eiropas Prokuratūrai. Pielāgojumos būtu jāņem vērā noteikumi attiecībā uz neatkarīgu uzraudzību, tiesību aizsardzības līdzekļiem, atbildību un sodiem.

(14)

Šī regula būtu jāattiecina uz administratīvo personas datu apstrādi, piemēram, Savienības struktūru, biroju vai aģentūru personāla datu apstrādi, ko tās veic, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa.

(15)

Šī regula būtu jāpiemēro personas datu apstrādei Savienības iestādēs, struktūrās, birojos vai aģentūrās, ko tās veic, īstenojot darbības, uz kurām attiecas Līguma par Eiropas Savienību (LES) V sadaļas 2. nodaļa. Šī regula nebūtu jāpiemēro personas datu apstrādei LES 42. panta 1. punktā, 43. un 44. pantā minētajās misijās, ar kurām īsteno kopējo drošības un aizsardzības politiku. Attiecīgā gadījumā būtu jāierosina attiecīgi priekšlikumi, lai sīkāk regulētu personas datu apstrādi kopējās drošības un aizsardzības politikas jomā.

(16)

Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pietiekami iespējami varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. Lai pārliecinātos, vai līdzekļus varētu pietiekami iespējami izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību. Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams. Tādēļ šī regula neattiecas uz šādas anonīmas informācijas apstrādi, tostarp statistikas vai pētniecības nolūkos.

(17)

Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus. Skaidra “pseidonimizācijas” ieviešana šajā regulā nenozīmē to, ka tiek izslēgti jebkuri citi datu aizsardzības pasākumi.

(18)

Fiziskas personas var tikt saistītas ar tiešsaistes identifikatoriem, ko izmanto viņu ierīcēs, lietojumprogrammās, rīkos un protokolos, piemēram, ar interneta protokola adresēm, sīkdatņu identifikatoriem vai citiem identifikatoriem, piemēram, radiofrekvenciālās identifikācijas marķējumiem. Tādējādi, iespējams, tiek atstātas pēdas, kuras jo īpaši savienojumā ar unikāliem identifikatoriem un citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un lai identificētu tās.

(19)

Piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam un tas nedrīkstētu nevajadzīgi pārtraukt tā pakalpojuma izmantošanu, par ko tas tiek sniegts. Tajā pašā laikā datu subjektam vajadzētu būt tiesībām jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana. Lai nodrošinātu, ka piekrišana ir sniegta brīvi, piekrišanai nebūtu jākalpo par derīgu juridisko pamatu personas datu apstrādei konkrētā gadījumā, kad datu subjekta un pārziņa attiecībās pastāv skaidra nevienlīdzība un tāpēc ir maz ticams, ka piekrišana visos minētās konkrētās situācijas apstākļos tika sniegta brīvi. Bieži vien datu vākšanas laikā, kad dati tiek vākti zinātniskās pētniecības nolūkos, nav iespējams pilnībā identificēt personas datu apstrādes nolūku. Tāpēc būtu jāļauj datu subjektiem dot savu piekrišanu attiecībā uz dažām zinātniskās pētniecības jomām, ja tiek ievēroti atzīti zinātniskās pētniecības ētiskie standarti. Datu subjektiem vajadzētu būt iespējai dot piekrišanu tikai konkrētām pētniecības jomām vai pētniecības projektu daļām, ciktāl to ļauj paredzētais nolūks.

(20)

Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, relevantiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūkam pietiekami neder citi līdzekļi. Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi vai nepilnīgi personas dati tiek laboti vai dzēsti. Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem, šo datu izpaušanu to nosūtīšanas laikā vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

(21)

Saskaņā ar pārskatatbildības principu gadījumos, kad Savienības iestādes un struktūras nosūta personas datus iekšēji tajā pašā Savienības iestādē vai struktūrā un saņēmējs nav pārziņa struktūrvienība vai citām Savienības iestādēm vai struktūrām, tām būtu jāpārliecinās, ka šādi personas dati ir vajadzīgi saņēmēja kompetencē ietilpstošo uzdevumu likumīgai izpildei. Jo īpaši pēc saņēmēja pieprasījuma nosūtīt personas datus pārzinim būtu jāpārliecinās par to, ka pastāv pamatots iemesls personas datu likumīgai apstrādei, un jāpārbauda saņēmēja kompetence. Pārzinim arī būtu provizoriski jānovērtē datu sūtīšanas nepieciešamība. Ja rodas šaubas par tās nepieciešamību, pārzinim būtu jāpieprasa no saņēmēja papildu informācija. Saņēmējam būtu jānodrošina, lai pēc tam var pārbaudīt datu nosūtīšanas nepieciešamību.

(22)

Lai apstrāde būtu likumīga, personas dati būtu jāapstrādā, pamatojoties uz nepieciešamību pildīt uzdevumus, ko Savienības iestādes un struktūras veic sabiedrības interesēs vai īstenojot tām piešķirtas oficiālas pilnvaras, nepieciešamību izpildīt uz pārzini attiecināmu juridisku pienākumu vai uz cita leģitīma pamata, kas noteikts šajā regulā, ieskaitot attiecīgā datu subjekta piekrišanu vai nepieciešamību izpildīt līgumu, kurā datu subjekts ir līgumslēdzēja puse, vai lai veiktu pasākumus pēc datu subjekta pieprasījuma pirms līguma noslēgšanas. Personas datu apstrāde, pildot uzdevumus, ko Savienības iestādes un struktūras veic sabiedrības interesēs, ietver to personas datu apstrādi, kas vajadzīgi šo iestāžu un struktūru pārvaldībai un funkcionēšanai. Personas datu apstrāde būtu jāuzskata par likumīgu arī tad, ja tā nepieciešama, lai aizsargātu intereses, kas ir būtiski svarīgas datu subjekta vai citas fiziskas personas dzīvei. Personas datu apstrādei, pamatojoties uz citas fiziskās personas vitālajām interesēm, principā būtu jānotiek tikai tad, ja apstrādi nevar acīmredzami balstīt uz citu juridisko pamatu. Dažus apstrādes veidus var izmantot, pamatojoties gan uz svarīgām sabiedrības interesēm, gan uz datu subjekta vitālajām interesēm, piemēram, ja apstrāde ir vajadzīga humanitāros nolūkos, tostarp epidēmiju un to izplatīšanās monitoringam vai ārkārtas humanitārajās situācijās, jo īpaši dabas un cilvēka izraisītu katastrofu situācijās.

(23)

Šajā regulā minētajiem Savienības tiesību aktiem vajadzētu būt skaidriem un precīziem, un personām, uz kurām tie attiecas, būtu jāspēj paredzēt to piemērošanu saskaņā ar prasībām, kas izklāstītas Hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā.

(24)

Šajā regulā minētajiem iekšējiem noteikumiem vajadzētu būt skaidriem un precīziem vispārēji piemērojamiem aktiem, kuru nolūks ir radīt juridiskas sekas datu subjektiem. Tie būtu jāpieņem Savienības iestāžu un struktūru augstākās vadības līmenī to kompetences robežās un ar to darbību saistītos jautājumos. Tie būtu jāpublicē Eiropas Savienības Oficiālajā Vēstnesī. Personām, uz kurām minētie noteikumi attiecas, būtu jāspēj paredzēt to piemērošanu saskaņā ar prasībām, kas izklāstītas Hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā. Iekšējie noteikumi var būt lēmumi, jo īpaši gadījumos, kad tos pieņem Savienības iestādes.

(25)

Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika vākti. Šādā gadījumā nav vajadzīgs atsevišķs juridiskais pamats kā vien tas, ar ko tika atļauta personas datu vākšana. Ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, Savienības tiesību aktos var būt noteikti un precizēti uzdevumi un nolūki, kādos turpmākā apstrāde būtu jāuzskata par saderīgu un likumīgu. Turpmākā apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu jāuzskata par saderīgām likumīgām apstrādes darbībām. Personas datu apstrādes juridiskais pamats, ko paredz Savienības tiesību akti, var arī paredzēt juridisko pamatu turpmākai apstrādei. Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim – pēc tam, kad ir izpildītas visas prasības attiecībā uz sākotnējās apstrādes likumīgumu, – būtu cita starpā jāņem vērā: jebkura saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem; konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjektu gaidas, kuru pamatā ir to attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu; personas datu raksturs; sekas, ko paredzētā turpmākā apstrāde rada datu subjektiem; un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.

(26)

Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai. Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās to, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara. Saskaņā ar Padomes Direktīvu 93/13/EEK (6) piekrišanas deklarācija, ko pārzinis ir iepriekš noformulējis, būtu jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, un tajā nevajadzētu būt negodīgiem noteikumiem. Lai piekrišanu būtu apzināta, datu subjektam vajadzētu būt informētam vismaz par pārziņa identitāti un paredzētās personas datu apstrādes nolūkiem. Piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles, vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām.

(27)

Bērniem pienākas īpaša personas datu aizsardzība, jo viņi var nepietiekami apzināties attiecīgos riskus, sekas un aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Šāda īpaša aizsardzība jo īpaši būtu jāpiemēro personas profilu izveidei un bērnu personas datu iegūšanai, izmantojot pakalpojumus, kurus Savienības iestādes un struktūras piedāvā savās tīmekļa vietnēs tieši bērniem, piemēram, starppersonu saziņas pakalpojumus vai biļešu pārdošanu tiešsaistē, un apstākļos, kad apstrāde pamatojas uz piekrišanu.

(28)

Ja saņēmēji, kas veic uzņēmējdarbību Savienībā un kas nav Savienības iestādes un struktūras, vēlas, lai Savienības iestādes un struktūras nosūta viņiem personas datus, minētajiem saņēmējiem būtu jāvar uzskatāmi parādīt, ka dati ir vajadzīgi sabiedrības interesēs veicama uzdevuma izpildei vai lai īstenotu viņiem likumīgi piešķirtās oficiālās pilnvaras. Alternatīvi šiem saņēmējiem būtu jāpierāda, ka nosūtīšana ir vajadzīga konkrētam mērķim sabiedrības interesēs, un pārzinim būtu jānosaka, vai ir kāds iemesls uzskatīt, ka varētu tikt kaitēts datu subjekta likumīgajām interesēm. Šādos gadījumos pārzinim vajadzētu apliecināmi izvērtēt dažādās konkurējošās intereses, lai novērtētu pieprasīto personas datu nosūtīšanas proporcionalitāti. Konkrētais mērķis sabiedrības interesēs varētu attiekties uz Savienības iestāžu un struktūru pārredzamību. Ievērojot pārredzamības un pareizas pārvaldības principu, Savienības iestādēm un struktūrām būtu jāvar uzskatāmi parādīt šādu vajadzību tad, kad tās pašas ierosina datu nosūtīšanu. Prasības, kuras šajā regulā noteiktas attiecībā uz nosūtīšanu saņēmējiem, kas veic uzņēmējdarbību Savienībā un kas nav Savienības iestādes un struktūras, būtu jāuzskata par tādām, kuras papildina likumīgas apstrādes nosacījumus.

(29)

Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un pamatbrīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un pamatbrīvībām. Šādi personas dati nebūtu jāapstrādā, ja vien netiek ievēroti šajā regulā izklāstītie īpašie nosacījumi. Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmatošana šajā regulā nenozīmē, ka Savienība atzīst teorijas, kuras mēģina noteikt dažādu cilvēku rasu pastāvēšanu. Fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrisko datu definīcija attiecas tikai tad, kad tās apstrādā ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju. Papildus konkrētajām prasībām attiecībā uz sensitīvu datu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem. Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības.

(30)

Īpašu kategoriju personas dati, kuriem pienākas augstāka līmeņa aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību. Tāpēc ar šo regulu būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridisks pienākums ievērot dienesta noslēpumu. Ar Savienības tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus.

(31)

Īpašu kategoriju personas datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomās. Uz šādu apstrādi būtu jāattiecas atbilstošiem un konkrētiem pasākumiem fizisku personu tiesību un brīvību aizsardzībai. Minētajā kontekstā “sabiedrības veselība” būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1338/2008 (7), proti, kā visi elementi, kas saistīti ar veselību, t. i., veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums un nāves cēloņi. Šādai veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka personas datus apstrādā citos nolūkos.

(32)

Ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana. Tomēr pārzinim nebūtu jāatsakās pieņemt papildu informāciju, ko sniedz datu subjekts, lai pamatotu savu tiesību īstenošanu. Identifikācijai būtu jāietver datu subjekta digitāla identifikācija, piemēram, ar autentifikācijas mehānismu, kurā lieto tos pašus akreditācijas datus, kurus datu subjekts izmanto, lai pieteiktos datu pārziņa piedāvātajos tiešsaistes pakalpojumos.

(33)

Uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu, ievērojot šo regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām būtu jānodrošina, ka pastāv tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu datu minimizēšanas principu. Personas datu turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos ir jāveic, kad pārzinis ir novērtējis iespējamību īstenot minētos nolūkus, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektus, ar noteikumu, ka pastāv atbilstošas garantijas (piemēram, datu pseidonimizācija). Savienības iestādēm un struktūrām Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, kurus Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, būtu jāparedz atbilstošas garantijas attiecībā uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos.

(34)

Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar šo regulu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi personas datiem un to labošanu vai dzēšanu un īstenot tiesības iebilst. Pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja pārzinis neplāno izpildīt šādu pieprasījumu.

(35)

Godprātīgas un pārredzamas apstrādes principi prasa to, ka datu subjekts ir informēts par apstrādes darbības esamību un tās nolūkiem. Pārzinim būtu jāsniedz datu subjektam jebkāda papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti. Turklāt datu subjektam vajadzētu būt informētam par profilēšanu un šādas profilēšanas sekām. Ja personas datus vāc no datu subjekta, datu subjekts būtu jāinformē arī par to, vai viņam ir pienākums sniegt personas datus un kādas būs sekas, ja viņš šādus datus nesniegs. Minēto informāciju var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tām vajadzētu būt mašīnlasāmām.

(36)

Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves no datu subjekta brīdī vai – ja personas datus iegūst no cita avota – saprātīgā termiņā atkarībā no lietas apstākļiem. Ja personas datus var leģitīmi izpaust citam saņēmējam, datu subjekts būtu jāinformē, kad personas dati tiek izpausti saņēmējam pirmo reizi. Ja pārzinis paredz personas datus apstrādāt citā nolūkā, kas nav nolūks, kādā tie tika vākti, pārzinim pirms minētās turpmākās apstrādes būtu jāinformē datu subjekts par minēto citu nolūku un jāsniedz tam cita vajadzīgā informācija. Ja datu subjektam nevar norādīt personas datu avotu tā iemesla dēļ, ka ir izmantoti dažādi avoti, būtu jāsniedz vispārīga informācija.

(37)

Datu subjektam vajadzētu būt tiesībām piekļūt personas datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot minētās tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tas ietver arī datu subjektu tiesības piekļūt saviem veselības datiem, piemēram, datiem par slimības vēsturi, kas ietver tādu informāciju kā diagnozes, analīžu rezultāti, ārstējošā terapeita vērtējums un ārstēšanas vai medicīniskās iejaukšanās pasākumi. Tāpēc katram datu subjektam vajadzētu būt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos personas datus apstrādā, ja iespējams, cik ilgi personas dati tiek apstrādāti, kas ir personas datu saņēmēji, kāda ir jebkurā personas datu automātiskajā apstrādē ietvertā loģika un kādas ir šādas apstrādes sekas – vismaz tad, ja apstrāde pamatojas uz profilēšanu. Minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. Tomēr minēto apsvērumu rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju. Ja pārzinis apstrādā lielu informācijas apjomu saistībā ar datu subjektu, pārzinim būtu jāspēj pieprasīt, lai datu subjekts pirms informācijas nosūtīšanas precizētu, uz kuru informāciju un kurām apstrādes darbībām pieprasījums attiecas.

(38)

Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības tiesību aktus, kas ir piemērojami pārzinim. Datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai. Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta. Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns. Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

(39)

Lai stiprinātu tiesības tikt aizmirstam tiešsaistes vidē, arī tiesības uz dzēšanu būtu jāpaplašina tā, lai pārzinim, kas ir publiskojis personas datus, būtu pienākums informēt pārziņus, kuri apstrādā šādus personas datus, par to, ka ir jādzēš visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. To darot, pārzinim būtu jāveic saprātīgi pasākumi, ņemot vērā pieejamo tehnoloģiju un pārziņa rīcībā esošos līdzekļus, tostarp tehniskie pasākumi, ar ko pārziņus, kuri apstrādā personas datus, informē par datu subjekta pieprasījumu.

(40)

Metodes, ar kurām ierobežot personas datu apstrādi, cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu, izvēlēto personas datu pieejamības liegumu lietotājiem vai publicēto datu pagaidu izņemšanu no tīmekļa vietnes. Automatizētajās reģistrācijas sistēmās apstrādes ierobežošana principā būtu jānodrošina ar tehniskiem līdzekļiem tādā veidā, lai personas dati netiktu pakļauti turpmākām apstrādes darbībām un lai tos nevar izmainīt. Tas, ka personas datu apstrāde ir ierobežota, būtu skaidri jānorāda sistēmā.

(41)

Lai datu subjektiem būtu vēl lielāka kontrole pār saviem datiem, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektam būtu arī jāļauj saņemt personas datus par sevi, kurus tas sniedzis pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt tos citam pārzinim. Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas nodrošina datu pārnešanu. Minētās tiesības būtu jāpiemēro, ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai ja apstrāde ir nepieciešama, lai izpildītu līgumu. Tādēļ tās jo īpaši nebūtu jāpiemēro gadījumos, kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras. Datu subjekta tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas. Ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad tiesībām saņemt personas datus nebūtu jāskar citu datu subjektu tiesības un brīvības saskaņā ar šo regulu. Turklāt minētajām tiesībām nebūtu jāskar arī datu subjekta tiesības panākt personas datu dzēšanu un minēto tiesību ierobežojumus, kā izklāstīts šajā regulā, un tām jo īpaši nevajadzētu nozīmēt to, ka tiek dzēsti datu subjekta personas dati, kurus tas sniedzis līguma izpildes nolūkā, ciktāl un kamēr personas dati ir vajadzīgi minētā līguma izpildei. Ja tas ir tehniski iespējams, datu subjektam vajadzētu būt tiesībām panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam pārzinim.

(42)

Ja personas datus var likumīgi apstrādāt tāpēc, ka apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, datu subjektam tomēr vajadzētu būt tiesībām iebilst pret to, ka tiek apstrādāti personas dati, kas attiecas uz viņa konkrēto situāciju. Pārzinim būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par datu subjekta pamattiesībām un brīvībām.

(43)

Datu subjektam vajadzētu būt tiesībām nebūt tāda lēmuma subjektam, kurā var būt ietverts pasākumus, ar ko izvērtē ar viņu saistītus personiskus aspektus, un kura pamatā ir tikai automatizēta apstrāde un kurai ir juridiskas sekas attiecībā uz datu subjektu vai kura līdzīgā veidā ievērojami ietekmē datu subjektu – piemēram, elektroniska darbā pieņemšanas prakse bez cilvēka līdzdalības. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai tā līdzīgā veidā viņu ievērojami ietekmē.

Tomēr lēmumu pieņemšana, pamatojoties uz šādu apstrādi, tostarp profilēšanu, būtu jāatļauj, ja tā ir nepārprotami atļauta saskaņā ar Savienības tiesību aktiem. Jebkurā gadījumā uz šādu apstrādi būtu jāattiecina atbilstošas garantijas, kurām būtu jāaptver konkrētas informācijas sniegšana datu subjektam un tiesības panākt cilvēka līdzdalību, tiesības paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šādas izvērtēšanas, un apstrīdēt lēmumu. Šāds pasākums nebūtu jāattiecina uz bērnu. Lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu, ņemot vērā konkrētos apstākļus un kontekstu, kurā personas dati tiek apstrādāti, pārzinim būtu jāizmanto piemērotas matemātiskās vai statistikas procedūras profilēšanai, jāveic atbilstīgi tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu, ka tiek koriģēti faktori, kuru dēļ rodas personas datu neprecizitātes, un ka līdz minimumam ir samazināts kļūdu rašanās risks, jāgarantē personas datu drošība tādā veidā, ka tiek ņemti vērā iespējamie riski attiecībā uz datu subjekta interesēm un tiesībām, un cita starpā jānovērš fizisku personu diskriminācija rases vai etniskās izcelsmes, politisko uzskatu, reliģiskās vai ticības piederības, dalības arodbiedrībā, ģenētiskā vai veselības stāvokļa vai dzimumorientācijas dēļ vai apstrāde, kuras rezultātā pasākumi radītu šādu diskrimināciju. Automatizēta lēmumu pieņemšana un profilēšana, pamatojoties uz īpašām personas datu kategorijām, būtu jāatļauj tikai saskaņā ar konkrētiem nosacījumiem.

(44)

Tiesību aktos, kas pieņemti uz Līgumu pamata, vai iekšējos noteikumos, ko Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, var piemērot ierobežojumus attiecībā uz konkrētiem principiem un tiesībām uz informāciju, piekļuvi personas datiem, to labošanu vai dzēšanu, tiesībām uz datu pārnesamību, elektronisko sakaru datu konfidencialitāti, kā arī attiecībā uz ziņošanu datu subjektam par personas datu aizsardzības pārkāpumiem un attiecībā uz dažiem ar to saistītiem pārziņu pienākumiem, ciktāl tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību un noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem vai kriminālsodu izpildi. Tas ietver pasargāšanu no draudiem sabiedriskajai drošībai un to novēršanu, cilvēka dzīvības aizsardzību, jo īpaši, reaģējot uz dabas vai cilvēka izraisītām katastrofām, Savienības iestāžu un struktūru iekšējo drošību, citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienības kopējās ārpolitikas un drošības politikas mērķus vai Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, un tādu publisku reģistru uzturēšanu, kuri vajadzīgi vispārēju sabiedrības interešu dēļ, vai datu subjekta vai citu personu tiesību un brīvību aizsardzību, tostarp sociālo aizsardzību, sabiedrības veselību un humanitārus mērķus.

(45)

Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus un vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām.

(46)

Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši: ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi vai sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu.

(47)

Riska iespējamība un nopietnība attiecībā uz datu subjekta tiesībām un brīvībām būtu jānosaka, atsaucoties uz apstrādes raksturu, piemērošanas jomu, kontekstu un nolūkiem. Risks būtu jāizvērtē, pamatojoties uz objektīvu novērtējumu, ar ko nosaka, vai datu apstrādes darbības ietver risku vai augstu risku.

(48)

Fizisku personu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi. Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, tam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem. Šādi pasākumi cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus. Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

(49)

Regulā (ES) 2016/679 ir paredzēts, ka pārziņiem ir jāapliecina atbilstība, ievērojot apstiprinātus sertifikācijas mehānismus. Tāpat Savienības iestādēm un struktūrām būtu jāspēj pierādīt atbilstību šai regulai, iegūstot sertifikātus saskaņā ar Regulas (ES) 2016/679 42. pantu.

(50)

Datu subjektu tiesību un brīvību aizsardzība, kā arī pārziņa un apstrādātāja pienākumi un atbildība prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

(51)

Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbilst šīs regulas prasībām, tostarp apstrādes drošības jomā. Apstrādātāja, kas nav Savienības iestāde vai struktūra, atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi. Apstrāde, ko veic apstrādātājs, kas nav Savienības iestāde vai struktūra, būtu jāreglamentē ar līgumu vai – ja kā apstrādātāji darbojas Savienības iestādes vai struktūras – ar līgumu vai citu juridisku aktu atbilstīgi Savienības tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām. Pārzinim un apstrādātājam vajadzētu būt iespējai izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai Eiropas datu aizsardzības uzraudzītājs un pēc tam Komisija. Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, nav prasīts personas datus uzglabāt.

(52)

Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros, un apstrādātājam būtu jāglabā ieraksti par tā atbildības jomā ietilpstošo apstrādes darbību kategorijām. Savienības iestādēm un struktūrām vajadzētu būt pienākumam sadarboties ar Eiropas datu aizsardzības uzraudzītāju un pēc pieprasījuma darīt tam pieejamus savus ierakstus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām. Savienības iestādēm un struktūrām būtu jāvar izveidot centrālu reģistru, kurā glabāt ierakstus par veiktajām apstrādes darbībām, ja vien tas nav nelietderīgi Savienības iestādes vai struktūras lieluma dēļ. Pārredzamības nolūkos tām būtu jāvar padarīt šādu reģistru publiski pieejamu.

(53)

Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu.

(54)

Savienības iestādēm un struktūrām būtu jānodrošina elektronisko sakaru datu konfidencialitāte, kā noteikts Hartas 7. pantā. Jo īpaši Savienības iestādēm un struktūrām būtu jānodrošina savu elektronisko sakaru tīklu drošība. Tām būtu jāaizsargā informācija, kas saistīta ar galalietotāju termināliekārtām, kuras piekļūst to publiski pieejamām tīmekļa vietnēm un mobilām lietotnēm, saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (8). Tām būtu arī jāaizsargā lietotāju sarakstos saglabātie personas dati.

(55)

Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt fizisku, materiālu vai nemateriālu kaitējumu. Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu Eiropas datu aizsardzības uzraudzītājam, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Ja šādu paziņojumu nevar sniegt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās. Ja kavēšanās ir pamatota, mazāk sensitīva vai mazāk specifiska informācija par pārkāpumu būtu jāatklāj pēc iespējas ātrāk, negaidot, līdz incidents tiks pilnībā atrisināts, un tikai tad sniedzot paziņojumu.

(56)

Ja ir iespējams, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, pārzinim bez liekas kavēšanās būtu jāpaziņo datu subjektam par personas datu pārkāpumu, lai viņš varētu veikt nepieciešamos piesardzības pasākumus. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs, kā arī ieteikumi, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas. Šāda paziņošana datu subjektiem būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar Eiropas Datu aizsardzības uzraudzītāju, ievērojot tās vai citas attiecīgas iestādes, piemēram, tiesībaizsardzības iestādes, sniegtos norādījumus.

(57)

Regulā (EK) Nr. 45/2001 ir paredzēts pārziņa vispārīgs pienākums paziņot par personas datu apstrādi datu aizsardzības speciālistam. Datu aizsardzības speciālists uztur paziņoto apstrādes darbību reģistru, ja vien tas nav nelietderīgi Savienības iestādes vai struktūras lieluma dēļ. Papildus šim vispārīgajam pienākumam būtu jāievieš iedarbīgas procedūras un mehānismi nolūkā uzraudzīt tos apstrādes darbību veidus, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādas procedūras jo īpaši būtu jāievieš arī gadījumos, kad apstrādes darbību veidi ietver jauno tehnoloģiju izmantošanu vai ir jauni veidi, attiecībā uz kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes. Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus. Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, garantijas un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti.

(58)

Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar Eiropas datu aizsardzības uzraudzītāju. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu. Eiropas datu aizsardzības uzraudzītājam uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā. Tomēr tam, ka Eiropas datu aizsardzības uzraudzītājs nav sniedzis atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena Eiropas datu aizsardzības uzraudzītāja iejaukšanas saskaņā ar viņa uzdevumiem un pilnvarām, kas paredzēti šajā regulā, tostarp pilnvarām aizliegt apstrādes darbības. Minētajā apspriešanās procesā vajadzētu būt iespējai Eiropas datu aizsardzības uzraudzītājam iesniegt saistībā ar attiecīgo apstrādi veikta novērtējuma par ietekmi uz datu aizsardzību rezultātus, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām.

(59)

Eiropas datu aizsardzības uzraudzītājam vajadzētu būt informētam par administratīvajiem pasākumiem, un ar to būtu jāapspriežas par iekšējiem noteikumiem, ko Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos un kas paredz personas datu apstrādi, paredz nosacījumus datu subjektu tiesību ierobežošanai vai paredz atbilstošas garantijas datu subjekta tiesībām, lai nodrošinātu, ka plānotā apstrāde atbilst šai regulai, un jo īpaši attiecībā uz risku mazināšanu attiecībā uz datu subjektu.

(60)

Ar Regulu (ES) 2016/679 tika izveidota Eiropas Datu aizsardzības kolēģija, kas ir neatkarīga Savienības struktūra ar juridiskas personas statusu. Kolēģijai būtu jāpalīdz nodrošināt Regulas (ES) 2016/679 un Direktīvas (ES) 2016/680 konsekventu piemērošanu visā Savienībā, tostarp jāsniedz padomi Komisijai. Tajā pašā laikā Eiropas datu aizsardzības uzraudzītājam būtu jāturpina īstenot savas uzraudzības un konsultatīvās funkcijas attiecībā uz visām Savienības iestādēm un struktūrām pēc savas iniciatīvas vai pēc pieprasījuma. Lai nodrošinātu konsekventus datu aizsardzības noteikumus visā Savienībā, Komisijai priekšlikumu vai ieteikumu gatavošanas gaitā būtu jācenšas apspriesties ar Eiropas datu aizsardzības uzraudzītāju. Apspriesties vajadzētu obligāti pēc tiesību aktu pieņemšanas vai deleģēto aktu un īstenošanas aktu gatavošanas laikā, kā noteikts LESD 289., 290. un 291. pantā, kā arī pēc tam, kad ir pieņemti ieteikumi un priekšlikumi, kas attiecas uz līgumiem ar trešām valstīm un starptautiskām organizācijām, kā noteikts LESD 218. pantā, ja tie ietekmē tiesības uz personas datu aizsardzību. Šādos gadījumos Komisijai vajadzētu būt pienākumam apspriesties ar Eiropas datu aizsardzības uzraudzītāju, izņemot, ja Regulā (ES) 2016/679 ir noteikts pienākums apspriesties ar Eiropas Datu aizsardzības kolēģiju, piemēram, par atbilstības lēmumiem vai deleģētajiem aktiem par standartizētām ikonām un sertifikācijas mehānismu prasībām. Ja konkrētais akts ir īpaši svarīgs fizisku personu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisijai būtu jāspēj papildus apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos Eiropas datu aizsardzības uzraudzītājam kā Eiropas Datu aizsardzības kolēģijas biedram būtu jākoordinē sava sadarbība ar kolēģiju ar mērķi sniegt kopēju atzinumu. Eiropas datu aizsardzības uzraudzītājam un attiecīgos gadījumos Eiropas Datu aizsardzības kolēģijai rakstisks ierosinājums būtu jāsniedz astoņu nedēļu laikā. Šim laika periodam vajadzētu būt īsākam steidzamos gadījumos vai citos apstākļos, piemēram, kad Komisija gatavo deleģētos un īstenošanas aktus.

(61)

Saskaņā ar Regulas (ES) 2016/679 75. pantu Eiropas datu aizsardzības uzraudzītājam būtu jānodrošina Eiropas Datu aizsardzības kolēģijas sekretariāts.

(62)

Visās Savienības iestādēs un struktūrās datu aizsardzības speciālistiem būtu jānodrošina šīs regulas noteikumu piemērošana un jākonsultē pārziņi un apstrādātāji par to pienākumu izpildi. Šim speciālistam vajadzētu būt personai ar speciālām zināšanām datu aizsardzības tiesību un prakses jomā, kas būtu jānosaka jo īpaši saskaņā ar veiktajām datu apstrādes darbībām un aizsardzību, kāda nepieciešama personas datiem, kurus pārzinis vai apstrādātājs apstrādā. Datu aizsardzības speciālistiem vajadzētu būt spējīgiem veikt savus pienākumus un uzdevumus neatkarīgi.

(63)

Kad personas dati no Savienības iestādēm un struktūrām tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, būtu jāgarantē aizsardzības līmenis, ko šī regula nodrošina fiziskām personām Savienībā. Tādas pašas garantijas būtu jāpiemēro gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā. Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievērota šī regula un Hartā nostiprinātās pamattiesības un pamatbrīvības. Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām.

(64)

Saskaņā ar Regulas (ES) 2016/679 45. pantā vai Direktīvas (ES) 2016/680 36. pantā noteikto Komisija var izlemt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni. Šādos gadījumos personas datus Savienības iestāde vai struktūra uz minēto trešo valsti vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju.

(65)

Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, paredzot atbilstošas garantijas datu subjektam. Šādas atbilstošas garantijas varētu nozīmēt, ka tiek izmantotas Komisijas pieņemtās standarta datu aizsardzības klauzulas, Eiropas datu aizsardzības uzraudzītāja pieņemtās standarta datu aizsardzības klauzulas vai Eiropas datu aizsardzības uzraudzītāja apstiprinātas līguma klauzulas. Ja apstrādātājs nav Savienības iestāde vai struktūra, atbilstošās garantijas var būt saistoši uzņēmuma noteikumi, rīcības kodeksi un sertifikācijas mehānismi, kas tiek izmantoti starptautiskai nosūtīšanai saskaņā ar Regulu (ES) 2016/679. Minētajām garantijām būtu jānodrošina, lai tiktu ievērotas datu aizsardzības prasības un datu subjektu tiesības atbilstīgi Savienībā veiktai apstrādei, tostarp īstenojamu datu subjekta tiesību un efektīvu tiesiskās aizsardzības līdzekļu pieejamība, ieskaitot iespēju saņemt efektīvu aizsardzību administratīvā kārtā vai tiesā un pieprasīt kompensāciju Savienībā vai trešā valstī. Tiem jo īpaši būtu jāattiecas uz atbilstību vispārīgiem principiem, kuri saistīti ar personas datu apstrādi, un integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem. Savienības iestādes un struktūras var veikt datu nosūtīšanu uz trešo valstu publiskām iestādēm vai struktūrām vai starptautiskām organizācijām, kurām ir atbilstoši pienākumi vai funkcijas, tostarp pamatojoties uz noteikumiem, kuri iekļaujami administratīvās vienošanās, piemēram, saprašanās memorandā, datu subjektiem paredzot īstenojamas un efektīvas tiesības. Ja garantijas ir paredzētas administratīvās vienošanās, kas nav juridiski saistošas, būtu jāsaņem Eiropas datu aizsardzības uzraudzītāja atļauja.

(66)

Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai Eiropas datu aizsardzības uzraudzītāja pieņemtās standarta datu aizsardzības klauzulas, nebūtu jāizslēdz ne tas, ka pārzinis vai apstrādātājs var iekļaut standarta datu aizsardzības klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, ne arī tas, ka pārzinis vai apstrādātājs var pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Komisijas vai Eiropas datu aizsardzības uzraudzītāja pieņemtajām līguma standartklauzulām vai neierobežo datu subjektu pamattiesības vai brīvības. Pārziņi un apstrādātāji būtu jāmudina nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina standarta datu aizsardzības klauzulas.

(67)

Dažas trešās valstis pieņem normatīvos un citus tiesību aktus, kuru mērķis ir tieši regulēt apstrādes darbības, ko veic Savienības iestādes un struktūras. Tas var ietvert tiesu spriedumus vai administratīvu iestāžu lēmumus trešās valstīs, ar kuriem pārzinim vai apstrādātājam prasa nosūtīt vai atklāt personas datus un kuri nav balstīti uz starptautisku nolīgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību. Šādu normatīvu un citu tiesību aktu ekstrateritoriāla piemērošana var būt pretrunā starptautiskām tiesībām un var kavēt sasniegt tādu aizsardzību, kādu fiziskām personām Savienībā nodrošina ar šo regulu. Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti. Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības tiesību aktos.

(68)

Īpašās situācijās būtu jāparedz noteikumi, kas ļauj nosūtīt datus noteiktos gadījumos, kad datu subjekts ir devis skaidru piekrišanu, ja nosūtīšana ir gadījuma rakstura un nepieciešama saistībā ar līgumu vai likumīgu prasību, neatkarīgi no tā, vai to izvirza tiesas procesā vai administratīvā vai ārpustiesas procedūrā, tostarp regulatīvo struktūru procedūrās. Būtu jāparedz arī noteikumi, kas ļauj nosūtīt datus, ja tas nepieciešams, pamatojoties uz Savienības tiesību aktos noteiktām svarīgām sabiedrības interesēm, vai ja datus nosūta no reģistra, kas izveidots ar likumu un ir paredzēts, lai leģitīmi ieinteresētas personas vai sabiedrība varētu to izmantot. Pēdējā minētajā gadījumā nebūtu jānosūta pilnīgi visi reģistrā ietvertie personas dati vai veselas datu kategorijas, izņemot, ja Savienības tiesību akti to atļauj, un, ja reģistrs ir paredzēts, lai to varētu izmantot leģitīmi ieinteresētas personas, dati būtu jānosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas, pilnībā ņemot vērā datu subjekta intereses un pamattiesības.

(69)

Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad notiek starptautiska datu apmaiņa starp Savienības iestādēm un struktūrām un konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm un dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai izskaustu dopingu sportā. Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot piekrišanu. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības tiesību aktos var skaidri noteikt ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai, ja ir svarīgi iemesli sabiedrības interesēs. Varētu uzskatīt, ka datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot bruņotos konfliktos piemērojamas starptautiskās humanitārās tiesības, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs.

(70)

Jebkurā gadījumā, ja Komisija nav pieņēmusi lēmumu par datu aizsardzības līmeņa pietiekamību trešā valstī, pārzinim vai apstrādātājam būtu jāizmanto risinājumi, kas datu subjektiem sniedz īstenojamas un efektīvas tiesības attiecībā uz viņu datu apstrādi Savienībā arī pēc tam, kad minētie dati ir nosūtīti, lai tādējādi viņi joprojām varētu baudīt savas pamattiesības un garantijas.

(71)

Personas datu pārvietošanās pāri robežām ārpus Savienības var ievērojami apdraudēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, jo īpaši, lai aizsargātos pret nelikumīgu izmantošanu vai šādas informācijas atklāšanu. Vienlaikus valstu uzraudzības iestādes un Eiropas datu aizsardzības uzraudzītājs var saskarties ar situāciju, kad tie nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās ārpus to jurisdikcijas. To pūles kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras, tiesisko regulējumu atšķirības un tādi praktiski šķēršļi kā, piemēram, ierobežoti līdzekļi. Tāpēc vajadzētu sekmēt ciešāku sadarbību starp Eiropas datu aizsardzības uzraudzītāju un valstu uzraudzības iestādēm, lai palīdzētu apmainīties ar informāciju ar kolēģiem citās valstīs.

(72)

Eiropas datu aizsardzības uzraudzītāja amata izveide ar Regulu (EK) Nr. 45/2001 un viņa pilnvarošana veikt savus uzdevumus un izmantot savas pilnvaras pilnīgi neatkarīgi ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz viņu personas datu apstrādi. Ar šo regulu vajadzētu stiprināt un precizēt viņa lomu un neatkarību. Eiropas datu aizsardzības uzraudzītājam vajadzētu būt personai, par kuras neatkarību nav ne mazāko šaubu un kura ir atzīta par tādu, kam ir Eiropas datu aizsardzības uzraudzītāja pienākumu pildīšanai nepieciešamā pieredze un prasmes, piemēram, šī persona ir strādājusi kādā no saskaņā ar Regulas (ES) 2016/679 51. pantu izveidotajām uzraudzības iestādēm.

(73)

Lai nodrošinātu konsekventu datu aizsardzības noteikumu uzraudzību un izpildi visā Savienībā, Eiropas datu aizsardzības uzraudzītājam vajadzētu būt tiem pašiem uzdevumiem un faktiskām pilnvarām, kas ir valstu uzraudzības iestādēm, tostarp izmeklēšanas pilnvarām, korektīvām pilnvarām, pilnvarām lemt par sankcijām un atļauju izsniegšanas un padomdevēja pilnvarām, jo īpaši fizisku personu sūdzību gadījumos, un pilnvarām informēt Tiesu par šīs regulas pārkāpumiem un iesaistīties tiesvedībās saskaņā ar primārajiem tiesību aktiem. Šādām pilnvarām būtu jāietver arī pilnvaras uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu. Lai izvairītos no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajām personām, kuras var tikt nevēlami ietekmētas, katram Eiropas datu aizsardzības uzraudzītāja pasākumam vajadzētu būt atbilstošam, vajadzīgam un samērīgam, lai nodrošinātu atbilstību šai regulai, ņemot vērā apstākļus katrā atsevišķā gadījumā un ievērojot katras personas tiesības tikt uzklausītai pirms attiecīgā individuālā pasākuma pieņemšanas. Katram Eiropas datu aizsardzības uzraudzītāja veiktam juridiski saistošam pasākumam vajadzētu būt sagatavotam rakstiski, skaidram un nepārprotamam, tajā būtu jānorāda pasākuma noteikšanas datums, uz tā vajadzētu būt Eiropas datu aizsardzības uzraudzītāja vadītāja parakstam, tajā būtu jāiekļauj pasākuma pamatojums un jānorāda, ka ir tiesības uz efektīvu tiesību aizsardzību.

(74)

Eiropas datu aizsardzības uzraudzītāja īstenotās uzraudzības kompetencei nebūtu jāattiecas uz personas datu apstrādi Tiesā, kad tā rīkojas atbilstīgi savai kompetencei, lai tādējādi nodrošinātu, ka Tiesa ir neatkarīga savu tiesu varas uzdevumu izpildē, tostarp lēmumu pieņemšanā. Saistībā ar šādām apstrādes darbībām Tiesai vajadzētu izveidot neatkarīgu uzraudzību saskaņā ar Hartas 8. panta 3. punktu, piemēram, ieviešot iekšēju mehānismu.

(75)

Eiropas datu aizsardzības uzraudzītāja lēmumi par šajā regulā paredzētajiem izņēmumiem, garantijām, atļaujām un nosacījumiem attiecībā uz datu apstrādi būtu jāpublicē darbības pārskatā. Eiropas datu aizsardzības uzraudzītājs var publicēt ziņojumus par konkrētiem jautājumiem neatkarīgi no darbības gada pārskata publicēšanas.

(76)

Eiropas datu aizsardzības uzraudzītājam būtu jāievēro Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (9).

(77)

Valstu uzraudzības iestādes uzrauga Regulas (ES) 2016/679 noteikumu piemērošanu un veicina tās saskanīgu piemērošanu visā Savienībā, lai aizsargātu fiziskas personas attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti iekšējā tirgū. Lai konsekventāk tiktu piemēroti dalībvalstīs un Savienības iestādēs un struktūrās piemērojamie datu aizsardzības noteikumi, Eiropas datu aizsardzības uzraudzītājam būtu efektīvi jāsadarbojas ar valstu uzraudzības iestādēm.

(78)

Atsevišķos gadījumos Savienības tiesību aktos ir paredzēta koordinēta uzraudzība, kuru īsteno Eiropas datu aizsardzības uzraudzītājs kopā ar valstu uzraudzības iestādēm. Turklāt Eiropas datu aizsardzības uzraudzītājs ir Eiropola uzraudzības iestāde, un šiem nolūkiem īpašs sadarbības modelis ar valstu uzraudzības iestādēm tiek īstenots ar konsultatīvas sadarbības padomes starpniecību. Lai uzlabotu datu aizsardzības pamatnoteikumu efektīvu uzraudzību un izpildi, Savienībā būtu jāievieš vienots un saskaņots koordinētas uzraudzības modelis. Tāpēc Komisijai attiecīgos gadījumos būtu jāiesniedz leģislatīvu aktu priekšlikumi, kuru mērķis būtu grozīt Savienības tiesību aktus, paredzot koordinētas uzraudzības modeli, lai saskaņotu tos ar šajā regulā paredzēto koordinētās uzraudzības modeli. Eiropas Datu aizsardzības kolēģijai būtu jākalpo par vienotu forumu, kas nodrošina efektīvu koordinētu uzraudzību visās jomās.

(79)

Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un tiesībām uz efektīvu tiesību aizsardzību Tiesā saskaņā ar Līgumiem, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja Eiropas datu aizsardzības uzraudzītājs nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to izskatīt tiesā. Eiropas datu aizsardzības uzraudzītājam saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar valsts uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija. Lai atvieglotu sūdzību iesniegšanu, Eiropas datu aizsardzības uzraudzītājam būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus.

(80)

Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, vajadzētu būt tiesībām no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu saskaņā ar Līgumu nosacījumiem.

(81)

Lai nostiprinātu Eiropas datu aizsardzības uzraudzītāja uzraudzības funkcijas un šīs regulas efektīvu izpildi, Eiropas datu aizsardzības uzraudzītājam vajadzētu būt pilnvarām kā galēju līdzekli uzlikt administratīvus naudas sodus. Naudas sodu mērķim vajadzētu būt sankcijām par šīs regulas neievērošanu Savienības iestādei vai struktūrai, nevis fiziskām personām, lai atturētu tās no šīs regulas neievērošanas nākotnē un sekmētu personas datu aizsardzības kultūru Savienības iestādēs un struktūrās. Šajā regulā būtu jānorāda pārkāpumi, par kuriem piemēro administratīvus naudas sodus, un būtu jānosaka attiecīgo administratīvā naudas sodu maksimālais apmērs un kritēriji to piemērošanai. Eiropas datu aizsardzības uzraudzītājam būtu jānosaka naudas soda apmērs katrā konkrētā gadījumā, ņemot vērā visus attiecīgos konkrētās situācijas apstākļus un pienācīgi ņemot vērā pārkāpuma būtību, smagumu un ilgumu un tā sekas, kā arī pasākumus, kas veikti, lai nodrošinātu šajā regulā paredzēto pienākumu ievērošanu un novērstu vai mazinātu pārkāpuma sekas. Uzliekot administratīvu naudas sodu Savienības iestādei vai struktūrai, Eiropas datu aizsardzības uzraudzītājam būtu jāizvērtē naudas soda summas proporcionalitāte. Administratīvajā procedūrā, ar kuru Savienības iestādēm un struktūrām uzliek naudas sodu, būtu jāievēro Savienības tiesību aktos paredzētie vispārējie principi, kā tos interpretējusi Tiesa.

(82)

Ja datu subjekts uzskata, ka viņa tiesības, kas paredzētas šajā regulā, ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam viņa vārdā. Šādai struktūrai, organizācijai vai asociācijai vajadzētu spēt īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai īstenot tiesības saņemt kompensāciju datu subjektu vārdā.

(83)

Ja Savienības ierēdnis vai cits darbinieks neievēro šajā regulā paredzētos pienākumus, viņu vajadzētu varēt saukt pie disciplināras vai cita veida atbildības saskaņā ar noteikumiem un procedūrām, kas paredzētas Eiropas Savienības Civildienesta noteikumos un Savienības Pārējo darbinieku nodarbināšanas kārtībā, kas noteikti Padomes Regulā (EEK, Euratom, EOTK) Nr. 259/68 (10) (“Civildienesta noteikumi”).

(84)

Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, Komisijai būtu jāpiešķir īstenošanas pilnvaras, ja tas paredzēts šajā regulā. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (11). Pārbaudes procedūra būtu jāizmanto, lai pieņemtu standartklauzulas līgumos starp pārziņiem un apstrādātājiem un līgumos starp pašiem pārziņiem to apstrādes darbību sarakstu pieņemšanai, attiecībā uz kurām pārziņiem, kuri personas datu apstrādi veic, pildot uzdevumu sabiedrības interesēs, būtu iepriekš jāapspriežas ar Eiropas datu aizsardzības uzraudzītāju, un lai pieņemtu līgumu standartklauzulas, kas nodrošina atbilstošas garantijas starptautiskai nosūtīšanai.

(85)

Būtu jāaizsargā konfidenciālā informācija, ko Savienības un valstu statistikas iestādes vāc oficiālās Eiropas statistikas un oficiālās valsts statistikas izveidei. Eiropas statistika būtu jāizstrādā, jāsagatavo un jāizplata saskaņā ar statistikas principiem, kas noteikti LESD 338. panta 2. punktā. Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (12) paredz sīkākas prasības par statistikas konfidencialitāti attiecībā uz Eiropas statistiku.

(86)

Regula (EK) Nr. 45/2001 un Eiropas Parlamenta, Padomes un Komisijas Lēmums (EK) Nr. 1247/2002/EK (13) būtu jāatceļ. Atsauces uz atcelto regulu un atcelto lēmumu būtu jāuzskata par atsaucēm uz šo regulu.

(87)

Lai garantētu neatkarīgās uzraudzības iestādes locekļu pilnīgu neatkarību, šai regulai nevajadzētu ietekmēt pašreizējā Eiropas datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru termiņu. Pašreizējam uzraudzītāja palīgam būtu jāpaliek amatā līdz viņa pilnvaru termiņa beigām, izņemot gadījumus, kad tiek izpildīts viens no šīs regulas nosacījumiem priekšlaicīgai Eiropas datu aizsardzības uzraudzītāja atbrīvošanai no amata. Šīs regulas attiecīgie noteikumi ir piemērojami uzraudzītāja palīgam līdz viņa pilnvaru termiņa beigām.

(88)

Saskaņā ar proporcionalitātes principu pamatmērķa – nodrošināt fizisko personu vienlīdzīgu aizsardzību attiecībā uz personas datu apstrādi un personas datu brīvu plūsmu visā Savienībā – sasniegšanai ir vajadzīgs un lietderīgi paredzēt noteikumus par personas datu apstrādi Savienības iestādēs un struktūrās. Šī regula paredz vienīgi tos pasākumus, kas ir vajadzīgi, lai sasniegtu izvirzītos mērķus saskaņā ar LES 5. panta 4. punktu.

(89)

Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2017. gada 15. martā sniedza atzinumu (14),

IR PIEŅĒMUŠI ŠO REGULU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Priekšmets un mērķi

1.   Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi Savienības iestādēs un struktūrās un noteikumus, kas attiecas uz personas datu brīvu apriti to starpā vai ar citiem saņēmējiem, kas veic uzņēmējdarbību Savienībā.

2.   Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.

3.   Eiropas datu aizsardzības uzraudzītājs uzrauga šīs regulas noteikumu piemērošanu visās apstrādes darbībās, kuras veic Savienības iestādes vai struktūras.

2. pants

Darbības joma

1.   Šo regulu piemēro personas datu apstrādei visās Savienības iestādēs un struktūrās.

2.   Gadījumos, kad Savienības struktūras, biroji un aģentūras apstrādā operatīvos personas datus, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, piemēro tikai šīs regulas 3. pantu un IX nodaļu.

3.   Šo regulu nepiemēro operatīvo personas datu apstrādei, ko veic Eiropols un Eiropas Prokuratūra, līdz brīdim, kad Eiropas Parlamenta un Padomes Regula (ES) 2016/794 (15) un Padomes Regula (ES) 2017/1939 (16) būs pielāgota saskaņā ar šīs regulas 98. pantu.

4.   Šo regulu nepiemēro personas datu apstrādei LES 42. panta 1. punktā, 43. un 44. pantā minētajās misijās.

5.   Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

3. pants

Definīcijas

Šajā regulā piemēro šādas definīcijas:

1)

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās fiziskās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

2)

“operatīvie personas dati” ir visi personas dati, ko Savienības struktūras, biroji vai aģentūras apstrādā, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, lai sasniegtu mērķus un izpildītu uzdevumus, kas noteikti tiesību aktos, ar kuriem šīs struktūras, birojus vai aģentūras izveido;

3)

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

4)

“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

5)

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

6)

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu;

7)

“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

8)

“pārzinis” ir Savienības iestāde vai struktūra, vai ģenerāldirektorāts vai cita organizatoriska vienība, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar īpašu Savienības tiesību aktu, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības tiesību aktos;

9)

“pārziņi, kas nav Savienības iestādes un struktūras” ir pārziņi Regulas (ES) 2016/679 4. panta 7. punkta nozīmē un pārziņi Direktīvas (ES) 2016/680 3. panta 8. punkta nozīmē;

10)

“Savienības iestādes un struktūras” ir Savienības iestādes, struktūras, biroji un aģentūras, kas izveidotas ar LES, LESD vai Euratom līgumu vai balstoties uz tiem;

11)

“kompetentā iestāde” ir jebkura publiska iestāde dalībvalstī, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst;

12)

“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

13)

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai jebkura cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

14)

“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

15)

datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

16)

“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

17)

“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

18)

“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

19)

“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

20)

“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (17) 1. panta 1. punkta b) apakšpunktā;

21)

“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tāda nolīguma pamata;

22)

“valsts uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveido, ievērojot Regulas (ES) 2016/679 51. pantu vai ievērojot Direktīvas (ES) 2016/680 41. pantu;

23)

“lietotājs” ir jebkura fiziska persona, kas izmanto tīklu vai termināliekārtu, kuras darbību kontrolē Savienības iestāde vai struktūra;

24)

“saraksts” ir drukāts vai elektronisks publiski pieejams lietotāju saraksts vai iekšējs lietotāju saraksts, kas pieejams Savienības iestādē vai struktūrā vai ko kopīgi lieto vairākas Savienības iestādes un struktūras;

25)

“elektronisko sakaru tīkls” ir pārraidīšanas sistēma, kas var būt un var nebūt balstīta uz patstāvīgu infrastruktūru vai centralizētas administrācijas spēju, un attiecīgos gadījumos komutācijas vai maršrutēšanas ierīces un citi resursi, tostarp tīkla pasīvie elementi, ar kuriem signālus var pārvadīt pa vadiem, radioviļņiem, optiskiem vai citiem elektromagnētiskiem līdzekļiem, tostarp satelītsakaru tīkliem, fiksētiem (ķēžu un pakešu komutācijas, ieskaitot internetu) un mobiliem zemes tīkliem, elektrokabeļu sistēmām, ciktāl tās izmanto signālu pārraides nolūkā, radio un televīzijas apraides nolūkā izmantotajiem tīkliem un kabeļtelevīzijas tīkliem neatkarīgi no pārvadītās informācijas veida;

26)

“termināliekārtas” ir termināliekārtas kā tās definētas Komisijas Direktīvas 2008/63/EK (18) 1. panta 1. punktā.

II NODAĻA

VISPĀRĪGI PRINCIPI

4. pants

Personas datu apstrādes principi

1.   Personas dati:

a)

tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

b)

tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar 13. pantu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);

c)

ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)

ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi attiecīgie pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

e)

tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar 13. pantu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);

f)

tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

2.   Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).

5. pants

Apstrādes likumīgums

1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)

apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot Savienības iestādei vai struktūrai likumīgi piešķirtās oficiālās pilnvaras;

b)

apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

c)

apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

d)

datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

e)

apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses.

2.   Šā panta 1. punkta a) un b) apakšpunktā minēto apstrādes pamatu nosaka Savienības tiesību aktos.

6. pants

Apstrāde citos savietojamos nolūkos

Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 25. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

a)

jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem;

b)

kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām;

c)

personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 10. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 11. pantu;

d)

paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem;

e)

atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju.

7. pants

Nosacījumi piekrišanai

1.   Ja apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei.

2.   Ja datu subjekta piekrišanu dod saistībā ar rakstisku deklarāciju, kas attiecas arī uz citiem jautājumiem, lūgumu dot piekrišanu norāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Jebkura šādas deklarācijas daļa, kura ir šīs regulas pārkāpums, nav saistoša.

3.   Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli, kā to dot.

4.   Novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei.

8. pants

Nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem

1.   Ja attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērnam ir piemērojams 5. panta 1. punkta d) apakšpunkts, bērna personas datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs. Ja bērns ir jaunāks par 13 gadiem, šāda apstrāde ir likumīga tikai tad un tādā apmērā, ja piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu.

2.   Pārzinis pieliek saprātīgas pūles, lai šādos gadījumos pārbaudītu, vai piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu, ņemot vērā pieejamās tehnoloģijas.

3.   Šā panta 1. punkts neietekmē dalībvalstu vispārējās līgumtiesības, piemēram, noteikumus par attiecībā uz bērnu noslēgta līguma spēkā esību, noslēgšanu vai sekām.

9. pants

Personas datu nosūtīšana saņēmējiem, kas nav Savienības iestādes un struktūras un kas veic uzņēmējdarbību Savienībā

1.   Neskarot 4., 5., 6. un 10. pantu, personas datus saņēmējiem, kas nav Savienības iestādes un struktūras un kas veic uzņēmējdarbību Savienībā, nosūta tikai tad, ja:

a)

saņēmējs konstatē, ka dati ir vajadzīgi, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot saņēmējam likumīgi piešķirtās oficiālās pilnvaras; vai

b)

saņēmējs konstatē, ka nosūtīšana ir vajadzīga konkrētam mērķim sabiedrības interesēs, un pārzinis, ja ir kāds iemesls uzskatīt, ka varētu tikt kaitēts datu subjekta likumīgajām interesēm, apliecināmi izvērtē dažādās konkurējošās intereses un pēc tam nosaka, ka personas datu pārsūtīšana ir samērīga ar minēto konkrēto mērķi.

2.   Ja pārzinis ierosina datu nosūtīšanu saskaņā ar šo pantu, tas uzskatāmi parāda, ka personas datu nosūtīšana ir nepieciešama un samērīga nosūtīšanas mērķiem, piemērojot kritērijus, kas noteikti 1. punkta a) vai b) apakšpunktā.

3.   Savienības iestādes un struktūras līdzsvaro tiesības uz personas datu aizsardzību un tiesības piekļūt dokumentiem saskaņā ar Savienības tiesību aktiem.

10. pants

Īpašu kategoriju personas datu apstrāde

1.   Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2.   Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

a)

datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt;

b)

apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības tiesību akti, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm;

c)

apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas personas vitālās intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

d)

veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic bezpeļņas struktūra, kas ir integrēta Savienības iestādē vai struktūrā, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras;

e)

apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis;

f)

apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad Tiesa pilda savus uzdevumus;

g)

apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

h)

apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

i)

apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai; vai

j)

apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai.

3.   Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

11. pants

Personas datu par sodāmību un pārkāpumiem apstrāde

Personas datus par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz 5. panta 1. punktu, apstrādā tikai oficiālas iestādes kontrolē vai tad, ja apstrādi atļauj Savienības tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām.

12. pants

Apstrāde, kurai nav nepieciešama identifikācija

1.   Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu.

2.   Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 17.–22. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt.

13. pants

Garantijas, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos

Uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar šo regulu attiecas atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām nodrošina, ka pastāv tehniski un organizatoriski pasākumi, jo īpaši, lai nodrošinātu datu minimizēšanas principa ievērošanu. Minētie pasākumi var ietvert pseidonimizēšanu, ar noteikumu, ka minētos nolūkus var īstenot minētajā veidā. Ja minētos nolūkus var īstenot, veicot turpmāku apstrādi, kas neļauj vai vairs neļauj identificēt datu subjektus, minētos nolūkus īsteno minētajā veidā.

III NODAĻA

DATU SUBJEKTA TIESĪBAS

1. IEDAĻA

Pārredzamība un izmantošanas kārtība

14. pants

Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība

1.   Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 15. un 16. pantā minēto informāciju un nodrošinātu visu 17.–24. pantā un 35. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.

2.   Pārzinis veicina 17.–24. pantā paredzēto datu subjekta tiesību īstenošanu. Regulas 12. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu 17.–24. pantā paredzēto tiesību īstenošanu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.

3.   Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 17.–24. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.

4.   Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un vērsties tiesā.

5.   Informācija, ko sniedz saskaņā ar 15. un 16. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 17.–24. pantu un 35. pantu, ir bez maksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var atteikties izpildīt pieprasījumu. Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

6.   Neskarot 12. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 17.–23. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

7.   Informāciju, kas datu subjektiem sniedzama, ievērojot 15. un 16. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.

8.   Ja Komisija pieņem deleģētos aktus saskaņā ar Regulas (ES) 2016/679 12. panta 8. punktu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai, Savienības iestādes un struktūras vajadzības gadījumā sniedz informāciju saskaņā ar šīs regulas 15. un 16. pantu kopā ar šādām standartizētām ikonām.

2. IEDAĻA

Informācija un piekļuve personas datiem

15. pants

Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta

1.   Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

a)

pārziņa identitāte un kontaktinformācija;

b)

datu aizsardzības speciālista kontaktinformācija;

c)

apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)

personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

e)

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 48. pantā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

2.   Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

a)

laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)

tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai attiecīgā gadījumā tiesības iebilst pret apstrādi vai tiesības uz datu pārnesamību;

c)

ja apstrāde pamatojas uz 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)

tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam;

e)

informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

f)

tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3.   Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

4.   Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

16. pants

Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta

1.   Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

a)

pārziņa identitāte un kontaktinformācija;

b)

datu aizsardzības speciālista kontaktinformācija;

c)

apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)

attiecīgo personas datu kategorijas;

e)

personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

f)

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 48. pantā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

2.   Papildus 1. punktā minētajai informācijai pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:

a)

laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)

tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai attiecīgā gadījumā tiesības iebilst pret apstrādi vai tiesības uz datu pārnesamību;

c)

ja apstrāde pamatojas uz 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)

tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam;

e)

informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem;

f)

tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3.   Pārzinis 1. un 2. punktā minēto informāciju sniedz:

a)

saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;

b)

ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai

c)

vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.

4.   Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

5.   Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

a)

informācija jau ir datu subjekta rīcībā;

b)

izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles, jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus;

c)

iegūšana vai izpaušana ir skaidri paredzēta Savienības tiesību aktos, kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai

d)

ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības tiesību aktiem, ieskaitot likumisku pienākumu glabāt noslēpumu.

6.   Šā panta 5. punkta b) apakšpunktā minētajos gadījumos pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu.

17. pants

Datu subjekta piekļuves tiesības

1.   Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

a)

apstrādes nolūki;

b)

attiecīgo personas datu kategorijas;

c)

personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)

ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

e)

tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;

f)

tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam;

g)

visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;

h)

tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 24. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

2.   Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 48. pantu.

3.   Pārzinis nodrošina apstrādē esošo personas datu kopiju. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.

4.   Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.

3. IEDAĻA

Labošana un dzēšana

18. pants

Tiesības labot

Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

19. pants

Tiesības uz dzēšanu (“tiesības tikt aizmirstam”)

1.   Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:

a)

personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;

b)

datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;

c)

datu subjekts iebilst pret apstrādi saskaņā ar 23. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata;

d)

personas dati ir apstrādāti nelikumīgi;

e)

personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts pārzinim uzlikts juridisks pienākums;

f)

personas dati ir savākti saistībā ar 8. panta 1. punktā minētu informācijas sabiedrības pakalpojumu piedāvāšanu.

2.   Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus vai pārziņus, kas nav Savienības iestādes un struktūras, kuri veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.

3.   Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:

a)

lai īstenotu tiesības uz vārda brīvību un informāciju;

b)

lai izpildītu pārzinim uzliktu juridisku pienākumu vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu;

c)

pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 10. panta 2. punkta h) un i) apakšpunktu, kā arī 10. panta 3. punktu;

d)

arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai

e)

lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

20. pants

Tiesības ierobežot apstrādi

1.   Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja pastāv viens no šādiem apstākļiem:

a)

datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti, ieskaitot to pilnīgumu;

b)

apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;

c)

pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

d)

datu subjekts ir iebildis pret apstrādi saskaņā ar 23. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem.

2.   Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.

3.   Pārzinis datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas.

4.   Automatizētās kartotēkās apstrādes ierobežojums principā ir jānodrošina ar tehniskiem līdzekļiem. Faktu, ka personas dati ir ierobežoti, sistēmā atspoguļo tā, lai kļūtu skaidrs, ka personas datus nedrīkst izmantot.

21. pants

Pienākums ziņot par personas datu labošanu vai dzēšanu vai apstrādes ierobežošanu

Pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar 18. pantu, 19. panta 1. punktu un 20. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.

22. pants

Tiesības uz datu pārnesamību

1.   Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati sniegti, tam nerada nekādus šķēršļus, ja:

a)

apstrāde pamatojas uz piekrišanu, ievērojot 5. panta 1. punkta d) apakšpunktu vai 10. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 5. panta 1. punkta c) apakšpunktu; un

b)

apstrādi veic ar automatizētiem līdzekļiem.

2.   Īstenojot savas tiesības uz datu pārnesamību saskaņā ar 1. punktu, datu subjektam ir tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim vai pārziņiem, kas nav Savienības iestādes un struktūras, ja tas ir tehniski iespējams.

3.   Šā panta 1. punktā minēto tiesību īstenošana neskar 19. pantu. Minētās tiesības neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras.

4.   Tiesības, kas minētas 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un brīvības.

4. IEDAĻA

Tiesības iebilst un automatizēta individuālu lēmumu pieņemšana

23. pants

Tiesības iebilst

1.   Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 5. panta 1. punkta a) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minēto noteikumu. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai šādiem iemesliem celt, īstenot vai aizstāvēt likumīgas prasības.

2.   Vēlākais tad, kad ar datu subjektu notiek pirmā saziņa, datu subjektu nepārprotami informē par 1. punktā minētajām tiesībām, un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas.

3.   Neskarot 36. un 37. pantu, saistībā ar informācijas sabiedrības pakalpojumu izmantošanu datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas.

4.   Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, datu subjektam, pamatojoties uz savu īpašo situāciju, ir tiesības iebilst pret savu personas datu apstrādi, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.

24. pants

Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana

1.   Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, un kurš attiecībā uz datu subjektu rada tiesiskās sekas vai kurš līdzīgā veidā ievērojami ietekmē datu subjektu.

2.   Šā panta 1. punktu nepiemēro, ja lēmums:

a)

ir vajadzīgs, lai noslēgtu vai izpildītu līgumu starp datu subjektu un pārzini;

b)

ir atļauts saskaņā ar Savienības tiesību aktiem, kuros ir arī noteikti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses; vai

c)

pamatojas uz datu subjekta nepārprotamu piekrišanu.

3.   Šā panta 2. punkta a) un c) apakšpunktā minētajos gadījumos datu pārzinis veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no pārziņa puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu.

4.   Šā panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 10. panta 1. punktā, izņemot, ja tiek piemērots 10. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.

5. IEDAĻA

Ierobežojumi

25. pants

Ierobežojumi

1.   Tiesību akti, kas pieņemti uz Līgumu pamata, vai – gadījumos, kad runa ir par apstākļiem, kas saistīti ar Savienības iestāžu un struktūru darbību, – to iekšēji noteikumi var ierobežot 14.–22. panta, 35. un 36. panta piemērošanu, kā arī 4. panta piemērošanu, ciktāl tā noteikumi atbilst 14.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a)

dalībvalstu valsts drošību un sabiedrisko drošību vai aizsardzību;

b)

noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;

c)

citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienības kopējās ārpolitikas un drošības politikas mērķus vai Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu;

d)

Savienības iestāžu un struktūru, ieskaitot to elektronisko sakaru tīklus, iekšējo drošību;

e)

tiesu neatkarības un tiesvedības aizsardzību;

f)

reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

g)

uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz c) apakšpunktā minētajos gadījumos;

h)

datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību;

i)

civilprasību izpildi.

2.   Jo īpaši – jebkurā tiesību aktā vai iekšējā noteikumā, kas minēti 1. punktā, attiecīgā gadījumā ietver konkrētus noteikumus par:

a)

apstrādes vai apstrādes kategoriju nolūkiem;

b)

personas datu kategorijām;

c)

ieviesto ierobežojumu darbības jomu;

d)

garantijām, ar ko novērst ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu;

e)

pārziņa vai pārziņu kategoriju noteikšanu;

f)

glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus; un

g)

riskiem attiecībā uz datu subjektu tiesībām un brīvībām.

3.   Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, kurus Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, var paredzēt atkāpes no tiesībām, kas minētas 17., 18., 20. un 23. pantā, ņemot vērā 13. pantā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt īstenot konkrētos nolūkus un šādas atkāpes ir vajadzīgas minēto nolūku īstenošanai.

4.   Ja personas datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, Savienības tiesību aktos, kas var ietvert iekšējus noteikumus, kurus Savienības iestādes un struktūras pieņēmušas ar savu darbību saistītos jautājumos, var paredzēt atkāpes no tiesībām, kas minētas 17., 18., 20., 21., 22. un 23. pantā, ņemot vērā 13. pantā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt īstenot konkrētos nolūkus un šādas atkāpes ir vajadzīgas minēto nolūku īstenošanai.

5.   Šā panta 1., 3. un 4. punktā minētie iekšējie noteikumi ir skaidri un precīzi vispārēji piemērojami akti, kuru nolūks ir radīt juridiskas sekas datu subjektiem un kurus pieņem Savienības iestāžu un struktūru augstākās vadības līmenī un publicē Eiropas Savienības Oficiālajā Vēstnesī.

6.   Ja tiek piemērots ierobežojums saskaņā ar 1. punktu, datu subjektu informē saskaņā ar Savienības tiesību aktiem par galvenajiem iemesliem, kas ir pamatā ierobežojuma piemērošanai, kā arī par viņa tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam.

7.   Ja tiek piemērots ierobežojums saskaņā ar 1. punktu un to izmanto, lai liegtu piekļuvi datu subjektam, Eiropas datu aizsardzības uzraudzītājs, izmeklējot sūdzību, informē datu subjektu tikai par to, vai dati ir apstrādāti pareizi un, ja nav – vai ir izdarīti vajadzīgie labojumi.

8.   Šā panta 6. un 7. punktā un 45. panta 2. punktā minētās informācijas sniegšanu var atlikt, izlaist vai atteikt, ja tādējādi ierobežojums, kas uzlikts saskaņā ar šā panta 1. punktu, vairs nebūtu iedarbīgs.

IV NODAĻA

PĀRZINIS UN APSTRĀDĀTĀJS

1. IEDAĻA

Vispārīgi pienākumi

26. pants

Pārziņa atbildība

1.   Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

2.   Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.

3.   Atbilstību Regulas (ES) 2016/679 42. pantā minētiem apstiprinātiem sertifikācijas mehānismiem var izmantot kā elementu, ar ko apliecina pārziņa pienākumu izpildi.

27. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.   Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas prasības un aizsargāt datu subjektu tiesības.

2.   Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.

3.   Apstiprināts sertifikācijas mehānisms atbilstoši Regulas (ES) 2016/679 42. pantam var tikt izmantots kā elements, ar ko apliecina atbilstību šā panta 1. un 2. punktā izklāstītajām prasībām.

28. pants

Kopīgi pārziņi

1.   Ja apstrādes mērķus un veidus kopīgi nosaka divi vai vairāk pārziņi vai viens vai vairāk pārziņi kopā ar vienu vai vairāk pārziņiem, kas nav Savienības iestādes un struktūras, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus izpildīt tiem piemērojamās datu aizsardzības prasības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un kopīgo pārziņu attiecīgajiem pienākumiem sniegt 15. un 16. pantā minēto informāciju; kopīgie pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie kopīgo pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami kopīgajiem pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.

2.   Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektiem. Vienošanās galveno saturu dara pieejamu datu subjektam.

3.   Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem datu subjekts saskaņā ar šo regulu var īstenot savas tiesības attiecībā uz un pret katru pārzini.

29. pants

Apstrādātājs

1.   Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2.   Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3.   Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kurš ir saistošs apstrādātājam un pārzinim un kurā norāda apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

a)

personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam; šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)

nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)

īsteno visus pasākumus, kas nepieciešami saskaņā ar 33. pantu;

d)

ievēro 2. un 4. punktā minētos nosacījumus cita apstrādātāja piesaistīšanai;

e)

ciktāl tas ir iespējams, ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)

palīdz pārzinim nodrošināt 33. līdz 41. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)

pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)

pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja tā ieskatā kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4.   Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti 3. punktā minētajā līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiek ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.

5.   Ja apstrādātājs nav Savienības iestāde vai struktūra, tā atbilstību Regulas (ES) 2016/679 40. panta 5. punktā minētam apstiprinātam rīcības kodeksam vai Regulas (ES) 2016/679 42. pantā minētam apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6.   Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš apstrādātājam, kas nav Savienības iestāde vai struktūra, piešķirts saskaņā ar Regulas (ES) 2016/679 42. pantu.

7.   Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 96. panta 2. punktā.

8.   Eiropas datu aizsardzības uzraudzītājs var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem.

9.   Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10.   Neskarot 65. un 66. pantu – ja apstrādātājs, nosakot apstrādes nolūkus un līdzekļus, pārkāpj šo regulu, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

30. pants

Apstrāde pārziņa vai apstrādātāja pakļautībā

Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.

31. pants

Apstrādes darbību reģistrēšana

1.   Katrs pārzinis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

a)

pārziņa, datu aizsardzības speciālista un attiecīgā gadījumā apstrādātāja un visu kopīgo pārziņu vārds un uzvārds vai nosaukums un kontaktinformācija;

b)

apstrādes nolūki;

c)

datu subjektu kategoriju un personas datu kategoriju apraksts;

d)

to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji dalībvalstīs, trešās valstīs vai starptautiskās organizācijas;

e)

attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un atbilstošo garantiju dokumentācija;

f)

ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

g)

ja iespējams, 33. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2.   Katrs apstrādātājs uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

a)

apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, un datu aizsardzības speciālista vārds, uzvārds vai nosaukums un kontaktinformācija;

b)

katra pārziņa vārdā veiktās apstrādes kategorijas;

c)

attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un atbilstošo garantiju dokumentācija;

d)

ja iespējams, 33. pantā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3.   Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4.   Savienības iestādes un struktūras pēc pieprasījuma nodrošina reģistra pieejamību Eiropas datu aizsardzības uzraudzītājam.

5.   Savienības iestādes un struktūras uzglabā informāciju par veiktajām apstrādes darbībām centrālā reģistrā, ja vien tas nav nelietderīgi Savienības iestādes vai struktūras lieluma dēļ. Tās padara šo reģistru publiski pieejamu.

32. pants

Sadarbība ar Eiropas datu aizsardzības uzraudzītāju

Savienības iestādes un struktūras pēc pieprasījuma sadarbojas ar Eiropas datu aizsardzības uzraudzītāju viņa pienākumu izpildē.

2. IEDAĻA

Personas datu drošība

33. pants

Apstrādes drošība

1.   Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

a)

personas datu pseidonimizāciju un šifrēšanu;

b)

spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

c)

spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

d)

procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

2.   Novērtējot atbilstīgo drošības līmeni, jo īpaši ņem vērā riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

3.   Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības tiesību aktiem.

4.   Atbilstību Regulas (ES) 2016/679 42. pantā minētam apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko apliecina šā panta 1. punktā noteikto prasību izpildi.

34. pants

Personas datu aizsardzības pārkāpuma paziņošana Eiropas datu aizsardzības uzraudzītājam

1.   Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu Eiropas datu aizsardzības uzraudzītājam, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņojums Eiropas datu aizsardzības uzraudzītājam nav sniegts 72 stundu laikā, tam pievieno kavēšanās iemeslus.

2.   Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.

3.   Paziņojumā, kas minēts 1. punktā, vismaz:

a)

apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b)

uzrāda datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju;

c)

apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)

apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, ar kuriem mazināt tā iespējamās nelabvēlīgās sekas.

4.   Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

5.   Par personas datu aizsardzības pārkāpumu pārzinis informē datu aizsardzības speciālistu.

6.   Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj Eiropas datu aizsardzības uzraudzītājam pārbaudīt šā panta ievērošanu.

35. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.   Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2.   Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 34. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.

3.   Šā panta 1. punktā minētais paziņojums datu subjektam, nav jāsniedz, ja tiek izpildīts kāds no šādiem nosacījumiem:

a)

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus, un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)

pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)

tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku paziņojumu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4.   Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, Eiropas datu aizsardzības uzraudzītājs, apsvēris iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

3. IEDAĻA

Elektronisko sakaru konfidencialitāte

36. pants

Elektronisko sakaru konfidencialitāte

Savienības iestādes un struktūras nodrošina elektronisko sakaru konfidencialitāti, jo īpaši nodrošinot to elektronisko sakaru tīklu drošību.

37. pants

Uz lietotāju termināliekārtām nosūtītās, tajās glabātās un apstrādātās un no tām ievāktās informācijas aizsardzība

Savienības iestādes un struktūras aizsargā uz tādām lietotāju termināliekārtām nosūtītās, tajās glabātās un apstrādātās un no tām ievāktās informācijas aizsardzību, kas piekļūst to publiski pieejamām tīmekļa vietnēm un mobilajām lietotnēm, saskaņā ar 5. panta 3. punktu Direktīvā 2002/58/EK.

38. pants

Lietotāju saraksti

1.   Lietotāju sarakstos iekļautos personas datus, kā arī piekļuvi šiem sarakstiem ierobežo tādā apmērā, cik tas nepieciešams attiecīgā saraksta konkrētajam mērķim.

2.   Savienības iestādes un struktūras veic visus vajadzīgos pasākumus, lai nepieļautu to, ka šajos sarakstos esošos personas datus izmanto tiešās tirgvedības nolūkiem neatkarīgi no tā, vai tie ir publiski pieejami vai nav.

4. IEDAĻA

Novērtējums par ietekmi uz datu aizsardzību un iepriekšēja apspriešanās

39. pants

Novērtējums par ietekmi uz datu aizsardzību

1.   Ja apstrādes veids, jo īpaši jaunu tehnoloģiju lietojums, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, ļoti iespējams, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2.   Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista.

3.   Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)

ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)

10. pantā minēto īpašo kategoriju datu vai 11. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)

publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4.   Eiropas datu aizsardzības uzraudzītājs izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu.

5.   Eiropas datu aizsardzības uzraudzītājs var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību.

6.   Pirms šā panta 4. un 5. punktā minēto sarakstu pieņemšanas Eiropas datu aizsardzības uzraudzītājs prasa, lai Eiropas Datu aizsardzības kolēģija, kas izveidota ar Regulas (ES) 2016/679 68. pantu, izskata šādus sarakstus saskaņā ar minētās regulas 70. panta 1. punkta e) apakšpunktu, ja tie attiecas uz apstrādes darbībām, ko pārzinis īsteno kopā ar vienu vai vairāk pārziņiem, kas nav Savienības iestādes un struktūras.

7.   Novērtējumā ietver vismaz:

a)

plānoto apstrādes darbību un apstrādes nolūku sistemātisku aprakstu;

b)

novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)

novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)

pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8.   Attiecīgo apstrādātāju, kas nav Savienības iestāde vai struktūra, atbilstību Regulas (ES) 2016/679 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9.   Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10.   Ja saskaņā ar 5. panta 1. punkta a) vai b) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts tiesību aktā, kas pieņemts uz Līgumu pamata un kas reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma pirms minētā tiesību akta pieņemšanas, šā panta 1.–6. punktu nepiemēro, izņemot, ja minētajā tiesību aktā ir noteikts citādi.

11.   Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

40. pants

Iepriekšēja apspriešanās

1.   Pārzinis pirms apstrādes apspriežas ar Eiropas datu aizsardzības uzraudzītāju, ja saskaņā ar 39. pantu veicamajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka apstrāde bez garantiju, drošības pasākumu un riska mazināšanas mehānismu piemērošanas radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem, ņemot vērā pieejamās tehnoloģijas un īstenošanas izmaksas. Par vajadzību veikt iepriekšēju apspriešanos pārzinis lūdz padomu no datu aizsardzības speciālista.

2.   Ja Eiropas datu aizsardzības uzraudzītājs uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, Eiropas datu aizsardzības uzraudzītājs laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot jebkuras no savām pilnvarām, kas minētas 58. pantā. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Eiropas datu aizsardzības uzraudzītājs informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kad Eiropas datu aizsardzības uzraudzītājs saņem informāciju, ko tas pieprasījis apspriešanās nolūkiem.

3.   Apspriežoties ar Eiropas datu aizsardzības uzraudzītāju saskaņā ar 1. punktā noteikto, pārzinis sniedz Eiropas datu aizsardzības uzraudzītājam šādu informāciju:

a)

attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus;

b)

paredzētās apstrādes nolūkus un līdzekļus;

c)

pasākumus un garantijas, ar ko nodrošināt datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu;

d)

datu aizsardzības speciālista kontaktinformāciju;

e)

39. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un

f)

jebkuru citu Eiropas datu aizsardzības uzraudzītāja pieprasītu informāciju.

4.   Komisija var īstenošanas aktā noteikt to gadījumu sarakstu, kuros pārziņiem ir jāapspriežas ar Eiropas datu aizsardzības uzraudzītāju un jāsaņem no tā iepriekšēja atļauja saistībā ar personas datu apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad šādu datu apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību.

5. IEDAĻA

Informācija un tiesību aktu apspriešana

41. pants

Informācija un apspriešanās

1.   Izstrādājot administratīvas vienošanās un iekšējus noteikumus, kas attiecas uz personas datu apstrādi, kurā Savienības iestāde vai struktūra ir iesaistīta viena pati vai kopā ar citām, Savienības iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju.

2.   Izstrādājot 25. pantā minētos iekšējos noteikumus, Savienības iestādes un struktūras apspriežas ar Eiropas datu aizsardzības uzraudzītāju.

42. pants

Tiesību aktu apspriešana

1.   Komisija pēc tiesību aktu priekšlikumu, ieteikumu vai priekšlikumu Padomei saskaņā ar LESD 218. pantu pieņemšanas vai, gatavojot deleģētos aktus vai īstenošanas aktus, apspriežas ar Eiropas datu aizsardzības uzraudzītāju gadījumos, kad ir ietekme uz personas tiesību un brīvību aizsardzību saistībā ar personas datu apstrādi.

2.   Ja šāds 1. punktā minēts akts ir īpaši svarīgs personas tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi, Komisija var apspriesties arī ar Eiropas Datu aizsardzības kolēģiju. Šādos gadījumos Eiropas datu aizsardzības uzraudzītājs un Eiropas Datu aizsardzības kolēģija koordinē sadarbību ar mērķi izdot kopēju atzinumu.

3.   Šā panta 1. un 2. punktā minētais padoms ir jāsniedz rakstiski laikposmā, kas nepārsniedz astoņas nedēļas kopš 1. un 2. punktā minētā pieprasījuma par apspriešanos saņemšanas. Steidzamos gadījumos vai citos atbilstošos apstākļos Komisija var saīsināt šo termiņu.

4.   Šis pants nav piemērojams, ja saskaņā ar Regulas (ES) 2016/679 prasībām Komisijai ir jākonsultējas ar Eiropas datu aizsardzības uzraudzītāju.

6. IEDAĻA

Datu aizsardzības speciālists

43. pants

Datu aizsardzības speciālista iecelšana

1.   Katra Savienības iestāde vai struktūra ieceļ datu aizsardzības speciālistu.

2.   Ņemot vērā organizatorisko struktūru un izmēru, vairākas Savienības iestādes un struktūras var iecelt kopīgu datu aizsardzības speciālistu.

3.   Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 45. pantā minētos uzdevumus.

4.   Datu aizsardzības speciālists ir Savienības iestādes vai struktūras darbinieks. Savienības iestādes un struktūras, ņemot vērā to lielumu un gadījumā, ja netiek izmantota 2. punktā minētā iespēja, var iecelt datu aizsardzības speciālistu, kurš savus uzdevumus pilda uz pakalpojumu līguma pamata.

5.   Savienības iestādes un struktūras publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to Eiropas datu aizsardzības uzraudzītājam.

44. pants

Datu aizsardzības speciālista statuss

1.   Savienības iestādes un struktūras nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

2.   Savienības iestādes un struktūras atbalsta datu aizsardzības speciālistu 45. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas.

3.   Savienības iestādes un struktūras nodrošina, ka datu aizsardzības speciālists nesaņem nekādus norādījumus attiecībā uz minēto uzdevumu veikšanu. Pārzinis vai apstrādātājs viņu neatlaiž vai viņam nepiemēro sankcijas par viņa uzdevumu veikšanu. Datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā.

4.   Datu subjekti var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu.

5.   Datu aizsardzības speciālistam un viņa darbiniekiem ir saistoša slepenības vai konfidencialitātes ievērošana saistībā ar viņu uzdevumu pildīšanu, kā paredzēts Savienības tiesību aktos.

6.   Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus. Pārzinis vai apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu.

7.   Jautājumos, kas attiecas uz regulas interpretāciju vai piemērošanu, ar datu aizsardzības speciālistu var apspriesties pārzinis un apstrādātājs, attiecīgā personāla komiteja un jebkura fiziska persona, neizmantojot oficiālos kanālus. Neviena intereses netiek skartas tādēļ, ka kompetentajam datu aizsardzības speciālistam ir darīta zināma lieta, kurā ir aizdomas par šīs regulas noteikumu pārkāpumu.

8.   Datu aizsardzības speciālistu ieceļ uz trīs līdz pieciem gadiem, un viņu var iecelt atkārtoti. Savienības iestāde vai struktūra, kas iecēlusi datu aizsardzības speciālistu, var viņu atbrīvot no šā amata, ja viņš vairs neatbilst nosacījumiem, kas nepieciešami, lai pildītu tā pienākumus, un tikai ar Eiropas datu aizsardzības uzraudzītāja piekrišanu.

9.   Savienības iestāde vai struktūra, kas iecēlusi datu aizsardzības speciālistu, pēc iecelšanas viņu reģistrē Eiropas datu aizsardzības uzraudzītāja reģistrā.

45. pants

Datu aizsardzības speciālista uzdevumi

1.   Datu aizsardzības speciālistam ir šādi uzdevumi:

a)

informēt un konsultēt pārzini vai apstrādātāju un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo regulu un ar citiem Savienības noteikumiem par datu aizsardzību;

b)

neatkarīgā veidā nodrošināt šīs regulas iekšējo piemērošanu un uzraudzīt, vai tiek ievērota šī regula, citi piemērojamie Savienības tiesību akti, kuros ir noteikumi par datu aizsardzību, un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c)

nodrošināt, ka datu subjekti tiek informēti par viņu tiesībām un pienākumiem saskaņā ar šo regulu;

d)

pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību paziņot vai ziņot par personas datu aizsardzības pārkāpumu saskaņā ar 34. un 35. pantu;

e)

pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 39. pantu, un konsultēties ar Eiropas datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešams novērtējums par ietekmi uz datu aizsardzību;

f)

pēc pieprasījuma sniegt padomus attiecībā uz nepieciešamību iepriekš apspriesties ar Eiropas datu aizsardzības uzraudzītāju saskaņā ar 40. pantu un konsultēties ar Eiropas datu aizsardzības uzraudzītāju, ja pastāv šaubas par to, vai ir nepieciešama iepriekšēja apspriešanās;

g)

atbildēt uz Eiropas datu aizsardzības uzraudzītāja pieprasījumiem un atbilstīgi savai kompetencei sadarboties un konsultēties ar Eiropas datu aizsardzības uzraudzītāju pēc tā pieprasījuma vai pēc savas iniciatīvas;

h)

nodrošināt, ka apstrādes darbības negatīvi neietekmē datu subjektu tiesības un brīvības.

2.   Datu aizsardzības speciālists var sagatavot ieteikumus pārzinim un apstrādātājam par to, kā praktiski uzlabot datu aizsardzību, un konsultēt viņus jautājumos, kas attiecas uz datu aizsardzības noteikumu piemērošanu. Turklāt pēc savas iniciatīvas vai pēc pārziņa vai apstrādātāja, attiecīgās personāla komitejas un jebkuras fiziskas personas pieprasījuma viņš var izmeklēt jautājumus un gadījumus, kas tieši ir saistīti ar viņa uzdevumiem un kas tam kļuvuši zināmi, un attiecīgā gadījumā ziņot par rezultātiem personai, kura pasūtījusi attiecīgo izmeklēšanu, vai pārzinim vai apstrādātājam.

3.   Turpmākus īstenošanas noteikumus attiecībā uz datu aizsardzības speciālistu pieņem katra Savienības iestāde vai struktūra atsevišķi. Īstenošanas noteikumi jo īpaši attiecas uz datu aizsardzības speciālista uzdevumiem, pienākumiem un pilnvarām.

V NODAĻA

PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

46. pants

Nosūtīšanas vispārīgie principi

Personas datus, kuri tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.

47. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.   Personas datus var nosūtīt uz trešo valsti vai starptautisku organizāciju, ja Komisija saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai Direktīvas (ES) 2016/680 36. panta 3. punktu ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni, un personas datus nosūta vienīgi ar mērķi ļaut pārzinim izpildīt viņa kompetencē esošus uzdevumus.

2.   Savienības iestādes un struktūras informē Komisiju un Eiropas datu aizsardzības uzraudzītāju par gadījumiem, kuros tās uzskata, ka trešā valsts, kāda trešās valsts teritorija vai viens vai vairāki konkrēti sektori vai attiecīgā starptautiskā organizācija nenodrošina pietiekamu aizsardzības līmeni 1. punkta nozīmē.

3.   Savienības iestādes un struktūras veic visus vajadzīgos pasākumus, lai pildītu Komisijas pieņemtos lēmumus, kuros tā, ievērojot Regulas (ES) 2016/679 45. panta 3. vai 5. punktu vai Direktīvas (ES) 2016/680 36. panta 3. vai 5. punktu, nosaka, ka trešā valsts, kāda trešās valsts teritorija vai viens vai vairāki konkrēti sektori vai starptautiska organizācija nodrošina vai vairs nenodrošina pietiekamu aizsardzības līmeni.

48. pants

Nosūtīšana, pamatojoties uz atbilstošām garantijām

1.   Ja nav pieņemts lēmums saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai Direktīvas (ES) 2016/680 36. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.

2.   Šā panta 1. punktā minētās atbilstošās garantijas, neprasot īpašu atļauju Eiropas datu aizsardzības uzraudzītājam, var tikt nodrošinātas ar:

a)

starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu instrumentu;

b)

standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 96. panta 2. punktā minēto pārbaudes procedūru;

c)

standarta datu aizsardzības klauzulām, ko pieņem Eiropas datu aizsardzības uzraudzītājs un apstiprina Komisija saskaņā ar 96. panta 2. punktā minēto pārbaudes procedūru;

d)

ja apstrādātājs nav Savienības iestāde vai struktūra – saistošiem uzņēmuma noteikumiem, rīcības kodeksiem vai sertifikācijas mehānismiem saskaņā ar Regulas (ES) 2016/679 46. panta 2. punkta b), e) un f) apakšpunktu.

3.   Ja Eiropas datu aizsardzības uzraudzītājs dod atļauju, tad 1. punktā minētās atbilstošās garantijas var arī nodrošināt jo īpaši ar:

a)

starp pārzini vai apstrādātāju un trešā valstī vai starptautiskā organizācijā esošu pārzini, apstrādātāju vai personas datu saņēmēju noslēgtu līgumu klauzulām; vai

b)

noteikumiem, kuri iekļaujami administratīvajās vienošanās starp publiskām iestādēm vai struktūrām un kuri ietver īstenojamas un efektīvas datu subjektu tiesības.

4.   Eiropas datu aizsardzības uzraudzītāja atļaujas, kas izsniegtas saskaņā ar Regulas (EK) Nr. 45/2001 9. panta 7. punktu, ir spēkā, kamēr Eiropas datu aizsardzības uzraudzītājs tās vajadzības gadījumā negroza, neaizstāj vai neatceļ.

5.   Savienības iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kuros šis pants ir piemērots.

49. pants

Datu nosūtīšana vai izpaušana, kas saskaņā ar Savienības tiesību aktiem nav atļauta

Neskarot citus nosūtīšanas pamatus saskaņā ar šo nodaļu, ikviens trešās valsts tiesas spriedums un ikviens trešās valsts administratīvās iestādes lēmums, kurā pārzinim vai apstrādātājam pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību.

50. pants

Atkāpes īpašās situācijās

1.   Ja nav pieņemts lēmums saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu vai Direktīvas (ES) 2016/680 36. panta 3. punktu vai nav nodrošināti atbilstoši aizsardzības pasākumi saskaņā ar šīs regulas 48. pantu, personas datus var nosūtīt vai vairākkārtīgi nosūtīt uz trešo valsti vai starptautisku organizāciju tikai tad, ja ir izpildīts kāds no šādiem nosacījumiem:

a)

datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)

nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)

nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)

nosūtīšana ir vajadzīga, ja ir svarīgi iemesli sabiedrības interesēs;

e)

nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

f)

nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; vai

g)

nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var uzskatāmi parādīt, ka tai ir leģitīmas intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības tiesību aktos paredzētie izmantošanas nosacījumi.

2.   Šā panta 1. punkta a), b), un c) apakšpunktu nepiemēro darbībām, ko Savienības iestādes un struktūras veic, īstenojot savas publiskās pilnvaras.

3.   Sabiedrības intereses, kas minētas 1. punkta d) apakšpunktā, ir atzītas Savienības tiesībās.

4.   Nosūtot datus saskaņā ar 1. punkta g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datu vai veselas personas datu kategorijas, izņemot, ja to atļauj Savienības tiesību akti. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

5.   Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai.

6.   Savienības iestādes un struktūras informē Eiropas datu aizsardzības uzraudzītāju par to gadījumu kategorijām, kuros šis pants ir piemērots.

51. pants

Starptautiskā sadarbība personas datu aizsardzības jomā

Attiecībā uz trešām valstīm un starptautiskām organizācijām Eiropas datu aizsardzības uzraudzītājs sadarbībā ar Komisiju un Eiropas Datu aizsardzības kolēģiju veic atbilstošus pasākumus, lai:

a)

izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

b)

sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņošanu, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas attiecībā uz personas datu aizsardzību un citas pamattiesības un pamatbrīvības;

c)

iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir padziļināt starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)

veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz jurisdikcijas konfliktiem ar trešām valstīm.

VI NODAĻA

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS

52. pants

Eiropas datu aizsardzības uzraudzītājs

1.   Ar šo izveido Eiropas datu aizsardzības uzraudzītāja amatu.

2.   Attiecībā uz personas datu apstrādi Eiropas datu aizsardzības uzraudzītājs nodrošina to, ka Savienības iestādes un struktūras ievēro fizisku personu pamattiesības un pamatbrīvības un jo īpaši viņu tiesības uz datu aizsardzību.

3.   Eiropas datu aizsardzības uzraudzītājs atbild par šīs regulas un citu Savienības tiesību aktu tādu noteikumu piemērošanas uzraudzību un nodrošināšanu, kas saistīti ar fizisku personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi Savienības iestādē vai struktūrā, kā arī par padomu sniegšanu Savienības iestādēm un struktūrām un datu subjektiem visās lietās, kas attiecas uz personas datu apstrādi. Šiem nolūkiem Eiropas datu aizsardzības uzraudzītājs pilda 57. pantā noteiktos uzdevumus un īsteno 58. pantā piešķirtās pilnvaras.

4.   Eiropas datu aizsardzības uzraudzītāja rīcībā esošajiem dokumentiem piemēro Regulu (EK) Nr. 1049/2001. Eiropas datu aizsardzības uzraudzītājs pieņem detalizētus noteikumus par Regulas (EK) Nr. 1049/2001 piemērošanu attiecībā uz minētajiem dokumentiem.

53. pants

Eiropas datu aizsardzības uzraudzītāja iecelšana

1.   Savstarpēji vienojoties, Eiropas Parlaments un Padome ieceļ Eiropas datu aizsardzības uzraudzītāju uz pieciem gadiem, pamatojoties uz sarakstu, ko Komisija sagatavo pēc atklāta pretendentu konkursa izsludināšanas. Pretendentu konkursā ir jānodrošina, ka visi interesenti visā Savienībā var iesniegt pieteikumus. Komisijas sagatavotais kandidātu saraksts ir publisks, un tajā ir vismaz trīs kandidāti. Pamatojoties uz Komisijas sagatavoto sarakstu, Eiropas Parlamenta kompetentā komiteja var pieņemt lēmumu organizēt uzklausīšanu, lai tā varētu noteikt, kuram kandidātam tā dod priekšroku.

2.   Sarakstā, kas minēts 1. punktā, iekļauj personas, par kuru neatkarību nav ne mazāko šaubu un kuras ir atzītas par tādām, kam ir speciālās zināšanas datu aizsardzības jomā, kā arī pieredze un prasmes, kas nepieciešamas Eiropas datu aizsardzības uzraudzītāja pienākumu pildīšanai.

3.   Eiropas datu aizsardzības uzraudzītāja pilnvaru termiņu var atjaunot vienreiz.

4.   Eiropas datu aizsardzības uzraudzītāja pienākumu izpildi izbeidz šādos gadījumos:

a)

Eiropas datu aizsardzības uzraudzītājs tiek aizstāts;

b)

Eiropas datu aizsardzības uzraudzītājs atkāpjas;

c)

Eiropas datu aizsardzības uzraudzītājs tiek atlaists vai atbrīvots no amata.

5.   Pēc Eiropas Parlamenta, Padomes vai Komisijas pieprasījuma Tiesa var atlaist Eiropas datu aizsardzības uzraudzītāju no amata vai atņemt viņam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst uzraudzītāja pienākumu izpildes nosacījumiem vai ir vainīgs smaga pārkāpuma izdarīšanā.

6.   Parastas aizstāšanas vai labprātīgas atkāpšanās gadījumā Eiropas datu aizsardzības uzraudzītājs tomēr paliek amatā, līdz viņu aizstāj.

7.   Eiropas datu aizsardzības uzraudzītājam piemēro arī Protokola par Eiropas Kopienu privilēģijām un neaizskaramību 11.–14. un 17. pantu.

54. pants

Noteikumi un vispārīgi nosacījumi, kas reglamentē Eiropas datu aizsardzības uzraudzītāja pienākumu izpildi, darbiniekus un finanšu resursus

1.   Eiropas datu aizsardzības uzraudzītājs ir uzskatāms par līdzvērtīgu Tiesas tiesnesim attiecībā uz to, kā nosaka atalgojumu, pabalstus, izdienas pensijas un jebkuru citu atlīdzību, ko saņem kā atalgojumu.

2.   Budžeta plānošanas iestāde nodrošina Eiropas datu aizsardzības uzraudzītājam cilvēku un finanšu resursus, kas vajadzīgi viņa uzdevumu izpildei.

3.   Eiropas datu aizsardzības uzraudzītāja budžetu atspoguļo kā atsevišķu budžeta pozīciju Savienības kopējā budžeta iedaļā par administratīvajiem izdevumiem.

4.   Eiropas datu aizsardzības uzraudzītājam palīdz sekretariāts. Sekretariāta ierēdņus un citus darbiniekus ieceļ Eiropas datu aizsardzības uzraudzītājs, un Eiropas datu aizsardzības uzraudzītājs ir viņu vadītājs. Viņi ir pakļauti tikai Eiropas datu aizsardzības uzraudzītājam. Darbinieku skaitu katru gadu apstiprina ar budžeta procedūru. Eiropas datu aizsardzības uzraudzītāja darbiniekiem, kas piedalās tādu Eiropas Datu aizsardzības kolēģijas uzdevumu izpildē, kuri tai uzdoti ar Savienības tiesību aktiem, piemēro Regulas (ES) 2016/679 75. panta 2. punktu.

5.   Eiropas datu aizsardzības uzraudzītāja sekretariāta ierēdņi un citi darbinieki ir pakļauti noteikumiem, ko piemēro Savienības ierēdņiem un citiem darbiniekiem.

6.   Eiropas datu aizsardzības uzraudzītāja mītne atrodas Briselē.

55. pants

Neatkarība

1.   Eiropas datu aizsardzības uzraudzītājs, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo regulu, rīkojas pilnīgi neatkarīgi.

2.   Eiropas datu aizsardzības uzraudzītājs, pildot savus uzdevumus un īstenojot pilnvaras saskaņā ar šo regulu, ir brīvs no ārējas – tiešas vai netiešas – ietekmes un ne no viena nelūdz un nepieņem norādījumus.

3.   Eiropas datu aizsardzības uzraudzītājs atturas veikt jebkādas darbības, kas nav savienojamas ar viņa pienākumiem, un, esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4.   Pēc Eiropas datu aizsardzības uzraudzītāja pilnvaru termiņa beigām viņš izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.

56. pants

Dienesta noslēpums

Esot amatā un arī pēc pilnvaru termiņa beigām, Eiropas datu aizsardzības uzraudzītājam un tā darbiniekiem ir pienākums glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko viņi ir ieguvuši, pildot savus oficiālos pienākumus.

57. pants

Uzdevumi

1.   Neskarot citus uzdevumus, kas noteikti ar šo regulu, Eiropas datu aizsardzības uzraudzītājs:

a)

uzrauga un īsteno šīs regulas piemērošanu Savienības iestādēs un struktūrās, izņemot personas datu apstrādi Tiesā, kas rīkojas atbilstīgi savai tiesas kompetencei;

b)

veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem;

c)

veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uzliek šī regula;

d)

pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņa tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar valstu uzraudzības iestādēm;

e)

izskata sūdzības, ko iesniedzis datu subjekts vai – saskaņā ar 67. pantu – struktūra, organizācija vai apvienība, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

f)

veic izmeklēšanu par šīs regulas piemērošanu, tostarp pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

g)

pēc savas iniciatīvas vai pēc pieprasījuma konsultē visas Savienības iestādes un struktūras par likumdošanas un administratīviem pasākumiem, kas saistīti ar personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi;

h)

vēro attiecīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

i)

apstiprina 29. panta 8. punktā un 48. panta 2. punkta c) apakšpunktā minētās līguma standartklauzulas;

j)

izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 39. panta 4. punktu;

k)

piedalās Eiropas Datu aizsardzības kolēģijas darbībā;

l)

saskaņā ar Regulas (ES) 2016/679 75. pantu nodrošina Eiropas Datu aizsardzības kolēģiju ar sekretariātu;

m)

sniedz padomus par 40. panta 2. punktā minēto apstrādi;

n)

apstiprina 48. panta 3. punktā minētās līguma klauzulas un noteikumus;

o)

uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 58. panta 2. punktu veiktajiem pasākumiem;

p)

pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību; un

q)

izstrādā savu reglamentu.

2.   Eiropas datu aizsardzības uzraudzītājs atvieglo 1. punkta e) apakšpunktā minēto sūdzību iesniegšanu, piedāvājot sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3.   Attiecībā uz datu subjektu Eiropas datu aizsardzības uzraudzītājs savus pienākumus veic bez maksas.

4.   Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, Eiropas datu aizsardzības uzraudzītājs var atteikties izpildīt pieprasījumu. Eiropas datu aizsardzības uzraudzītāja pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

58. pants

Pilnvaras

1.   Eiropas datu aizsardzības uzraudzītājam ir šādas izmeklēšanas pilnvaras:

a)

izdot rīkojumu pārzinim un apstrādātājam sniegt visu informāciju, kas nepieciešama viņa uzdevumu veikšanai;

b)

veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas;

c)

paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

d)

iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama viņa uzdevumu veikšanai;

e)

iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības tiesībām;

2.   Eiropas datu aizsardzības uzraudzītājam ir šādas korektīvās pilnvaras:

a)

brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, visticamāk, tiks pārkāpti šīs regulas noteikumi;

b)

izteikt aizrādījumu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c)

nodot jautājumu attiecīgajam pārzinim vai apstrādātājam un vajadzības gadījumā – Eiropas Parlamentam, Padomei un Komisijai;

d)

izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

e)

izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

f)

izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

g)

uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

h)

izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 18., 19. un 20. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 19. panta 2. punktu un 21. pantu;

i)

piemērot administratīvu naudas sodu saskaņā ar 66. pantu gadījumā, ja Savienības iestāde vai struktūra nav ievērojusi kādu no šā punkta d)–h) un j) apakšpunktā minētajiem pasākumiem atkarībā no katras konkrētās lietas apstākļiem;

j)

izdot rīkojumu apturēt datu plūsmu pie saņēmēja dalībvalstī, trešā valstī vai pie starptautiskas organizācijas.

3.   Eiropas datu aizsardzības uzraudzītājam ir šādas atļauju izsniegšanas un padomdevēja pilnvaras:

a)

sniegt padomus datu subjektiem par viņu tiesību īstenošanu;

b)

konsultēt pārzini saskaņā ar 40. pantā minēto iepriekšējas apspriešanās procedūru un saskaņā ar 41. panta 2. punktu;

c)

pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus Savienības iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību;

d)

pieņemt standarta datu aizsardzības klauzulas, kas minētas 29. panta 8. punktā un 48. panta 2. punkta c) apakšpunktā;

e)

apstiprināt līguma klauzulas, kas minētas 48. panta 3. punkta a) apakšpunktā;

f)

apstiprināt administratīvās vienošanās, kas minētas 48. panta 3. punkta b) apakšpunktā;

g)

atļaut vai neatļaut apstrādes darbības, ievērojot īstenošanas aktus, kas pieņemti atbilstīgi 40. panta 4. punktam.

4.   Eiropas datu aizsardzības uzraudzītājam ir pilnvaras nodot lietas Tiesai saskaņā ar Līgumos paredzētajiem nosacījumiem un iestāties lietās, kas tiek izskatītas Tiesā.

5.   Eiropas datu aizsardzības uzraudzītājs saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības tiesību aktos.

59. pants

Pārziņu un apstrādātāju pienākums reaģēt uz pieņēmumiem

Ja Eiropas datu aizsardzības uzraudzītājs īsteno pilnvaras, kas tam piešķirtas 58. panta 2. punkta a), b) un c) apakšpunktā, attiecīgais pārzinis vai apstrādātājs informē Eiropas datu aizsardzības uzraudzītāju par savu viedokli saprātīgā termiņā, kuru nosaka Eiropas datu aizsardzības uzraudzītājs, ņemot vērā konkrētā gadījuma apstākļus. Atbildē apraksta arī pasākumus (ja tādi ir veikti), kas veikti, reaģējot uz Eiropas datu aizsardzības uzraudzītāja piezīmēm.

60. pants

Darbības pārskats

1.   Eiropas datu aizsardzības uzraudzītājs iesniedz gada pārskatu par savu darbību Eiropas Parlamentam, Padomei un Komisijai, vienlaikus to publiskojot.

2.   Šā panta 1. punktā minēto pārskatu Eiropas datu aizsardzības uzraudzītājs nosūta pārējām Savienības iestādēm un struktūrām, kas var iesniegt piezīmes, ņemot vērā pārskata iespējamu izskatīšanu Eiropas Parlamentā.

VII NODAĻA

SADARBĪBA UN KONSEKVENCE

61. pants

Eiropas datu aizsardzības uzraudzītāja un valstu uzraudzības iestāžu sadarbība

Eiropas datu aizsardzības uzraudzītājs sadarbojas ar valstu uzraudzības iestādēm un ar apvienoto uzraudzības iestādi, kas izveidota saskaņā ar Padomes Lēmuma 2009/917/TI (19) 25. pantu, tādā apmērā, cik ir vajadzīgs to attiecīgo pienākumu izpildei, jo īpaši savstarpēji sniedzot nepieciešamo informāciju, savstarpēji prasot izmantot to pilnvaras un savstarpēji atbildot uz pieprasījumiem.

62. pants

Eiropas datu aizsardzības uzraudzītāja un valstu uzraudzības iestāžu koordinēta uzraudzība

1.   Ja kāds Savienības tiesību akts atsaucas uz šo pantu, Eiropas datu aizsardzības uzraudzītājs un valstu uzraudzības iestādes, rīkojoties savu attiecīgo kompetenču robežās, aktīvi sadarbojas savu pienākumu izpildē, lai nodrošinātu lielapjoma IT sistēmu un Savienības struktūru, biroju un aģentūru efektīvu uzraudzību.

2.   Eiropas datu aizsardzības uzraudzītājs un valstu uzraudzības iestādes, darbojoties savu attiecīgo kompetenču robežās un pienākumu ietvaros, pēc nepieciešamības apmainās ar būtisku informāciju, cita citai palīdz veikt revīzijas un pārbaudes, izskata šīs regulas un citu piemērojamu Savienības tiesību aktu interpretācijas vai piemērošanas grūtības, analizē problēmas saistībā ar neatkarīgas uzraudzības īstenošanu vai datu subjektu tiesību īstenošanu, izstrādā saskaņotus priekšlikumus problēmu risinājumiem un veicina informētību par tiesībām datu aizsardzības jomā.

3.   Šā panta 2. punktā noteiktajiem mērķiem Eiropas datu aizsardzības uzraudzītājs vismaz divas reizes gadā Eiropas Datu aizsardzības kolēģijā tiekas ar valstu uzraudzības iestādēm. Ja nepieciešams, šajā nolūkā Eiropas Datu aizsardzības kolēģija var izstrādāt turpmākas darba metodes.

4.   Eiropas Datu aizsardzības kolēģija reizi divos gados Eiropas Parlamentam, Padomei un Komisijai sniedz kopīgu ziņojumu par koordinētas uzraudzības darbībām.

VIII NODAĻA

TIESĪBU AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SODI

63. pants

Tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam

1.   Neskarot tiesiskus, administratīvus un ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam, ja viņš uzskata, ka viņa personas datu apstrāde neatbilst šai regulai.

2.   Eiropas datu aizsardzības uzraudzītājs informē sūdzības iesniedzēju par sūdzības virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 64. pantu.

3.   Ja Eiropas datu aizsardzības uzraudzītājs trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības izskatīšanas virzību vai rezultātiem, uzskata, ka Eiropas datu aizsardzības uzraudzītājs ir pieņēmis negatīvu lēmumu.

64. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā

1.   Tiesai ir piekritīgi visi strīdi, kas attiecas uz šīs regulas noteikumiem, tostarp prasības par zaudējumu atlīdzību.

2.   Prasības pret Eiropas datu aizsardzības uzraudzītāja lēmumiem, tostarp 63. panta 3. punktā minētajiem lēmumiem, ceļ Tiesā.

3.   Tiesai ir neierobežota jurisdikcija attiecībā uz 66. pantā minēto administratīvo naudas sodu pārskatīšanu. Tā, ņemot vērā 66. pantā noteiktos ierobežojumus, var minētos naudas sodus atcelt, samazināt vai palielināt.

65. pants

Tiesības uz kompensāciju

Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no Savienības iestādes vai struktūras saņemt kompensāciju par tai nodarīto kaitējumu saskaņā ar Līgumu nosacījumiem.

66. pants

Administratīvie naudas sodi

1.   Eiropas datu aizsardzības uzraudzītājs var uzlikt Savienības iestādēm un struktūrām administratīvu naudas sodu, kas atkarīgs no katra konkrētā gadījuma apstākļiem, par to, ka Savienības iestāde vai struktūra nav izpildījusi Eiropas datu aizsardzības uzraudzītāja rīkojumu saskaņā ar 58. panta 2. punkta d)–h) un j) apakšpunktu. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)

pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)

jebkādu Savienības iestādes vai struktūras rīcību datu subjektiem nodarītā kaitējuma mazināšanai;

c)

Savienības iestādes vai struktūras atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumus, ko tie īsteno saskaņā ar 27. un 33. pantu;

d)

jebkādus līdzīgus Savienības iestādes vai struktūras iepriekšējus pārkāpumus;

e)

to, kāda ir sadarbība ar Eiropas datu aizsardzības uzraudzītāju nolūkā atlīdzināt pārkāpumu un mazināt tā iespējamās nelabvēlīgās sekas;

f)

to, kādu kategoriju personas datus ietekmējis pārkāpums;

g)

veidu, kādā par pārkāpumu uzzināja Eiropas datu aizsardzības uzraudzītājs, jo īpaši to, vai Savienības iestāde vai struktūra ir ziņojusi par pārkāpumu, un šādā gadījumā – kādā apjomā;

h)

to, kā ir tikuši pildīti jebkādi 58. pantā minētie pasākumi, kas par šo pašu priekšmetu iepriekš ir tikuši vērsti pret attiecīgo Savienības iestādi vai struktūru. Procedūras, kuru rezultātā tiek uzlikts naudas sods, veic pieņemamā laikposmā atbilstoši lietas apstākļiem un ņemot vērā 69. pantā minētās darbības un procedūras.

2.   Ja Savienības iestāde vai struktūra neievēro savus pienākumus, kas paredzēti 8., 12., 27. līdz 35., 39., 40., 43., 44. un 45. pantā, saskaņā ar šā panta 1. punktu tām var uzlikt administratīvu naudas sodu, kura apmērs par katru pārkāpumu nepārsniedz 25 000 EUR, bet par gadu kopā - 250 000 EUR.

3.   Ja Savienības iestāde vai struktūra neievēro turpmāk minētos noteikumus, saskaņā ar 1. punktu tām var uzlikt administratīvu naudas sodu, kura apmērs par katru pārkāpumu nepārsniedz 50 000 EUR, bet par gadu kopā - 500 000 EUR:

a)

apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 4., 5., 7. un 10. pantu;

b)

datu subjekta tiesības saskaņā ar 14.–24. pantu;

c)

personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 46.–50. pantu.

4.   Ja Savienības iestāde vai struktūra attiecībā uz to pašu vai saistītu vai nepārtrauktu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus vai to pašu regulas noteikumu vairākas reizes, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

5.   Pirms pieņemt lēmumus saskaņā ar šo pantu, Eiropas datu aizsardzības uzraudzītājs dod Savienības iestādei vai struktūrai, kas ir uzraudzītāja veikto procedūru subjekts, iespēju izteikt savu viedokli par jautājumiem, par kuriem uzraudzītājs ir izteicis iebildumus. Eiropas datu aizsardzības uzraudzītājs balsta savus lēmumus vienīgi uz tiem iebildumiem, kurus iesaistītās puses ir varējušas komentēt. Sūdzību iesniedzējus cieši iesaista šajos procesos.

6.   Šajos procesos pilnībā respektē attiecīgo pušu aizstāvības tiesības. Tām ir tiesības piekļūt Eiropas datu aizsardzības uzraudzītāja lietas materiāliem, ievērojot fizisku personu likumīgās intereses personas datu aizsardzībā un uzņēmumu likumīgās intereses komercnoslēpumu aizsardzībā.

7.   Līdzekļi, kas iegūti, uzliekot naudas sodus saskaņā ar šo pantu, ir Savienības vispārējā budžeta ieņēmumi.

67. pants

Datu subjektu pārstāvība

Datu subjektiem ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjektu tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņu vārdā iesniegtu sūdzību Eiropas datu aizsardzības uzraudzītājam, īstenotu 63. un 64. pantā minētās tiesības un īstenotu 65. pantā minētās tiesības saņemt kompensāciju.

68. pants

Savienības darbinieku sūdzības

Visi, kas ir nodarbināti kādā Savienības iestādē vai struktūrā, var iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam, neizmantojot oficiālos kanālus, ja ir aizdomas par šīs regulas noteikumu pārkāpumu. Neviena intereses netiek skartas tādēļ, ka Eiropas datu aizsardzības uzraudzītājam ir iesniegta sūdzība, kurā norādīts uz aizdomām par šādu pārkāpumu.

69. pants

Sankcijas

Ja Savienības ierēdnis vai cits darbinieks tīšām vai nolaidības dēļ neievēro šajā regulā paredzētos pienākumus, attiecīgo ierēdni vai citu darbinieku var saukt pie disciplināras vai cita veida atbildības saskaņā ar noteikumiem un procedūrām, kas paredzētas Civildienesta noteikumos.

IX NODAĻA

OPERATĪVO PERSONAS DATU APSTRĀDE, KO VEIC SAVIENĪBAS STRUKTŪRAS, BIROJI UN AĢENTŪRAS, ĪSTENOJOT DARBĪBAS, UZ KURĀM ATTIECAS LESD TREŠĀS DAĻAS V SADAĻAS 4. VAI 5. NODAĻA

70. pants

Nodaļas darbības joma

Šī nodaļa attiecas tikai uz personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, neskarot īpašus datu aizsardzības noteikumus, kas piemērojami šādai Savienības struktūrai, birojam vai aģentūrai.

71. pants

Ar operatīvo personas datu apstrādi saistītie principi

1.   Operatīvie personas dati:

a)

tiek apstrādāti likumīgi un godprātīgi (“likumīgums un godprātība”);

b)

tiek vākti konkrētos, skaidros un leģitīmos nolūkos un netiek apstrādāti ar minētajiem nolūkiem nesaderīgā veidā (“nolūka ierobežojums”);

c)

ir adekvāti un būtiski un nav pārmērīgi attiecībā pret nolūkiem, kādos tos apstrādā (“datu minimizēšana”);

d)

ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgie pasākumi, lai nodrošinātu, ka neprecīzi operatīvie personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

e)

tiek saglabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos operatīvos personas datus apstrādā (“glabāšanas ierobežojums”);

f)

ar atbilstošu tehnisko vai organizatorisko pasākumu palīdzību tiek apstrādāti tādā veidā, ka tiek nodrošināta atbilstoša operatīvo personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu (“integritāte un konfidencialitāte”).

2.   Apstrāde, ko veic tas pats vai cits pārzinis nolūkos, kuri ir izklāstīti Savienības struktūras, biroja vai aģentūras izveides aktā, bet kuri nav tie paši, kādos operatīvie personas dati tiek vākti, ir atļauta, ciktāl:

a)

pārzinim saskaņā ar Savienības tiesību aktiem ir atļauts šādā nolūkā apstrādāt šādus operatīvos personas datus; un

b)

apstrāde ir nepieciešama un samērīga ar minēto citu nolūku saskaņā ar Savienības tiesību aktiem.

3.   Apstrāde, ko veic tas pats vai cits pārzinis, var ietvert arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem Savienības struktūras, biroja vai aģentūras izveides aktā izklāstītajos nolūkos, ņemot vērā atbilstošas garantijas attiecībā uz datu subjektu tiesībām un brīvībām.

4.   Pārzinis ir atbildīgs par atbilstību 1., 2. un 3. punktam un var to uzskatāmi pierādīt.

72. pants

Operatīvo personas datu apstrādes likumība

1.   Operatīvo personas datu apstrāde ir likumīga tikai tad un tikai tiktāl, cik apstrāde ir nepieciešama uzdevuma izpildei, ko Savienības struktūras, biroji un aģentūras veic, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, un ja tā pamatojas uz Savienības tiesību aktiem.

2.   Īpašos Savienības tiesību aktos, ar ko reglamentē apstrādi, uz kuru attiecas šī nodaļa, nosaka vismaz apstrādes mērķus, apstrādājamos operatīvos personas datus, apstrādes nolūkus un termiņus operatīvo personas datu glabāšanai vai operatīvo personas datu turpmākas glabāšanas vajadzības regulārai pārskatīšanai.

73. pants

Dažādu datu subjektu kategoriju nošķiršana

Pārzinis, attiecīgos gadījumos un ciktāl iespējams, skaidri nošķir dažādu datu subjektu kategoriju operatīvos personas datus, piemēram, tādās kategorijās, kas minētas Savienības struktūru, biroju un aģentūru izveides tiesību aktos.

74. pants

Dažādu operatīvo personas datu nošķiršana un operatīvo personas datu kvalitātes pārbaude

1.   Pārzinis, ciktāl iespējams, nošķir operatīvos personas datus, kas balstās uz faktiem, no operatīvajiem personas datiem, kas balstās uz personiskiem vērtējumiem.

2.   Pārzinis veic visus saprātīgos pasākumus, lai nodrošinātu, ka operatīvos personas datus, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, nepārsūta vai nedara pieejamus. Tāpēc, pirms personas dati tiek nosūtīti vai darīti pieejami, pārzinis, ciktāl tas praktiski iespējams un nepieciešams, pārbauda operatīvo personas datu kvalitāti, piemēram, apspriežoties ar kompetento iestādi, no kuras dati ir iegūti. Ciktāl iespējams, visos operatīvo personas datu nosūtīšanas gadījumos pārzinis pievieno nepieciešamo informāciju, kas datu saņēmējam ļauj izvērtēt operatīvo personas datu pareizuma, pilnīguma un ticamības pakāpi, kā arī to, cik lielā mērā tie ir aktuāli.

3.   Ja izrādās, ka ir nosūtīti nepareizi operatīvie personas dati vai operatīvie personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē datu saņēmēju. Šādā gadījumā attiecīgos operatīvos personas datus labo vai dzēš vai ierobežo to apstrādi saskaņā ar 82. pantu.

75. pants

Īpaši apstrādes nosacījumi

1.   Ja Savienības tiesību aktos, kuri piemērojami pārzinim, kas nosūta datus, ir paredzēti īpaši apstrādes nosacījumi, pārzinis par šiem nosacījumiem un prasību tos ievērot informē šādu operatīvo personas datu saņēmēju.

2.   Pārzinis ievēro īpašus datu apstrādes nosacījumus, kurus kompetentā iestāde, kas nosūta datus, ir paredzējusi saskaņā ar Direktīvas (ES) 2016/680 9. panta 3. un 4. punktu.

76. pants

Īpašu kategoriju operatīvo personas datu apstrāde

1.   Operatīvo personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu apstrāde nolūkā veikt fiziskas personas viennozīmīgu identifikāciju, vai tādu operatīvo personas datu apstrāde, kas attiecas uz veselību, fiziskas personas dzimumdzīvi vai seksuālo orientāciju, ir atļauta tikai tad, ja tas ir absolūti nepieciešams operatīvos nolūkos, tiek veikta attiecīgās Savienības struktūras, biroja vai aģentūras pilnvaru robežās un uz to attiecas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām. Fizisku personu diskriminācija uz šādu personas datu pamata ir aizliegta.

2.   Datu aizsardzības speciālistu, lieki nekavējoties, informē par šā panta izmantošanu.

77. pants

Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana

1.   Lēmums, kas balstās tikai uz automatizētu apstrādi, tostarp profilēšanu, un kas datu subjektam rada nelabvēlīgas juridiskas sekas vai būtiski viņu ietekmē, ir aizliegts, ja vien tas nav atļauts Savienības vai dalībvalstu tiesību aktos, kuri attiecas uz pārzini un kuros ir paredzētas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, vismaz attiecībā uz tiesībām panākt cilvēka iejaukšanos no pārziņu puses.

2.   Šā panta 1. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 76. pantā, izņemot, ja tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības, brīvības un leģitīmās intereses.

3.   Saskaņā ar Savienības tiesību aktiem profilēšana, kas izraisa diskrimināciju pret fiziskām personām, pamatojoties uz 76. pantā minēto īpašu kategoriju personas datiem, ir aizliegta.

78. pants

Saziņa un kārtība datu subjekta tiesību īstenošanai

1.   Pārzinis veic saprātīgus pasākumus, lai datu subjektam sniegtu jebkādu 79. pantā minēto informāciju un sakarā ar 80. līdz 84. pantu un 92. pantu apstrādes jautājumos ar datu subjektu vienmēr sazinātos kodolīgā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Informāciju sniedz, izmantojot jebkādus atbilstīgus līdzekļus, tostarp elektroniskos līdzekļus. Parasti pārzinis informāciju sniedz tādā pašā veidā, kādā ir iesniegts pieprasījums.

2.   Pārzinis atvieglina datu subjekta tiesību īstenošanu saskaņā ar 79. līdz 84. pantu.

3.   Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā vēlākais trīs mēnešu laikā pēc datu subjekta pieprasījuma saņemšanas rakstiski informē datu subjektu par turpmākajām darbībām saistībā ar viņa pieprasījumu.

4.   Pārzinis sniedz informāciju saskaņā ar 79. pantu, un visa saziņa vai darbības, ko veic saskaņā ar 80. līdz 84. pantu un 92. pantu, tiek nodrošinātas bez maksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var atteikties izpildīt pieprasījumu. Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

5.   Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 80. vai 82. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

79. pants

Informācija, ko dara pieejamu vai sniedz datu subjektam

1.   Pārzinis datu subjektam dara pieejamu vismaz šādu informāciju:

a)

Savienības struktūras, biroja vai aģentūras identitāti un kontaktinformāciju;

b)

datu aizsardzības speciālista kontaktinformāciju;

c)

apstrādes nolūkus, kam paredzēti operatīvie personas dati;

d)

informāciju par tiesībām iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un viņa kontaktinformāciju;

e)

informāciju par tiesībām no pārziņa prasīt piekļuvi datu subjekta operatīvajiem personas datiem un to labošanu vai dzēšanu, un ar datu subjektu saistītu operatīvo personas datu apstrādes ierobežošanu.

2.   Papildus 1. punktā minētajai informācijai pārzinis datu subjektam Savienības tiesību aktos paredzētos konkrētos gadījumos sniedz šādu informāciju, lai datu subjekts varētu īstenot savas tiesības:

a)

informāciju par apstrādes juridisko pamatu;

b)

informāciju par laikposmu, cik ilgi operatīvie personas dati tiks glabāti, vai – ja tas nav iespējams – informāciju par kritērijiem, kas izmantoti minētā laikposma noteikšanai;

c)

attiecīgā gadījumā operatīvo personas datu saņēmēju kategorijas, tostarp trešās valstīs vai starptautiskajās organizācijās;

d)

ja nepieciešams, papildu informāciju, jo īpaši tad, ja operatīvos personas datus vāc bez datu subjekta ziņas.

3.   Pārzinis var atlikt, ierobežot vai nesniegt informāciju datu subjektam saskaņā ar 2. punktu, ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

a)

nepieļautu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

nepieļautu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei;

c)

aizsargātu dalībvalstu sabiedrisko drošību;

d)

aizsargātu dalībvalstu nacionālo drošību;

e)

aizsargātu citu personu, piemēram, cietušo un liecinieku, tiesības un brīvības.

80. pants

Datu subjekta piekļuves tiesības

Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek veikta operatīvo personas datu apstrāde, un, ja tiek veikta, datu subjektam ir tiesības piekļūt operatīvajiem personas datiem un saņemt šādu informāciju:

a)

apstrādes nolūki un juridiskais pamats;

b)

apstrādāto operatīvo personas datu kategorijas;

c)

operatīvo personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)

ja iespējams – paredzētais laikposms, cik ilgi operatīvie personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

e)

tiesības no pārziņa prasīt operatīvo personas datu labošanu vai dzēšanu vai ar datu subjektu saistītu operatīvo personas datu apstrādes ierobežošanu;

f)

tiesības iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam un tā kontaktinformācija;

g)

paziņojums par apstrādē esošajiem operatīvajiem personas datiem un visa pieejamā informācija par datu avotu.

81. pants

Piekļuves tiesību ierobežojumi

1.   Pārzinis var pilnībā vai daļēji ierobežot datu subjekta piekļuves tiesības, ciktāl un tik ilgi, cik šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

a)

nepieļautu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

nepieļautu, ka tiek traucēta noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana vai saukšana pie atbildības par tiem, vai kriminālsodu izpilde;

c)

aizsargātu dalībvalstu sabiedrisko drošību;

d)

aizsargātu dalībvalstu nacionālo drošību;

e)

aizsargātu citu personu, piemēram, cietušo un liecinieku, tiesības un brīvības.

2.   Šā panta 1. punktā minētajos gadījumos pārzinis bez nepamatotas kavēšanās informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no 1. punktā noteiktajiem nolūkiem. Pārzinis informē datu subjektu par iespēju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam vai vērsties Tiesā. Pārzinis dokumentē faktiskos vai juridiskos iemeslus, kuri ir lēmuma pamatā. Šo informāciju pēc pieprasījuma dara pieejamu Eiropas datu aizsardzības uzraudzītājam.

82. pants

Tiesības uz operatīvo personas datu labošanu vai dzēšanu un apstrādes ierobežošanu

1.   Ikvienam datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus operatīvos personas datus, kas attiecas uz datu subjektu. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi operatīvie personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

2.   Pārzinis bez nepamatotas kavēšanās dzēš operatīvos personas datus un datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu operatīvos personas datus, kas attiecas uz datu subjektu, ja apstrāde pārkāpj 71. pantu, 72. panta 1. punktu vai 76. pantu vai ja operatīvie personas dati ir jādzēš, lai izpildītu uz pārzini attiecināmu juridisku pienākumu.

3.   Dzēšanas vietā pārzinis ierobežo apstrādi, ja:

a)

datu subjekts apstrīd personas datu precizitāti un datu precizitāti vai neprecizitāti nevar noteikt; vai

b)

personas dati ir jāsaglabā pierādījumu nolūkā.

Ja apstrāde ir ierobežota, ievērojot pirmās daļas a) apakšpunktu, pārzinis informē datu subjektu pirms apstrādes ierobežojuma atcelšanas.

Datus, kuriem piekļuve ierobežota, apstrādā tikai mērķim, kas novērsa to dzēšanu.

4.   Pārzinis rakstiski informē datu subjektu par atteikumu labot vai dzēst operatīvos personas datus vai ierobežot to apstrādi un par atteikuma iemesliem. Pārzinis var pilnībā vai daļēji ierobežot šādas informācijas sniegšanu, ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

a)

nepieļautu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras;

b)

nepieļautu, ka tiek traucēta noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana vai saukšana pie atbildības par tiem, vai kriminālsodu izpilde;

c)

aizsargātu dalībvalstu sabiedrisko drošību;

d)

aizsargātu dalībvalstu nacionālo drošību;

e)

aizsargātu citu personu, piemēram, cietušo un liecinieku, tiesības un brīvības.

Pārzinis informē datu subjektu par iespēju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam vai vērsties Tiesā.

5.   Pārzinis par neprecīzo operatīvo personas datu labošanu informē kompetento iestādi, no kuras iegūti neprecīzie operatīvie personas dati.

6.   Gadījumos, kad, ievērojot šā panta 1., 2. un 3. punktu, operatīvie personas dati ir laboti vai dzēsti vai ir ierobežota to apstrāde, pārzinis paziņo saņēmējiem un informē tos, ka tiem ir jālabo vai jādzēš operatīvie personas dati vai jāierobežo to atbildībā esošo operatīvo personas datu apstrāde.

83. pants

Piekļuves tiesības kriminālizmeklēšanā un kriminālprocesos

Ja operatīvie personas dati iegūti no kompetentās iestādes, pirms lēmuma par datu subjekta piekļuves tiesībām pieņemšanas Savienības struktūras, biroji un aģentūras no attiecīgās kompetentās iestādes noskaidro, vai minētās kompetentās iestādes dalībvalstī šādi personas dati ir ietverti tiesas nolēmumā vai reģistrā vai lietas materiālos, ko apstrādā kriminālizmeklēšanas un kriminālprocesa gaitā. Ja tā ir, lēmumu par piekļuves tiesībām pieņem, apspriežoties un cieši sadarbojoties ar attiecīgo kompetento iestādi.

84. pants

Tiesību īstenošana, ko veic datu subjekts, un pārbaude, ko veic Eiropas datu aizsardzības uzraudzītājs

1.   Šīs regulas 79. panta 3. punktā, 81. pantā un 82. panta 4. punktā minētajos gadījumos datu subjekta tiesības var īstenot arī ar Eiropas datu aizsardzības uzraudzītāja starpniecību.

2.   Pārzinis informē datu subjektu, ka tam ir iespēja īstenot savas tiesības ar Eiropas datu aizsardzības uzraudzītāja starpniecību, ievērojot šā panta 1. punktu.

3.   Ja tiek īstenotas 1. punktā minētās tiesības, Eiropas datu aizsardzības uzraudzītājs informē datu subjektu vismaz par to, ka viņš ir veicis visas nepieciešamās pārbaudes vai pārskatīšanu. Eiropas datu aizsardzības uzraudzītājs informē datu subjektu arī par viņa tiesībām vērsties Tiesā.

85. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.   Pārzinis, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, kurus rada apstrāde, gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas un tā izveides tiesību akta prasības un aizsargāt datu subjektu tiesības.

2.   Pārzinis īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, nodrošinot, ka pēc noklusējuma tiek apstrādāti tikai tādi operatīvie personas dati, kas ir adekvāti, būtiski un nav pārmērīgi, ņemot vērā nolūkus, kādos tos apstrādā. Minētais pienākums attiecas uz vākto operatīvo personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma operatīvos personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.

86. pants

Kopīgi pārziņi

1.   Ja apstrādes mērķus un veidus kopīgi nosaka divi vai vairāk pārziņi vai viens vai vairāk pārziņi kopā ar vienu vai vairāk pārziņiem, kas nav Savienības iestādes un struktūras, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus izpildīt tiem piemērojamās datu aizsardzības prasības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un kopīgo pārziņu attiecīgajiem pienākumiem sniegt 79. pantā minēto informāciju; kopīgie pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie kopīgo pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami kopīgajiem pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.

2.   Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektu. Vienošanās galveno saturu dara pieejamu datu subjektam.

3.   Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem datu subjekts saskaņā ar šo regulu var īstenot savas tiesības attiecībā uz un pret katru pārzini.

87. pants

Apstrādātājs

1.   Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas un pārziņa izveides tiesību akta prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2.   Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3.   Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kurš ir saistošs apstrādātājam attiecībā uz pārzini un kurā norāda apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, operatīvo personas datu veidu un datu subjektu kategorijas, un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

a)

rīkojas tikai saskaņā ar pārziņa norādījumiem;

b)

nodrošina, ka personas, kuras ir pilnvarotas apstrādāt operatīvos personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)

palīdz pārzinim, izmantojot jebkādus piemērotus līdzekļus, nodrošināt atbilstību noteikumiem par datu subjekta tiesībām;

d)

pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus operatīvos personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības tiesību aktos vai dalībvalsts tiesību aktos nav paredzēta operatīvo personas datu glabāšana;

e)

pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai uzskatāmi parādītu, ka tiek pildīti šajā pantā paredzētie pienākumi;

f)

izpilda 2. punktā un šajā punktā minētos nosacījumus cita apstrādātāja piesaistīšanai.

4.   Šā panta 3. punktā minētais līgums vai cits juridiskais akts tiek sagatavots rakstiski, tostarp elektroniski.

5.   Ja apstrādātājs, nosakot apstrādes nolūkus un līdzekļus, pārkāpj šo regulu vai pārziņa izveides tiesību aktu, minēto apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

88. pants

Ierakstu veikšana

1.   Pārzinis glabā ierakstus par visām šādām apstrādes darbībām automatizētās apstrādes sistēmās: operatīvo personas datu vākšanu, pārveidošanu, piekļuvi tiem, aplūkošanu, izpaušanu, tostarp nosūtīšanu, kombinēšanu un dzēšanu. Ieraksti par aplūkošanu un izpaušanu dod iespēju noteikt šādu darbību pamatojumu un to datumu un laiku, tās personas identificēšanu, kura aplūkoja vai izpauda operatīvos personas datus, un, ciktāl iespējams, šādu operatīvo personas datu saņēmēju identitāti.

2.   Ierakstus izmanto tikai tālab, lai pārbaudītu apstrādes likumību, veiktu pašuzraudzību, nodrošinātu operatīvo personas datu integritāti un drošību, un kriminālprocesa vajadzībām. Šādus ierakstus dzēš pēc trīs gadiem, ja vien tie nav nepieciešami vēl notiekošai kontrolei.

3.   Pārzinis pēc pieprasījuma nodrošina ierakstu pieejamību saviem datu aizsardzības speciālistiem un Eiropas datu aizsardzības uzraudzītājam.

89. pants

Novērtējums par ietekmi uz datu aizsardzību

1.   Ja apstrādes veids, jo īpaši jaunu tehnoloģiju lietojums, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, ļoti iespējams, varētu radīt augstu risku fizisko personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības varētu ietekmēt operatīvo personas datu aizsardzību.

2.   Šā panta 1. punktā minētajā novērtējumā ietver vismaz vispārēju aprakstu par plānotajām apstrādes darbībām, novērtējumu par riskiem datu subjektu tiesībām un brīvībām, pasākumus, kas paredzēti minēto risku novēršanai, garantijas, drošības pasākumus un mehānismus, ar kuriem nodrošina operatīvo personas datu aizsardzību un uzskatāmi parāda, ka ir ievēroti datu aizsardzības noteikumi, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

90. pants

Iepriekšēja apspriešanās ar Eiropas datu aizsardzības uzraudzītāju

1.   Pārzinis pirms tādu personas datu apstrādes, ko ietvers jaunizveidotā kartotēkā, apspriežas ar Eiropas datu aizsardzības uzraudzītāju gadījumos, ja:

a)

šīs direktīvas 89. pantā paredzētajā novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku; vai

b)

apstrādes veids, jo īpaši jaunu tehnoloģiju, mehānismu vai procedūru lietojums, ir saistīts ar augstu risku datu subjektu tiesībām un brīvībām.

2.   Eiropas datu aizsardzības uzraudzītājs var izveidot to apstrādes darbību sarakstu, par kurām veic iepriekšēju apspriešanos, ievērojot šā panta 1. punktu.

3.   Pārzinis iesniedz Eiropas datu aizsardzības uzraudzītājam 89. pantā minēto novērtējumu par ietekmi uz datu aizsardzību un pēc pieprasījuma jebkuru citu informāciju, kas ļauj Eiropas datu aizsardzības uzraudzītājam izvērtēt apstrādes atbilstību, jo īpaši riskus datu subjekta operatīvo personas datu aizsardzībai un attiecīgās garantijas.

4.   Ja Eiropas datu aizsardzības uzraudzītājs uzskata, ka ar šā panta 1. punktā minēto paredzēto apstrādi tiktu pārkāpta šī regula vai Savienības struktūras, biroja vai aģentūras izveides tiesību akts, jo īpaši gadījumos, kad pārzinis nav pietiekami apzinājis vai mazinājis risku, Eiropas datu aizsardzības uzraudzītājs ilgākais sešu nedēļu laikā pēc apspriešanās pieprasījuma saņemšanas sniedz pārzinim rakstisku padomu. Minēto laikposmu var pagarināt par vienu mēnesi, ņemot vērā paredzētās apstrādes sarežģītību. Eiropas datu aizsardzības uzraudzītājs viena mēneša laikā pēc apspriešanās pieprasījuma saņemšanas informē pārzini par jebkādu šādu pagarinājumu, kā arī par kavēšanās iemesliem.

91. pants

Operatīvo personas datu apstrādes drošība

1.   Pārzinis un apstrādātājs, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisko personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas ir atbilstīgs riskiem, jo īpaši attiecībā uz īpašo kategoriju operatīvo personas datu apstrādi.

2.   Attiecībā uz automatizētu apstrādi pārzinis un apstrādātājs pēc risku izvērtēšanas īsteno pasākumus, kas paredzēti, lai:

a)

liegtu nepilnvarotām personām piekļuvi datu apstrādes iekārtām, kuras izmanto datu apstrādei (“iekārtu piekļuves kontrole”);

b)

nepieļautu datu nesankcionētu nolasīšanu, kopēšanu, modifikāciju vai datu nesēju izņemšanu (“datu nesēju kontrole”);

c)

nepieļautu operatīvo personas datu nesankcionētu ievadīšanu, kā arī liegtu saglabāto operatīvo personas datu nesankcionētu apskati, modifikāciju vai dzēšanu (“glabāšanas kontrole”);

d)

liegtu izmantot automatizētas apstrādes sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (“lietotāju kontrole”);

e)

nodrošinātu, ka personām, kas ir pilnvarotas izmantot automatizētas apstrādes sistēmu, ir piekļuve tikai tiem operatīvajiem personas datiem, uz kuriem attiecas viņu piekļuves tiesības (“datu piekļuves kontrole”);

f)

nodrošinātu, ka ir iespējams pārbaudīt un noteikt struktūras, kurām operatīvie personas dati ir vai var tikt nosūtīti vai darīti pieejami, izmantojot datu komunikāciju (“komunikācijas kontrole”);

g)

nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kuri operatīvie personas dati ir ievadīti datu automatizētās apstrādes sistēmās, un operatīvo personas datu ievadīšanas laiku un ievadītāju (“ievades kontrole”);

h)

nepieļautu operatīvo personas datu nesankcionētu nolasīšanu, kopēšanu, modifikāciju vai dzēšanu operatīvo personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (“transportēšanas kontrole”);

i)

nodrošinātu, ka traucējumu gadījumā uzstādītās sistēmas var atjaunot (“atgūšana”);

j)

nodrošinātu, ka sistēmas funkcijas darbojas, ka par darbības kļūdu parādīšanos tiek ziņots (“uzticamība”) un ka saglabātie operatīvie personas dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (“integritāte”).

92. pants

Personas datu aizsardzības pārkāpuma paziņošana Eiropas datu aizsardzības uzraudzītājam

1.   Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu Eiropas datu aizsardzības uzraudzītājam, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana Eiropas datu aizsardzības uzraudzītājam nav notikusi 72 stundu laikā, reizē ar paziņojumu informē par kavēšanās iemesliem.

2.   Paziņojumā, kas minēts 1. punktā, vismaz:

a)

apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo operatīvo personas datu ierakstu kategorijas un aptuveno skaitu;

b)

uzrāda datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju;

c)

apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)

apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, ar kuriem mazināt tā iespējamās nelabvēlīgās sekas.

3.   Ja un ciktāl 2. punktā minēto informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

4.   Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, kas minēti 1. punktā, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj Eiropas datu aizsardzības uzraudzītājam pārbaudīt šā panta ievērošanu.

5.   Ja personas datu aizsardzības pārkāpums ietver operatīvos personas datus, kurus ir nosūtījušas kompetentās iestādes vai kuri ir nosūtīti kompetentajām iestādēm, pārzinis bez nepamatotas kavēšanās paziņo 2. punktā minēto informāciju attiecīgajām kompetentajām iestādēm.

93. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.   Ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2.   Šā panta 1. punktā minētajā informācijā datu subjektam, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 92. panta 2. punkta b), c) un d) apakšpunktā paredzēto informāciju un ieteikumus.

3.   Šā panta 1. punktā minētais paziņojums datu subjektam nav jāsniedz, ja ir izpildīts kāds no šiem nosacījumiem:

a)

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus, un minētie pasākumi ir piemēroti operatīvajiem personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas operatīvos personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)

pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)

tas prasītu nesamērīgi lielas pūles. Tādā gadījumā tā vietā izmanto publisku paziņojumu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4.   Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, Eiropas datu aizsardzības uzraudzītājs, apsvēris iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīts kāds no 3. punktā minētajiem nosacījumiem.

5.   Šā panta 1. punktā minēto paziņošanu datu subjektam var atlikt, ierobežot vai neveikt, ievērojot nosacījumus un pamatojoties uz iemesliem, kas minēti 79. panta 3. punktā.

94. pants

Operatīvo personas datu nosūtīšana trešām valstīm un starptautiskām organizācijām

1.   Ievērojot Savienības struktūras, biroja vai aģentūras izveides tiesību aktā noteiktos ierobežojumus un nosacījumus, pārzinis operatīvos personas datus var nosūtīt trešai valstij vai starptautiskai organizācijai, ja šāda nosūtīšana ir nepieciešama pārziņa uzdevumu izpildei, un tikai tad, ja ir izpildīti šā panta nosacījumi, proti:

a)

Komisija saskaņā ar Direktīvas (ES) 2016/680 36. panta 3. punktu ir pieņēmusi lēmumu par pietiekamību, kurā tā secina, ka trešā valsts vai teritorija vai apstrādājošais sektors minētajā trešā valstī vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni;

b)

ja nav Komisijas lēmuma par pietiekamību atbilstīgi a) apakšpunktam, starp Savienību un minēto trešo valsti vai starptautisko organizāciju saskaņā ar LESD 218. pantu ir noslēgts starptautisks nolīgums, kas nodrošina pietiekamus aizsardzības pasākumus attiecībā uz privātuma un personu pamattiesību un pamatbrīvību aizsardzību;

c)

ja nav Komisijas lēmuma par pietiekamību atbilstīgi a) apakšpunktam vai ja nav starptautiska nolīguma, kas minēts b) apakšpunktā, pirms attiecīgās Savienības struktūras, biroja vai aģentūras izveides tiesību akta piemērošanas dienas starp minēto Savienības struktūru, biroju vai aģentūru un attiecīgo trešo valsti ir noslēgts sadarbības nolīgums, kurā ir paredzēta apmaiņa ar operatīvajiem personas datiem.

2.   Savienības struktūru, biroju un aģentūru izveides tiesību aktos var ietvert vai ar tiem var ieviest detalizētākus noteikumus par to, kādi ir operatīvo personas datu starptautiskās nosūtīšanas nosacījumi, jo īpaši par personas datu nosūtīšanu, nodrošinot pienācīgas garantijas un piemērojot atkāpes īpašās situācijās.

3.   Pārzinis savā tīmekļa vietnē publisko un atjaunina sarakstu, kurā iekļauti lēmumi par pietiekamību, kas minēti 1. punkta a) apakšpunktā, nolīgumi, administratīvās vienošanās un citi instrumenti, kas attiecas uz operatīvo personas datu nosūtīšanu saskaņā ar 1. punktu.

4.   Pārzinis veic detalizētu uzskaiti par visiem nosūtīšanas gadījumiem, kas veikti, ievērojot šo pantu.

95. pants

Tiesas izmeklēšanas un kriminālprocesa konfidencialitāte

Ar tādu Savienības struktūru, biroju vai aģentūru izveides tiesību aktiem, kuras veic darbības, uz ko attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, var noteikt, ka Eiropas datu aizsardzības uzraudzītājam, īstenojot savas uzraudzības pilnvaras, ir pienākums maksimāli respektēt tiesas izmeklēšanas un kriminālprocesa konfidencialitāti saskaņā ar Savienības vai dalībvalsts tiesību aktiem.

X NODAĻA

ĪSTENOŠANAS AKTI

96. pants

Komiteju procedūra

1.   Komisijai palīdz komiteja, kas izveidota ar Regulas (ES) 2016/679 93. pantu. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē.

2.   Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

XI NODAĻA

PĀRSKATĪŠANA

97. pants

Pārskatīšanas klauzula

Ne vēlāk 2022. gada 30. aprīlī un pēc tam ik pēc pieciem gadiem Komisija iesniedz Eiropas Parlamentam un Padomei ziņojumu par šīs regulas piemērošanu, ja vajadzīgs, kopā ar attiecīgiem tiesību aktu priekšlikumiem.

98. pants

Savienības tiesību aktu pārskatīšana

1.   Līdz 2022. gada 30. aprīlim Komisija pārskata uz Līgumu pamata pieņemtos tiesību aktus, kuri regulē operatīvo personas datu apstrādi, ko veic Savienības struktūras, biroji un aģentūras, īstenojot darbības, uz kurām attiecas LESD trešās daļas V sadaļas 4. vai 5. nodaļa, lai

a)

novērtētu to saskanību ar Direktīvu (ES) 2016/680 un šīs regulas IX nodaļu;

b)

apzinātu atšķirības, kas var traucēt operatīvo personas datu apmaiņai starp Savienības struktūrām, birojiem vai aģentūrām, tām darbojoties minētajās jomās, un kompetentajām iestādēm; un

c)

apzinātu atšķirības, kas var izraisīt datu aizsardzības tiesību aktu juridisko sadrumstalotību Savienībā.

2.   Pamatojoties uz pārskatīšanu, nolūkā nodrošināt fizisku personu vienādu un konsekventu aizsardzību attiecībā uz apstrādi Komisija var iesniegt attiecīgus leģislatīvu aktu priekšlikumus, jo īpaši nolūkā piemērot šīs regulas IX nodaļu Eiropolam un Eiropas Prokuratūrai un kas ietver šīs regulas IX nodaļas pielāgojumus.

XII NODAĻA

NOBEIGUMA NOTEIKUMI

99. pants

Regulas (EK) Nr. 45/2001 un Lēmuma Nr. 1247/2002/EK atcelšana

Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK atceļ no 2018. gada 11. decembra. Atsauces uz atcelto regulu un atcelto lēmumu uzskata par atsaucēm uz šo regulu.

100. pants

Pārejas pasākumi

1.   Šī regula neietekmē Eiropas Parlamenta un Padomes Lēmumu Nr. 2014/886/ES (20) un Eiropas datu aizsardzības uzraudzītāja un uzraudzītāja palīga pilnvaru laikus.

2.   Uzraudzītāja palīgs ir līdzvērtīgs Tiesas sekretāram attiecībā uz to, kā nosaka atalgojumu, pabalstus, izdienas pensijas un jebkuru citu atlīdzību, ko saņem kā atalgojumu.

3.   Uz pašreizējo uzraudzītāja palīgu līdz pilnvaru termiņa beigām ir attiecināms regulas 53. panta 4., 5. un 7. punkts un 55. un 56. pants.

4.   Uzraudzītāja palīgs palīdz Eiropas datu aizsardzības uzraudzītājam visu tā pienākumu izpildē un aizvieto Eiropas datu aizsardzības uzraudzītāju viņa prombūtnes laikā vai tad, kad viņš nevar pildīt savus pienākumus, līdz uzraudzītāja palīga pilnvaru termiņa beigām.

101. pants

Stāšanās spēkā un piemērošana

1.   Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2.   Taču personas datu apstrādei, ko veic Eurojust, šo regulu piemēro no 2019. gada 12. decembris.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Strasbūrā, 2018. gada 23. oktobrī

Eiropas Parlamenta vārdā

priekšsēdētājs

A. TAJANI

Padomes vārdā

priekšsēdētāja

K. EDTSTADLER


(1)  OV C 288, 31.8.2017., 107. lpp.

(2)  Eiropas Parlamenta 2018. gada 13. septembra nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2018. gada 11. oktobra lēmums.

(3)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).

(4)  Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).

(5)  Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV L 119, 4.5.2016., 89. lpp.).

(6)  Padomes Direktīva 93/13/EEK (1993. gada 5. aprīlis) par negodīgiem noteikumiem patērētāju līgumos (OV L 95, 21.4.1993., 29. lpp.).

(7)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 1338/2008 (2008. gada 16. decembris) attiecībā uz Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā (OV L 354, 31.12.2008., 70. lpp.).

(8)  Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (Direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37. lpp.).

(9)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).

(10)  OV L 56, 4.3.1968., 1. lpp.

(11)  Eiropas Parlamenta un Padomes Regula (ES) Nr. 182/2011 (2011. gada 16. februāris), ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).

(12)  Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (2009. gada 11. marts) par Eiropas statistiku un ar ko atceļ Eiropas Parlamenta un Padomes Regulu (EK, Euratom) Nr. 1101/2008 par tādas statistikas informācijas nosūtīšanu Eiropas Kopienu Statistikas birojam, uz kuru attiecas konfidencialitāte, Padomes Regulu (EK) Nr. 322/97 par Kopienas statistiku un Padomes Lēmumu 89/382/EEK, Euratom, ar ko nodibina Eiropas Kopienu Statistikas programmu komiteju (OV L 87, 31.3.2009., 164. lpp.).

(13)  Eiropas Parlamenta, Padomes un Komisijas Lēmums Nr. 1247/2002/EK (2002. gada 1. jūlijs), ar ko paredz Eiropas datu aizsardzības uzraudzītāja uzdevumu izpildes reglamentu un vispārējos noteikumus (OV L 183, 12.7.2002., 1. lpp.).

(14)  OV C 164, 24.5.2017., 2. lpp.

(15)  Eiropas Parlamenta un Padomes Regula (ES) 2016/794 (2016. gada 11. maijs) par Eiropas Savienības Aģentūru tiesībaizsardzības sadarbībai (Eiropolu) un ar kuru aizstāj un atceļ Padomes Lēmumus 2009/371/TI, 2009/934/TI, 2009/935/TI, 2009/936/TI un 2009/968/TI (OV L 135, 24.5.2016., 53. lpp.).

(16)  Padomes Regula (ES) 2017/1939 (2017. gada 12. oktobris), ar ko īsteno ciešāku sadarbību Eiropas Prokuratūras izveidei (“EPPO”) (OV L 283, 31.10.2017., 1. lpp.).

(17)  Eiropas Parlamenta un Padomes Direktīva (ES) 2015/1535 (2015. gada 9. septembris), ar ko nosaka informācijas sniegšanas kārtību tehnisko noteikumu un Informācijas sabiedrības pakalpojumu noteikumu jomā (OV L 241, 17.9.2015., 1. lpp.).

(18)  Komisijas Direktīva 2008/63/EK (2008. gada 20. jūnijs) par konkurenci telekomunikāciju termināliekārtu tirgos (OV L 162, 21.6.2008., 20. lpp.).

(19)  Padomes Lēmums 2009/917/TI (2009. gada 30. novembris) par informācijas tehnoloģiju izmantošanu muitas vajadzībām (OV L 323, 10.12.2009., 20. lpp.).

(20)  Eiropas Parlamenta un Padomes Lēmums 2014/886/ES (2014. gada 4. decembris), ar ko ieceļ Eiropas datu aizsardzības uzraudzītāju un uzraudzītāja palīgu (OV L 351, 9.12.2014., 9. lpp.).


21.11.2018   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 295/99


EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2018/1726

(2018. gada 14. novembris)

par Eiropas Savienības Aģentūru lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā (eu-LISA) un ar ko groza Regulu (EK) Nr. 1987/2006 un Padomes Lēmumu 2007/533/TI un atceļ Regulu (ES) Nr. 1077/2011

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 74. pantu, 77. panta 2. punkta a) un b) apakšpunktu, 78. panta 2. punkta e) apakšpunktu, 79. panta 2. punkta c) apakšpunktu, 82. panta 1. punkta d) apakšpunktu, 85. panta 1. punktu, 87. panta 2. punkta a) apakšpunktu un 88. panta 2. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

saskaņā ar parasto likumdošanas procedūru (1),

tā kā:

(1)

Ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 1987/2006 (2) un Padomes Lēmumu 2007/533/TI (3) tika izveidota Šengenas Informācijas sistēma (SIS II). Regulā (EK) Nr. 1987/2006 un Lēmumā 2007/533/TI ir noteikts, ka pārejas posmā par SIS II centrālās sistēmas (centrālā SIS II) darbības pārvaldību atbild Komisija. Pēc pārejas posma beigām par centrālās SIS II darbības pārvaldību un konkrētiem komunikāciju infrastruktūras aspektiem ir atbildīga pārvaldības iestāde.

(2)

Ar Padomes Lēmumu 2004/512/EK (4) ir izveidota Vīzu informācijas sistēma (VIS). Eiropas Parlamenta un Padomes Regulā (EK) Nr. 767/2008 (5) ir noteikts, ka pārejas posmā par VIS darbības pārvaldību atbild Komisija. Pēc minētā pārejas posma beigām par centrālās VIS un valstu saskarņu darbības pārvaldību un konkrētiem komunikāciju infrastruktūras aspektiem ir atbildīga pārvaldības iestāde.

(3)

Ar Padomes Regulu (EK) Nr. 2725/2000 (6) tika izveidota sistēma Eurodac. Vajadzīgie īstenošanas noteikumi tika paredzēti ar Padomes Regulu (EK) Nr. 407/2002 (7). Minētie tiesību akti no 2015. gada 20. jūlija tika atcelti un aizstāti ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 603/2013 (8).

(4)

Eiropas Aģentūra lielapjoma IT (informācijas tehnoloģiju) sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā, kuru parasti dēvē par eu-LISA, tika izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1077/2011 (9), lai brīvības, drošības un tiesiskuma telpā nodrošinātu SIS, VIS un Eurodac un konkrētu komunikāciju infrastruktūras aspektu darbības pārvaldību un potenciāli arī citu lielapjoma IT sistēmu darbības pārvaldību, ja par tām pieņemti atsevišķi Savienības tiesību akti. Regula (ES) Nr. 1077/2011 tika grozīta ar Regulu (ES) Nr. 603/2013, lai ņemtu vērā sistēmā Eurodac ieviestās izmaiņas.

(5)

Ņemot vērā to, ka pārvaldības iestādei bija jābūt tiesiski, administratīvi un finansiāli autonomai, tā tika izveidota kā regulatīva aģentūra (“aģentūra”), kas ir tiesību subjekts. Saskaņā ar vienošanos aģentūras mītne tika izveidota Tallinā (Igaunija). Tomēr sakarā ar to, ka ar SIS II un VIS tehnisko izstrādi un darbības pārvaldības sagatavošanu saistītie uzdevumi jau tiek pildīti Strasbūrā (Francijā) un ka šo sistēmu dublējuma birojs tika izveidots Sanktjohannā (Austrijā), ņemot vērā arī SIS II un VIS atrašanās vietas, kas izveidotas atbilstīgi Savienības tiesību aktiem, tam tā vajadzētu būt arī turpmāk. Abos minētajos birojos arī turpmāk attiecīgi jāveic ar Eurodac darbības pārvaldību saistītie uzdevumi un jāizveido Eurodac dublējuma birojs. Tāpat abos minētajos birojos būtu jāpilda uzdevumi, kas saistīti ar attiecīgi citu lielapjoma IT sistēmu brīvības, drošības un tiesiskuma telpā tehnisko izstrādi, darbības pārvaldību un dublējuma biroju, kurš spētu nodrošināt lielapjoma IT sistēmas darbību tās atteices gadījumā. Lai maksimāli palielinātu dublējuma biroja varbūtējo izmantošanu, minēto biroju varētu izmantot arī tālab, lai sistēmas izmantotu vienlaikus, ar noteikumu, ka tas joprojām spēj nodrošināt to darbību vienas vai vairāku sistēmu atteices gadījumā. Ņemot vērā eu-LISA pārvaldīto sistēmu augsto drošības, pieejamības un uzdevumu svarīguma līmeni, gadījumā, ja esošo tehnisko biroju mitināšanas kapacitāte kļūst nepietiekama, aģentūras valdei (valde) vajadzētu būt iespējamam ierosināt minēto sistēmu mitināšanai izveidot otru atsevišķu tehnisko biroju Strasbūrā vai Sanktjohannā, vai vajadzības gadījumā abās vietās, ja tas ir pamatots ar neatkarīgu ietekmes novērtējumu un izmaksu un ieguvumu analīzi. Valdei būtu jākonsultējas ar Komisiju un jāņem vērā tās viedoklis pirms paziņošanas Eiropas Parlamentam un Padomei (“budžeta lēmējinstitūcija”) par savu nodomu īstenot jebkādu projektu, kas saistīts ar īpašumu.

(6)

Kopš 2012. gada 1. decembra, kad aģentūra sāka pildīt savus pienākumus, tā pārņēma uzdevumus, kas ar Regulu (EK) Nr. 767/2008 un Padomes Lēmumu 2008/633/TI (10) bija uzticēti pārvaldības iestādei saistībā ar VIS. Aģentūra 2013. gada aprīlī pārņēma arī uzdevumus, kuri ar Regulu (EK) Nr. 1987/2006 un Lēmumu 2007/533/TI bija uzticēti pārvaldības iestādei saistībā ar SIS II – pēc tam, kad SIS II bija uzsākusi savu darbību, un 2013. gada jūnijā tā pārņēma uzdevumus, kuri ar Regulu (EK) Nr. 2725/2000 un Regulu (EK) Nr. 407/2002 bija uzticēti Komisijai saistībā ar Eurodac.

(7)

Aģentūras darba pirmajā izvērtējumā, kas balstīts uz neatkarīgu ārēju novērtējumu un veikts laikā no 2015. līdz 2016. gadam, tika secināts, ka aģentūra efektīvi nodrošina lielapjoma IT sistēmu darbības pārvaldību un citus tai uzticētos uzdevumus, kā arī tas, ka Regulā (ES) Nr. 1077/2011 ir vajadzīgas vairākas izmaiņas, piemēram, to komunikāciju infrastruktūras uzdevumu nodošana aģentūrai, kurus saglabājusi Komisija. Komisija, balstoties uz ārējo novērtējumu, ņēma vērā politisko, juridisko un faktisko aspektu attīstību un savā 2017. gada 29. jūnija ziņojumā par to, kā darbojas Eiropas Aģentūra lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā (eu-LISA) (novērtējuma ziņojums), jo īpaši ierosināja paplašināt aģentūras pilnvaras, lai tā pildītu uzdevumus, kas izriet no likumdevēju pieņemtajiem leģislatīvajiem priekšlikumiem, ar kuriem aģentūrai tiek uzticētas jaunas sistēmas, un uzdevumus, kas minēti Komisijas 2016. gada 6. aprīļa paziņojumā “Spēcīgākas un viedākas robežu un drošības informācijas sistēmas”, augsta līmeņa ekspertu grupas informācijas sistēmu un sadarbspējas jautājumos 2017. gada 11. maija galīgajā ziņojumā un Komisijas 2017. gada 16. maija paziņojumā “Septītais progresa ziņojums virzībā uz efektīvu un patiesu drošības savienību”, ja vajadzības gadījumā tiek pieņemti attiecīgi Savienības tiesību akti. Aģentūrai jo īpaši būtu jāuzdod izstrādāt risinājumus attiecībā uz sadarbspēju, kas 2016. gada 6. aprīļa paziņojumā definēta kā informācijas sistēmu spēja apmainīties ar datiem un nodrošināt iespēju dalīties informācijā.

Ja vajadzīgs, visi pasākumi attiecībā uz sadarbspēju jāīsteno pēc norādījumiem Komisijas 2017. gada 23. marta paziņojumā “Eiropas sadarbspējas satvars – Īstenošanas stratēģija”. Minētā paziņojuma 2. pielikumā sniegtas vispārīgas pamatnostādnes, ieteikumi un labas prakses piemēri, kā, izstrādājot, īstenojot un pārvaldot Eiropas publiskos pakalpojumus, panākt sadarbspēju vai vismaz radīt apstākļus lielākas sadarbspējas sasniegšanai.

(8)

Minētajā novērtējuma ziņojumā arī secināts, ka aģentūras pilnvaras būtu jāpaplašina, lai ļautu tai dot padomus dalībvalstīm saistībā ar valstu sistēmu savienojumu ar tās pārvaldīto lielapjoma IT sistēmu centrālajām sistēmām (“sistēmas”) un pēc pieprasījuma sniegt ad hoc palīdzību un atbalstu un sniegt palīdzību un atbalstu Komisijas dienestiem tehniskos jautājumos, kas saistīti ar jaunām sistēmām.

(9)

Aģentūrai būtu jāuztic tās ieceļošanas/izceļošanas sistēmas (IIS) sagatavošana, izstrāde un darbības pārvaldība, kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) 2017/2226 (11).

(10)

Aģentūrai būtu arī jāuztic tīkla DubliNet – atsevišķa droša elektroniskās datu pārraides kanāla – darbības pārvaldība, kurš izveidots ar 18. pantu Komisijas Regulā (EK) Nr. 1560/2003 (12), kas dalībvalstu kompetentajām patvēruma iestādēm būtu jāizmanto apmaiņai ar informāciju par starptautiskās aizsardzības pieteikuma iesniedzējiem.

(11)

Aģentūrai būtu arī jāuztic ar Eiropas Parlamenta un Padomes Regulu (ES) 2018/1240 (13) izveidotās Eiropas ceļošanas informācijas un atļauju sistēmas (ETIAS) sagatavošana, izstrāde un darbības pārvaldība.

(12)

Aģentūras galvenajai funkcijai arī turpmāk vajadzētu būt pildīt SIS II, VIS, Eurodac, IIS, DubliNet, ETIAS un – ja pieņems tādu lēmumu – arī citu brīvības, drošības un tiesiskuma telpas lielapjoma IT sistēmu darbības pārvaldības uzdevumus. Aģentūrai būtu jāatbild arī par tehniskiem pasākumiem, ko prasa tai uzticētie nenormatīvie uzdevumi. Minētajiem pienākumiem nebūtu jāskar normatīvie uzdevumi, kuri ar attiecīgajiem Savienības tiesību aktiem, kas reglamentē sistēmas, ir uzticēti Komisijai vienai pašai vai Komisijai, kam palīdz komiteja.

(13)

Aģentūrai būtu jāspēj īstenot tehniskus risinājumus nolūkā izpildīt pieejamības prasības, kas noteiktas Savienības tiesību aktos, ar ko reglamentē sistēmas, vienlaikus pilnībā ievērojot minēto aktu īpašos noteikumus attiecībā uz attiecīgo sistēmu tehnisko uzbūvi. Ja minētajiem tehniskajiem risinājumiem ir vajadzīga sistēmas vai tās sastāvdaļu dublēšana, būtu jāveic neatkarīgs ietekmes novērtējums un izmaksu un ieguvumu analīze un valdei pēc konsultēšanās ar Komisiju būtu jāpieņem lēmums. Minētajā ietekmes novērtējumā būtu arī jāizvērtē tādu esošo tehnisko biroju mitināšanas kapacitātes vajadzības, kuri ir saistīti ar šādu tehnisko risinājumu izstrādāšanu un iespējamiem riskiem, kas saistīti ar pašreizējās darbības konfigurāciju.

(14)

Vairs nav pamatoti Komisijai pildīt dažus uzdevumus, kas saistīti ar sistēmu komunikāciju infrastruktūru, un komunikāciju infrastruktūras saskaņotākas pārvaldības labad minētie uzdevumi tāpēc būtu jānodod aģentūrai. Tomēr Komisijai būtu jāpatur uzdevumi, kas saistīti ar budžeta izpildi, iegādi un atjaunošanu un līgumiskiem jautājumiem, attiecībā uz tām sistēmām, kuras izmanto EuroDomain, drošu komunikāciju infrastruktūru, kuru nodrošina TESTA-ng (jaunās paaudzes Eiropas telemātikas pakalpojumu tīkls drošai apmaiņai starp valsts pārvaldes iestādēm) un kura ieviesta kā daļa no programmas ISA, kas tika izveidota ar Eiropas Parlamenta un Padomes Lēmumu Nr. 922/2009/EK (14), un kura turpināja darboties kā daļa no programmas ISA2, kas tika izveidota ar Eiropas Parlamenta un Padomes Lēmumu (ES) 2015/2240 (15).

(15)

Aģentūrai vajadzētu būt iespējamam ar komunikāciju infrastruktūras piegādi, uzstādīšanu, uzturēšanu un uzraudzību saistītos uzdevumus uzticēt ārējām privātā sektora vienībām vai struktūrām, ievērojot Eiropas Parlamenta un Padomes Regulu (ES, Euratom) 2018/1046 (16). Aģentūras rīcībā vajadzētu būt pietiekamiem budžeta un personāla resursiem, lai varētu pēc iespējas ierobežot vajadzību deleģēt savus uzdevumus un pienākumus ārējām privātā sektora vienībām vai struktūrām.

(16)

Aģentūrai būtu arī turpmāk jāveic uzdevumi, kas saistīti ar mācībām par SIS II, VIS un Eurodac un citu tai nākotnē uzticētu sistēmu tehnisko izmantojumu.

(17)

Lai sekmētu uz pierādījumiem balstītas Savienības migrācijas un drošības politikas veidošanu un sistēmu pienācīgas darbības pārraudzību, aģentūrai būtu jāapkopo un jāpublicē statistika un jāizstrādā statistikas ziņojumi, un saskaņā ar Savienības tiesību aktiem, ar ko reglamentē sistēmas, jādara tie pieejami attiecīgajiem dalībniekiem, piemēram, lai pārraudzītu Padomes Regulas (ES) Nr. 1053/2013 (17) īstenošanu un veiktu riska analīzi un neaizsargātības novērtējumu saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/1624 (18).

(18)

Vajadzētu būt iespējamam paredzēt, ka aģentūra ir atbildīga par papildu lielapjoma IT sistēmu sagatavošanu, izstrādi un darbības pārvaldību saskaņā ar Līguma par Eiropas Savienības darbību (LESD) 67. līdz 89. pantu. Iespējami šādu sistēmu piemēri varētu būt centralizēta sistēma, kas izveidota Eiropas Sodāmības reģistru informācijas sistēmas papildināšanai un atbalstam tādu dalībvalstu identificēšanai, kurām ir informācija par notiesājošiem spriedumiem par trešo valstu valstspiederīgajiem un bezvalstniekiem (ECRIS-TCN sistēma), vai datorizēta sistēma pārrobežu saziņai civillietās un krimināllietās (e-CODEX). Tomēr šādas sistēmas aģentūrai būtu jāuztic tikai ar vēlākā posmā pieņemtiem un atsevišķiem Savienības tiesību aktiem, pirms tam veicot ietekmes novērtējumu.

(19)

Būtu jāpaplašina aģentūras pilnvaras attiecībā uz izpēti, lai tā spētu proaktīvāk ierosināt būtiskas un nepieciešamas tehniskas izmaiņas sistēmās. Aģentūrai būtu ne vien jāspēj pārraudzīt ar sistēmu darbības pārvaldību saistītās izpētes darbības, bet arī būtu jāspēj palīdzēt īstenot Eiropas Savienības Pētniecības un inovācijas pamatprogrammas attiecīgās daļas, ja Komisija ir deleģējusi aģentūrai attiecīgas pilnvaras. Vismaz reizi gadā aģentūrai būtu jāsniedz Eiropas Parlamentam, Padomei un, ar personas datu apstrādi saistītos gadījumos, Eiropas Datu aizsardzības uzraudzītājam informācija par šādu pārraudzību.

(20)

Komisijai vajadzētu būt iespējamam uzticēt aģentūrai atbildību par tādu eksperimentālas dabas izmēģinājuma projektu īstenošanu, kas paredzēti, lai pārbaudītu lietderību un noderīgumu pasākumiem, kurus var īstenot bez pamatakta saskaņā ar Regulu (ES, Euratom) 2018/1046. Turklāt Komisijai vajadzētu būt iespējamam – saskaņā ar Regulu (ES, Euratom) 2018/1046 un pēc tam, kad tā ir informējusi Eiropas Parlamentu, – uzticēt aģentūrai budžeta izpildes uzdevumus, lai sagatavotu koncepcijas pamatojumus, ko finansē ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 515/2014 (19) izveidoto finansiāla atbalsta instrumentu ārējām robežām un vīzām. Aģentūrai vajadzētu būt arī iespējamam plānot un īstenot testēšanas darbības tikai jautājumos, uz kuriem attiecas šī regula un Savienības tiesību akti, kas reglamentē sistēmu izstrādi, izveidi, darbību un izmantojumu, piemēram, testēt virtualizācijas koncepcijas. Gadījumos, kad aģentūrai uzdots īstenot izmēģinājuma projektu, tai būtu jāpievērš īpaša uzmanība Eiropas Savienības Informācijas pārvaldības stratēģijai.

(21)

Aģentūrai pēc dalībvalstu lūguma būtu tās jākonsultē par valsts sistēmu savienojumu ar centrālajām sistēmām, kurš paredzēts Savienības tiesību aktos, ar ko reglamentē šīs sistēmas.

(22)

Būtu jāparedz, ka aģentūra pēc dalībvalstu lūguma sniedz tām arī ad hoc atbalstu, ievērojot šajā regulā izklāstīto procedūru, ja radušās neparedzētas problēmas vai vajadzības drošības vai migrācijas jomā. Jo īpaši, dalībvalstij būtu jāspēj prasīt darbības un tehnisku pastiprinājumu un paļauties uz to gadījumā, ja minētā dalībvalsts konkrētās tās ārējo robežu zonās saskaras ar konkrētām un nesamērīgi lielām migrācijas problēmām, kam raksturīgas lielas uz ieceļošanu vērstas migrācijas plūsmas. Būtu jāparedz, ka šādus pastiprinājumus karsto punktu zonās sniedz migrācijas pārvaldības atbalsta vienības, kuras sastāv no attiecīgo Savienības aģentūru ekspertiem. Ja šādā sakarā ir nepieciešams aģentūras atbalsts jautājumos, kas saistīti ar sistēmām, attiecīgajai dalībvalstij būtu jāpārsūta atbalsta pieprasījums Komisijai, kurai pēc novērtēšanas, ka šāds atbalsts patiešām ir pamatots, atbalsta pieprasījums būtu nekavējoties jāpārsūta aģentūrai. Aģentūrai par šādiem pieprasījumiem būtu jāinformē valde. Komisijai būtu arī jāuzrauga tas, vai aģentūra uz ad hoc atbalsta pieprasījumu atbild laicīgi. Aģentūras gada darbības pārskatā būtu jāiekļauj detalizēta informācija par pasākumiem, ko aģentūra ir veikusi, lai sniegtu ad hoc atbalstu dalībvalstīm, un par izmaksām, kas radušās šajā sakarā.

(23)

Būtu jāparedz, ka aģentūra pēc pieprasījuma arī sniedz atbalstu Komisijas dienestiem tehniskos jautājumos, kas saistīti ar esošām vai jaunām sistēmām, jo īpaši nolūkā sagatavot jaunus priekšlikumus par lielapjoma IT sistēmām, kuras tiks uzticētas aģentūrai.

(24)

Dalībvalstu grupai vajadzētu būt iespējamam uzticēt aģentūrai kopīga IT komponenta izstrādi, pārvaldību un/vai mitināšanu, lai šīm dalībvalstīm palīdzētu īstenot tādu pienākumu tehniskos aspektus, kuri izriet no Savienības tiesību aktiem par decentralizētām IT sistēmām brīvības, drošības un tiesiskuma telpā. Tas būtu jāpaveic, neskarot minēto dalībvalstu pienākumus saskaņā ar piemērojamiem Savienības tiesību aktiem, jo īpaši attiecībā uz šo sistēmu arhitektūru. Tam būtu nepieciešams iepriekšējs Komisijas apstiprinājums, jāsaņem pozitīvs valdes lēmums, tas būtu jāatspoguļo deleģēšanas līgumā starp attiecīgajām dalībvalstīm un aģentūru un pilnībā jāfinansē attiecīgajām dalībvalstīm. Aģentūrai būtu jāinformē Eiropas Parlaments un Padome par apstiprināto deleģēšanas nolīgumu un visiem grozījumiem tajā. Citām dalībvalstīm jāspēj piedalīties šādā kopīgā IT risinājumā ar noteikumu, ka šī iespēja ir paredzēta deleģēšanas nolīgumā un ka tajā veikti nepieciešamie grozījumi. Šim uzdevumam nevajadzētu negatīvi ietekmēt sistēmu darbības pārvaldību, ko veic aģentūra.

(25)

Brīvības, drošības un tiesiskuma telpas lielapjoma IT sistēmu darbības pārvaldības uzticēšana aģentūrai nedrīkstētu ietekmēt konkrētos noteikumus, ko piemēro šādām sistēmām. Jo īpaši pilnībā piemērojami konkrētie noteikumi, kas reglamentē mērķi, piekļuves tiesības, drošības pasākumus un turpmākas datu aizsardzības prasības katrai šādai sistēmai.

(26)

Lai efektīvi uzraudzītu aģentūras darbību, dalībvalstīm un Komisijai vajadzētu būt pārstāvētām valdē. Būtu jāparedz, ka valdei tiek piešķirtas funkcijas, kas vajadzīgas, lai jo īpaši pieņemtu gada darba programmu, pildītu funkcijas saistībā ar aģentūras budžetu, pieņemtu aģentūrai piemērojamos finanšu noteikumus un izstrādātu kārtību, kādā izpilddirektors pieņem lēmumus par aģentūras darbības uzdevumiem. Valdei vajadzētu pildīt šos uzdevumus efektīvi un pārredzami. Pēc Komisijas rīkotas atbilstošas atlases procedūras un pēc izvirzīto kandidātu uzklausīšanas kompetentajā Eiropas Parlamenta komitejā vai komitejās valdei būtu jāieceļ arī izpilddirektors.

(27)

Ņemot vērā, ka līdz 2020. gadam būs ievērojami palielinājies aģentūrai uzticēto lielapjoma IT sistēmu skaits un ka aģentūras uzdevumi tiek būtiski paplašināti, līdz 2020. gadam gaidāms atbilstoši liels aģentūras personāla skaita palielinājums. Tādēļ būtu jāizveido aģentūras izpilddirektora vietnieka amats, ņemot vērā arī to, ka uzdevumiem, kas attiecas uz sistēmu izstrādi un darbības pārvaldību, būs nepieciešama lielāka un īpaša uzraudzība un ka aģentūras galvenā mītne un tehniskie biroji atrodas trijās dalībvalstīs. Izpilddirektora vietnieks būtu jāieceļ valdei.

(28)

Aģentūra būtu jāvada un tai būtu jādarbojas, ņemot vērā Vienotās pieejas par decentralizētajām Savienības aģentūrām principus, ko 2012. gada 19. jūlijā pieņēma Eiropas Parlaments, Padome un Komisija.

(29)

Attiecībā uz SIS II gan Eiropas Savienības Aģentūrai tiesībaizsardzības sadarbībai (Eiropols), gan Eiropas Tiesiskās sadarbības vienībai (Eurojust), kuriem abiem ir tiesības piekļūt un tieši meklēt datus, kas ievadīti SIS II saskaņā ar Lēmumu 2007/533/TI, būtu jāpiešķir novērotāja statuss valdes sanāksmēs, kad darba kārtībā ir jautājums par minētā lēmuma piemērošanu. Eiropas Robežu un krasta apsardzes aģentūrai, kurai ir tiesības piekļūt un veikt meklēšanu SIS II saskaņā ar Regulu (ES) 2016/1624 būtu jāpiešķir novērotāja statuss valdes sanāksmēs, ja darba kārtībā ir jautājums, kas saistīts ar minētās regulas piemērošanu. Būtu jāparedz, ka Eiropols, Eurojust un Eiropas Robežu un krasta apsardzes aģentūra var iecelt pārstāvi SIS II padomdevēju grupā, kas izveidota saskaņā ar šo regulu.

(30)

Attiecībā uz VIS būtu jāparedz, ka Eiropolam ir novērotāja statuss valdes sanāksmēs, ja darba kārtībā ir jautājums par Lēmuma 2008/633/TI piemērošanu. Būtu jāparedz, ka Eiropols var iecelt pārstāvi VIS padomdevēju grupā, kas izveidota atbilstīgi šai regulai.

(31)

Attiecībā uz Eurodac būtu jāparedz, ka Eiropolam ir novērotāja statuss valdes sanāksmēs, ja darba kārtībā ir jautājums par Regulas (ES) Nr. 603/2013 piemērošanu. Būtu jāparedz, ka Eiropols var iecelt pārstāvi Eurodac padomdevēju grupā, kas izveidota saskaņā ar šo regulu.

(32)

Attiecībā uz IIS būtu jāparedz, ka Eiropolam ir novērotāja statuss valdes sanāksmēs, ja darba kārtībā ir jautājums saistībā ar Regulu (ES) 2017/2226.

(33)

Attiecībā uz ETIAS būtu jāparedz, ka Eiropolam ir novērotāja statuss valdes sanāksmēs, ja darba kārtībā ir jautājums saistībā ar Regulu (ES) 2018/1240. Būtu jāparedz, ka arī Eiropas Robežu un krasta apsardzes aģentūrai ir novērotāja statuss valdes sanāksmēs, ja darba kārtībā ir jautājums par ETIAS, kas saistīts ar minētās regulas piemērošanu. Būtu jāparedz, ka Eiropols un Eiropas Robežu un krasta apsardzes aģentūra var iecelt pārstāvi IIS-ETIAS padomdevēju grupā, kas izveidota saskaņā ar šo regulu.

(34)

Būtu jāparedz, ka dalībvalstīm ir balsstiesības valdē ar lielapjoma IT sistēmu saistītos jautājumos, ja tām atbilstīgi Savienības tiesību aktiem saistības uzliek kāds Savienības tiesību akts, kas reglamentē attiecīgās sistēmas izstrādi, izveidi, darbību un izmantojumu. Būtu jāparedz, ka arī Dānijai ir balsstiesības ar lielapjoma IT sistēmu saistītos jautājumos, ja tā saskaņā ar 4. pantu Protokolā Nr. 22 par Dānijas nostāju, kas pievienots Līgumam par Eiropas Savienību (LES) un LESD, izlemj savos tiesību aktos ieviest Savienības tiesību aktu, kurš reglamentē konkrētās sistēmas izstrādi, izveidi, darbību un izmantojumu.

(35)

Dalībvalstīm būtu jāieceļ loceklis padomdevēju grupā lielapjoma IT sistēmas jautājumos, ja tām atbilstīgi Savienības tiesību aktiem saistības uzliek kāds Savienības tiesību akts, kas reglamentē attiecīgās sistēmas izstrādi, izveidi, darbību un izmantojumu. Arī Dānijai būtu jāieceļ loceklis padomdevēju grupā lielapjoma IT sistēmas jautājumos, ja tā saskaņā ar 4. pantu Protokolā Nr. 22 izlemj savos tiesību aktos ieviest Savienības tiesību aktu, kas reglamentē konkrētās sistēmas izstrādi, izveidi, darbību un izmantojumu. Padomdevēju grupām vajadzības gadījumā būtu savstarpēji jāsadarbojas.

(36)

Lai nodrošinātu aģentūras pilnīgu autonomiju un neatkarību un lai tai ļautu pienācīgi īstenot mērķus un veikt uzdevumus, kuri tai uzticēti ar šo regulu, tai būtu jāpiešķir atbilstošs un autonoms budžets ar ieņēmumiem no Savienības vispārējā budžeta. Uz aģentūras finansējumu būtu jāattiecina Eiropas Parlamenta un Padomes vienošanās, kā izklāstīts 31. punktā Eiropas Parlamenta, Padomes un Komisijas 2013. gada 2. decembra Iestāžu nolīgumā par budžeta disciplīnu, sadarbību budžeta jautājumos un pareizu finanšu pārvaldību (20). Būtu jāpiemēro Savienības budžeta un budžeta izpildes apstiprinājuma procedūras. Revīzijas palātai būtu jāveic finanšu pārskatu revīzija un pakārtoto darījumu likumības un pareizības revīzija.

(37)

Būtu jāparedz, ka aģentūra, lai sasniegtu savus mērķus un ciktāl tas nepieciešams tās uzdevumu izpildei, var sadarboties ar Savienības iestādēm, struktūrām, birojiem un aģentūrām, jo īpaši tām, kas izveidotas brīvības, drošības un tiesiskuma telpā, jautājumos, kurus aptver šī regula un Savienības tiesību akti, kas reglamentē sistēmu izstrādi, izveidi, darbību un izmantojumu, to darba vienošanos satvarā, kuras noslēgtas saskaņā ar Savienības tiesību aktiem un politiku un to attiecīgās kompetences robežās. Ja tā ir paredzēts Savienības tiesību aktā, aģentūrai arī būtu jāļauj sadarboties ar starptautiskām organizācijām un citām attiecīgām vienībām un tai šajā nolūkā būtu jāspēj noslēgt darba vienošanās. Šādas darba vienošanās būtu iepriekš jāapstiprina Komisijai, un tām būtu jāsaņem valdes atļauja. Vajadzības gadījumā aģentūrai būtu jākonsultējas arī ar Eiropas Savienības Tīklu un informācijas drošības aģentūru (ENISA), kura izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 526/2013 (21), par jautājumiem, kas saistīti ar tīklu un informācijas drošību, un, saņemot ieteikumus, jāveic pēcpasākumi.

(38)

Nodrošinot sistēmu izstrādi un darbības pārvaldību, aģentūrai būtu jāievēro Eiropas un starptautiskie standarti, ņemot vērā augstākās profesionālās prasības, jo īpaši Eiropas Savienības Informācijas pārvaldības stratēģiju.

(39)

Personas datu apstrādei, ko veic aģentūra, būtu jāpiemēro Regula (ES) 2018/1725 (22), neskarot noteikumus par datu aizsardzību, kas paredzēti Savienības tiesību aktos, kuri reglamentē sistēmu izstrādi, izveidi, darbību un izmantojumu, kam būtu jāatbilst Regulai (ES) 2018/1725. Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta Regula (ES) 2018/1725 un Savienības tiesību akti, kuri reglamentē sistēmas, aģentūrai būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu. Būtu jāparedz, ka Eiropas datu aizsardzības uzraudzītājs var saņemt no aģentūras piekļuvi visai informācijai, kas ir vajadzīga viņa veiktā izmeklēšanā. Saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (23) Komisija ir apspriedusies ar Eiropas datu aizsardzības uzraudzītāju, kurš 2017. gada 10. oktobrī sniedza atzinumu.

(40)

Lai nodrošinātu aģentūras darbības pārredzamību, būtu jāparedz, ka aģentūrai tiek piemērota Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (24). Aģentūrai būtu jānodrošina pēc iespējas lielāka pārredzamība attiecībā uz tās darbībām, neapdraudot tās darbības mērķa sasniegšanu. Tai būtu jāpublisko informācija par visām tās darbībām. Tai būtu arī jānodrošina, ka sabiedrībai un visām ieinteresētajām personām tiek nekavējoties sniegta informācija par tās darbu.

(41)

Saskaņā ar LESD 228. pantu Eiropas Ombudam būtu jāpārrauga aģentūras darbības.

(42)

Eiropas Parlamenta un Padomes Regula (ES, Euratom) Nr. 883/2013 (25) būtu jāpiemēro aģentūrai, kam būtu jāpievienojas Eiropas Parlamenta, Eiropas Savienības Padomes un Eiropas Kopienu Komisijas 1999. gada 25. maija Iestāžu nolīgumam par iekšējo izmeklēšanu, kuru veic Eiropas Birojs krāpšanas apkarošanai (OLAF(26).

(43)

Uz aģentūru būtu jāattiecina Padomes Regula (ES) 2017/1939 (27) par Eiropas Prokuratūras izveidi.

(44)

Lai nodrošinātu atklātus un pārredzamus nodarbinātības nosacījumus un vienlīdzīgu attieksmi pret darbiniekiem, uz darbiniekiem (tostarp aģentūras izpilddirektoru un izpilddirektora vietnieku) būtu jāattiecina Eiropas Savienības Civildienesta noteikumi (“Ierēdņu civildienesta noteikumi”) un Eiropas Savienības Pārējo darbinieku nodarbināšanas kārtība (“Pārējo darbinieku nodarbināšanas kārtība”), kas noteikti Regulā (EEK, Euratom, EOTK) Nr. 259/68 (28) (abi kopā – “Civildienesta noteikumi”), tostarp noteikumi par dienesta noslēpumu vai citas līdzvērtīgas prasības attiecībā uz konfidencialitāti.

(45)

Tā kā aģentūra ir Savienības izveidota struktūra Regulas (EK, Euratom) 2018/1046 nozīmē, tad aģentūrai būtu attiecīgi jāpieņem savi finanšu noteikumi.

(46)

Uz aģentūru būtu jāattiecina Komisijas Deleģētā regula (ES) Nr. 1271/2013 (29).

(47)

Ar šo regulu izveidotā aģentūra aizstāj un turpina Eiropas Aģentūru lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā, kas tika izveidota ar Regulu (ES) Nr. 1077/2011. Tāpēc tai būtu jānodrošina juridiskā pēctecība attiecībā uz visiem ar Regulu (ES) Nr. 1077/2011 izveidotās Eiropas Aģentūras lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā slēgtajiem līgumiem, uzņemtajām saistībām un iegādātajiem īpašumiem. Šai regulai nevajadzētu ietekmēt ar Regulu (ES) Nr. 1077/2011 izveidotās aģentūras noslēgto līgumu, darba vienošanos un saprašanās memorandu spēkā esību, neskarot jebkādus ar šo regulu ieviestos nepieciešamos grozījumus tajos.

(48)

Lai aģentūra pēc iespējas labāk varētu turpināt pildīt ar Regulu (ES) Nr. 1077/2011 izveidotās Eiropas Aģentūras lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā uzdevumus, būtu jāparedz pārejas pasākumi, jo īpaši attiecībā uz valdi, padomdevēju grupām, izpilddirektoru un valdes pieņemtajiem iekšējiem noteikumiem.

(49)

Šīs regulas mērķis ir grozīt un paplašināt Regulas (ES) Nr. 1077/2011 noteikumus. Tā kā šajā regulā paredzētie grozījumi ir būtiski gan skaita, gan satura ziņā, Regula (ES) Nr. 1077/2011 skaidrības labad būtu pilnībā jāaizstāj attiecībā uz dalībvalstīm, kurām ir saistoša šī regula. Ar šo regulu izveidotajai aģentūrai būtu jāaizstāj ar Regulu (ES) Nr. 1077/2011 izveidotā aģentūra un būtu jāuzņemas tās funkcijas, un minētā regula līdz ar to būtu jāatceļ.

(50)

Ņemot vērā to, ka šīs regulas mērķus – Savienības līmenī izveidot aģentūru, kas būtu atbildīga par lielapjoma IT sistēmu darbības pārvaldību brīvības, drošības un tiesiskuma telpā un, ja nepieciešams, par šādu sistēmu izstrādi – nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet paredzētās darbības apjoma vai rezultātu dēļ minētos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar LES 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minēto mērķu sasniegšanai.

(51)

Saskaņā ar 1. un 2. pantu Protokolā Nr. 22 Dānija nepiedalās šīs regulas pieņemšanā un Dānijai šī regula nav saistoša un nav jāpiemēro. Tā kā šī regula, ciktāl tā attiecas uz SIS II un VIS, IIS un ETIAS, pilnveido Šengenas acquis, Dānija saskaņā ar minētā protokola 4. pantu sešos mēnešos pēc tam, kad Padome ir pieņēmusi lēmumu par šo regulu, izlemj, vai tā šo regulu ieviesīs savos tiesību aktos. Saskaņā ar 3. pantu Nolīgumā starp Eiropas Kopienu un Dānijas Karalisti par kritērijiem un mehānismiem, lai noteiktu valsti, kas ir atbildīga par to patvēruma pieteikumu izskatīšanu, kuri iesniegti Dānijā vai kādā citā Eiropas Savienības dalībvalstī, un par Eurodac sistēmu pirkstu nospiedumu salīdzināšanai, lai efektīvi piemērotu Dublinas Konvenciju (30), Dānija paziņo Komisijai, vai tā ieviesīs šo regulu, ciktāl tā attiecas uz Eurodac un DubliNet.

(52)

Ciktāl šīs regulas noteikumi attiecas uz SIS II, ko reglamentē Lēmums 2007/533/TI, Apvienotā Karaliste piedalās šajā regulā saskaņā ar 5. panta 1. punktu Protokolā Nr. 19 par Šengenas acquis, kas iekļauts Eiropas Savienības sistēmā, kurš pievienots LES un LESD, un 8. panta 2. punktu Padomes Lēmumā 2000/365/EK (31). Ciktāl šīs regulas noteikumi attiecas uz SIS II, ko reglamentē Regula (EK) Nr. 1987/2006, un uz VIS, IIS un ETIAS, šī regula ir to Šengenas acquis noteikumu pilnveidošana, kuru īstenošanā Apvienotā Karaliste nepiedalās saskaņā ar Lēmumu 2002/365/EK; saskaņā ar 4. pantu Protokolā Nr. 19 Apvienotā Karaliste ar 2018. gada 19. jūlija vēstuli Padomes priekšsēdētājam lūdza atļauju piedalīties šajā regulā. Ar Padomes Lēmuma (ES) 2018/1600 (32) 1. pantu Apvienotajai Karalistei atļāva piedalīties šajā regulā. Turklāt, ciktāl šīs regulas noteikumi attiecas uz Eurodac un DubliNet, Apvienotā Karaliste saskaņā ar 3. pantu Protokolā Nr. 21 par Apvienotās Karalistes un Īrijas nostāju saistībā ar brīvības, drošības un tiesiskuma telpu, kas pievienots LES un LESD, ar 2017. gada 23. oktobra vēstuli Padomes priekšsēdētājam ir paziņojusi, ka tā vēlas piedalīties šīs regulas pieņemšanā un piemērošanā. Tāpēc Apvienotā Karaliste piedalās šīs regulas pieņemšanā, un tā tai ir saistoša un ir jāpiemēro.

(53)

Ciktāl šīs regulas noteikumi attiecas uz SIS II, ko reglamentē Lēmums 2007/533/TI, Īrija principā varētu piedalīties šajā regulā saskaņā ar 5. panta 1. punktu Protokolā Nr. 19 un 6. panta 2. punktu Padomes Lēmumā 2002/192/EK (33). Ciktāl šīs regulas noteikumi attiecas uz SIS II, ko reglamentē Regula (EK) Nr. 1987/2006, un uz VIS, IIS un ETIAS, šī regula ir to Šengenas acquis noteikumu pilnveidošana, kuru īstenošanā Īrija nepiedalās saskaņā ar Padomes Lēmumu 2002/192/EK; Īrija nav saskaņā ar 4. pantu Protokolā Nr. 19 lūgusi atļauju piedalīties šīs regulas pieņemšanā. Īrija tādēļ nepiedalās šīs regulas pieņemšanā, un tai šī regula nav saistoša un nav jāpiemēro, ciktāl tās pasākumi ir to Šengenas acquis noteikumu pilnveidošana, kuri attiecas uz SIS II, ko reglamentē Regula (EK) Nr. 1987/2006, un uz VIS, IIS un ETIAS. Turklāt, ciktāl šīs regulas noteikumi attiecas uz Eurodac un DubliNet, saskaņā ar 1. un 2. pantu un 4.a panta 1. punktu Protokolā Nr. 21, Īrija nepiedalās šīs regulas pieņemšanā un tai šī regula nav saistoša un nav jāpiemēro. Tā kā šādos apstākļos nav iespējams nodrošināt, ka šī regula visā tās kopumā ir piemērojama Īrijai, kā prasīts LESD 288. pantā, Īrija nepiedalās šīs regulas pieņemšanā un tai šī regula nav saistoša un nav jāpiemēro, neskarot tās tiesības, kas paredzētas Protokolos Nr. 19. un Nr. 21.

(54)

Attiecībā uz Islandi un Norvēģiju saskaņā ar Nolīgumu starp Eiropas Savienības Padomi un Islandes Republiku un Norvēģijas Karalisti par šo valstu asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā (34) šī regula, ciktāl tā attiecas uz SIS II un VIS, IIS un ETIAS, ir to Šengenas acquis noteikumu pilnveidošana, kuri attiecas uz jomu, kas minēta 1. panta A, B un G punktā Padomes Lēmumā 1999/437/EK (35). Attiecībā uz Eurodac un DubliNet šī regula ir jauns pasākums nozīmē, kas paredzēta Nolīgumā starp Eiropas Kopienu un Islandes Republiku, un Norvēģijas Karalisti par kritērijiem un mehānismiem tās valsts noteikšanai, kas ir atbildīga par to patvēruma lūgumu izskatīšanu, kuri iesniegti kādā dalībvalstī vai Islandē, vai Norvēģijā (36). Tādējādi, ja Islandes Republika un Norvēģijas Karaliste nolemj šo regulu ieviest savā iekšējā tiesību sistēmā, šo valstu delegācijām būtu jāpiedalās aģentūras valdē. Lai paredzētu turpmākus detalizētus noteikumus, kas ļautu Islandes Republikai un Norvēģijas Karalistei piedalīties aģentūras darbībās, Savienībai ar minētajām valstīm būtu jānoslēdz vēl viena vienošanās.

(55)

Attiecībā uz Šveici saskaņā ar Nolīgumu, kas noslēgts starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā, šī regula, ciktāl tā attiecas uz SIS II un VIS, IIS un ETIAS, ir to Šengenas acquis noteikumu pilnveidošana (37), kuri attiecas uz jomu, kas minēta Lēmuma 1999/437/EK 1. panta A, B un G punktā, kurus lasa saistībā ar Padomes Lēmuma 2008/146/EK 3. pantu (38). Attiecībā uz Eurodac un DubliNet šī regula ir jauns ar Eurodac saistīts pasākums nozīmē, kas paredzēta Nolīgumā starp Eiropas Kopienu un Šveices Konfederāciju par kritērijiem un mehānismiem tās valsts noteikšanai, kas atbildīga par patvēruma pieprasījumu izskatīšanu, kuri iesniegti kādā dalībvalstī vai Šveicē (39). Tādējādi, ja Šveices Konfederācija nolemj šo regulu ieviest savā iekšējā tiesību sistēmā, tās delegācijai būtu jāpiedalās aģentūras valdē. Lai paredzētu turpmākus detalizētus noteikumus, kas ļautu Šveices Konfederācijai piedalīties aģentūras darbībās, Savienībai ar Šveices Konfederāciju būtu jānoslēdz vēl viena vienošanās.

(56)

Attiecībā uz Lihtenšteinu saskaņā ar Protokolu starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam, kas noslēgts starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā (40), šī regula, ciktāl tā attiecas uz SIS II un VIS, IIS un ETIAS, ir to Šengenas acquis noteikumu pilnveidošana, kuri attiecas uz jomu, kas minēta Lēmuma 1999/437/EK 1. panta A, B un G punktā, kurus lasa saistībā ar Padomes Lēmuma 2011/350/ES (41) 3. pantu.

Attiecībā uz Eurodac un DubliNet saskaņā ar Protokolu starp Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam starp Eiropas Kopienu un Šveices Konfederāciju par kritērijiem un mehānismiem, lai noteiktu valsti, kas ir atbildīga par to patvēruma pieteikumu izskatīšanu, kuri iesniegti kādā dalībvalstī vai Šveicē (42), šī regula ir jauns pasākums. Tādējādi, ja Lihtenšteinas Firstiste nolemj šo regulu ieviest savā iekšējā tiesību sistēmā, tās delegācijai būtu jāpiedalās aģentūras valdē. Lai paredzētu turpmākus detalizētus noteikumus, kas ļautu Lihtenšteinas Firstistei piedalīties aģentūras darbībās, Savienībai ar Lihtenšteinas Firstisti būtu jānoslēdz vēl viena vienošanās,

IR PIEŅĒMUŠI ŠO REGULU.

I NODAĻA

PRIEKŠMETS UN MĒRĶI

1. pants

Priekšmets

1.   Ar šo tiek izveidota Eiropas Savienības Aģentūra lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā (“aģentūra”).

2.   Ar šo regulu izveidotā aģentūra aizstāj Eiropas Aģentūru lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā, kas izveidota ar Regulu (ES) Nr. 1077/2011, un turpina tās darbu.

3.   Aģentūra ir atbildīga par Šengenas informācijas sistēmas (SIS II), Vīzu informācijas sistēmas (VIS) un Eurodac darbības pārvaldību.

4.   Aģentūra ir atbildīga par ieceļošanas/izceļošanas sistēmas (IIS), DubliNet un Eiropas ceļošanas informācijas un atļauju sistēmas (ETIAS) sagatavošanu, izstrādi un/vai darbības pārvaldību.

5.   Aģentūrai var uzticēt, balstoties uz LESD 67. līdz 89. pantu, sagatavot, izstrādāt un/vai pārvaldīt tādu lielapjoma IT sistēmu, arī jau esošu, darbību brīvības, drošības un tiesiskuma telpā, kas nav minētas šā panta 3. un 4. punktā, bet vienīgi tad, ja to paredz attiecīgie Savienības tiesību akti, ar kuriem reglamentē minētās sistēmas, attiecīgos gadījumos ņemot vērā šīs regulas 14. pantā minētās norises izpētes jomā un šīs regulas 15. pantā minēto izmēģinājuma projektu rezultātus un koncepciju pamatojumus.

6.   Darbības pārvaldība aptver visus uzdevumus, kas vajadzīgi, lai lielapjoma IT sistēmas funkcionētu saskaņā ar īpašajiem noteikumiem, kas ir piemērojami katrai no tām, tostarp atbildību par to izmantoto komunikāciju infrastruktūru. Minētās lielapjoma IT sistēmas neapmainās ar datiem, nedz arī ļauj dalīties ar informāciju vai zināšanām, ja vien to neparedz konkrēts Savienības tiesību akts.

7.   Aģentūra ir atbildīga arī par šādiem uzdevumiem:

a)

nodrošināt datu kvalitāti saskaņā ar 12. pantu;

b)

izstrādāt sadarbspējas nodrošināšanai vajadzīgās darbības saskaņā ar 13. pantu;

c)

veikt izpētes darbības saskaņā ar 14. pantu;

d)

veikt izmēģinājuma projektus, sagatavot koncepciju pamatojumus un veikt testēšanas darbības saskaņā ar 15. pantu; un

e)

sniegt atbalstu dalībvalstīm un Komisijai saskaņā ar 16. pantu.

2. pants

Mērķi

Neskarot Komisijas un dalībvalstu attiecīgos pienākumus, ko uzliek Savienības tiesību akti, kuri reglamentē lielapjoma IT sistēmas, aģentūra nodrošina:

a)

lielapjoma IT sistēmu izstrādi ar atbilstošas projektu vadības struktūras izmantojumu efektīvai šādu sistēmu izstrādei;

b)

lielapjoma IT sistēmu efektīvu, drošu un nepārtrauktu darbību;

c)

lielapjoma IT sistēmu efektīvu un finansiāli atbildīgu pārvaldību;

d)

pietiekami kvalitatīvus pakalpojumus lielapjoma IT sistēmu lietotājiem;

e)

pastāvīgus un nepārtrauktus pakalpojumus;

f)

augstu datu aizsardzības pakāpi saskaņā ar Savienības tiesību aktiem datu aizsardzības jomā, tostarp īpašiem noteikumiem, kas attiecas uz katru lielapjoma IT sistēmu;

g)

pietiekamu datu un fiziskās drošības pakāpi saskaņā ar spēkā esošajiem noteikumiem, tostarp konkrētiem noteikumiem, kas attiecas uz katru lielapjoma IT sistēmu.

II NODAĻA

AĢENTŪRAS UZDEVUMI

3. pants

Ar SIS II saistītie uzdevumi

Attiecībā uz SIS II aģentūra veic:

a)

uzdevumus, kas uzticēti pārvaldības iestādei ar Regulu (EK) Nr. 1987/2006 un Lēmumu 2007/533/TI; un

b)

uzdevumus saistībā ar mācībām par SIS II tehnisku izmantojumu, jo īpaši SIRENE (SIRENE – Supplementary Information Request at the National Entries) personāla un ekspertu mācībām par SIS II tehniskiem aspektiem saistībā ar Šengenas izvērtēšanu.

4. pants

Ar VIS saistītie uzdevumi

Attiecībā uz VIS aģentūra veic:

a)

uzdevumus, kas pārvaldības iestādei uzticēti ar Regulu (EK) Nr. 767/2008 un Lēmumu 2008/633/TI; un

b)

uzdevumus, kas saistīti ar mācībām par VIS tehnisko izmantojumu un ekspertu mācībām par VIS tehniskajiem aspektiem saistībā ar Šengenas izvērtēšanu.

5. pants

Ar Eurodac saistītie uzdevumi

Attiecībā uz Eurodac aģentūra veic:

a)

uzdevumus, kas tai uzticēti ar Regulu (ES) Nr. 603/2013; un

b)

uzdevumus, kas saistīti ar mācībām par Eurodac tehnisko izmantojumu.

6. pants

Ar IIS saistītie uzdevumi

Attiecībā uz IIS aģentūra veic:

a)

uzdevumus, kas tai uzticēti ar Regulu (ES) 2017/2226; un

b)

uzdevumus, kas saistīti ar mācībām par IIS tehnisko izmantojumu un ekspertu mācībām par IIS tehniskajiem aspektiem saistībā ar Šengenas izvērtēšanu.

7. pants

Ar ETIAS saistītie uzdevumi

Attiecībā uz ETIAS aģentūra veic:

a)

uzdevumus, kas tai uzticēti ar Regulu (ES) 2018/1240; un

b)

uzdevumus, kas saistīti ar mācībām par ETIAS tehnisko izmantojumu un ekspertu mācībām par ETIAS tehniskajiem aspektiem saistībā ar Šengenas izvērtēšanu.

8. pants

Ar DubliNet saistītie uzdevumi

Attiecībā uz DubliNet aģentūra veic:

a)

DubliNet – atsevišķa droša elektroniskās pārsūtīšanas kanāla starp dalībvalstu iestādēm, kas izveidots saskaņā ar Regulas (EK) Nr. 1560/2003 18. pantu Eiropas Parlamenta un Padomes Regulas (ES) Nr. 604/2013 (43) 31., 32. un 34. panta nolūkos – darbības pārvaldību; un

b)

uzdevumus, kas saistīti ar mācībām par DubliNet tehnisko izmantojumu.

9. pants

Ar citu lielapjoma IT sistēmu sagatavošanu, izstrādi un darbības pārvaldību saistīti uzdevumi

Ja aģentūrai ir uzticēta citu 1. panta 5. punktā minēto lielapjoma IT sistēmu sagatavošana, izstrāde un/vai darbības pārvaldība, tā attiecīgi veic uzdevumus, kas tai uzticēti atbilstoši Savienības tiesību aktam, kurš reglamentē attiecīgo sistēmu, kā arī uzdevumus, kas saistīti ar mācībām par šo sistēmu tehnisko izmantojumu.

10. pants

Tehniski risinājumi, kam pirms ieviešanas vajadzīgi īpaši nosacījumi

Ja Savienības tiesību aktos, ar ko reglamentē sistēmas, aģentūrai prasīts, lai tā nodrošinātu minēto sistēmu darbību 24 stundas diennaktī 7 dienas nedēļā, un neskarot minētos Savienības tiesību aktus, aģentūra īsteno tehniskus risinājumus, lai ievērotu minētās prasības. Ja minētajiem tehniskajiem risinājumiem ir vajadzīga sistēmas vai sistēmas sastāvdaļu dublēšana, tos īsteno tikai tad, ja ir veikts neatkarīgs ietekmes novērtējums un izmaksu un ieguvumu analīze, kas aģentūrai ir jāpasūta, un pēc apspriešanās ar Komisiju un pozitīva valdes lēmuma. Šajā ietekmes novērtējumā arī pārbauda tā brīža un nākotnes vajadzības attiecībā uz to tehnisko biroju mitināšanas kapacitāti, kuri ir saistīti ar šādu tehnisko risinājumu izstrādāšanu un iespējamiem riskiem, kas saistīti ar pašreizējo darbības konfigurāciju.

11. pants

Ar komunikāciju infrastruktūru saistīti uzdevumi

1.   Aģentūra pilda visus uzdevumus, kuri saistīti ar to sistēmu komunikāciju infrastruktūru, kas tai uzticētas ar Savienības tiesību aktiem, kuri reglamentē sistēmas, izņemot tās sistēmas, kas savā komunikāciju infrastruktūrā izmanto EuroDomain. Attiecībā uz minētajām sistēmām, kas šādi izmanto EuroDomain, Komisija atbild par budžeta izpildi, iegādi un atjaunošanu un līgumiskiem jautājumiem. Saskaņā ar Savienības tiesību aktiem, kas reglamentē sistēmas, kuras izmanto EuroDomain, uzdevumi, kas saistīti ar komunikāciju infrastruktūru, tostarp darbības pārvaldību un drošību, ir sadalāmi starp aģentūru un Komisiju. Lai nodrošinātu to attiecīgo pienākumu izpildes saskaņotību, aģentūra un Komisija vienojas par darba organizāciju un atspoguļo to saprašanās memorandā.

2.   Komunikāciju infrastruktūru pienācīgi pārvalda un kontrolē tā, lai to aizsargātu no apdraudējumiem un nodrošinātu komunikāciju infrastruktūras un sistēmu drošību, tostarp ar komunikāciju infrastruktūras palīdzību veiktās datu apmaiņas drošību.

3.   Aģentūra pieņem atbilstīgus pasākumus, tostarp drošības plānus, lai – jo īpaši ar attiecīgiem šifrēšanas paņēmieniem – cita starpā nepieļautu to, ka personas datu pārraides vai datu nesēju transportēšanas laikā ir iespējama personas datu neatļauta lasīšana, kopēšana, grozīšana vai dzēšana. Visa komunikāciju infrastruktūrā apritē esošā ar sistēmu saistītā darbības informācija ir šifrēta.

4.   Ar komunikāciju infrastruktūras piegādi, uzstādīšanu, uzturēšanu un uzraudzību saistītos uzdevumus var uzticēt ārējām privātā sektora vienībām vai struktūrām saskaņā ar Regulu (ES, Euratom) 2018/1046. Šādus uzdevumus veic aģentūras atbildībā un ciešā pārraudzībā.

Veicot pirmajā daļā minētos uzdevumus visām ārējām privātā sektora vienībām vai struktūrām, tostarp tīkla operatoriem, ir saistoši drošības pasākumi, kas minēti 3. punktā, un nav jebkāda veida piekļuves nekādiem darbības datiem, kas glabājas sistēmās vai tiek pārsūtīti, izmantojot komunikācijas infrastruktūru, vai jebkāda veida piekļuves ar SIS II saistītajai SIRENE apmaiņai.

5.   Šifrēšanas atslēgu pārvaldība paliek aģentūras kompetencē, un šo pienākumu nenodod ārējām privātā sektora vienībām. Tas neskar spēkā esošos līgumus par SIS II, VIS un Eurodac komunikāciju infrastruktūru.

12. pants

Datu kvalitāte

Neskarot dalībvalstu pienākumus attiecībā uz datiem, kas ievadīti sistēmās, aģentūra, cieši iesaistot padomdevēju grupas, kopā ar Komisiju sadarbojas, lai visām šīm sistēmām iedibinātu datu kvalitātes automātiskus kontroles mehānismus un vienotus datu kvalitātes rādītājus un izveidotu ziņošanas un statistikas centrālo repozitoriju, kurā ietverti tikai anonimizēti dati, ievērojot konkrētus to Savienības tiesību aktu noteikumus, kas reglamentē sistēmu izstrādi, izveidi, darbību un izmantošanu.

13. pants

Sadarbspēja

Ja attiecīgajā Savienības tiesību aktā tiek pieprasīta lielapjoma IT sistēmu sadarbspēja, aģentūra izstrādā nepieciešamos pasākumus, lai nodrošinātu šādu sadarbspēju.

14. pants

Izpētes pārraudzība

1.   Izpētes jomā aģentūra pārrauga norises, kuras skar SIS II, VIS, Eurodac, IIS, ETIAS, DubliNet un citu 1. panta 5. punktā minēto lielapjoma IT sistēmu darbības pārvaldību.

2.   Aģentūra var piedalīties to Eiropas Savienības Pētniecības un inovācijas pamatprogrammas daļu īstenošanā, kuras ir saistītas ar lielapjoma IT sistēmām brīvības, drošības un tiesiskuma telpā. Šajā nolūkā un ja Komisija aģentūrai deleģējusi attiecīgas pilnvaras, aģentūrai ir šādi uzdevumi:

a)

atsevišķu programmas īstenošanas posmu un konkrētu projektu dažu posmu pārvaldība, kas pamatojas uz attiecīgajām Komisijas pieņemtajām darba programmām;

b)

budžeta izpildes un ieņēmumu un izdevumu dokumentu pieņemšana, kā arī visu to darbību veikšana, kas vajadzīgas attiecīgās programmas pārvaldībai; un

c)

atbalsta nodrošināšana programmas īstenošanā.

3.   Aģentūra regulāri un vismaz vienreiz gadā informē Eiropas Parlamentu, Padomi, Komisiju un – ar personas datu apstrādi saistītos jautājumos – Eiropas Datu aizsardzības uzraudzītāju par norisēm, kas minētas šajā pantā, neskarot ziņošanas pienākumus saistībā ar Eiropas Savienības Pētniecības un inovācijas pamatprogrammas, kas minēta 2. punktā, daļu īstenošanu.

15. pants

Izmēģinājuma projekti, koncepciju pamatojumi un testēšanas darbības

1.   Pēc īpaša un precīza Komisijas lūguma, kura par to ir informējusi Eiropas Parlamentu un Padomi vismaz trīs mēnešus pirms šāda lūguma nosūtīšanas, un pēc pozitīva valdes lēmuma aģentūrai var saskaņā ar šīs regulas 19. panta 1. punkta u) apakšpunktu un izmantojot deleģēšanas līgumu uzticēt īstenot izmēģinājuma projektus, kas minēti Regulas (ES, Euratom) 2018/1046 58. panta 2. punkta a) apakšpunktā, lai izstrādātu lielapjoma IT sistēmas vai pārvaldītu to darbību, ievērojot LESD 67. līdz 89. pantu un saskaņā ar Regulas (ES, Euratom) 2018/1046 62. panta 1. punkta c) apakšpunktu.

Aģentūra regulāri informē Eiropas Parlamentu, Padomi un – personas datu apstrādes gadījumā – Eiropas datu aizsardzības uzraudzītāju par pirmajā daļā minēto aģentūras īstenoto izmēģinājuma projektu īstenošanas gaitu.

2.   Finanšu apropriācijas izmēģinājuma projektiem, kas minēti Regulas (ES, Euratom) 2018/1046 58. panta 2. punkta a) apakšpunktā, ko lūgusi Komisija saskaņā ar 1. punktu, iekļauj budžetā ilgākais divus finanšu gadus pēc kārtas.

3.   Saskaņā ar 62. panta 1. punkta c) apakšpunktu Regulā (ES, Euratom) 2018/1046 pēc Komisijas vai Padomes lūguma, pēc Eiropas Parlamenta informēšanas un pēc valdes pozitīva lēmuma aģentūrai var ar deleģēšanas līgumu uzticēt budžeta izpildes uzdevumus, lai sagatavotu koncepcijas pamatojumus, ko finansē ar Regulu (ES) Nr. 515/2014 izveidoto finansiāla atbalsta instrumentu ārējām robežām un vīzām.

4.   Pēc valdes pozitīva lēmuma aģentūra var plānot un īstenot testēšanas darbības jautājumos, uz kuriem attiecas šī regula un jebkurš Savienības tiesību akts, kas reglamentē sistēmu izstrādi, izveidi, darbību un izmantojumu.

16. pants

Atbalsts dalībvalstīm un Komisijai

1.   Jebkura dalībvalsts var lūgt aģentūru sniegt padomus attiecībā uz to valsts sistēmu savienojumu ar aģentūras pārvaldītajām lielapjoma IT centrālajām sistēmām.

2.   Jebkura dalībvalsts var iesniegt ad hoc atbalsta lūgumu Komisijai, kura, ja vien tā pozitīvi novērtē, ka šāds atbalsts ir nepieciešams ārkārtēju drošības vai migrācijas vajadzību dēļ, lūgumu nekavējoties nodod aģentūrai. Aģentūra informē valdi par šādiem lūgumiem. Dalībvalsti informē, ja Komisijas novērtējums ir negatīvs.

Komisija uzrauga, vai aģentūra ir laicīgi atbildējusi uz dalībvalsts lūgumu. Aģentūras gada darbības pārskatā būtu jāiekļauj detalizēta informācija par darbībām, ko aģentūra ir veikusi, lai sniegtu ad hoc atbalstu dalībvalstīm, un par izmaksām, kas radušās šajā sakarā.

3.   Tāpat aģentūru var lūgt dot padomus vai atbalstu Komisijai tehniskos jautājumos, kas saistīti ar esošajām vai jaunām sistēmām, tostarp ar pētījumiem un testiem. Aģentūra par šādiem lūgumiem informē valdi.

4.   Vismaz piecu dalībvalstu grupa var uzticēt aģentūrai izstrādāt, pārvaldīt un/vai mitināt kopīgu IT komponentu, lai tām palīdzētu īstenot tādu pienākumu tehniskos aspektus, kuri izriet no Savienības tiesību aktiem par decentralizētām sistēmām brīvības, drošības un tiesiskuma telpā. Minētie kopīgie IT risinājumi neskar lūguma iesniedzēju dalībvalstu pienākumus saskaņā ar piemērojamajiem Savienības tiesību aktiem, jo īpaši attiecībā uz šo sistēmu arhitektūru.

Jo īpaši lūguma iesniedzējas dalībvalstis var uzticēt aģentūrai izveidot kopīgu komponentu vai maršrutētāju iepriekšējai pasažieru informācijai un pasažieru datu reģistra datiem kā tehnisku atbalsta instrumentu, lai veicinātu savienojamību ar gaisa pārvadātājiem un palīdzētu dalībvalstīm īstenot Padomes Direktīvu 2004/82/EK (44) un Eiropas Parlamenta un Padomes Direktīvu (ES) 2016/681 (45). Šādā gadījumā aģentūra centralizēti savāc datus no gaisa pārvadātājiem un nosūta šos datus dalībvalstīm, izmantojot kopīgo komponentu vai maršrutētāju. Lūguma iesniedzējas dalībvalstis pieņem pasākumus, kas vajadzīgi, lai garantētu, ka gaisa pārvadātāji datus nosūta, izmantojot aģentūru.

Aģentūrai uztic uzdevumu izstrādāt, pārvaldīt vai mitināt kopēju IT komponentu tikai pēc iepriekšēja Komisijas apstiprinājuma un pozitīva valdes lēmuma.

Lūguma iesniedzējas dalībvalstis uztic aģentūrai pirmajā un otrajā daļā minētos uzdevumus ar deleģēšanas nolīgumu, tajā iekļaujot deleģēšanas nosacījumus un izklāstot visu attiecīgo izmaksu aprēķinu un rēķinu sagatavošanas metodi. Visas attiecīgās izmaksas sedz iesaistītās dalībvalstis. Deleģēšanas nolīgums atbilst Savienības tiesību aktiem, kas reglamentē attiecīgās sistēmas. Aģentūra informē Eiropas Parlamentu un Padomi par apstiprināto deleģēšanas nolīgumu un visiem grozījumiem tajā.

Citas dalībvalstis var lūgt piedalīties kopīgā IT risinājumā, ja šī iespēja paredzēta deleģēšanas nolīgumā, jo īpaši izklāstot šādas piedalīšanās finansiālo ietekmi. Deleģēšanas nolīgumu attiecīgi maina pēc iepriekšēja Komisijas apstiprinājuma un pozitīva valdes lēmuma.

III NODAĻA

STRUKTŪRA UN ORGANIZĀCIJA

17. pants

Juridiskais statuss un atrašanās vieta

1.   Aģentūra ir Savienības struktūra, un tā ir tiesību subjekts.

2.   Katrā dalībvalstī aģentūrai ir visplašākā tiesībspēja un rīcībspēja, ko valsts tiesību akti piešķir juridiskām personām. Jo īpaši tā var iegādāties vai atsavināt kustamu un nekustamu īpašumu, kā arī būt par pusi tiesas procesā.

3.   Aģentūras mītnes vieta ir Tallinā (Igaunija).

Uzdevumus, kas saistīti ar 1. panta 4. un 5. punktā un 3., 4., 5., 6., 7., 8., 9. un 11. pantā minēto izstrādi un darbības pārvaldību, veic tehniskajā birojā Strasbūrā (Francija).

Dublējuma biroju, kas ir spējīgs nodrošināt lielapjoma IT sistēmas darbību šādas sistēmas atteices gadījumā, izveido Sanktjohannā (Sankt Johann im Pongau, Austrija).

4.   Abus tehniskos birojus var izmantot vienlaicīgai sistēmu darbībai ar noteikumu, ka dublējuma birojs joprojām spēj nodrošināt to darbību vienas vai vairāku sistēmu atteices gadījumā.

5.   Ņemot vērā sistēmu specifisko raksturu, ja aģentūrai rodas nepieciešamība izveidot otru atsevišķu tehnisko biroju Strasbūrā vai Sanktjohannā, vai vajadzības gadījumā abās vietās, lai varētu izmitināt sistēmas, šāda vajadzība ir jāpamato ar neatkarīgu ietekmes novērtējumu un izmaksu un ieguvumu analīzi. Valde apspriežas ar Komisiju un ņem vērā tās viedokli pirms paziņošanas budžeta lēmējinstitūcijai par savu nodomu saskaņā ar 45. panta 9. punktu īstenot jebkādu projektu, kas saistīts ar īpašumu.

18. pants

Struktūra

1.   Aģentūras administratīvajā un pārvaldības struktūrā ir:

a)

valde;