Procedūra : 2012/0011(COD)
Procedūros eiga plenarinėje sesijoje
Dokumento priėmimo eiga : A7-0402/2013

Pateikti tekstai :

A7-0402/2013

Debatai :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Balsavimas :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Priimti tekstai :


PRANEŠIMAS     ***I
PDF 3326kWORD 4770k
2013 m. lapkričio 22 d.
PE 501.927v05-00 A7-0402/2013

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas)

(COM(2012) 0011 – C7-0025/2012 – 2012/0011(COD))

Piliečių laisvių, teisingumo ir vidaus reikalų komitetas

Pranešėjas: Jan Philipp Albrecht

PAKEITIMAI
EUROPOS PARLAMENTO TEISĖKŪROS REZOLIUCIJOS PROJEKTAS
 AIŠKINAMOJI DALIS
 Užimtumo ir socialinių reikalų komiteto NUOMONĖ
 Pramonės, mokslinių tyrimų ir energetikos komiteto NUOMONĖ
 Vidaus rinkos ir vartotojų apsaugos komiteto NUOMONĖ
 Teisės reikalų komiteto NUOMONĖ
 PROCEDŪRA

EUROPOS PARLAMENTO TEISĖKŪROS REZOLIUCIJOS PROJEKTAS

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Įprasta teisėkūros procedūra: pirmasis svarstymas)

Europos Parlamentas,

–   atsižvelgdamas į Komisijos pasiūlymą Europos Parlamentui ir Tarybai (COM(2012) 0011),

–   atsižvelgdamas į Sutarties dėl Europos Sąjungos veikimo 294 straipsnio 2 dalį, 16 straipsnio 2 dalį ir į 114 straipsnio 1 dalį, pagal kuriuos Komisija pateikė pasiūlymą Parlamentui (C7-0025/2012),

–   atsižvelgdamas į Sutarties dėl Europos Sąjungos veikimo 294 straipsnio 3 dalį,

–   atsižvelgdamas į Belgijos Atstovų Rūmų, Vokietijos Bundesrato, Prancūzijos Senato, Italijos Deputatų Rūmų ir Švedijos Riksdago pagal Protokolą Nr. 2 dėl subsidiarumo ir proporcingumo principų taikymo pateiktas pagrįstas nuomones, kuriose tvirtinama, jog teisėkūros procedūra priimamo akto projektas neatitinka subsidiarumo principo,

–   atsižvelgdamas į 2012 m. gegužės 23 d. Europos ekonomikos ir socialinių reikalų komiteto nuomonę(1),

–   pasikonsultavęs su Regionų komitetu,

–   atsižvelgdamas į 2012 m. kovo 7 d. Europos duomenų apsaugos priežiūros pareigūno nuomonę,

–   atsižvelgdamas į 2012 m. spalio 1 d. Europos Sąjungos pagrindinių teisių agentūros nuomonę,

–   atsižvelgdamas į Darbo tvarkos taisyklių 55 straipsnį,

–   atsižvelgdamas į Piliečių laisvių, teisingumo ir vidaus reikalų komiteto pranešimą ir į Užimtumo ir socialinių reikalų komiteto, Pramonės, mokslinių tyrimų ir energetikos komiteto, Vidaus rinkos ir vartotojų apsaugos komiteto bei Teisės reikalų komiteto nuomones (A7-0402/2013),

1.  priima per pirmąjį svarstymą toliau pateiktą poziciją;

2.  ragina Komisiją dar kartą perduoti klausimą svarstyti Parlamentui, jei ji ketina pasiūlymą keisti iš esmės arba pakeisti jo tekstą nauju tekstu;

3.  paveda Pirmininkui perduoti Parlamento poziciją Tarybai, Komisijai ir nacionaliniams parlamentams.

Pakeitimas                1

Pasiūlymas dėl reglamento

14 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(14) šiuo reglamentu nereguliuojami nei pagrindinių teisių ir laisvių apsaugos ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, judėjimo klausimai, nei asmens duomenų tvarkymas, kai duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros, kurioms taikomas Reglamentas (EB) Nr. 45/200144, arba valstybės narės, atlikdamos su Sąjungos bendra užsienio ir saugumo politika susijusią veiklą;

(14) šiuo reglamentu nereguliuojami pagrindinių teisių ir laisvių apsaugos ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, judėjimo klausimai. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001441 turėtų būti suderintas su šiuo reglamentu ir taikomas remiantis šiuo reglamentu;

____________

______________

44 OL L 8, 2001 12 1, p. 1.

1 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

Pakeitimas  2

Pasiūlymas dėl reglamento

15 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(15) šis reglamentas neturėtų būti taikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko išimtinai asmeniniais arba šeiminiais tikslais, pavyzdžiui, korespondencijai ir adresų saugojimui, ir nesiekdamas pelno, t. y. nesusiedamas su profesine ar komercine veikla. Išimtis neturėtų būti taikoma duomenų valdytojams ar tvarkytojams, kurie tokiai su asmeniniais ar šeiminiais tikslais susijusiai veiklai teikia asmens duomenų tvarkymo priemones;

(15) šis reglamentas neturėtų būti taikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko išimtinai asmeniniais, namų ūkio arba šeiminiais tikslais, pavyzdžiui, korespondencijai ir adresų saugojimui ar asmeniniams pardavimams, ir nesusiedamas su profesine ar komercine veikla. Tačiau šis reglamentas turėtų būti taikomas duomenų valdytojams ir tvarkytojams, kurie suteikia priemones asmens duomenų tvarkymui vykdant tokią asmeninę ar namų ūkio priežiūros veiklą;

Pakeitimas  3

Pasiūlymas dėl reglamento

18 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(18) taikant šio reglamento nuostatas galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą;

(18) taikant šio reglamento nuostatas galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą; Valdžios institucija arba įstaiga savo turimuose dokumentuose esančius asmens duomenis gali atskleisti remdamasi Sąjungos arba valstybės narės teisės aktais, kuriais reglamentuojama galimybė visuomenei susipažinti su oficialiais dokumentais, nes tai padeda teisę į duomenų apsaugą suderinti su visuomenės teise susipažinti su oficialiais dokumentais ir užtikrinti sąžiningą įvairių atitinkamų interesų pusiausvyrą;

Pakeitimas  4

Pasiūlymas dėl reglamento

20 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(20) kad asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal šį reglamentą, šis reglamentas turėtų būti taikomas Sąjungoje gyvenančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas, tvarkymui, kai duomenų tvarkymas susijęs su prekių ar paslaugų siūlymu tokiems duomenų subjektams arba tokių duomenų subjektų elgesio stebėjimu;

(20) kad asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal šį reglamentą, šis reglamentas turėtų būti taikomas Sąjungoje gyvenančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas, tvarkymui, kai duomenų tvarkymas susijęs su prekių ar paslaugų, nesvarbu, ar jos mokamos ar ne, siūlymu tokiems duomenų subjektams arba tokių duomenų subjektų stebėjimu. Siekiant nustatyti, ar toks duomenų valdytojas siūlo prekes ar paslaugas tokiems duomenų subjektams Sąjungoje, turėtų būti įsitikinta, ar akivaizdu, kad tas duomenų valdytojas numato teikti paslaugas duomenų subjektams, gyvenantiems vienoje ar keliose Sąjungos valstybėse narėse.

Pakeitimas  5

Pasiūlymas dėl reglamento

21 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(21) siekiant nustatyti, ar duomenų tvarkymas gali būti laikomas duomenų subjektų elgesio stebėjimu, reikėtų įvertinti, ar asmenys internete atsekti taikant duomenų tvarkymo metodus, kuriais asmeniui priskiriamas tam tikras profilis, ypač siekiant sužinoti jo sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį ir įpročius;

(21) siekiant nustatyti, ar duomenų tvarkymas gali būti laikomas duomenų subjektų stebėjimu, reikėtų įvertinti, ar asmenys sekami, nepriklausomai nuo duomenų kilmės, ar renkami kiti duomenys apie juos, įskaitant duomenis iš Sąjungos viešų registrų ir skelbimų, prieinamus iš Sąjungai nepriklausančių šalių, surinktus, be kita ko, siekiant taikyti arba pasiliekant galimybę vėliau taikyti duomenų tvarkymo metodus, kuriais priskiriamas tam tikras profilis, ypač siekiant sužinoti jo sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį ir įpročius;

Pakeitimas  6

Pasiūlymas dėl reglamento

23 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(23) apsaugos principai turėtų būti taikomi bet kokiai informacijai apie asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Sprendžiant, ar galima nustatyti asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei nustatyti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo. Apsaugos principai neturėtų būti taikomi duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė nebegali būti nustatyta;

(23) duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Sprendžiant, ar galima nustatyti asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti arba išskirti galėtų naudoti duomenų valdytojas ar bet kuris kitas asmuo. Vertinant, ar tam tikros priemonės galėtų būti naudojamos siekiant nustatyti asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, asmenybei nustatyti reikiamas išlaidas ir laiką, taip pat į duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anoniminiams duomenims, kurie yra su nustatytu arba nustatytinu fiziniu asmeniu nesusijusi informacija. Dėl to šis reglamentas netaikomas tokių anoniminių duomenų tvarkymui, įskaitant statistiniais ir mokslinių tyrimų tikslais;

Pakeitimas  7

Pasiūlymas dėl reglamento

24 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(24) naudodamiesi interneto paslaugomis, asmenys gali būti susieti su savo įrenginių, programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui interneto protokolo adresais arba slapukų identifikatoriais. Taip gali likti pėdsakų, kurie kartu su unikaliu identifikatoriumi ir kita serverio gauta informacija gali būti panaudoti asmenų profiliams kurti ir jiems identifikuoti. Todėl asmens identifikavimo numeris, vietos nustatymo duomenys, interneto identifikatoriai ar kiti specifiniai požymiai patys savaime nebūtinai visomis aplinkybėmis turi būti laikomi asmens duomenimis;

(24) šis reglamentas turėtų būti taikomas duomenų tvarkymui, susijusiam su įrenginių, programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, interneto protokolo adresais arba slapukų identifikatoriais ir radijo dažninio atpažinimo žymenimis, išskyrus atvejus, kai šie identifikatoriai nesusiję su nustatytu arba nustatytinu fiziniu asmeniu;

Pakeitimas  8

Pasiūlymas dėl reglamento

25 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(25) sutikimas turi būti išreikštas aiškiai ir tinkamu būdu, leidžiančiu savanoriškai ir konkrečiai tinkamai informuotam duomenų subjektui išreikšti valią pareiškimu arba vienareikšmiais veiksmais, ir užtikrinančiu, kad asmenys suvokia sutinkantys, kad būtų tvarkomi jų asmens duomenys, pavyzdžiui, pažymėdami langelį interneto svetainėje arba kitaip pareikšdami ar atlikdami kitus veiksmus, šiomis aplinkybėmis aiškiai parodančius duomenų subjekto sutikimą su ketinimu tvarkyti jų asmens duomenis. Todėl tylėjimas arba neveikimas neturėtų būti laikomas sutikimu. Sutikimas turėtų apimti visas duomenų tvarkymo operacijas, atliekamas tuo pačiu tikslu ar tais pačiais tikslais. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

(25) sutikimas turi būti išreikštas aiškiai ir tinkamu būdu, leidžiančiu savanoriškai ir konkrečiai tinkamai informuotam duomenų subjektui išreikšti valią pareiškimu arba vienareikšmiais veiksmais, kurie yra jo pasirinkimo rezultatas, užtikrinant, kad asmenys suvokia sutinkantys, kad būtų tvarkomi jų asmens duomenys. Tai jie galėtų parodyti, pavyzdžiui, pažymėdami langelį interneto svetainėje arba kitaip pareikšdami ar atlikdami kitus veiksmus, šiomis aplinkybėmis aiškiai parodančius duomenų subjekto sutikimą su ketinimu tvarkyti jų asmens duomenis. Todėl tylėjimas, vien naudojimasis paslauga arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visas duomenų tvarkymo operacijas, atliekamas tuo pačiu tikslu ar tais pačiais tikslais. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

Pakeitimas  9

Pasiūlymas dėl reglamento

29 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(29) vaikams turėtų būti užtikrinta ypatinga jų asmens duomenų apsauga, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusią riziką, pasekmes, apsaugos priemones ir savo teises. Siekiant nustatyti, koks asmuo laikomas vaiku, šiame reglamente turėtų būti vadovaujamasi JT Vaiko teisių konvencijoje nustatytos apibrėžties;

(29) vaikams turėtų būti užtikrinta ypatinga jų asmens duomenų apsauga, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusią riziką, pasekmes, apsaugos priemones ir savo teises. Kai duomenų tvarkymas paremtas duomenų subjekto sutikimu, kai prekės ar paslaugos tiesiogiai siūlomos jaunesniam nei 13 metų vaikui, sutikimą arba leidimą turėtų duoti vienas iš vaiko tėvų arba globėjas. Kai prekės ar paslaugos taikomos vaikams, turėtų būti naudojama pagal amžių tinkama kalba. Turėtų ir toliau galioti kitos teisėto duomenų tvarkymo priežastys, kaip antai viešojo intereso priežastys, pvz., duomenų tvarkymas, susijęs su tiesiogiai vaikui teikiamomis prevencinio pobūdžio ir konsultuojamosiomis paslaugomis;

Pakeitimas  10

Pasiūlymas dėl reglamento

31 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(31) kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo asmens sutikimą arba kitu teisėtu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos ar valstybės narės teisės akte;

(31) kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo asmens sutikimą arba kitu teisėtu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos ar valstybės narės teisės akte; Vaiko ar asmens, kuris neturi veiksnumo, atveju atitinkamame Sąjungos arba valstybės narės teisės akte turėtų būti apibrėžtos sąlygos, pagal kurias šis asmuo duoda sutikimą ar leidimą;

Pakeitimas  11

Pasiūlymas dėl reglamento

32 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(32) kai duomenys tvarkomi gavus duomenų subjekto sutikimą, pareiga įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija, turėtų tekti duomenų valdytojui. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvokia, kad sutinka ir dėl ko;

(32) kai duomenys tvarkomi gavus duomenų subjekto sutikimą, pareiga įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija, turėtų tekti duomenų valdytojui. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvokia, kad sutinka ir dėl ko; Siekiant laikytis kuo mažesnio duomenų kiekio pateikimo principo, įrodymo pareiga neturėtų būti suvokiama kaip pareiga konkrečiai nurodyti duomenų subjektus, išskyrus atvejus, kai tai būtina; Panašiai kaip civilinės teisės nuostatos (pvz., Tarybos direktyva 93/13/EEB1), duomenų apsaugos politika turėtų būti kuo aiškesnė ir skaidresnė. Joje neturėtų būti paslėptų ar nepalankių sąlygų. Negali būti duodamas sutikimas tvarkyti trečiųjų asmenų duomenis.

 

1 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

Pakeitimas  12

Pasiūlymas dėl reglamento

33 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(33) siekiant užtikrinti, kad sutikimas būtų savanoriškas, reikėtų tiksliai apibrėžti, kad sutikimas nėra laikomas galiojančiu teisiniu pagrindu, kai asmuo faktiškai neturi laisvo pasirinkimo ir todėl negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamos žalos;

(33) siekiant užtikrinti, kad sutikimas būtų savanoriškas, reikėtų tiksliai apibrėžti, kad sutikimas nėra laikomas galiojančiu teisiniu pagrindu, kai asmuo faktiškai neturi laisvo pasirinkimo ir todėl negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamos žalos. Tai ypač aktualu tais atvejais, kai duomenų valdytojas yra valdžios institucija, kuri, remdamasi savo viešaisiais įgaliojimais, gali nustatyti pareigą ir sutikimas negali būti laikomas savanorišku. Standartiniu atveju galiojančių variantų, kuriuos duomenų subjektas privalo pakeisti siekdamas pareikšti nesutikimą su duomenų tvarkymu, pvz., iš anksto pažymėtų langelių, naudojimas nereiškia laisvo sutikimo. Norint naudotis paslaugomis, sutikimo dėl papildomų asmens duomenų, kurie nėra būtini norint teikti paslaugas, tvarkymo neturėtų būti reikalaujama. Kai sutikimas atšaukiamas, paslaugas, kurios priklauso nuo duomenų, teikti gali būti baigiama arba jos gali būti paliekamos nebaigtos teikti. Kai neaišku, ar numatytas tikslas jau pasiektas, duomenų valdytojas turėtų reguliariai teikti duomenų subjektui informaciją apie duomenų tvarkymą ir prašyti iš naujo patvirtinti savo sutikimą;

Pakeitimas  13

Pasiūlymas dėl reglamento

34 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(34) sutikimas neturėtų būti laikomas galiojančiu asmens duomenų tvarkymo teisiniu pagrindu, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas. Tai yra visų pirma tuomet, kai duomenų subjektas yra priklausomas nuo duomenų valdytojo, pavyzdžiui, kai palaikant darbo santykius darbuotojo asmens duomenis tvarko darbdavys. Kai duomenų valdytojas yra valdžios institucija, disbalansas atsirastų tik atliekant tokias specialias tvarkymo operacijas, kurių atveju valdžios institucija, remdamasi savo viešaisiais įgaliojimais, gali nustatyti pareigą ir sutikimas negali būti laikomas savanorišku, atsižvelgiant į duomenų subjekto interesus;

Išbraukta.

Pakeitimas  14

Pasiūlymas dėl reglamento

36 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(36) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią pareigą arba kai duomenis būtina tvarkyti viešojo intereso užduočiai įvykdyti ar vykdant valdžios įgaliojimus, duomenų tvarkymo teisinis pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje ir atitikti Europos Sąjungos pagrindinių teisių chartijos reikalavimus, jei teisės arba laisvės suvaržomos. Be to, Sąjungos arba nacionalinėje teisėje turi būti nustatyta, ar duomenų valdytojas, vykdantis viešojo intereso užduotį arba valdžios įgaliojimus, turėtų būti viešojo administravimo institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba privatinės teisės reglamentuojamas fizinis ar juridinis asmuo, kaip antai profesinė asociacija;

(36) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią pareigą arba kai duomenis būtina tvarkyti viešojo intereso užduočiai įvykdyti ar vykdant valdžios įgaliojimus, duomenų tvarkymo teisinis pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje ir atitikti Europos Sąjungos pagrindinių teisių chartijos reikalavimus, jei teisės arba laisvės suvaržomos. Ši nuostata taip pat turėtų būti taikoma kolektyvinėms sutartims, kurios pagal nacionalinius teisės aktus gali būti pripažįstamos kaip visuotinai galiojančios. Be to, Sąjungos arba nacionalinėje teisėje turi būti nustatyta, ar duomenų valdytojas, vykdantis viešojo intereso užduotį arba valdžios įgaliojimus, turėtų būti viešojo administravimo institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba privatinės teisės reglamentuojamas fizinis ar juridinis asmuo, kaip antai profesinė asociacija;

Pakeitimas  15

Pasiūlymas dėl reglamento

38 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(38) teisėti duomenų valdytojo interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni. Juos reikėtų kruopščiai pasverti visų pirma tuomet, kai duomenų subjektas yra vaikas, nes vaikams reikalinga ypatinga apsauga. Duomenų subjektui turėtų būti suteikta teisė dėl priežasčių, susijusių su jo konkrečia padėtimi, nesutikti, kad duomenys būtų tvarkomi, ir dėl to nepatirti išlaidų. Siekiant užtikrinti skaidrumą, duomenų valdytojas turėtų būti įpareigotas aiškiai informuoti duomenų subjektą apie teisėtus interesus, kurių siekia, ir jo teisę su tuo nesutikti, be to, jis turėtų būti įpareigotas šiuos teisėtus interesus dokumentuoti. Atsižvelgiant į tai, kad teisinį duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, šis pateisinimo pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas;

(38) teisėti duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu jie atitinka pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju, ir jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni. Juos reikėtų kruopščiai pasverti visų pirma tuomet, kai duomenų subjektas yra vaikas, nes vaikams reikalinga ypatinga apsauga. Jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, turėtų būti laikoma, kad duomenų tvarkymas, apsiribojantis tik pseudoniminiais duomenimis, atitinka pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju. Duomenų subjektui turėtų būti suteikta teisė nesutikti, kad duomenys būtų tvarkomi, ir dėl to nepatirti išlaidų. Siekiant užtikrinti skaidrumą, duomenų valdytojas turėtų būti įpareigotas aiškiai informuoti duomenų subjektą apie teisėtus interesus, kurių siekia, ir jo teisę su tuo nesutikti, be to, jis turėtų būti įpareigotas šiuos teisėtus interesus dokumentuoti. Duomenų subjekto interesai ir pagrindinės teisės gali būti ypač viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. Atsižvelgiant į tai, kad teisinį duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, šis pateisinimo pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas;

Pakeitimas  16

Pasiūlymas dėl reglamento

39 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(39) duomenų tvarkymas, atliekamas valstybės institucijų, kompiuterinių incidentų tarnybų (angl. Computer Emergency Response Teams, CERT), kompiuterių saugumo incidentų tyrimo tarnybų (angl. Computer Emergency Response Teams, CSIRT), elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų, laikomas teisėtu atitinkamo duomenų valdytojo interesu tiek, kiek to reikia siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar perduodamų duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia arba kurios prieinamos per tuos tinklus ir sistemas, saugumą. Toks teisėtas interesas galėtų būti, pavyzdžiui, kelio užkirtimas neteisėtai prieigai prie elektroninių ryšių tinklų, kenkimo programų kodų platinimui, elektroninės paslaugų trikdymo atakoms (angl. denial of service) ir kompiuterių bei elektroninių ryšių sistemų sugadinimui;

 

(39) duomenų tvarkymas, atliekamas valstybės institucijų, kompiuterinių incidentų tarnybų (angl. Computer Emergency Response Teams, CERT), kompiuterių saugumo incidentų tyrimo tarnybų (angl. Computer Emergency Response Teams, CSIRT), elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų, laikomas teisėtu atitinkamo duomenų valdytojo interesu tiek, kiek to reikia ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos atsparumą trikdžiams arba tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar perduodamų duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurios teikiamos per tuos tinklus ir sistemas, saugumą. Toks teisėtas interesas galėtų būti, pavyzdžiui, kelio užkirtimas neteisėtai prieigai prie elektroninių ryšių tinklų, kenkimo programų kodų platinimui, elektroninės paslaugų trikdymo atakoms (angl. denial of service) ir kompiuterių bei elektroninių ryšių sistemų sugadinimui. Šis principas taip pat taikomas asmens duomenų tvarkymui siekiant apriboti piktnaudžiavimą prieiga prie viešai prieinamo tinklo ar informacinių sistemų, pvz., elektroninių identifikatorių juodojo sąrašo sudarymui;

Pakeitimas  17

Pasiūlymas dėl reglamento

39 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(39a) jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, duomenų valdytojo kelio žalai užkirtimas arba žalos apribojimas turėtų būti suprantami kaip vykdomi remiantis teisėtais duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesais ir kaip atitinkantys pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju. Be to, tas pats principas taikomas teisinių pretenzijų duomenų subjekto atžvilgiu tenkinimui, pvz., skolos išieškojimui arba civilinės žalos atlyginimui ir teisių gynimo priemonėms;

Pakeitimas  18

Pasiūlymas dėl reglamento

39 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(39b) jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, asmens duomenų tvarkymas tiesioginės savo ir panašių produktų ir paslaugų rinkodaros tikslais arba paštu vykdomos tiesioginės rinkodaros tikslais turėtų būti suprantamas kaip vykdomas remiantis teisėtais duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesais ir kaip atitinkantys pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju, jei pateikiama gerai matoma informacija apie teisę nesutikti ir apie asmens duomenų šaltinį. Įmonių kontaktinių duomenų tvarkymas paprastai turėtų būti suprantamas kaip vykdomas remiantis teisėtais duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesais ir kaip atitinkantys pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju. Ta pati nuostata turėtų būti taikoma duomenų subjekto akivaizdžiai paskelbtų viešai asmens duomenų tvarkymui;

Pakeitimas  19

Pasiūlymas dėl reglamento

40 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(40) asmens duomenų tvarkymas kitais tikslais turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas dera su tikslais, kuriais iš pradžių duomenys buvo rinkti, visų pirma, kai duomenis tvarkyti būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais. Kai kitas tikslas su pradiniu duomenų rinkimo tikslu nedera, duomenų valdytojas turėtų gauti duomenų subjekto sutikimą duomenis tvarkyti tuo kitu tikslu arba duomenų tvarkymą pagrįsti kitu teisėtu pagrindu, visų pirma įtvirtintu Sąjungos teisėje arba duomenų valdytojui taikytinos valstybės narės teisėje. Visais atvejais turėtų būti užtikrinta, kad bus taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas bus informuotas apie tuos kitus duomenų tvarkymo tikslus;

Išbraukta.

Pakeitimas  20

Pasiūlymas dėl reglamento

41 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(41) reikia užtikrinti ypatingą asmens duomenų, visų pirma tų, kurie dėl savo pobūdžio yra neskelbtini ir dėl kurių gali būti pažeistos pagrindinės teisės arba privatumas, apsaugą; tokie duomenys neturėtų būti tvarkomi, nebent duomenų subjektas su tuo aiškiai sutiko. Tačiau būtinųjų poreikių atveju reikėtų aiškiai nustatyti šio draudimo išimtis, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kovojantys už pagrindinių laisvių įgyvendinimą;

Išbraukta.

Pakeitimas  21

Pasiūlymas dėl reglamento

42 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(42) be to, netaikyti draudimo tvarkyti ypatingų kategorijų duomenis turėtų būti leidžiama, jei tai numatyta įstatyme ir taikomos tinkamos asmens duomenų ir kitų pagrindinių teisių apsaugos priemonės, kai galima pateisinti viešojo intereso pagrindais, visų pirma kai tai susiję su sveikatos klausimais, įskaitant visuomenės sveikatos ir socialinės apsaugos užtikrinimą ir sveikatos priežiūros paslaugų administravimą, ypač siekiant, kad sveikatos draudimo sistemoje taikomos prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros būtų kokybiškos ir nereikalautų daug sąnaudų, arba kai duomenys tvarkomi istoriniais, statistiniais ir mokslinių tyrimų tikslais;

(42) be to, netaikyti draudimo tvarkyti ypatingų kategorijų duomenis turėtų būti leidžiama, jei tai numatyta įstatyme ir taikomos tinkamos asmens duomenų ir kitų pagrindinių teisių apsaugos priemonės, kai galima pateisinti viešojo intereso pagrindais, visų pirma kai tai susiję su sveikatos klausimais, įskaitant visuomenės sveikatos ir socialinės apsaugos užtikrinimą ir sveikatos priežiūros paslaugų administravimą, ypač siekiant, kad sveikatos draudimo sistemoje taikomos prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros būtų kokybiškos ir nereikalautų daug sąnaudų, arba kai duomenys tvarkomi istoriniais, statistiniais ir mokslinių tyrimų ar archyvų tarnybos tikslais;

Pakeitimas  22

Pasiūlymas dėl reglamento

45 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(45) jeigu duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, jis neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Kai pateikiamas prašymas susipažinti su duomenimis, duomenų valdytojas turėtų turėti teisę pareikalauti iš duomenų subjekto papildomos informacijos, kuri jam padėtų rasti prašomus asmens duomenis;

(45) jeigu duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, jis neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Kai pateikiamas prašymas susipažinti su duomenimis, duomenų valdytojas turėtų turėti teisę pareikalauti iš duomenų subjekto papildomos informacijos, kuri jam padėtų rasti prašomus asmens duomenis. Jeigu duomenų subjektas gali pateikti tokius duomenis, duomenų valdytojams neturėtų būti leidžiama informacijos trūkumo nurodyti kaip priežasties, kuria remdamiesi jie atmestų prašymą susipažinti su duomenimis;

Pakeitimas  23

Pasiūlymas dėl reglamento

47 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(47) siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant visų pirma prašymo nemokamai suteikti teisę susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti, taip pat naudojimosi teise nesutikti tvarką. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti per nustatytą terminą ir, jei duomenų subjekto prašymo netenkina, nurodyti priežastis;

(47) siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant visų pirma galimybių nemokamai susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti, taip pat naudojimosi teise nesutikti tvarką. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti per pagrįstą terminą ir, jei duomenų subjekto prašymo netenkina, nurodyti priežastis;

Pakeitimas  24

Pasiūlymas dėl reglamento

48 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(48) pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui turėtų būti pranešta visų pirma apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, kaip ilgai bus saugomi duomenys, apie teisę susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti ir apie teisę pateikti skundą. Kai duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuotas, ar jis privalo pateikti duomenis, taip pat apie tokių duomenų nepateikimo pasekmes;

(48) pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui turėtų būti pranešta visų pirma apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, kaip ilgai greičiausiai bus saugomi duomenys kiekvienu tikslu, jei duomenys turi būti perduoti trečiosioms šalims ar trečiosioms valstybėms, apie priemones nesutikti ir teisę susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti ir apie teisę pateikti skundą. Kai duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuotas, ar jis privalo pateikti duomenis, taip pat apie tokių duomenų nepateikimo pasekmes; Ši informacija turėtų būti teikiama, o tai gali reikšti – iš karto paskelbiama, duomenų subjektui, pateikus supaprastintą informaciją standartizuotų piktogramų pavidalu. Be to, tai turėtų reikšti, kad asmens duomenys tvarkomi taip, kad duomenų subjektas galėtų veiksmingai naudotis savo teisėmis;

Pakeitimas  25

Pasiūlymas dėl reglamento

50 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(50) tačiau šią pareigą nebūtina nustatyti tais atvejais, kai duomenų subjektas jau buvo informuotas arba kai duomenų įrašymas ar atskleidimas įtvirtintas įstatyme, arba kai pateikti informaciją duomenų subjektui neįmanoma arba reikalautų neproporcingai didelių pastangų. Pastarasis atvejis būtų, pavyzdžiui, duomenis tvarkant istoriniais, statistiniais arba mokslinių tyrimų tikslais; tokioje situacijoje galima atsižvelgti į duomenų subjektų skaičių, duomenų senumą ir bet kurias priimtas kompensacines priemones;

(50) tačiau šią pareigą nebūtina nustatyti tais atvejais, kai duomenų subjektas jau žino šią informaciją arba kai duomenų įrašymas ar atskleidimas įtvirtintas įstatyme, arba kai pateikti informaciją duomenų subjektui neįmanoma arba reikalautų neproporcingai didelių pastangų.

Pakeitimas  26

Pasiūlymas dėl reglamento

51 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(51) bet kuris asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, pavyzdžiui, apie tai, kokiais tikslais duomenys tvarkomi, kaip ilgai jie bus laikomi, kas yra duomenų gavėjas, pagal kokią logiką duomenys tvarkomi ir kokios galėtų būti tokio duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ši teisė neturėtų varžyti kitų asmenų teisių ir laisvių, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją;

(51) bet kuris asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, pavyzdžiui, apie tai, kokiais tikslais duomenys tvarkomi, kaip ilgai, manoma, jie bus laikomi, kas yra duomenų gavėjas, pagal kokią bendrą logiką duomenys tvarkomi ir kokios galėtų būti tokio duomenų tvarkymo pasekmės. Ši teisė neturėtų varžyti kitų asmenų teisių ir laisvių, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, pvz., susijusias su autorių teisėmis, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją;

Pakeitimas  27

Pasiūlymas dėl reglamento

53 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(53) kiekvienas asmuo turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti užmirštam, kai tokių duomenų saugojimas neatitinka šio reglamento reikalavimų. Pirmiausia, duomenų subjektai turėtų turėti teisę reikalauti, kad jų duomenys būtų ištrinti ir toliau nebetvarkomi, kai duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektai atšaukė savo sutikimą dėl duomenų tvarkymo ar nesutinka, kad jų asmens duomenys būtų tvarkomi, arba kai jų asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento nuostatų. Ši teisė ypatingai svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas, nevisiškai suvokdamas su duomenų tvarkymu susijusią riziką, o vėliau panoro, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Tačiau turėtų būti leidžiama toliau saugoti duomenis, jei to reikia istoriniais, statistiniais ir mokslinių tyrimų tikslais, siekiant apginti viešąjį interesą visuomenės sveikatos srityje ar norint pasinaudoti teise į saviraiškos laisvę, kai tai numatyta pagal įstatymą arba yra pagrindas duomenų tvarkymą riboti, o ne juos ištrinti;

(53) kiekvienas asmuo turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę reikalauti ištrinti duomenis, kai tokių duomenų saugojimas neatitinka šio reglamento reikalavimų. Pirmiausia, duomenų subjektai turėtų turėti teisę reikalauti, kad jų duomenys būtų ištrinti ir toliau nebetvarkomi, kai duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektai atšaukė savo sutikimą dėl duomenų tvarkymo ar nesutinka, kad jų asmens duomenys būtų tvarkomi, arba kai jų asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento nuostatų. Tačiau turėtų būti leidžiama toliau saugoti duomenis, jei to reikia istoriniais, statistiniais ir mokslinių tyrimų tikslais, siekiant apginti viešąjį interesą visuomenės sveikatos srityje ar norint pasinaudoti teise į saviraiškos laisvę, kai tai numatyta pagal įstatymą arba yra pagrindas duomenų tvarkymą riboti, o ne juos ištrinti. Taip pat teisė reikalauti ištrinti duomenis neturėtų būti taikoma tuo atveju, kai saugoti asmens duomenis būtina siekiant vykdyti sutartį su duomenų subjektu arba kai yra teisės aktais nustatytas reikalavimas saugoti šiuos duomenis;

Pakeitimas  28

Pasiūlymas dėl reglamento

54 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(54) siekiant sustiprinti teisę būti užmirštam internetinėje aplinkoje, teisė reikalauti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius duomenis tvarkančius trečiuosius asmenis apie duomenų subjekto prašymą ištrinti visas nuorodas į tuos duomenis, jų kopijas ar dublikatus. Dėl duomenų, už kurių paskelbimą duomenų valdytojas yra atsakingas, jis turėtų imtis visų pagrįstų veiksmų, įskaitant technines priemones, kad tokią informaciją perduotų tretiesiems asmenims. Kai asmens duomenis paskelbė tretieji asmenys, duomenų valdytojas turėtų būti laikomas atsakingu už jų paskelbimą, jei jis davė tokį leidimą;

(54) siekiant sustiprinti teisę reikalauti ištrinti duomenis internetinėje aplinkoje, teisė reikalauti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris be teisinio pagrindimo asmens duomenis paskelbė viešai, būtų įpareigotas imtis visų reikiamų veiksmų, kad duomenys būtų ištrinti, taip pat ir trečiųjų šalių, nedarant poveikio duomenų subjekto teisei reikalauti atlyginti nuostolius;

Pakeitimas  29

Pasiūlymas dėl reglamento

54 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(54a) duomenys, kuriuos duomenų subjektas užginčija ir kurių tikslumo ar netikslumo nustatyti negalima, turėtų būti užblokuojami, kol klausimas bus išsiaiškintas;

Pakeitimas  30

Pasiūlymas dėl reglamento

55 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(55) kai asmens duomenys tvarkomi elektroninėmis priemonėmis ir susistemintu bei dažnai naudojamu elektroniniu formatu, duomenų subjektai turėtų turėti teisę savo duomenų kopiją gauti taip pat dažnai naudojamu elektroniniu formatu, kad galėtų geriau kontroliuoti savo asmens duomenis ir pasinaudoti savo teise su jais susipažinti. Be to, duomenų subjektui taip pat turėtų būti leidžiama savo pateiktus duomenis persiųsti iš vienos automatizuotos programos, pavyzdžiui, socialinio tinklo, į kitą. Tai turėtų būti taikoma tais atvejais, kai duomenų subjektas duomenis automatizuotai duomenų tvarkymo sistemai pateikė savo sutikimu arba vykdydamas sutartį;

(55) kai asmens duomenys tvarkomi elektroninėmis priemonėmis ir susistemintu bei dažnai naudojamu elektroniniu formatu, duomenų subjektai turėtų turėti teisę savo duomenų kopiją gauti taip pat dažnai naudojamu elektroniniu formatu, kad galėtų geriau kontroliuoti savo asmens duomenis ir pasinaudoti savo teise su jais susipažinti. Be to, duomenų subjektui taip pat turėtų būti leidžiama savo pateiktus duomenis persiųsti iš vienos automatizuotos programos, pavyzdžiui, socialinio tinklo, į kitą. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Tai turėtų būti taikoma tais atvejais, kai duomenų subjektas duomenis automatizuotai duomenų tvarkymo sistemai pateikė savo sutikimu arba vykdydamas sutartį. Visuomenės informavimo paslaugų teikėjai tokių duomenų perdavimo neturėtų padaryti būtina savo paslaugų teikimo sąlyga;

Pakeitimas  31

Pasiūlymas dėl reglamento

56 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(56) kai asmens duomenys gali būti teisėtai tvarkomi, kad būtų apsaugoti gyvybiniai duomenų subjekto interesai arba ginant viešąjį interesą, vykdant valdžios įgaliojimus ar užtikrinant teisėtus duomenų valdytojo interesus, kiekvienas duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių jo duomenų tvarkymu. Pareiga įrodyti, kad teisėti duomenų valdytojo interesai viršesni už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

(56) kai asmens duomenys gali būti teisėtai tvarkomi, kad būtų apsaugoti gyvybiniai duomenų subjekto interesai arba ginant viešąjį interesą, vykdant valdžios įgaliojimus ar užtikrinant teisėtus duomenų valdytojo interesus, kiekvienas duomenų subjektas vis tiek turėtų turėti teisę nemokamai, paprastai ir veiksmingai nesutikti su bet kokių jo duomenų tvarkymu. Pareiga įrodyti, kad teisėti duomenų valdytojo interesai viršesni už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

Pakeitimas  32

Pasiūlymas dėl reglamento

57 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(57) jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turėtų galėti nemokamai, paprastai ir veiksmingai pasinaudoti teise nesutikti su tokiu duomenų tvarkymu;

(57) jeigu duomenų subjektas turi teisę nesutikti su duomenų tvarkymu, duomenų valdytojas turi ją aiškiai nurodyti duomenų subjektui suprantamu būdu ir forma, aiškia bei paprasta kalba ir šią informaciją turėtų aiškiai atskirti nuo kitos informacijos;

Pakeitimas  33

Pasiūlymas dėl reglamento

58 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(58) kiekvienas fizinis asmuo turėtų turėti teisę, kad jam nebūtų taikoma priemonė, pagrįsta profiliavimu duomenis tvarkant automatizuotai. Tačiau tokia priemonė turėtų būti leidžiama, kai ji aiškiai numatyta įstatyme, įgyvendinta sudarant arba vykdant sutartį arba kai buvo gautas duomenų subjekto sutikimas. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, pavyzdžiui, duomenų subjekto informavimas arba teisė reikalauti žmogaus įsikišimo, o tokia priemonė neturėtų būti taikoma vaikui;

(58) nedarant poveikio duomenų tvarkymo teisėtumui, kiekvienas fizinis asmuo turėtų turėti teisę nesutikti su profiliavimu. Profiliavimas, dėl kurio imamasi priemonių, darančių teisinį poveikį duomenų subjektams, arba kuris turi panašiai žymų poveikį atitinkamo duomenų subjekto interesams, teisėms ir laisvėms, turėtų būti leidžiamas tik tais atvejais, kai jis aiškiai numatytas įstatyme, įgyvendinamas sudarant arba vykdant sutartį arba kai buvo gautas duomenų subjekto sutikimas. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, pavyzdžiui, duomenų subjekto informavimas arba teisė reikalauti žmogaus įvertinimo, o tokia priemonė neturėtų būti taikoma vaikui. Tokios priemonės neturėtų lemti asmenų diskriminacijos dėl jų rasinės ar tautinės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinėms sąjungoms, lytinės orientacijos ar lytinės tapatybės;

Pakeitimas  34

Pasiūlymas dėl reglamento

58 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(58a) turėtų būti laikoma, kad profiliavimas, grindžiamas tik pseudoniminių duomenų tvarkymu, neturi žymaus poveikio duomenų subjekto interesams, teisėms ir laisvėms. Jei profiliavimas – nesvarbu, ar grindžiamas vienu pseudoniminių duomenų šaltiniu, ar skirtingų šaltinių pseudoniminių duomenų rinkiniu – sudaro duomenų valdytojui sąlygas priskirti pseudoniminius duomenis konkrečiam duomenų subjektui, tvarkomi duomenys nebeturėtų būti laikomi pseudoniminiais;

Pakeitimas  35

Pasiūlymas dėl reglamento

59 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(59) Sąjungos arba valstybės narės teisėje gali būti nustatyti ribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, susipažinti su duomenimis, teisė reikalauti ištaisyti ir ištrinti duomenis ar teisė į duomenų perkeliamumą, profiliavimu grindžiamos priemonės, taip pat duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų pareigos, jeigu toks ribojimas reikalingas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, įskaitant žmonių gyvybių apsaugą reaguojant į gaivalines ar žmogaus sukeltas nelaimes, nusikalstamos veikos arba reglamentuojamų profesijų etikos taisyklių pažeidimų prevenciją, tyrimą ir traukimą baudžiamojon atsakomybėn už juos, taip pat siekiant apginti kitus Sąjungos ar valstybių narių viešuosius interesus, visų pirma, svarbius ekonominius arba finansinius Sąjungos ar valstybių narių interesus, arba užtikrinti duomenų subjekto arba kitų asmenų teisių ir laisvių apsaugą. Šie apribojimai turėtų atitikti Europos Sąjungos pagrindinių teisių chartijos ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos reikalavimus;

(59) Sąjungos arba valstybės narės teisėje gali būti nustatyti ribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė reikalauti ištaisyti ir ištrinti duomenis ar teisė susipažinti su duomenimis ir juos gauti, teisė nesutikti su duomenų tvarkymu, profiliavimas, taip pat duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų pareigos, jeigu toks ribojimas reikalingas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, įskaitant žmonių gyvybių apsaugą reaguojant į gaivalines ar žmogaus sukeltas nelaimes, nusikalstamos veikos arba reglamentuojamų profesijų etikos taisyklių pažeidimų prevenciją, tyrimą ir traukimą baudžiamojon atsakomybėn už juos, taip pat siekiant apginti kitus konkrečius ir gerai apibrėžtus Sąjungos ar valstybių narių viešuosius interesus, visų pirma, svarbius ekonominius arba finansinius Sąjungos ar valstybių narių interesus, arba užtikrinti duomenų subjekto arba kitų asmenų teisių ir laisvių apsaugą. Šie apribojimai turėtų atitikti Europos Sąjungos pagrindinių teisių chartijos ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos reikalavimus;

Pakeitimas  36

Pasiūlymas dėl reglamento

60 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(60) turėtų būti nustatyta visapusiška duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo pavedimu vykdomą asmens duomenų tvarkymą. Visų pirma, duomenų valdytojas turėtų užtikrinti, kad kiekviena duomenų tvarkymo operacija atitinka šį reglamentą, ir privalėti tą įrodyti;

(60) turėtų būti nustatyta visapusiška duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo pavedimu vykdomą asmens duomenų tvarkymą, ypač srityse, susijusiose su dokumentais, duomenų saugumu, poveikio vertinimais, duomenų apsaugos pareigūnu ir duomenų apsaugos institucijų priežiūra. Visų pirma, duomenų valdytojas turėtų užtikrinti, kad kiekviena duomenų tvarkymo operacija atitinka šį reglamentą, ir galėti tą įrodyti; Tai turėtų tikrinti nepriklausomi vidaus ar išorės auditoriai;

Pakeitimas  37

Pasiūlymas dėl reglamento

61 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(61) dėl duomenų subjektų teisių ir laisvių apsaugos tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad ir kuriant duomenų tvarkymo sistemas, ir duomenis tvarkant, būtų laikomasi reglamento reikalavimų. Siekdamas užtikrinti ir įrodyti šio reglamento nuostatų laikymąsi, duomenų valdytojas turėtų priimti vidaus nuostatas ir įdiegti tinkamas priemones, kuriomis visų pirma paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų;

(61) dėl duomenų subjektų teisių ir laisvių apsaugos tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad ir kuriant duomenų tvarkymo sistemas, ir duomenis tvarkant, būtų laikomasi reglamento reikalavimų. Siekdamas užtikrinti ir įrodyti šio reglamento nuostatų laikymąsi, duomenų valdytojas turėtų priimti vidaus nuostatas ir įdiegti tinkamas priemones, kuriomis visų pirma paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų; Pagal pritaikytosios duomenų apsaugos principą duomenys yra saugomi visą technologijų gyvavimo ciklą – nuo jų pradinio kūrimo etapo iki jų diegimo, naudojimo ir galutinio atsisakymo. Tai taip pat turėtų apimti atsakomybę už duomenų valdytojo ar duomenų tvarkytojo naudojamus produktus ir paslaugas. Pagal standartizuotosios duomenų apsaugos principą paslaugoms ir produktams taikomi privatumo nustatymai, kurie standartiniu atveju turėtų atitikti bendruosius duomenų apsaugos principus, pvz., kuo mažesnio duomenų kiekio ir tikslų apribojimo principus;

Pakeitimas  38

Pasiūlymas dėl reglamento

62 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(62) siekiant užtikrinti duomenų subjektų teises ir laisves ir nustatyti duomenų valdytojų ir duomenų tvarkytojų atsakomybę, šiame reglamente reikia aiškiai paskirstyti atsakomybę – taip pat ir priežiūros institucijų stebėjimo ir priemonių atžvilgiu – be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus, sąlygas ir būdus arba kai duomenų tvarkymo operacija atlikta duomenų valdytojo pavedimu;

(62) siekiant užtikrinti duomenų subjektų teises ir laisves ir nustatyti duomenų valdytojų ir duomenų tvarkytojų atsakomybę, šiame reglamente reikia aiškiai paskirstyti atsakomybę – taip pat ir priežiūros institucijų stebėjimo ir priemonių atžvilgiu – be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus arba kai duomenų tvarkymo operacija atlikta duomenų valdytojo pavedimu. Bendrų duomenų valdytojų tarpusavio susitarimuose turėtų būti nurodytos faktinės bendrų duomenų valdytojų funkcijos ir santykiai. Remiantis šiuo reglamentu vykdomas asmens duomenų tvarkymas turėtų apimti leidimą duomenų valdytojui perduoti duomenis bendram duomenų valdytojui ar tvarkytojui, kad jie tvarkytų duomenis savo vardu;

Pakeitimas  39

Pasiūlymas dėl reglamento

63 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(63) kai Sąjungoje gyvenančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų kontrolierius, kurio duomenų tvarkymo veikla susijusi su prekių ir paslaugų siūlymu tokiems duomenų subjektams arba jų elgesio stebėjimu, duomenų valdytojas turėtų paskirti atstovą, nebent duomenų valdytojas yra įsikūręs trečiojoje šalyje, kuri užtikrina tinkamą apsaugos lygį, arba duomenų valdytojas yra mažoji ar vidutinė įmonė, valdžios institucija ar įstaiga, arba duomenų valdytojas prekes ir paslaugas tokiems duomenų subjektams siūlo tik retkarčiais. Atstovas turėtų veikti duomenų valdytojo vardu, o į jį galėtų kreiptis priežiūros institucijos;

(63) kai Sąjungos duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas, duomenų valdytojas turėtų paskirti atstovą, nebent duomenų valdytojas yra įsikūręs trečiojoje šalyje, kuri užtikrina tinkamą apsaugos lygį, tvarkomi mažiau negu 5 000 duomenų subjektų asmens duomenys per 12 mėnesių iš eilės laikotarpį ir netvarkomi specialios kategorijos asmens duomenys arba duomenų valdytojas valdžios institucija ar įstaiga, arba duomenų valdytojas prekes ir paslaugas tokiems duomenų subjektams siūlo tik retkarčiais. Atstovas turėtų veikti duomenų valdytojo vardu, o į jį galėtų kreiptis priežiūros institucijos;

Pakeitimas  40

Pasiūlymas dėl reglamento

64 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(64) siekiant nustatyti, ar duomenų valdytojas prekes ir paslaugas Sąjungoje gyvenantiems duomenų subjektams siūlo tik retkarčiais, reikėtų įvertinti, ar iš visos duomenų valdytojo veiklos matyti, kad prekių ir paslaugų siūlymas tokiems duomenų subjektams tik papildo pagrindinę jo veiklą;

(64) siekiant nustatyti, ar duomenų valdytojas prekes ir paslaugas Sąjungos duomenų subjektams siūlo tik retkarčiais, reikėtų įvertinti, ar iš visos duomenų valdytojo veiklos matyti, kad prekių ir paslaugų siūlymas tokiems duomenų subjektams tik papildo pagrindinę jo veiklą;

Pakeitimas  41

Pasiūlymas dėl reglamento

65 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(65) kad įrodytų, jog laikosi šio reglamento, duomenų valdytojas arba tvarkytojas turėtų dokumentuoti kiekvieną duomenų tvarkymo operaciją. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir paprašius pateikti turimus dokumentus, kad pagal juos būtų galima patikrinti tvarkymo operacijas;

(65) kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas arba tvarkytojas turėtų turėti visus reikiamus dokumentus, kad galėtų įgyvendinti šiame reglamente nustatytus reikalavimus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir paprašius pateikti turimus dokumentus, kad pagal juos būtų galima įvertinti, ar jie laikosi šio reglamento. Vis dėl to tokią pačią svarbą ir dėmesį reikėtų skirti gerajai praktikai ir reikalavimų laikymuisi, ne tik visų dokumentų turėjimui;

Pakeitimas  42

Pasiūlymas dėl reglamento

66 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(66) siekiant užtikrinti saugumą ir užkirsti kelią šio reglamento nuostatų neatitinkančiam duomenų tvarkymui, duomenų valdytojas arba tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusią riziką ir įgyvendinti jas mažinančias priemones. Šiomis priemonėmis turėtų būti užtikrintas saugumo lygis, kuris atsižvelgiant į technologijų lygį ir jų įdiegimo išlaidas, turėtų būti adekvatus tvarkymo keliamai rizikai ir saugotinų asmens duomenų pobūdžiui. Nustatydama techninius standartus ir organizacines priemones duomenų tvarkymo saugumui užtikrinti, Komisija turėtų skatinti technologinį neutralumą, sąveikumą ir inovacijas, o prireikus bendradarbiauti su trečiosiomis šalimis;

(66) siekiant užtikrinti saugumą ir užkirsti kelią šio reglamento nuostatų neatitinkančiam duomenų tvarkymui, duomenų valdytojas arba tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusią riziką ir įgyvendinti jas mažinančias priemones. Šiomis priemonėmis turėtų būti užtikrintas saugumo lygis, kuris atsižvelgiant į technologijų lygį ir jų įdiegimo išlaidas, turėtų būti adekvatus tvarkymo keliamai rizikai ir saugotinų asmens duomenų pobūdžiui. Nustatant techninius standartus ir organizacines priemones duomenų tvarkymo saugumui užtikrinti, reikėtų skatinti technologinį neutralumą, sąveikumą ir inovacijas, o prireikus skatinti bendradarbiauti su trečiosioms šalims;

Pakeitimas  43

Pasiūlymas dėl reglamento

67 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(67) dėl asmens duomenų saugumo pažeidimo, jei jis tinkamai ir laiku neišaiškintas, asmuo gali patirti didelių ekonominių nuostolių arba socialinę žalą, įskaitant tapatybės klastojimą. Todėl, kai tik duomenų valdytojas sužino, kad padarytas toks pažeidimas, jis apie pažeidimą turėtų nepagrįstai nedelsdamas, jei įmanoma, per 24 valandas pranešti priežiūros institucijai. Kai to neįmanoma padaryti per 24 valandas, pranešant reikėtų nurodyti vėlavimo priežastis. Fiziniai asmenys, kurių asmens duomenims ar privatumui pažeidimas galėjo turėti neigiamą poveikį, turėtų būti nepagrįstai nedelsiant informuojami, kad galėtų imtis būtinų atsargumo priemonių. Pažeidimas turėtų būti laikomas turinčiu neigiamą poveikį asmens duomenims ar duomenų subjekto privatumui, jeigu dėl jo, pavyzdžiui, galėtų būti pavogta ar suklastota tapatybė, padaryta fizinė žala, patirtas didelis pažeminimas ar pakenkta reputacijai. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir fiziniams asmenims nurodytos rekomendacijos, kaip sušvelninti galimą neigiamą poveikį. Duomenų subjektams apie tai turėtų būti pranešta kuo greičiau, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos ar kitos atitinkamos institucijos (pvz., teisėsaugos institucijų) pateiktų nurodymų. Kad duomenų subjektai galėtų sumažinti tiesioginį žalos pavojų, reikėtų, pavyzdžiui, jiems nedelsiant apie tai pranešti, o ilgesnį pranešimo terminą būtų galima pateisinti būtinybe įgyvendinti tinkamas priemones, nukreiptas prieš tęstinius arba panašius duomenų saugumo pažeidimus;

(67) dėl asmens duomenų saugumo pažeidimo, jei jis tinkamai ir laiku neišaiškintas, asmuo gali patirti didelių ekonominių nuostolių arba socialinę žalą, įskaitant tapatybės klastojimą. Todėl, duomenų valdytojas apie pažeidimą turėtų pranešti priežiūros institucijai nepagrįstai nedelsdamas, o tai turėtų reikšti – ne vėliau kaip 72 valandas. Atitinkamais atvejais pranešant reikėtų nurodyti vėlavimo priežastis. Fiziniai asmenys, kurių asmens duomenims ar privatumui pažeidimas galėjo turėti neigiamą poveikį, turėtų būti nepagrįstai nedelsiant informuojami, kad galėtų imtis būtinų atsargumo priemonių. Pažeidimas turėtų būti laikomas turinčiu neigiamą poveikį asmens duomenims ar duomenų subjekto privatumui, jeigu dėl jo, pavyzdžiui, galėtų būti pavogta ar suklastota tapatybė, padaryta fizinė žala, patirtas didelis pažeminimas ar pakenkta reputacijai. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir fiziniams asmenims nurodytos rekomendacijos, kaip sušvelninti galimą neigiamą poveikį. Duomenų subjektams apie tai turėtų būti pranešta kuo greičiau, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos ar kitos atitinkamos institucijos (pvz., teisėsaugos institucijų) pateiktų nurodymų. Kad duomenų subjektai galėtų sumažinti tiesioginį žalos pavojų, reikėtų, pavyzdžiui, jiems nedelsiant apie tai pranešti, o ilgesnį pranešimo terminą būtų galima pateisinti būtinybe įgyvendinti tinkamas priemones, nukreiptas prieš tęstinius arba panašius duomenų saugumo pažeidimus;

Pakeitimas  44

Pasiūlymas dėl reglamento

71 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(71a) bet kurios ilgalaikės duomenų apsaugos sistemos pagrindas yra poveikio vertinimas, suteikiantis galimybę užtikrinti, kad įmonės iš pat pradžių supranta visas galimas jų duomenų tvarkymo operacijų pasekmes. Atlikus kruopštų poveikio vertinimą galima iš esmės apriboti tikimybę, kad bus duomenų saugumo pažeidimų ar privatumą pažeidžiančių operacijų. Atitinkamai vertinant duomenų apsaugos poveikį reikėtų atsižvelgti į asmens duomenų tvarkymą per visą jų gyvavimo ciklą, t. y. nuo duomenų rinkimo iki tvarkymo ir iki jų ištrynimo, išsamiai aprašant numatytas tvarkymo operacijas, riziką duomenų subjektų teisėms ir laisvėms, numatytas priemones tai rizikai pašalinti, apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama atitiktis reglamento nuostatoms;

Pakeitimas  45

Pasiūlymas dėl reglamento

71 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(71b) duomenų valdytojai turėtų didžiausią dėmesį skirti asmens duomenų apsaugai per visą duomenų gyvavimo ciklą, t. y. nuo duomenų rinkimo iki tvarkymo ir iki jų ištrynimo, iš pat pradžių investuodami į ilgalaikio duomenų tvarkymo sistemą ir jos laikydamiesi pagal visapusės atitikties mechanizmą;

Pakeitimas  46

Pasiūlymas dėl reglamento

73 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(73) duomenų apsaugos poveikio įvertinimą turėtų atlikti valdžios institucija arba įstaiga, jei toks įvertinimas dar nebuvo atliktas priimant nacionalinį įstatymą, kurio pagrindu valdžios institucija ar įstaiga atlieka savo funkcijas ir kuriuo reglamentuojama konkreti duomenų tvarkymo operacija ar jų seka;

Išbraukta.

Pakeitimas  47

Pasiūlymas dėl reglamento

74 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(74) kai iš duomenų apsaugos poveikio įvertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su didele konkrečia rizika duomenų subjektų teisėms ir laisvėms, kaip antai rizika, kad naudojant konkrečias naujas technologijas fiziniams asmenims bus užkirstas kelias pasinaudoti savo teisėmis, prieš pradedant operacijas reikėtų su priežiūros institucija konsultuotis dėl su rizika susijusio duomenų tvarkymo, kuris galėtų pažeisti šio reglamento reikalavimus, ir pateikti pasiūlymus, kaip tokią padėtį ištaisyti. Konsultuotis reikėtų ir rengiant nacionalinio parlamento teisėkūros priemonę arba ja pagrįstą priemonę, kuria apibrėžiamas duomenų tvarkymo pobūdis ir nustatomos tinkamos apsaugos priemonės;

(74) kai iš duomenų apsaugos poveikio įvertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su didele konkrečia rizika duomenų subjektų teisėms ir laisvėms, kaip antai rizika, kad naudojant konkrečias naujas technologijas fiziniams asmenims bus užkirstas kelias pasinaudoti savo teisėmis, prieš pradedant operacijas reikėtų su duomenų apsaugos pareigūnu arba priežiūros institucija konsultuotis dėl su rizika susijusio duomenų tvarkymo, kuris galėtų pažeisti šio reglamento reikalavimus, ir pateikti pasiūlymus, kaip tokią padėtį ištaisyti. Konsultuotis su priežiūros institucija reikėtų ir rengiant nacionalinio parlamento teisėkūros priemonę arba ja pagrįstą priemonę, kuria apibrėžiamas duomenų tvarkymo pobūdis ir nustatomos tinkamos apsaugos priemonės;

Pakeitimas  48

Pasiūlymas dėl reglamento

74 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(74a) poveikio vertinimai gali būti naudingi tik tuo atveju, jei duomenų valdytojai užtikrina, kad laikosi juose numatytų pradinių savo įsipareigojimų. Taigi duomenų valdytojai turėtų reguliariai rengti duomenų apsaugos reikalavimų laikymosi apžvalgas, siekdami nustatyti, ar naudojant galiojančius duomenų tvarkymo mechanizmus užtikrinamas duomenų apsaugos poveikio vertinime numatytas saugumas. Be to, jose turėtų būti įrodomas duomenų valdytojo pajėgumas užtikrinti, kad gerbiamas laisvas duomenų subjektų pasirinkimas. Be to, jei rengiant apžvalgą randama laikymosi neatitikimų, apžvalgoje reikėtų atkreipti į juos dėmesį ir pateikti rekomendacijas dėl to, kaip užtikrinti visapusišką reikalavimų laikymąsi;

Pakeitimas  49

Pasiūlymas dėl reglamento

75 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(75) Kai duomenys tvarkomi viešajame sektoriuje arba kai duomenis privačiajame sektoriuje tvarko didelė įmonė arba jos pagrindinė veikla, nepaisant įmonės dydžio, apima duomenų tvarkymo operacijas, kurias reikia reguliariai ir sistemingai stebėti, prižiūrėti, kaip įmonė laikosi šio reglamento, duomenų valdytojui ar tvarkytojui turėtų padėti dar vienas asmuo. Tokie duomenų apsaugos pareigūnai, nepriklausomai nuo to, ar jie yra duomenų valdytojo darbuotojai, savo pareigas ir užduotis turėtų atlikti visiškai nepriklausomai;

(75) Kai duomenys tvarkomi viešajame sektoriuje arba kai privačiajame sektoriuje per 12 mėnesių tvarkomi daugiau kaip 5 000 duomenų subjektų duomenys, arba pagrindinė įmonės veikla, nepaisant jos dydžio, apima neskelbtinų duomenų tvarkymo operacijas ar duomenų tvarkymo operacijas, kurias reikia reguliariai ir sistemingai stebėti, prižiūrėti, kaip įmonė laikosi šio reglamento, duomenų valdytojui ar tvarkytojui turėtų padėti dar vienas asmuo. Nustatant, ar tvarkoma labai daug duomenų subjektų duomenų, neturėtų būti atsižvelgiama į archyvuojamus duomenis, kurie apriboti taip, kad su jais nebūtų galima susipažinti įprastu būdu, duomenų valdytojas negalėtų atlikti jų tvarkymo operacijų ir jų nebūtų galima pakeisti. Tokie duomenų apsaugos pareigūnai, neatsižvelgiant į tai, ar jie yra duomenų valdytojo darbuotojai ir ar jie tas funkcijas atlieka visą darbo dieną, savo pareigas ir užduotis turėtų atlikti visiškai nepriklausomai ir jiems turėtų būti taikoma speciali apsauga nuo atleidimo iš darbo. Galutinė atsakomybė turėtų tekti organizacijos vadovybei. Svarbiausia, kad su duomenų apsaugos pareigūnu būtų konsultuojamasi prieš kuriant, įsigyjant, rengiant ir konfigūruojant automatizuoto asmens duomenų tvarkymo sistemas, kad būtų užtikrintas pritaikytosios ir standartizuotosios privatumo apsaugos principų laikymasis;

Pakeitimas  50

Pasiūlymas dėl reglamento

75 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(75a) duomenų apsaugos pareigūnas turėtų turėti bent jau šią kvalifikaciją: turėti daug žinių apie duomenų apsaugos teisės turinį ir taikymą, įskaitant technines ir organizacines priemones ir procedūras; žinoti techninius pritaikytosios ir standartizuotosios privatumo apsaugos ir duomenų saugumo reikalavimus; turėti konkrečios veiklos srities žinių, atitinkančių duomenų valdytojo ar tvarkytojo dydį ir tvarkytinų duomenų neskelbtinumą; sugebėti atlikti patikras, vykdyti konsultacijas, rengti dokumentus ir atlikti registracijos bylų analizę; sugebėti dirbti darbuotojų atstovavimo srityje. Duomenų valdytojas turėtų sudaryti duomenų apsaugos pareigūnui sąlygas dalyvauti aukštesnio lygio mokymuose, kad būtų palaikomos specializuotos žinios, reikalingos jo pareigoms atlikti. Paskyrus duomenų apsaugos pareigūną nereiškia, kad atitinkamas darbuotojas šią veiklą būtinai turės vykdyti visą darbo dieną;

Pakeitimas  51

Pasiūlymas dėl reglamento

76 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(76) asociacijos ar kitos įstaigos, atstovaujančios tam tikrų kategorijų duomenų valdytojams, turėtų būti skatinamos pagal šio reglamento reikalavimus parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus;

(76) asociacijos ar kitos įstaigos, atstovaujančios tam tikrų kategorijų duomenų valdytojams, pasikonsultavus su darbuotojų atstovais turėtų būti skatinamos, gavusios įmonės darbuotojų atstovų sutikimą, pagal šio reglamento reikalavimus parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus; Vadovaujantis šiais kodeksais, pramonės įmonėms turėtų būti lengviau laikytis šio reglamento;

Pakeitimas  52

Pasiūlymas dėl reglamento

77 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(77) siekiant didesnio skaidrumo ir geresnio šio reglamento laikymosi, reikėtų skatinti įvesti sertifikavimo mechanizmus, duomenų apsaugos ženklus ir žymenis, kurie leistų duomenų subjektams greitai įvertinti konkretaus produkto ar paslaugos duomenų apsaugos lygį;

(77) siekiant didesnio skaidrumo ir geresnio šio reglamento laikymosi, reikėtų skatinti įvesti sertifikavimo mechanizmus, duomenų apsaugos ženklus ir standartizuotus žymenis, kurie leistų duomenų subjektams greitai, patikimai ir įrodomai įvertinti konkretaus produkto ar paslaugos duomenų apsaugos lygį. Europos duomenų apsaugos ženklas turėtų būti sukurtas Europos mastu, kad padėtų kurti pasitikėjimą tarp duomenų subjektų, užtikrinti teisinį tikrumą duomenų valdytojams ir kartu skleisti Europos duomenų apsaugos standartus sudarant galimybes ne ES įmonėms lengviau patekti į Europos rinkas taikant sertifikavimą;

Pakeitimas  53

Pasiūlymas dėl reglamento

79 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(79) šis reglamentas nedaro poveikio Sąjungos ir trečiųjų šalių sudarytiems tarptautiniams susitarimams, kuriais reglamentuojamas asmens duomenų perdavimas, įskaitant tinkamas duomenų subjektų apsaugos priemones;

(79) šiuo reglamentu nedaromas poveikis Sąjungos ir trečiųjų valstybių sudarytiems tarptautiniams susitarimams, kuriais reglamentuojamas asmens duomenų perdavimas, įskaitant tinkamas duomenų subjektų apsaugos priemones, užtikrinant tinkamo lygio piliečių pagrindinių teisių apsaugą;

Pakeitimas  54

Pasiūlymas dėl reglamento

80 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(80) Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios šalys arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Šiais atvejais asmens duomenys į šias šalis gali būti perduodami be papildomo leidimo;

(80) Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios šalys arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Komisija, įspėjusi trečiąją šalį ir pateikusi jai išsamų pagrindimą, taip pat gali nuspręsti atšaukti tokį sprendimą;

Pakeitimas  55

Pasiūlymas dėl reglamento

82 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(82) Komisija taip pat gali pripažinti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo duomenų apsaugos lygio. Todėl asmens duomenų perdavimas į tą trečiąją šalį turėtų būti draudžiamas. Tokiu atveju turėtų būti numatyta galimybė Komisijai konsultuotis su tokiomis trečiosiomis šalimis arba tarptautinėmis organizacijomis;

(82) Komisija taip pat gali pripažinti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo duomenų apsaugos lygio. Bet kokius teisės aktus, kuriuose leidžiama ekstrateritorinė prieiga prie Sąjungoje tvarkomų asmens duomenų be leidimo, suteikto pagal Sąjungos ar valstybės narės teisės aktus, reikėtų laikyti tinkamo duomenų apsaugos lygio nebuvimo ženklu. Todėl asmens duomenų perdavimas į tą trečiąją šalį turėtų būti draudžiamas. Tokiu atveju turėtų būti numatyta galimybė Komisijai konsultuotis su tokiomis trečiosiomis šalimis arba tarptautinėmis organizacijomis;

Pakeitimas  56

Pasiūlymas dėl reglamento

83 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(83) jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje šalyje kompensuoti. Tokios apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos patvirtintomis sutarties sąlygomis ar kitomis tinkamomis ir proporcingomis priemonėmis, pateisinamomis atsižvelgiant į visas duomenų perdavimo operacijos ar operacijų sekos aplinkybes ir patvirtintomis priežiūros institucijos;

(83) jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje šalyje kompensuoti. Tokios apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos patvirtintomis sutarties sąlygomis. Tokiomis apsaugos priemonėmis turėtų būti užtikrinama tokia pati pagarba duomenų subjektų teisėms, kaip ir tuomet, kai duomenys tvarkomi ES viduje, ypač atsižvelgiant į tikslų apribojimą, prieigos teisę, duomenų ištaisymą, ištrynimą ir žalos atlyginimą. Šiomis apsaugos priemonėmis turėtų visų pirma būti užtikrinama, kad būtų laikomasi asmens duomenų tvarkymo principų, apsaugomos duomenų subjektų teisės ir nustatyti veiksmingi nuostolių atlyginimo mechanizmai, užtikrinama, kad būtų laikomasi pritaikytosios ir standartizuotosios duomenų apsaugos principų ir būtų paskirtas duomenų apsaugos pareigūnas;

Pakeitimas  57

Pasiūlymas dėl reglamento

84 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(84) galimybė duomenų valdytojui ar tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis ar jas papildyti kitomis sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ir laisvių;

(84) galimybė duomenų valdytojui ar tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos priemonėmis, jei jos tiesiogiai ar netiesiogiai neprieštarauja priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ir laisvių. Komisijos priimtos standartinės duomenų apsaugos sąlygos gali apimti skirtingas situacijas, pvz., Europos Sąjungoje įsisteigusių duomenų valdytojų duomenų perdavimą ne Europos Sąjungoje įsisteigusiems duomenų valdytojams ir Europos Sąjungoje įsisteigusių duomenų valdytojų duomenų perdavimą ne Europos Sąjungoje įsisteigusiems duomenų tvarkytojams, įskaitant subrangos būdu samdomus duomenų tvarkytojus. Duomenų valdytojai ir tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant papildomus sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

Pakeitimas  58

Pasiūlymas dėl reglamento

85 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(85) įmonių grupė turėtų galėti remtis patvirtintomis įmonei privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos tai pačiai įmonių grupei priklausančioms organizacijoms, jei tokiose įmonės taisyklėse įtvirtinti svarbiausi principai ir įgyvendinamos teisės, kuriomis užtikrinamos tinkamos asmens duomenų perdavimo ar perdavimo kategorijų apsaugos priemonės;

(85) įmonių grupė turėtų galėti remtis patvirtintomis įmonei privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos tai pačiai įmonių grupei priklausančioms organizacijoms, jei tokiose įmonės taisyklėse įtvirtinti visi svarbiausi principai ir įgyvendinamos teisės, kuriomis užtikrinamos tinkamos asmens duomenų perdavimo ar perdavimo kategorijų apsaugos priemonės;

Pakeitimas  59

Pasiūlymas dėl reglamento

86 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(86) turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs sutikimą, kai perduoti būtina dėl sutarties ar teismui pareikšto ieškinio, kai tai reikalinga dėl Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso pagrindų, arba kai duomenys perduodami iš įstatymu įsteigto registro, kuris skirtas naudotis visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai;

(86) turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs sutikimą, kai perduoti būtina dėl sutarties ar teismui pareikšto ieškinio, kai tai reikalinga dėl Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso pagrindų, arba kai duomenys perduodami iš įstatymu įsteigto registro, kuris skirtas naudotis visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;

Pakeitimas  60

Pasiūlymas dėl reglamento

87 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(87) šios išimtys pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant apsaugoti svarbų viešąjį interesą, pavyzdžiui, tarptautinio duomenų keitimosi tarp konkurencijos, mokesčių, muitų ar finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos tarnybų arba institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas, atvejais;

(87) šios išimtys pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant apsaugoti svarbų viešąjį interesą, pavyzdžiui, tarptautinio duomenų keitimosi tarp konkurencijos, mokesčių, muitų ar finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų arba valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas, įskaitant valdžios institucijas, atsakingas už pinigų plovimo prevenciją ir kovą su teroristų finansavimu, atvejais; Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinį duomenų subjekto ar kito asmens interesą, jei duomenų subjektas negali duoti sutikimo; Asmens duomenys dėl svarbių viešojo intereso priežasčių turėtų būti perduodami tik retais atvejais. Kiekvienu konkrečiu atveju turėtų būti nuodugniai įvertinamos visos duomenų perdavimo aplinkybės;

 

Pakeitimas  61

Pasiūlymas dėl reglamento

88 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(88) duomenų perdavimas, kurio negalima laikyti dažnu ar masiniu, taip pat turėtų būti galimas, kai duomenų valdytojas ar tvarkytojas siekia teisėtų interesų, jeigu jis įvertino visas su duomenų perdavimu susijusias aplinkybes. Duomenis tvarkant istoriniais, statistiniais ir mokslinių tyrimų tikslais, turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius dėl išaugusios žinių apimties;

Duomenis tvarkant istoriniais, statistiniais ir mokslinių tyrimų tikslais, turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius gauti daugiau žinių;

Pakeitimas  62

Pasiūlymas dėl reglamento

89 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(89) visada, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje šalyje, duomenų valdytojas arba tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinama, kad jie Sąjungoje ir toliau galės naudotis jų duomenų tvarkymui Sąjungoje taikomomis pagrindinėmis teisėmis ir apsaugos priemonėmis, kai tik tie duomenys bus perduoti;

(89) visada, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje šalyje, duomenų valdytojas arba tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams suteikiama teisiškai privaloma garantija, kad jie Sąjungoje ir toliau galės naudotis jų duomenų tvarkymui Sąjungoje taikomomis pagrindinėmis teisėmis ir apsaugos priemonėmis, kai tik tie duomenys bus perduoti, jei toks tvarkymas nebus didelio masto, pasikartojantis ir struktūrinis. Ta garantija turėtų apimti finansinę kompensaciją, kai patiriami nuostoliai arba be leidimo susipažįstama su duomenimis arba jie be leidimo tvarkomi, ir nepaisant nacionalinių teisės aktų taikomą pareigą suteikti visą informaciją apie visus trečiosios šalies valdžios institucijų bandymus susipažinti su duomenimis;

Pakeitimas  63

Pasiūlymas dėl reglamento

90 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(90) kai kurios trečiosios šalys priėmė įstatymus ir kitus teisės aktus, kuriais tiesiogiai reguliuojama valstybių narių jurisdikcijai priklausančių fizinių ir juridinių asmenų veikla. Ekstrateritoriniu šių įstatymų ir kitų teisės aktų taikymu galėtų būti pažeista tarptautinė teisė ir trikdoma šiuo reglamentu Sąjungoje garantuojama fizinių asmenų apsauga. . Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias šalis taikomos šio reglamento sąlygos. Taip gali būti, pavyzdžiui, jeigu atskleisti duomenis būtina ginant svarbų Sąjungos ar duomenų valdytojui taikytinos valstybės narės teisėje pripažintą viešąjį interesą. Svarbaus viešojo intereso buvimo sąlygas Komisija turėtų tiksliau nustatyti deleguotajame akte;

(90) kai kurios trečiosios šalys priėmė įstatymus ir kitus teisės aktus, kuriais tiesiogiai reguliuojama valstybių narių jurisdikcijai priklausančių fizinių ir juridinių asmenų veikla. Ekstrateritoriniu šių įstatymų ir kitų teisės aktų taikymu galėtų būti pažeista tarptautinė teisė ir trikdoma šiuo reglamentu Sąjungoje garantuojama fizinių asmenų apsauga. Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias šalis taikomos šio reglamento sąlygos. Taip gali būti, pavyzdžiui, jeigu atskleisti duomenis būtina ginant svarbų Sąjungos ar duomenų valdytojui taikytinos valstybės narės teisėje pripažintą viešąjį interesą. Svarbaus viešojo intereso buvimo sąlygas Komisija turėtų tiksliau nustatyti deleguotajame akte; Tais atvejais, kai duomenų valdytojai ar tvarkytojai susiduria su Sąjungos ir trečiosios šalies jurisdikcijose nustatytais prieštaringais atitikimo reikalavimais, Komisija turėtų užtikrinti, kad Sąjungos teisės aktai visuomet turėtų viršenybę. Komisija turėtų duomenų valdytojui ir tvarkytojui teikti rekomendacijas ir pagalbą ir stengtis išspręsti su trečiosiomis šalimis kylančius teisinės kompetencijos konfliktus;

Pakeitimas  64

Pasiūlymas dėl reglamento

92 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(92) visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Valstybės narės gali įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą;

(92) visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Valstybės narės gali įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą; Institucijai suteikiama pakankamai finansinių ir žmogiškųjų išteklių, kad atsižvelgiant į gyventojų skaičių ir tvarkomų asmens duomenų kiekį ji galėtų visapusiškai atlikti savo funkcijas;

Pakeitimas  65

Pasiūlymas dėl reglamento

94 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(94) kiekvienai priežiūros institucijai turėtų būti suteikta pakankamai finansinių ir žmogiškųjų išteklių, taip pat patalpos ir infrastruktūra, kurie joms būtini siekiant veiksmingai vykdyti užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis;

(94) kiekvienai priežiūros institucijai turėtų būti suteikta pakankamai finansinių ir žmogiškųjų išteklių, ypatingą dėmesį skiriant tinkamų personalo techninių įgūdžių užtikrinimui, taip pat patalpos ir infrastruktūra, kurie joms būtini siekiant veiksmingai vykdyti užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis;

Pakeitimas  66

Pasiūlymas dėl reglamento

95 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(95) kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariams, visų pirma turėtų būti numatyta, kad šiuos narius turėtų skirti valstybės narės parlamentas arba vyriausybė, taip pat turėtų būti įtrauktos taisyklės dėl narių tinkamumo ir šių narių statuso;

(95) kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariams, visų pirma turėtų būti nustatyta, kad šiuos narius turėtų skirti valstybės narės parlamentas arba vyriausybė, deramai pasirūpinę, kad politinio kišimosi galimybė būtų kuo mažesnė, taip pat turėtų būti įtrauktos taisyklės dėl narių tinkamumo, interesų konfliktų vengimo ir šių narių statuso;

Pakeitimas  67

Pasiūlymas dėl reglamento

97 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(97) jeigu asmens duomenys tvarkomi daugiau nei vienoje valstybėje narėje, o duomenų valdytojo arba tvarkytojo buveinė vykdo veiklą Sąjungoje, viena priežiūros institucija turėtų būti kompetentinga stebėti duomenų valdytojo arba tvarkytojo veiklą visoje Sąjungoje ir priimti atitinkamus sprendimus, kad būtų vienodžiau taikoma teisė, būtų užtikrintas teisinis tikrumas ir tokiems duomenų valdytojams ir duomenų tvarkytojams sumažėtų administracinė našta;

(97) jeigu asmens duomenys tvarkomi daugiau nei vienoje valstybėje narėje, o duomenų valdytojo arba tvarkytojo buveinė vykdo veiklą Sąjungoje, viena priežiūros institucija turėtų veikti kaip vienas bendras informacinis punktas ir už duomenų valdytojo arba tvarkytojo priežiūrą visoje Sąjungoje atsakinga vadovaujanti institucija, ir priimti atitinkamus sprendimus, kad būtų vienodžiau taikoma teisė, būtų užtikrintas teisinis tikrumas ir tokiems duomenų valdytojams ir duomenų tvarkytojams sumažėtų administracinė našta;

Pakeitimas  68

Pasiūlymas dėl reglamento

98 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(98) kompetentinga institucija, atliekanti tokios centrinės institucijos funkciją, turėtų būti valstybės narės, kurioje yra pagrindinė duomenų valdytojo arba tvarkytojo buveinė, priežiūros institucija;

(98) vadovaujanti institucija, atliekanti tokios centrinės institucijos funkciją, turėtų būti valstybės narės, kurioje yra pagrindinė duomenų valdytojo arba tvarkytojo arba duomenų valdytojo atstovo buveinė, priežiūros institucija. Tam tikrais atvejais kompetentingos institucijos prašymu pagal nuoseklumo užtikrinimo mechanizmą vadovaujančią instituciją gali paskirti Europos duomenų apsaugos valdyba;

Pakeitimas  69

Pasiūlymas dėl reglamento

98 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(98a) duomenų subjektai, kurių asmens duomenis tvarko kitos valstybės narės duomenų valdytojas ar tvarkytojas, turėtų turėti galimybę pateikti skundą savo pasirinktai priežiūros institucijai. Vadovaujanti duomenų apsaugos institucija turėtų koordinuoti savo darbą su kitų susijusių institucijų darbu;

Pakeitimas  70

Pasiūlymas dėl reglamento

101 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(101) kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas, ir juos tirti. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu reikia papildo tyrimo arba jį koordinuoti su kita priežiūros institucija, duomenų subjektas taip pat turėtų būti apie tai informuojamas;

(101) kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas arba viešajam interesui atstovaujanti asociacija, ir juos tirti. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą. Jeigu reikia papildo tyrimo arba jį koordinuoti su kita priežiūros institucija, duomenų subjektas taip pat turėtų būti apie tai informuojamas;

Pakeitimas  71

Pasiūlymas dėl reglamento

105 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(105) kad šis reglamentas būtų nuosekliai taikomas visoje Sąjungoje, reikėtų sukurti nuoseklumo užtikrinimo mechanizmą, pagal kurį priežiūros institucijos bendradarbiautų tarpusavyje ir su Komisija. Šis mechanizmas pirmiausia taikomas, kai priežiūros institucija ketina imtis tam tikros priemonės dėl duomenų tvarkymo operacijų, kurios yra susijusios su prekių ir paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su tokių duomenų subjektų stebėjimu, arba kurios gali iš esmės paveikti laisvą asmens duomenų judėjimą. Be to, jis turėtų būti taikomas, kai kuri nors priežiūros institucija arba Komisija prašo tam tikrą klausimą nagrinėti pagal nuoseklumo užtikrinimo mechanizmą. Šis mechanizmas neturėtų prieštarauti priemonėms, kurių Komisija gali imtis vykdydama savo įgaliojimus pagal Sutartis;

(105) kad šis reglamentas būtų nuosekliai taikomas visoje Sąjungoje, reikėtų sukurti nuoseklumo užtikrinimo mechanizmą, pagal kurį priežiūros institucijos bendradarbiautų tarpusavyje ir su Komisija. Šis mechanizmas pirmiausia taikomas, kai priežiūros institucija ketina imtis tam tikros priemonės dėl duomenų tvarkymo operacijų, kurios yra susijusios su prekių ir paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su tokių duomenų subjektų stebėjimu, arba kurios gali iš esmės paveikti laisvą asmens duomenų judėjimą. Be to, jis turėtų būti taikomas, kai kuri nors priežiūros institucija arba Komisija prašo tam tikrą klausimą nagrinėti pagal nuoseklumo užtikrinimo mechanizmą. Be to, duomenų subjektai turėtų turėti teisę į nuoseklumo užtikrinimą, jeigu mano, kad duomenų apsaugos institucijos ar valstybės narės taikoma priemonė neatitinka šio kriterijaus. Šis mechanizmas neturėtų prieštarauti priemonėms, kurių Komisija gali imtis vykdydama savo įgaliojimus pagal Sutartis;

Pakeitimas                72

Pasiūlymas dėl reglamento

106 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(106a) siekdama užtikrinti nuoseklų šio reglamento taikymą, Europos duomenų apsaugos valdyba gali atskirais atvejais priimti sprendimą, privalomą kompetentingoms priežiūros institucijoms;

Pakeitimas  73

Pasiūlymas dėl reglamento

107 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(107) siekdama užtikrinti šio reglamento laikymąsi, Komisija gali šiuo klausimu priimti nuomonę arba sprendimą, kuriuo priežiūros institucija įpareigojama sustabdyti priemonės projekto priėmimą;

Išbraukta.

Pakeitimas  74

Pasiūlymas dėl reglamento

110 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(110) Sąjungos lygmeniu turėtų būti įsteigta Europos duomenų apsaugos valdyba. Ji turėtų pakeisti pagal Direktyvą 95/46/EB įsteigtą darbo grupę asmenų apsaugai tvarkant asmens duomenis. Ją turėtų sudaryti visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas. Jos veikloje turėtų dalyvauti Komisija. Europos duomenų apsaugos valdyba turėtų padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, be kita ko, patarti Komisijai ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje. Atlikdama savo užduotis Europos duomenų apsaugos valdyba turėtų veikti nepriklausomai;

 

(110) Sąjungos lygmeniu turėtų būti įsteigta Europos duomenų apsaugos valdyba. Ji turėtų pakeisti pagal Direktyvą 95/46/EB įsteigtą darbo grupę asmenų apsaugai tvarkant asmens duomenis. Ją turėtų sudaryti visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas. Europos duomenų apsaugos valdyba turėtų padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, be kita ko, patarti Europos Sąjungos institucijoms ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje, be kita ko, koordinuodama bendras operacijas. Atlikdama savo užduotis Europos duomenų apsaugos valdyba turėtų veikti nepriklausomai; Europos duomenų apsaugos valdyba turėtų vykdyti aktyvesnį dialogą su atitinkamais suinteresuotaisiais subjektais, pvz., duomenų subjektų asociacijomis, vartotojų organizacijomis, duomenų valdytojais ir kitais susijusiais suinteresuotaisiais subjektais ir ekspertais;

Pakeitimas  75

Pasiūlymas dėl reglamento

111 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(111) kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje ir turėti teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės pagal šį reglamentą pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo arba nesiima veiksmų, kai tai būtina duomenų subjekto teisėms apsaugoti;

(111) duomenų subjektai turėtų turėti teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje ir turėti teisę, remiantis Pagrindinių teisių chartijos 47 straipsniu, imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės pagal šį reglamentą pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo arba nesiima veiksmų, kai tai būtina duomenų subjekto teisėms apsaugoti;

Pakeitimas  76

Pasiūlymas dėl reglamento

112 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(112) bet kokia įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ir kuri įsteigta pagal valstybės narės teisę, turėtų turėti teisę pateikti skundą priežiūros institucijai arba pasinaudoti teisminėmis teisių gynimo priemonėmis duomenų subjektų vardu, jeigu jų yra tinkamai įgaliota, arba pati pateikti skundą duomenų subjektui skundo nepateikus, jeigu mano, kad buvo pažeistas asmens duomenų saugumas;

(112) bet kokia viešajam interesui atstovaujanti įstaiga, organizacija ar asociacija, kuri įsteigta pagal valstybės narės teisę, turėtų turėti teisę duomenų subjektų vardu šiems sutikus pateikti skundą priežiūros institucijai arba duomenų subjektui įgaliojus pasinaudoti teisminėmis teisių gynimo priemonėmis, arba pati pateikti skundą duomenų subjektui skundo nepateikus, jeigu mano, kad buvo pažeistas šis reglamentas;

Pakeitimas                77

Pasiūlymas dėl reglamento

114 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(114) siekiant sustiprinti duomenų subjekto teisminę apsaugą tais atvejais, kai kompetentinga priežiūros institucija įsisteigusi kitoje valstybėje narėje nei duomenų subjektas gyvena, duomenų subjektas gali prašyti bet kurios įstaigos, organizacijos ar asociacijos, siekiančios apginti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ieškinį tai priežiūros institucijai jo vardu pareikšti kompetentingame kitos valstybės narės teisme;

(114) siekiant sustiprinti duomenų subjekto teisminę apsaugą tais atvejais, kai kompetentinga priežiūros institucija įsisteigusi kitoje valstybėje narėje nei duomenų subjektas gyvena, duomenų subjektas gali įgalioti bet kurią viešajam interesui atstovaujančią įstaigą, organizaciją ar asociaciją pareikšti ieškinį tai priežiūros institucijai kompetentingame kitos valstybės narės teisme;

Pakeitimas  78

Pasiūlymas dėl reglamento

115 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(115) tais atvejais, kai kitoje valstybėje narėje įsisteigusi kompetentinga priežiūros institucija nesiima veiksmų arba ėmėsi nepakankamų priemonių dėl skundo, duomenų subjektas gali prašyti valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, priežiūros institucijos pareikšti ieškinį tai priežiūros institucijai kompetentingame kitos valstybės narės teisme. Prašomoji priežiūros institucija gali priimti sprendimą, kurį galima peržiūrėti teismine tvarka, ar tinkama šį prašymą tenkinti;

(115) tais atvejais, kai kitoje valstybėje narėje įsisteigusi kompetentinga priežiūros institucija nesiima veiksmų arba ėmėsi nepakankamų priemonių dėl skundo, duomenų subjektas gali prašyti valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, priežiūros institucijos pareikšti ieškinį tai priežiūros institucijai kompetentingame kitos valstybės narės teisme. Ši nuostata netaikoma ne ES gyventojams. Prašomoji priežiūros institucija gali priimti sprendimą, kurį galima peržiūrėti teismine tvarka, ar tinkama šį prašymą tenkinti;

Pakeitimas                79

Pasiūlymas dėl reglamento

116 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(116) kai ieškinys pareiškiamas duomenų valdytojui ar tvarkytojui, ieškovas turėtų turėti galimybę kreiptis į valstybės narės, kurioje duomenų valdytojas ar tvarkytojas įsisteigęs arba kurioje duomenų subjektas gyvena, teismus, nebent duomenų valdytojas yra valdžios institucija, vykdanti savo viešuosius įgaliojimus;

(116) kai ieškinys pareiškiamas duomenų valdytojui ar tvarkytojui, ieškovas turėtų turėti galimybę kreiptis į valstybės narės, kurioje duomenų valdytojas ar tvarkytojas įsisteigęs arba, jei jis gyvena ES, kurioje duomenų subjektas gyvena, teismus, nebent duomenų valdytojas yra Sąjungos ar valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus;

Pakeitimas  80

Pasiūlymas dėl reglamento

118 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(118) bet kokią žalą, kurią asmuo gali patirti dėl neteisėto duomenų tvarkymo, turėtų atlyginti duomenų valdytojas arba tvarkytojas, kurie gali būti atleisti nuo atsakomybės, jeigu įrodo, kad nėra atsakingi už žalą, visų pirma, kai nustatyta duomenų subjekto kaltė arba nenugalimos jėgos atveju;

(118) bet kokią turtinę arba neturtinę žalą, kurią asmuo gali patirti dėl neteisėto duomenų tvarkymo, turėtų atlyginti duomenų valdytojas arba tvarkytojas, kurie gali būti atleisti nuo atsakomybės tik tuo atveju, jeigu įrodo, kad nėra atsakingi už žalą, visų pirma, kai nustatyta duomenų subjekto kaltė arba nenugalimos jėgos atveju;

Pakeitimas  81

Pasiūlymas dėl reglamento

119 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(119) viešosios teisės arba privatinės teisės reglamentuojamam asmeniui, nesilaikančiam šio reglamento, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir privalo imtis visų priemonių sankcijoms vykdyti;

(119) viešosios teisės arba privatinės teisės reglamentuojamam asmeniui, nesilaikančiam šio reglamento, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir privalo imtis visų priemonių sankcijoms vykdyti; Taisyklėms dėl sankcijų turėtų būti taikomos tinkamos procedūrinės apsaugos priemonės, atitinkančios bendruosius Sąjungos teisės ir Pagrindinių teisių chartijos principus, įskaitant susijusius su teise į veiksmingą teisminį teisių gynimą bei tinkamą bylos nagrinėjimą ir su ne bis in idem principu;

Pakeitimas  82

Pasiūlymas dėl reglamento

119 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(119a) taikydamos sankcijas valstybės narės turėtų visapusiškai laikytis tinkamų procedūrinės apsaugos priemonių, įskaitant teisę į veiksmingą teisminį teisių gynimą, tinkamą bylos nagrinėjimą ir ne bis in idem principą;

Pakeitimas  83

Pasiūlymas dėl reglamento

121 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(121) asmens duomenų tvarkymui vien tik žurnalistiniais arba meninės ar literatūrinės raiškos tikslais turėtų būti taikomos tam tikrų reglamento reikalavimų išimtys, kad teisė į duomenų apsaugą būtų suderinta su saviraiškos laisvę reglamentuojančiomis taisyklėmis, ypač teise gauti nešališką informaciją, garantuojama Europos Sąjungos pagrindinių teisių chartijos 11 straipsniu. Tai visų pirma turėtų būti taikoma asmens duomenų tvarkymui audiovizualinėje srityje ir žinių bei spaudos archyvuose. Todėl valstybės narės turėtų priimti teisės nuostatas, kuriomis būtų nustatytos išimtys ir nukrypti leidžiančios nuostatos, reikalingos šioms pagrindinės teisėms suderinti. Tokias išimtis ir nukrypti leidžiančias nuostatas valstybės narės turėtų priimti bendrųjų principų, duomenų subjekto teisių, duomenų valdytojų ir duomenų tvarkytojų, duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms, nepriklausomų priežiūros institucijų, bendradarbiavimo ir nuoseklaus teisės taikymu atžvilgiu. Tačiau tai neturėtų suteikti valstybėms narėms pagrindo nustatyti kitų šio reglamento nuostatų išimtis. Kad būtų atsižvelgta į teisės į saviraiškos laisvę svarbą demokratinėje visuomenėje, su šia laisve susijusias sąvokas, kaip antai žurnalistika, būtina aiškinti plačiai. Todėl šio reglamento išimčių ir nukrypti leidžiančių nuostatų tikslais valstybės narės turėtų veiklą priskirti „žurnalistinei“, jeigu jos tikslas – paskelbti informaciją, nuomones ar idėjas visuomenei, nepriklausomai nuo pasirinkto perdavimo būdo. Tokia veikla turėtų būti siejama ne vien su žiniasklaidos bendrovėmis; ji gali būti vykdoma pelno ir ne pelno tikslais;

(121) asmens duomenų tvarkymui prireikus turėtų būti nustatytos tam tikrų reglamento reikalavimų, susijusių asmens duomenų tvarkymu, išimtys arba nukrypti leidžiančios nuostatos, kad teisė į asmens duomenų apsaugą būtų suderinta su teise į saviraiškos laisvę, ypač teise gauti bei skleisti informaciją, garantuojama Europos Sąjungos pagrindinių teisių chartijos 11 straipsniu. Todėl valstybės narės turėtų priimti teisės nuostatas, kuriomis būtų nustatytos išimtys ir nukrypti leidžiančios nuostatos, reikalingos šioms pagrindinės teisėms suderinti. Tokias išimtis ir nukrypti leidžiančias nuostatas valstybės narės turėtų priimti bendrųjų principų, duomenų subjekto teisių, duomenų valdytojų ir duomenų tvarkytojų, duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms, nepriklausomų priežiūros institucijų, bendradarbiavimo, nuoseklaus teisės taikymo atžvilgiu ir konkretiems duomenų tvarkymo atvejams. Tačiau tai neturėtų suteikti valstybėms narėms pagrindo nustatyti kitų šio reglamento nuostatų išimtis. Siekiant apimti visas veiklos sritis, kurių tikslas yra paskelbti informaciją, nuomones ar idėjas visuomenei, nepriklausomai nuo pasirinkto perdavimo būdo, taip pat atsižvelgti į technologinę plėtrą, kad būtų atsižvelgta į teisės į saviraiškos laisvę svarbą demokratinėje visuomenėje, su šia laisve susijusias sąvokas būtina aiškinti plačiai. Tokia veikla turėtų būti siejama ne vien su žiniasklaidos bendrovėmis; ji gali būti vykdoma pelno ir ne pelno tikslais;

Pakeitimas  84

Pasiūlymas dėl reglamento

122 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(122a) jei įmanoma, su sveikata susijusius asmens duomenis tvarkantis specialistas turėtų gauti anoniminius ar pseudoniminius duomenis, o asmens tapatybę turėtų žinoti tik bendrosios praktikos gydytojas ar tokius duomenis sutvarkyti prašęs specialistas;

Pakeitimas  85

Pasiūlymas dėl reglamento

123 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(123) dėl viešojo intereso priežasčių visuomenės sveikatos srityje tvarkyti asmens sveikatos duomenis gali prireikti ir be duomenų subjekto sutikimo. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama taip, kai ji apibrėžta 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe, ir apimti visus elementus, susijusius su sveikata, kaip antai sveikatos būklė, įskaitant sergamumą ir neįgalumą, veiksniai, darantys poveikį šiai sveikatos būklei, sveikatos priežiūros poreikiai, sveikatos priežiūrai skirti ištekliai, sveikatos priežiūros paslaugų teikimas ir jų visuotinis prieinamumas, sveikatos priežiūros išlaidos ir jos finansavimas, taip pat mirtingumo priežastys. Su sveikata susijusių asmens duomenų tvarkymas dėl viešojo intereso neturėtų lemti, kad asmens duomenis kitais tikslais tvarkytų tretieji asmenys, kaip antai darbdaviai, draudimo bendrovės ir bankai;

(123) dėl viešojo intereso priežasčių visuomenės sveikatos srityje tvarkyti asmens sveikatos duomenis gali prireikti ir be duomenų subjekto sutikimo. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama taip, kai ji apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008, ir apimti visus elementus, susijusius su sveikata, kaip antai sveikatos būklė, įskaitant sergamumą ir neįgalumą, veiksniai, darantys poveikį šiai sveikatos būklei, sveikatos priežiūros poreikiai, sveikatos priežiūrai skirti ištekliai, sveikatos priežiūros paslaugų teikimas ir jų visuotinis prieinamumas, sveikatos priežiūros išlaidos ir jos finansavimas, taip pat mirtingumo priežastys.

 

1 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70).

Pakeitimas  86

Pasiūlymas dėl reglamento

123 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(123a) su sveikata susijusių asmens duomenų, kaip specialios kategorijos duomenų, tvarkymas gali būti reikalingas istoriniams, statistiniams arba moksliniams tyrimams atlikti. Todėl šiame reglamente nustatyta sutikimo reikalavimo išimtis, taikoma moksliniams tyrimams, atitinkantiems itin svarbius viešuosius interesus;

Pakeitimas  87

Pasiūlymas dėl reglamento

124 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(124) bendrieji fizinių asmenų apsaugos tvarkant asmens duomenis principai taip pat turėtų būti taikomi ir su darbo santykiais susijusiais tikslais. Todėl siekiant reglamentuoti darbuotojų asmens duomenų tvarkymą su darbo santykiais susijusiais tikslais, valstybės narės, neperžengdamos šio reglamento ribų, turėtų galėti priimti įstatymus, kuriuose būtų įtvirtintos specialios asmens duomenų tvarkymo užimtumo sektoriuje taisyklės;

(124) bendrieji fizinių asmenų apsaugos tvarkant asmens duomenis principai taip pat turėtų būti taikomi ir su darbo santykiais bei socialine apsauga susijusiais tikslais. Valstybės narės, vadovaudamosi šiame reglamente numatytomis nuostatomis ir būtiniausiais standartais, turėtų galėti reglamentuoti darbuotojų asmens duomenų tvarkymą su darbo santykiais susijusiais tikslais ir asmens duomenų tvarkymą su socialine apsauga susijusiais tikslais. Jeigu atitinkamoje valstybėje narėje esama teisinio pagrindo, pagal kurį darbo santykių klausimai reglamentuojami darbuotojų atstovų ir įmonės vadovybės arba įmonių grupę valdančiosios įmonės susitarimu (kolektyvine sutartimi) arba remiantis Europos Parlamento ir Tarybos direktyva 2009/38/EB1, asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais taip pat gali būti reglamentuojamas pagal tokį susitarimą;

 

1 2009 m. gegužės 6 d. Europos Parlamento ir Tarybos direktyva 2009/38/EB dėl Europos darbo tarybos steigimo arba Bendrijos mastu veikiančių įmonių ir Bendrijos mastu veikiančių įmonių grupių darbuotojų informavimo bei konsultavimosi su jais tvarkos nustatymo (OL L 122, 2009 5 16, p. 28).

Pakeitimas  88

Pasiūlymas dėl reglamento

125 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(125a) be to, vėliau asmens duomenis gali tvarkyti archyvų tarnyba, kurios pagrindinė ar privaloma užduotis yra siekiant viešojo intereso rinkti, saugoti, naudoti ir platinti archyvus bei teikti apie juos informaciją. Teisė į asmens duomenų apsaugą su archyvams ir visuotinei prieigai prie administracinės informacijos taikomomis taisyklėmis turėtų būti suderinta valstybių narių teisės aktais. Valstybės narės imasi veiksmų, kad būtų parengtos taisyklės (ypač, kad jas parengtų Europos archyvų grupė), pagal kurias būtų užtikrintas duomenų konfidencialumas trečiųjų šalių atžvilgiu ir duomenų autentiškumas, vientisumas ir tinkamas saugojimas;

Pakeitimas                89

Pasiūlymas dėl reglamento

126 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(126) moksliniai tyrimai šio reglamento tikslais turėtų apimti fundamentinius tyrimus, taikomuosius tyrimus ir privačių asmenų finansuojamus tyrimus; jie taip pat turi būti orientuoti į Sutarties dėl Sąjungos veikimo 179 straipsnio 1 dalyje nustatytą tikslą sukurti Europos mokslinių tyrimų erdvę;

(126) moksliniai tyrimai šio reglamento tikslais turėtų apimti fundamentinius tyrimus, taikomuosius tyrimus ir privačių asmenų finansuojamus tyrimus; jie taip pat turi būti orientuoti į Sutarties dėl Sąjungos veikimo 179 straipsnio 1 dalyje nustatytą tikslą sukurti Europos mokslinių tyrimų erdvę; Dėl asmens duomenų tvarkymo istorinių, statistinių ir mokslinių tyrimų tikslais jie neturėtų būti tvarkomi kitais tikslais, nebent duomenų subjektui davus sutikimą arba pagal Sąjungos ar valstybės narės teisės aktus;

Pakeitimas  90

Pasiūlymas dėl reglamento

128 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(128) kaip nustatyta Sutarties dėl Europos Sąjungos veikimo 17 straipsnyje, šiuo reglamentu paisoma pagal nacionalinę teisę nustatyto valstybių narių bažnyčių ir religinių asociacijų ar bendruomenių statuso ir jo nepažeidžia. Jeigu įsigaliojant šiam reglamentui bažnyčia valstybėje narėje taiko išsamias taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės turėtų būti taikomos toliau, jeigu jos dera su šio reglamento nuostatomis. Tokios bažnyčios ir religinės asociacijos turėtų būti įpareigotos įsteigti visiškai nepriklausomą priežiūros instituciją;

kaip nustatyta Sutarties dėl Europos Sąjungos veikimo 17 straipsnyje, šiuo reglamentu paisoma pagal nacionalinę teisę nustatyto valstybių narių bažnyčių ir religinių asociacijų ar bendruomenių statuso ir jo nepažeidžia. Jeigu įsigaliojant šiam reglamentui bažnyčia valstybėje narėje taiko tinkamas taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės turėtų būti taikomos toliau, jeigu jos dera su šio reglamento nuostatomis ir jų atitiktis pripažįstama;

Pakeitimas  91

Pasiūlymas dėl reglamento

129 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(129) siekiant įgyvendinti šio reglamento tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti aktus. Visų pirma, deleguotieji aktai turėtų būti priimti dėl duomenų tvarkymo teisėtumo; vaiko sutikimo kriterijų ir sąlygų nustatymo; ypatingų kategorijų duomenų tvarkymo; akivaizdžiai neproporcingų prašymų ir mokesčio už duomenų subjekto naudojimąsi teisėmis kriterijų ir sąlygų nustatymo; duomenų subjekto informavimo ir teisės susipažinti su duomenimis kriterijų ir reikalavimų; teisės būti pamirštam ir teisės reikalauti ištrinti duomenis; profiliavimu pagrįstų priemonių; duomenų valdytojo atsakomybės ir pritaikytosios bei standartizuotosios duomenų apsaugos kriterijų ir reikalavimų; duomenų tvarkytojo; dokumentavimo ir duomenų tvarkymo kriterijų ir reikalavimų; asmens duomenų saugumo pažeidimo ir pranešimo apie jį priežiūros institucijoms kriterijų bei reikalavimų ir aplinkybių, kuriomis tikėtina, kad asmens duomenų saugumo pažeidimas turės neigiamo poveikio duomenų subjektui; duomenų tvarkymo operacijų, kurioms reikalingas duomenų apsaugos poveikio įvertinimas, kriterijų ir sąlygų; didelės konkrečios rizikos, dėl kurios būtina iš anksto konsultuotis, nustatymo kriterijų ir reikalavimų; duomenų apsaugos pareigūno paskyrimo ir užduočių; elgesio kodeksų; sertifikavimo mechanizmų kriterijų ir reikalavimų; duomenų perdavimo remiantis įmonei privalomomis taisyklėmis kriterijų ir reikalavimų; duomenų perdavimo išimčių; administracinių sankcijų; duomenų tvarkymo sveikatos priežiūros tikslais; duomenų tvarkymo su darbo santykiais susijusiais tikslais ir duomenų tvarkymo istoriniais, statistiniais ir mokslinių tyrimų tikslais. Itin svarbu, kad atlikdama parengiamuosius darbus Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus, Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduoti Europos Parlamentui ir Tarybai;

(129) siekiant įgyvendinti šio reglamento tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti aktus. Visų pirma, deleguotieji aktai turėtų būti priimti dėl piktograminio informacijos teikimo sąlygų nustatymo; teisės reikalauti ištrinti duomenis; paskelbimo, kad elgesio kodeksai atitinka šį reglamentą; sertifikavimo mechanizmų kriterijų ir reikalavimų; tinkamo duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba tarptautinė organizacija; duomenų perdavimo remiantis įmonei privalomomis taisyklėmis kriterijų ir reikalavimų; administracinių sankcijų; duomenų tvarkymo sveikatos ir su darbo santykiais susijusiais tikslais Itin svarbu, kad atlikdama parengiamuosius darbus Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais, ypač su Europos duomenų apsaugos valdyba. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus, Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduoti Europos Parlamentui ir Tarybai;

Pakeitimas  92

Pasiūlymas dėl reglamento

130 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(130) siekiant užtikrinti vienodas šio reglamento taikymo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai dėl: standartinės vaiko asmens duomenų tvarkymo formos nustatymo; standartinių naudojimosi duomenų subjekto teisėmis procedūroms ir formų; standartinių duomenų subjekto informavimo formų; standartinių naudojimosi teise susipažinti su duomenimis formų ir procedūrų; teisės į duomenų perkeliamumą; standartinių duomenų valdytojo atsakomybės už pritaikytąją bei standartizuotąją duomenų apsaugą ir dokumentų formų; duomenų tvarkymo saugumo specialių reikalavimų; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai ir duomenų subjektui standartinės formos ir tvarkos; duomenų apsaugos poveikio įvertinimo standartų ir tvarkos; išankstinio leidimo ir išankstinio konsultavimosi formos ir tvarkos; techninių standartų ir sertifikavimo mechanizmų; duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija, tinkamumo įvertinimo; duomenų atskleidimo pažeidžiant Sąjungos teisę; savitarpio pagalbos; bendrų operacijų ir sprendimų pagal nuoseklumo užtikrinimo mechanizmą. Tais įgaliojimais turėtų būti naudojamasi laikantis 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai. Komisija turėtų svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas konkrečias priemones;

(130) siekiant užtikrinti vienodas šio reglamento taikymo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai dėl: standartinės formos, susijusios su konkrečiais metodais įrodomam sutikimui dėl vaiko asmens duomenų tvarkymo gauti, nustatymo; standartinių pranešimo duomenų subjektams dėl jų naudojimosi savo teisėmis formų; standartinių duomenų subjekto informavimo formų; standartinių naudojimosi teise susipažinti su duomenimis, įskaitant asmens duomenų pateikimą duomenų subjektui, formų; dokumentų, kuriuos turi saugoti duomenų valdytojas ir duomenų tvarkytojas, standartinių formų; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai standartinės formos ir asmens duomenų pažeidimo užfiksavimo standartinės formos; išankstinio konsultavimosi ir priežiūros institucijos informavimo formos. Tais įgaliojimais turėtų būti naudojamasi laikantis 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/20111. Komisija turėtų svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas konkrečias priemones;

 

1 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai. Naudodamasi šiais įgaliojimais, Komisija turėtų apsvarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

Pakeitimas  93

Pasiūlymas dėl reglamento

131 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(131) nagrinėjimo procedūra turėtų būti taikoma standartinių vaiko sutikimo formų priėmimui; standartinėms naudojimosi duomenų subjekto teisėmis procedūroms ir formoms; standartinėms pranešimo duomenų subjektui formoms; standartinėms naudojimosi teise susipažinti su duomenimis formoms ir procedūroms; standartinėms duomenų valdytojo atsakomybės už pritaikytąją bei standartizuotąją duomenų apsaugą ir dokumentų formoms; specialiems duomenų tvarkymo saugumo reikalavimams; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai ir duomenų subjektui standartinei formai ir tvarkai; duomenų apsaugos poveikio įvertinimo standartams ir tvarkai; išankstinio leidimo ir išankstinio konsultavimosi formoms ir tvarkai; techniniams standartams ir sertifikavimo mechanizmams; duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija tinkamumo įvertinimui; duomenų atskleidimui pažeidžiant Sąjungos teisę; savitarpio pagalbai; bendroms operacijoms ir sprendimams pagal nuoseklumo užtikrinimo mechanizmą, jeigu tie aktai yra bendro pobūdžio;

(131) nagrinėjimo procedūra turėtų būti taikoma standartinių formų priėmimui: standartinės formos, susijusios su konkrečiais metodais įrodomam sutikimui dėl vaiko asmens duomenų tvarkymo gauti, nustatymui; standartinėms pranešimo duomenų subjektams dėl jų naudojimosi savo teisėmis formoms; standartinėms duomenų subjekto informavimo formoms; standartinėms naudojimosi teise susipažinti su duomenimis, įskaitant asmens duomenų pateikimą duomenų subjektui, formoms; dokumentų, kuriuos turi saugoti duomenų valdytojas ir duomenų tvarkytojas, standartinėms formoms; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai standartinei formai ir asmens duomenų pažeidimo užfiksavimo standartinei formai; išankstinio konsultavimosi ir priežiūros institucijos informavimo formoms, jeigu tie aktai yra bendro pobūdžio;

Pakeitimas  94

Pasiūlymas dėl reglamento

132 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(132) Komisija turėtų priimti nedelsiant taikomus įgyvendinimo aktus, jeigu tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio neužtikrinančia trečiąja šalimi arba teritorija, arba su sektoriumi, kurio duomenys tvarkomi, toje trečiojoje šalyje, arba tarptautine organizacija ir susijusiais su priežiūros institucijai pagal nuoseklumo užtikrinimo mechanizmą praneštais klausimais, to reikia dėl imperatyvių skubos pagrindų;

Išbraukta.

Pakeitimas 95

Pasiūlymas dėl reglamento

134 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(134) Direktyva 95/46/EB turėtų būti panaikinta šiuo reglamentu. Tačiau pagal Direktyvą 95/46/EB Komisijos priimti sprendimai ir priežiūros institucijų suteikti leidimai turėtų toliau galioti;

(134) Direktyva 95/46/EB turėtų būti panaikinta šiuo reglamentu. Tačiau pagal Direktyvą 95/46/EB Komisijos priimti sprendimai ir priežiūros institucijų suteikti leidimai turėtų toliau galioti. Su asmens duomenų perdavimu trečiosioms valstybėms pagal 41 straipsnio 8 dalį susiję Komisijos sprendimai ir priežiūros institucijų leidimai įsigaliojus šiam reglamentui turėtų galioti pereinamąjį penkerių metų laikotarpį, nebent prieš pasibaigiant šiam laikotarpiui Komisija juos iš dalies pakeistų, pakeistų naujais arba panaikintų;

Pakeitimas  96

Pasiūlymas dėl reglamento

2 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Dalykinė taikymo sritis

Dalykinė taikymo sritis

1. Šis reglamentas taikomas visiškai arba iš dalies automatizuotomis priemonėmis tvarkomiems asmens duomenims, ir neautomatizuotomis priemonėmis tvarkomiems asmens duomenims, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį.

1. Šis reglamentas taikomas visiškai arba iš dalies automatizuotomis priemonėmis tvarkomiems asmens duomenims, neatsižvelgiant į tvarkymo metodą, neteikiant pirmenybės jokioms tvarkymo priemonėms, ir neautomatizuotomis priemonėmis tvarkomiems asmens duomenims, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį.

2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a) vykdoma Sąjungos teisės nereglamentuojama veikla, visų pirma susijusi su nacionaliniu saugumu;

a) vykdoma Sąjungos teisės nereglamentuojama veikla;

b) duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros;

 

c) valstybės narės atlieka Europos Sąjungos sutarties 2 skyriuje reglamentuojamą veiklą;

c) valstybės narės atlieka Europos Sąjungos sutarties V antraštinės dalies 2 skyriuje reglamentuojamą veiklą;

d) duomenis išimtinai asmeniniais arba šeimos tikslais nesiekdamas pelno tvarko fizinis asmuo;

d) duomenis išimtinai asmeniniais arba šeimos tikslais tvarko fizinis asmuo; Be to, ši išimtis taikoma viešam asmens duomenų paskelbimui – tokiu atveju gali būti pagrįstai tikimasi, kad su jais susipažins tik ribotas skaičius asmenų;

e) duomenis tvarko kompetentingos institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymo tikslais.

e) duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymo tikslais.

3. Šis reglamentas neturi įtakos Direktyvos 2000/31/EB, visų pirma jos 12–15 straipsniuose įtvirtintų tarpininkavimo paslaugų teikėjų atsakomybės nuostatų, taikymui.

3. Šis reglamentas neturi įtakos Direktyvos 2000/31/EB, visų pirma jos 12–15 straipsniuose įtvirtintų tarpininkavimo paslaugų teikėjų atsakomybės nuostatų, taikymui.

Pakeitimas  97

Pasiūlymas dėl reglamento

3 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teritorinė taikymo sritis

Teritorinė taikymo sritis

1. Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba tvarkytojo buveinė.

1. Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba tvarkytojo buveinė, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje ar ne.

2. Šis reglamentas taikomas asmens duomenų tvarkymui, kai Sąjungoje gyvenančių duomenų subjektų duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ir duomenų tvarkymas susijęs su:

2. Šis reglamentas taikomas asmens duomenų tvarkymui, kai Sąjungos duomenų subjektų duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ar tvarkytojas ir duomenų tvarkymas susijęs su:

a) prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje arba

a) prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje, nepaisant to, ar duomenų subjektas turi už tai sumokėti arba

b) jų elgesio stebėjimu.

b) šių duomenų subjektų stebėjimu.

3. Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ten, kur pagal viešąją tarptautinę teisę taikoma valstybės narės nacionalinė teisė.

3. Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ten, kur pagal viešąją tarptautinę teisę taikoma valstybės narės nacionalinė teisė.

Pakeitimas  98

Pasiūlymas dėl reglamento

4 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Apibrėžtys

Apibrėžtys

Šiame reglamente:

Šiame reglamente:

(1) duomenų subjektas – konkretus fizinis asmuo, kurį tiesiogiai arba netiesiogiai galima nustatyti priemonėmis, kuriomis, tikėtina, galėtų naudotis duomenų valdytojas arba kitas fizinis ar juridinis asmuo, visų pirma pagal asmens identifikavimo numerį, vietos nustatymo duomenis, interneto identifikatorių arba vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

 

(2) asmens duomenys – bet kokia informacija apie duomenų subjektą;

(2)asmens duomenys tai bet kuri informacija, susijusi su fiziniu asmeniu („duomenų subjektu“), kurio tapatybė yra arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta – tai asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, pirmiausia pagal žymenį, pavyzdžiui, vardą, asmens kodą, duomenis apie vietą, unikalų žymenį arba pagal vieną ar kelis to asmens fizinio, fiziologinio, genetinio, psichologinio, ekonominio, kultūrinio ar socialinio arba lyties požymius;

 

(2a) pseudoniminiai duomenys – asmens duomenys, kurie negali būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, tol, kol tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės, siekiant užtikrinti tokį nepriskyrimą;

 

(2b) užkoduoti duomenys − asmens duomenys, kurie technologinėmis apsaugos priemonėmis paversti nesuprantamais bet kokiam asmeniui, neturinčiam leidimo su duomenimis susipažinti;

(3) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniu atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, ištrynimas ar sunaikinimas;

(3) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniu atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, ištrynimas ar sunaikinimas;

 

(3a) profiliavimas – bet kokia automatizuoto asmens duomenų tvarkymo forma, kuria siekiama įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus arba visų pirma išnagrinėti arba numatyti to fizinio asmens darbo rezultatus, ekonominę padėtį, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį;

(4) susistemintas rinkinys – bet kuris susistemintas pagal specifinius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

(4) susistemintas rinkinys – bet kuris susistemintas pagal specifinius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

(5) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kitas organas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus, sąlygas ir būdus; jeigu tvarkymo tikslai, sąlygos ir būdai nustatyti Sąjungos arba valstybės narės teisės aktais, duomenų valdytojas arba specialūs jo skyrimo kriterijai taip pat gali būti nustatyti Sąjungos arba valstybės narės teisės aktais;

(5)duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kitas organas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslai ir būdai nustatyti Sąjungos arba valstybės narės teisės aktais, duomenų valdytojas arba specialūs jo skyrimo kriterijai taip pat gali būti nustatyti Sąjungos arba valstybės narės teisės aktais;

(6) duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuris duomenų valdytojo pavedimu tvarko asmens duomenis;

(6) duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuris duomenų valdytojo pavedimu tvarko asmens duomenis;

(7) duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuriam atskleidžiami asmens duomenys;

(7) duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuriam atskleidžiami asmens duomenys;

 

(7a) trečioji šalis – bet kuris fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuri kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas ar tvarkytojas arba asmuo, kuriam leidžiama tvarkyti duomenis, tiesiogiai įgaliotam duomenų valdytojo ar tvarkytojo;

(8) duomenų subjekto sutikimas – savanoriškas konkretus ir aiškus tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję duomenys;

(8) duomenų subjekto sutikimas – savanoriškas konkretus ir aiškus tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję duomenys;

(9) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduoti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų gaunama prieiga;

(9) asmens duomenų saugumo pažeidimas – netyčinis arba neteisėtas sunaikinimas, praradimas, pakeitimas, be leidimo atskleidimas, saugojimas arba kitoks asmens duomenų tvarkymas arba prieigos prie jų gavimas;

(10) genetiniai duomenys – visi bet kokios rūšies duomenys, susiję su embrioniniu laikotarpiu paveldėtomis ar įgytomis fizinio asmens savybėmis;

(10) genetiniai duomenys – visi asmens duomenys, susiję paveldėtomis ar įgytomis asmens genetinėmis savybėmis, gaunami analizuojant biologinius atitinkamo asmens mėginius, ypač analizuojant chromosomas ir deoksiribonukleo rūgštį arba ribonukleino rūgštį, arba kitus elementus, iš kurių galima gauti atitinkamą informaciją;

(11) biometriniai duomenys – bet kokie duomenys apie asmens fizinius, fiziologinius arba elgesio ypatumus, pagal kuriuos galimas unikalus jo atpažinimas, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys;

(11) biometriniai duomenys – bet kokie asmens duomenys apie asmens fizinius, fiziologinius arba elgesio ypatumus, pagal kuriuos galimas unikalus jo atpažinimas, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys;

(12) sveikatos duomenys – visa informacija, susijusi su fizine ar psichine asmens sveikata arba su asmeniui teikiamomis sveikatos priežiūros paslaugomis;

(12) sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine asmens sveikata arba su asmeniui teikiamomis sveikatos priežiūros paslaugomis;

(13) pagrindinė buveinė – duomenų valdytojo atveju yra jo buveinės vieta Sąjungos teritorijoje, kurioje priimami pagrindiniai sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų; jei sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų Sąjungos teritorijoje nepriimami, pagrindine buveine laikoma vieta, kurioje duomenų valdytojo buveinei veikiant Sąjungoje atliekamos pagrindinės duomenų tvarkymo operacijos. Duomenų tvarkytojo pagrindinė buveinė – jo centrinės administracijos vieta Sąjungos teritorijoje;

(13) pagrindinė buveinė – duomenų valdytojo arba tvarkytojo įmonės arba įmonių grupės buveinės vieta Sąjungos teritorijoje, kurioje priimami pagrindiniai sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų. Be kitų, gali būti atsižvelgiama į šiuos objektyvius kriterijus: duomenų valdytojo arba tvarkytojo būstinės vieta; įmonių grupei priklausančios įmonės, kuri labiausiai tinka valdymo funkcijoms ir administracinėms pareigoms vykdyti įgyvendinant šiame reglamente nustatytas taisykles, vieta vieta, kurioje vykdoma veiksminga ir reali valdymo veikla, užtikrinanti, kad duomenų tvarkymas vykdomas taikant stabilias struktūras.

(14) atstovas – bet koks Sąjungos teritorijoje įsisteigęs, duomenų valdytojo aiškiai paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su duomenų valdytojo pareigomis pagal šį reglamentą, veikia duomenų valdytojo vardu ir į kurį gali kreiptis bet kokia Sąjungos priežiūros institucija ir kitos įstaigos;

(14) atstovas – bet koks Sąjungos teritorijoje įsisteigęs, duomenų valdytojo aiškiai paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su duomenų valdytojo pareigomis pagal šį reglamentą, atstovauja duomenų valdytojui;

(15) įmonė – bet kuris bet kokios teisinės formos ekonomine veikla užsiimantis subjektas, visų pirma reguliaria ekonomine veikla užsiimantys fiziniai ir juridiniai asmenys, ūkinės bendrijos ar susivienijimai;

(15) įmonė – bet kuris bet kokios teisinės formos ekonomine veikla užsiimantis subjektas, visų pirma reguliaria ekonomine veikla užsiimantys fiziniai ir juridiniai asmenys, ūkinės bendrijos ar susivienijimai;

(16) įmonių grupė – valdančioji įmonė ir jos valdomos įmonės;

(16) įmonių grupė – valdančioji įmonė ir jos valdomos įmonės;

(17) įmonei privalomos taisyklės – asmens duomenų apsaugos nuostatos, kurių Sąjungos valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba tvarkytojas laikosi vieną ar daugiau kartų perduodamas asmens duomenis vienos ar daugiau trečiųjų šalių duomenų valdytojui arba tvarkytojui, priklausančiam tai pačiai įmonių grupei;

(17) įmonei privalomos taisyklės – asmens duomenų apsaugos nuostatos, kurių Sąjungos valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba tvarkytojas laikosi vieną ar daugiau kartų perduodamas asmens duomenis vienos ar daugiau trečiųjų šalių duomenų valdytojui arba tvarkytojui, priklausančiam tai pačiai įmonių grupei;

(18) vaikas – bet kuris jaunesnis nei 18 metų asmuo;

(18) vaikas – bet kuris jaunesnis nei 18 metų asmuo;

(19) priežiūros institucija – valstybės narės pagal 46 straipsnį įsteigta valdžios institucija.

(19) priežiūros institucija – valstybės narės pagal 46 straipsnį įsteigta valdžios institucija.

Pakeitimas  99

Pasiūlymas dėl reglamento

5 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Asmens duomenų tvarkymo principai

Asmens duomenų tvarkymo principai

1. Asmens duomenys turi būti:

1. Asmens duomenys yra:

a) duomenų subjekto atžvilgiu tvarkomi teisėtai, sąžiningai ir skaidriai;

a) duomenų subjekto atžvilgiu tvarkomi teisėtai, sąžiningai ir skaidriai (teisėtumas, sąžiningumas ir skaidrumas);

b) renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, o toliau tvarkomi su šiais tikslais suderintais būdais;

b) renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, o toliau tvarkomi su šiais tikslais suderintais būdais (tikslų apribojimas);

c) adekvatūs, susiję ir minimalios apimties, būtinos tikslams, kuriais jie tvarkomi, pasiekti; jie tvarkomi tik tiek ir tol, kol tikslų negalima pasiekti tvarkant asmens duomenų neapimančios informacijos;

c) adekvatūs, susiję ir minimalios apimties, būtinos tikslams, kuriais jie tvarkomi, pasiekti; jie tvarkomi tik tiek ir tol, kol tikslų negalima pasiekti tvarkant asmens duomenų neapimančios informacijos (kuo mažesnis duomenų kiekis);

d) tikslūs ir nuolat atnaujinami; būtina imtis visų pagrįstų priemonių, kad atsižvelgiant į duomenų tvarkymo tikslus netikslūs asmens duomenys būtų nedelsiant ištrinti arba ištaisyti;

d) tikslūs ir, jei būtina, nuolat atnaujinami; būtina imtis visų pagrįstų priemonių, kad atsižvelgiant į duomenų tvarkymo tikslus netikslūs asmens duomenys būtų nedelsiant ištrinti arba ištaisyti (tikslumas);

e) laikomi tokiu pavidalu, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys tvarkomi; asmens duomenis galima saugoti ilgesnį laikotarpį, jeigu duomenys bus tvarkomi išimtinai istoriniais, statistiniais arba mokslinių tyrimų tikslais, laikantis 83 straipsnyje nustatytų taisyklių ir sąlygų, ir jeigu periodiškai atliekama peržiūra siekiant nustatyti, ar juos būtina toliau saugoti;

e) laikomi tokiu pavidalu, kad duomenų subjektų tapatybę būtų galima tiesiogiai ar netiesiogiai nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys tvarkomi; asmens duomenis galima saugoti ilgesnį laikotarpį, jeigu duomenys bus tvarkomi išimtinai istoriniais, statistiniais, mokslinių tyrimų arba archyvavimo tikslais, laikantis 83 ir 83a straipsniuose nustatytų taisyklių ir sąlygų, jeigu periodiškai atliekama peržiūra siekiant nustatyti, ar juos būtina toliau saugoti, ir jeigu numatytos atitinkamos techninės ir organizacinės priemonės siekiant apriboti prieigą prie duomenų tik šiais tikslais (kuo mažesnio duomenų kiekio saugojimas);

 

ea) tvarkomi taip, kad duomenų subjektai galėtų veiksmingai naudotis savo teisėmis (veiksmingumas);

 

eb) tvarkomi taip, kad taikant atitinkamas technines ar organizacines priemones būtų apsaugoti nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumas);

f) tvarkomi duomenų valdytojo atsakomybe, kuris užtikrina ir įrodo, kad kiekviena duomenų tvarkymo operacija atitinka šio reglamento nuostatas.

f) tvarkomi duomenų valdytojo atsakomybe, kuris užtikrina ir gali įrodyti, kad atitiktį šio reglamento nuostatoms (atskaitomybė).

Pakeitimas     100

Pasiūlymas dėl reglamento

6 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Tvarkymo teisėtumas

Tvarkymo teisėtumas

1. Asmens duomenų tvarkymas teisėtas, tik jeigu ir tiek, kiek taikoma bent viena iš šių sąlygų:

1. Asmens duomenų tvarkymas teisėtas, tik jeigu ir tiek, kiek taikoma bent viena iš šių sąlygų:

a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b) tvarkyti duomenis reikia siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu;

b) tvarkyti duomenis reikia siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu;

c) tvarkyti duomenis reikia siekiant, kad duomenų valdytojas įvykdytų savo teisinę pareigą;

c) tvarkyti duomenis reikia siekiant, kad duomenų valdytojas įvykdytų savo teisinę pareigą;

d) tvarkyti duomenis reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus;

d) tvarkyti duomenis reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus;

e) tvarkyti duomenis reikia siekiant įvykdyti duomenų valdytojui pavestą viešojo intereso užduotį arba įgyvendinti valdžios įgaliojimus;

e) tvarkyti duomenis reikia siekiant įvykdyti duomenų valdytojui pavestą viešojo intereso užduotį arba įgyvendinti valdžios įgaliojimus;

f) tvarkyti duomenis reikia siekiant teisėtų duomenų valdytojo interesų, išskyrus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, kuriems turi būti taikoma asmens duomenų apsauga, už juos viršesni, ypač kai duomenų subjektas yra vaikas. Tai netaikoma duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo funkcijas.

f) tvarkyti duomenis reikia siekiant teisėtų duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesų, atitinkančių pagrįstus duomenų subjekto lūkesčius, paremtus jo ar jos santykiais su duomenų valdytoju, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, kuriems turi būti taikoma asmens duomenų apsauga, už juos viršesni. Tai netaikoma duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo funkcijas.

2. Asmens duomenų tvarkymas, reikalingas istoriniais, statistiniais arba mokslinių tyrimų tikslais, yra teisėtas, jeigu laikomasi 83 straipsnyje nurodytų sąlygų ir apsaugos priemonių.

2. Asmens duomenų tvarkymas, reikalingas istoriniais, statistiniais arba mokslinių tyrimų tikslais, yra teisėtas, jeigu laikomasi 83 straipsnyje nurodytų sąlygų ir apsaugos priemonių.

3. 1 dalies c–e punktuose nurodytas asmenų tvarkymo pagrindas turi būti įtvirtintas:

3. 1 dalies c–e punktuose nurodytas asmenų tvarkymo pagrindas turi būti įtvirtintas:

a) Sąjungos teisėje arba

a) Sąjungos teisėje arba

b) duomenų valdytojui taikytinos valstybės narės teisėje.

b) duomenų valdytojui taikytinos valstybės narės teisėje.

Valstybės narės teisės aktais turi būti siekiama ginti viešąjį interesą arba jie reikalingi, kad būtų apsaugotos kitų teisės ir laisvės, laikomasi esminių teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo.

Valstybės narės teisės aktais turi būti siekiama ginti viešąjį interesą arba jie reikalingi, kad būtų apsaugotos kitų teisės ir laisvės, laikomasi esminių teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo. Atsižvelgiant į šio reglamento nustatytas ribas, valstybės narės teisėje gali būti pateikta išsami informacija dėl duomenų tvarkymo teisėtumo, ypač dėl duomenų valdytojų, duomenų tvarkymo tikslo ir tikslo apribojimo, duomenų pobūdžio ir duomenų subjektų, tvarkymo priemonių ir procedūrų, gavėjų ir saugojimo trukmės.

4. Kai tolesnio duomenų tvarkymo tikslas neatitinka tikslo, kuriuo buvo rinkti asmens duomenys, duomenų tvarkymas turi būti grindžiamas bent vienu iš 1 dalies a–e punktuose nurodytų teisinių pagrindų. Tai ypač taikytina bet kokiems sutarties nuostatų ir bendrųjų sutarties sudarymo sąlygų pakeitimams.

 

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnes 1 dalies f punkte nurodytas sąlygas, taikomas įvairiems sektoriams ir duomenų tvarkymo atvejams, be kita ko, susijusiems su vaiko asmens duomenų tvarkymu.

 

Pakeitimas  101

Pasiūlymas dėl reglamento

7 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Sutikimo sąlygos

Sutikimo sąlygos

1. Pareiga įrodyti, kad duomenų subjektas sutiko su jo asmens duomenų tvarkymu nustatytiems tikslams, tenka duomenų valdytojui.

1. Kai duomenų tvarkymas grindžiamas sutikimu, pareiga įrodyti, kad duomenų subjektas sutiko su jo asmens duomenų tvarkymu nustatytiems tikslams, tenka duomenų valdytojui.

2. Jeigu duomenų subjekto sutikimas turi būti išreikštas rašytiniu pareiškimu, susijusiu ir su kitu klausimu, reikalavimas duoti sutikimą turi būti pateiktas aiškiai atskyrus nuo to kito klausimo.

2. Jeigu duomenų subjekto sutikimas turi būti išreikštas rašytiniu pareiškimu, susijusiu ir su kitu klausimu, reikalavimas duoti sutikimą turi būti pateiktas aiškiai atskyrus nuo to kito klausimo. Nuostatos dėl duomenų subjekto sutikimo, kuriomis iš dalies pažeidžiamas šis reglamentas, yra visiškai niekinės.

3. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.

3. Nepaisant kitų teisinių duomenų tvarkymo pagrindų, duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Atšaukti sutikimą taip pat lengva kaip jį duoti. Duomenų valdytojas informuoja duomenų subjektą, jei dėl sutikimo atšaukimo gali būti baigiama teikti paslaugas arba nutraukiami santykiai su duomenų valdytoju.

4. Sutikimas nelaikomas galiojančiu duomenų tvarkymo teisiniu pagrindu, kai yra didelis duomenų subjekto ir duomenų valdytojo padėties disbalansas.

4. Sutikimas priklauso nuo tikslų ir netenka galios, kai nebeturi tikslo arba iš karto, kai tik asmens duomenų nebereikia tvarkyti tuo tikslu, kuriuo jie buvo iš pradžių surinkti. Sutarties vykdymas ar paslaugos teikimas netampa priklausomi nuo sutikimo tvarkyti duomenis, kurie nėra būtini sutarčiai vykdyti ar paslaugai teikti pagal 6 straipsnio 1 dalies b punktą.

Pakeitimas     102

Pasiūlymas dėl reglamento

8 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Vaiko asmens duomenų tvarkymas

Vaiko asmens duomenų tvarkymas

1. Šio reglamento tikslais jaunesnio nei 13 metų vaiko, kuriam tiesiogiai siūlomos informacinės visuomenės paslaugos, asmens duomenų tvarkymas yra teisėtas, tik jeigu ir tiek, kiek sutikimą davė arba tvarkyti duomenis leido vaiko tėvai arba globėjas. Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda tinkamas pastangas, kad gautų įrodomą sutikimą.

1. Šio reglamento tikslais jaunesnio nei 13 metų vaiko, kuriam tiesiogiai siūlomos prekės ar paslaugos, asmens duomenų tvarkymas yra teisėtas, tik jeigu ir tiek, kiek sutikimą davė arba tvarkyti duomenis leido vaiko tėvai arba teisėtas globėjas. Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda tinkamas pastangas, kad įrodytų šį sutikimą, nesukeldamas priešingu atveju nereikalingo asmens duomenų tvarkymo.

 

1a. Informacija vaikams, tėvams ir teisėtiems globėjams, kad būtų išreikštas sutikimas, įskaitant dėl duomenų valdytojo asmens duomenų rinkimo ir naudojimo, turėtų būti pateikiama aiškia kalba, atsižvelgiant į publiką, kuriai ji skirta.

2. 1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai su vaiku sudaromos sutarties galiojimo, sudarymo arba pasekmių normoms.

2. 1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai su vaiku sudaromos sutarties galiojimo, sudarymo arba pasekmių normoms.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų įrodomo sutikimo gavimo būdų kriterijus ir reikalavimus. Naudodamasi šiuo įgaliojimu, Komisija svarsto labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

3. Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnį nustatyti gaires, rekomendacijas ir gerąją patirtį dėl būdų įrodyti 1 dalyje minimą sutikimą.

4. Komisija gali nustatyti specialių 1 dalyje nurodyto įrodomo sutikimo gavimo būdų standartines formas. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  103

Pasiūlymas dėl reglamento

9 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Ypatingų kategorijų asmens duomenų tvarkymas

Specialios duomenų kategorijos

1. Draudžiama tvarkyti asmens duomenis, kurie atskleidžia rasinę arba tautinę kilmę, politines pažiūras, religiją ar tikėjimą, priklausymą profesinėms sąjungoms, taip pat genetinius duomenis arba duomenis apie sveikatą ar lytinį gyvenimą, arba teistumą ar su juo susijusias saugumo priemones.

1. Draudžiama tvarkyti asmens duomenis, kurie atskleidžia rasinę arba tautinę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, seksualinę orientaciją arba lyties tapatybę, priklausymą profesinėms sąjungoms ir dalyvavimą jų veikloje, taip pat genetinius ar biometrinius duomenis arba duomenis apie sveikatą ar lytinį gyvenimą, administracines sankcijas, nuosprendžius, nusikalstamą veiką ar įtariamus nusikaltimus, teistumą arba su juo susijusias saugumo priemones.

2. 1 dalis netaikoma tais atvejais, kai:

2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a) duomenų subjektas sutiko, kad tokie asmens duomenys būtų tvarkomi laikantis 7 ir 8 straipsniuose nustatytų sąlygų, išskyrus, kai Sąjungos arba valstybės narės teisės aktuose numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti; arba

a) duomenų subjektas sutiko, kad tokie asmens duomenys vienu ar daugiau konkrečių tikslų būtų tvarkomi laikantis 7 ir 8 straipsniuose nustatytų sąlygų, išskyrus, kai Sąjungos arba valstybės narės teisės aktuose numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti, arba

 

aa) tvarkyti duomenis reikia vykdant ar įgyvendinant sutartį, kurią duomenų subjektas yra sudaręs kaip viena iš šalių, arba duomenų subjekto prašymu norint imtis priemonių prieš sudarant sutartį;

b) tvarkyti duomenis būtina, kad duomenų valdytojas galėtų įvykdyti pareigas ir naudotis specialiomis teisėmis darbo teisės srityje, kiek tai leidžiama Sąjungos arba nacionalinės teisės aktais, kuriuose numatytos atitinkamos apsaugos priemonės; arba

b) tvarkyti duomenis būtina, kad duomenų valdytojas galėtų įvykdyti pareigas ir naudotis specialiomis teisėmis darbo teisės srityje, kiek tai leidžiama Sąjungos arba valstybių narių teisės aktais ar kolektyviniais susitarimais, kuriuose numatytos atitinkamos duomenų subjekto pagrindinių teisių ir interesų, pvz., teisės į nediskriminavimą, apsaugos priemonės, atsižvelgiant į 82 straipsnyje nurodytas sąlygas ir apsaugos priemones, arba

c) tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo; arba

c) tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo, arba

d) duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydami teisėtą veiklą ir taikydami tinkamas apsaugos priemones, ir su sąlyga, kad taip tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su šia organizacija dėl jos siekiamų tikslų, duomenys ir kad duomenys neperduodami už organizacijos ribų be duomenų subjektų sutikimo; arba

d) duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydami teisėtą veiklą ir taikydami tinkamas apsaugos priemones, ir su sąlyga, kad taip tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su šia organizacija dėl jos siekiamų tikslų, duomenys ir kad duomenys neperduodami už organizacijos ribų be duomenų subjektų sutikimo, arba

e) tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai; arba

e) tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai, arba

f) tvarkyti duomenis būtina siekiant pagrįsti, pareikšti arba apginti teisinius reikalavimus; arba

f) tvarkyti duomenis būtina siekiant pagrįsti, pareikšti arba apginti teisinius reikalavimus, arba

 

g) tvarkyti duomenis būtina, kad, remiantis Sąjungos arba valstybės narės teisės aktais, kuriuose numatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės, būtų galima atlikti viešojo intereso užduotį; arba

g) tvarkyti duomenis būtina, kad, remiantis Sąjungos arba valstybės narės teisės aktais, kurie turi būti proporcingi siekiamam tikslui, nepažeisti esminių teisės į asmens duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos duomenų subjektų pagrindinių teisių ir interesų apsaugos priemonės, būtų galima atlikti svarbaus viešojo intereso užduotį, arba

h) tvarkyti sveikatos duomenis būtina sveikatos priežiūros tikslais ir su sąlyga, kad laikomasi 81 straipsnyje nustatytų sąlygų ir apsaugos priemonių; arba

h) tvarkyti sveikatos duomenis būtina sveikatos priežiūros tikslais ir su sąlyga, kad laikomasi 81 straipsnyje nustatytų sąlygų ir apsaugos priemonių, arba

i) tvarkyti duomenis būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais su sąlyga, kad laikomasi 83 straipsnyje nustatytų sąlygų ir apsaugos priemonių; arba

i) tvarkyti duomenis būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais su sąlyga, kad laikomasi 83 straipsnyje nustatytų sąlygų ir apsaugos priemonių, arba

 

ia) tvarkyti duomenis būtina archyvų tarnybai, su sąlyga, kad būtų laikomasi 83a straipsnyje nurodytų sąlygų ir apsaugos priemonių, arba

j) duomenys apie teistumą ar su juo susijusias saugumo priemones tvarkomi arba prižiūrint valdžios institucijai, arba kai tvarkyti duomenis reikia, kad būtų įvykdyta teisinė ar įstatyme nustatyta duomenų valdytojo pareiga arba būtų atlikta svarbiu viešuoju interesu pagrįsta užduotis, ir tiek, kiek tai leidžiama Sąjungos arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos apsaugos priemonės. Išsamus teistumo duomenų registras vedamas tik prižiūrint valdžios institucijai.

j) duomenys apie administracines sankcijas, nuosprendžius, nusikalstamą veiką, teistumą ar su juo susijusias saugumo priemones tvarkomi arba prižiūrint valdžios institucijai, arba kai tvarkyti duomenis reikia, kad būtų įvykdyta teisinė ar įstatyme nustatyta duomenų valdytojo pareiga arba būtų atlikta svarbiu viešuoju interesu pagrįsta užduotis, ir tiek, kiek tai leidžiama Sąjungos arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės. Visi teistumo duomenų registrai vedami tik prižiūrint valdžios institucijai.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodyto ypatingų kategorijų asmens duomenų tvarkymo kriterijus, sąlygas ir tinkamas apsaugos priemones ir 2 dalyje numatytas išimtis.

3. Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnį nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 dalyje nurodyto ypatingų kategorijų asmens duomenų tvarkymo ir 2 dalyje numatytų išimčių.

Pakeitimas                104

Pasiūlymas dėl reglamento

10 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Jeigu duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, jis neįpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos.

1. Jeigu duomenų valdytojas ar tvarkytojas pagal duomenų valdytojo tvarkomus duomenis negali tiesiogiai ar netiesiogiai nustatyti fizinio asmens tapatybės arba jei tvarkomus duomenis sudaro tik pseudoniminiai duomenys, duomenų valdytojas netvarko ar negauna papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos.

 

2. Jei dėl 1 dalies duomenų valdytojas negali laikytis šio reglamento nuostatos, duomenų valdytojas neįpareigojamas laikytis tos konkrečios šio reglamento nuostatos. Jei dėl to duomenų valdytojas negali patenkinti duomenų subjekto prašymo, jis atitinkamai informuoja duomenų subjektą.

 

Pakeitimas  105

Pasiūlymas dėl reglamento

10 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

10a straipsnis

 

Bendrieji duomenų subjektų teisių principai

 

1. Duomenų apsaugos pagrindas – aiškios ir nedviprasmiškos duomenų subjekto teisės, kurias gerbia duomenų valdytojas. Šio reglamento nuostatomis siekiama sustiprinti, paaiškinti, užtikrinti ir prireikus susisteminti šias teises.

 

2. Tokios teisės apima, inter alia, teisę gauti aiškią, lengvai suprantamą informaciją apie savo asmens duomenų tvarkymą, teisę susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti, teisę gauti duomenis, teisę nesutikti su profiliavimu, teisę pateikti skundą kompetentingai duomenų apsaugos institucijai ir pradėti teisinį procesą, taip pat teisę į kompensaciją ir nuostolių, padarytų neteisėta duomenų tvarkymo operacija, atlyginimą. Paprastai šiomis teisėmis naudojamasi nemokamai. Duomenų valdytojas atsako į duomenų subjekto prašymus per pagristą laikotarpį.

Pakeitimas  106

Pasiūlymas dėl reglamento

11 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

1. Duomenų valdytojas numato skaidrias ir lengvai suprantamas asmens duomenų tvarkymo ir duomenų subjektų naudojimosi teisėmis nuostatas.

1. Duomenų valdytojas numato glaustas, skaidrias, aiškias ir lengvai suprantamas asmens duomenų tvarkymo ir duomenų subjektų naudojimosi teisėmis nuostatas.

2. Visą informaciją ir pranešimus, susijusius su asmens duomenų tvarkymu, duomenų valdytojas duomenų subjektui pateikia suprantama forma, aiškia ir paprasta duomenų subjektui pritaikyta kalba, ypač kai informacija skirta vaikui.

2. Visą informaciją ir pranešimus, susijusius su asmens duomenų tvarkymu, duomenų valdytojas duomenų subjektui pateikia suprantama forma, aiškia ir paprasta kalba, ypač kai informacija skirta vaikui.

Pakeitimas  107

Pasiūlymas dėl reglamento

12 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

1. Duomenų valdytojas nustato 14 straipsnyje nurodytos informacijos suteikimo ir naudojimosi 13 straipsnyje ir 15–19 straipsniuose nurodytomis duomenų subjektų teisėmis tvarką. Duomenų valdytojas visų pirma numato mechanizmus, kuriais palengvinamos galimybės prašyti taikyti 13 straipsnyje ir 15–19 straipsniuose nurodytas priemones. Kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų valdytojas taip pat užtikrina galimybes prašymus pateikti elektroniniu būdu.

1. Kai asmens duomenys tvarkomi automatizuotomis priemonėmis, jei įmanoma, duomenų valdytojas taip pat užtikrina galimybes prašymus pateikti elektroniniu būdu.

2. Duomenų valdytojas nepagrįstai nedelsdamas, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą, ar imtasi priemonių pagal 13 straipsnį ir 15–19 straipsnius, ir pateikia prašomą informaciją. Šis terminas gali būti pratęstas dar vienu mėnesiu, jeigu savo teisėmis naudojasi keli duomenų subjektai ir jiems būtina bendradarbiauti, kiek to pagrįstai reikia, kad būtų išvengta bereikalingų ir neproporcingų duomenų valdytojo pastangų. Ši informacija pateikiama raštu. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama elektroniniu būdu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

2. Duomenų valdytojas nepagrįstai nedelsdamas, bet ne vėliau kaip per 40 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą, ar imtasi priemonių pagal 13 straipsnį ir 15–19 straipsnius, ir pateikia prašomą informaciją. Šis terminas gali būti pratęstas dar vienu mėnesiu, jeigu savo teisėmis naudojasi keli duomenų subjektai ir jiems būtina bendradarbiauti, kiek to pagrįstai reikia, kad būtų išvengta bereikalingų ir neproporcingų duomenų valdytojo pastangų. Ši informacija pateikiama raštu, ir, kai tai įmanoma, duomenų valdytojas gali suteikti nuotolinę prieigą prie saugios interneto sistemos, kurioje duomenų subjektas gali tiesiogiai prieiti prie savo asmens duomenų. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama, jei įmanoma, elektroniniu būdu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

3. Duomenų valdytojas informuoja duomenų subjektą apie atsisakymą imtis priemonių dėl duomenų subjekto prašymo, nurodo atsisakymo priežastis ir galimybes pateikti skundą priežiūros institucijai bei teisę imtis teisminių teisių gynimo priemonių.

3. Jei duomenų valdytojas nesiima priemonių dėl duomenų subjekto prašymo, duomenų valdytojas informuoja duomenų subjektą apie priemonių nesiėmimo priežastis ir galimybes pateikti skundą priežiūros institucijai bei teisę imtis teisminių teisių gynimo priemonių.

4. 1 dalyje nurodyta informacija ir priemonės, kurių imtasi dėl prašymų, yra nemokamos. Jeigu prašymai akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali imti mokestį prašomos informacijos suteikimą arba priemonių vykdymą, arba gali nevykdyti prašomų priemonių. Tokiu atveju duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

4. 1 dalyje nurodyta informacija ir priemonės, kurių imtasi dėl prašymų, yra nemokamos. Jeigu prašymai akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali imti pagrįstą mokestį atsižvelgdamas į administracines informacijos suteikimo ar prašomos priemonės vykdymo išlaidas. Tokiu atveju duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 4 dalyje nurodytų akivaizdžiai neproporcingų prašymų kriterijus bei sąlygas ir mokestį.

 

6. Komisija gali nustatyti 2 dalyje nurodyto pranešimo, be kita ko ir elektroniniu būdu, standartines formas ir standartines procedūras. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas                108

Pasiūlymas dėl reglamento

13 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teisės duomenų gavėjų atžvilgiu

Pranešimo reikalavimas duomenų ištaisymo ir ištrynimo atveju

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti duomenys, duomenų valdytojas praneša apie bet kokį duomenų ištaisymą arba ištrynimą pagal 16 ir 17 straipsnius, nebent tai padaryti būtų neįmanoma arba pareikalautų neproporcingų pastangų.

Kiekvienam duomenų gavėjui, kuriam buvo perduoti duomenys, duomenų valdytojas praneša apie bet kokį duomenų ištaisymą arba ištrynimą pagal 16 ir 17 straipsnius, nebent tai padaryti būtų neįmanoma arba pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie šiuos gavėjus.

Pakeitimas  109

Pasiūlymas dėl reglamento

13 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

13a straipsnis

 

Standartizuota duomenų politika

 

1. Kai renkami su duomenų subjektu susiję asmens duomenys, duomenų valdytojas, prieš pateikdamas informaciją pagal 14 straipsnį, pateikia duomenų subjektui šią informaciją:

 

a) ar renkama daugiau asmens duomenų nei būtina kiekvienam konkrečiam tvarkymo tikslui pasiekti;

 

b) ar saugojama daugiau asmens duomenų nei būtina kiekvienam konkrečiam tvarkymo tikslui pasiekti;

 

c) ar asmens duomenys tvarkomi kitiems tikslams nei tie, kuriems jie renkami;

d) ar asmens duomenys platinami trečiosioms šalims, kurios užsiima komercine veikla;

 

e) ar asmens duomenys parduodami ar nuomojami;

 

f) ar asmens duomenys saugomi užkoduota forma.

 

2. 1 dalyje nurodyta informacija pateikiama pagal X priedą lentelės formatu, naudojant tekstą ir simbolius, tokiose trijose skiltyse:

 

a) pirmoje skiltyje pateikiamos grafinės formos, simbolizuojančios šią informaciją;

 

b) antroje skiltyje pateikiama svarbiausi tą informaciją apibūdinantys dalykai;

 

c) trečiojoje skiltyje pateikiamos grafinės formos, nurodančios, ar pateikta atitinkama informacija.

 

3. 1 ir 2 dalyse nurodyta informacija pateikiama lengvai matomu ir aiškiai įskaitomu būdu ir kalba, kuri yra lengvai suprantama valstybių narių vartotojams, kuriems ši informacija teikiama. Jei informacija pateikiama elektroniniu formatu, ji turi būti nuskaitoma automatizuotai.

 

4. Papildomos detalės neteikiamos. Išsamūs paaiškinimai ar tolesnės pastabos dėl 1 dalyje nurodytos informacijos gali būti pateikiami kartu su kitais informacijos reikalavimais pagal 14 straipsnį.

 

5. Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus siekiant sukonkretinti 1 dalyje nurodytą informaciją bei jos pateikimą, kaip nurodyta 2 dalyje ir 1 priede.

Pakeitimas  110

Pasiūlymas dėl reglamento

14 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų subjektui teikiama informacija

Duomenų subjektui teikiama informacija

1. Kai renkami duomenų subjekto asmens duomenys, duomenų valdytojas duomenų subjektui pateikia bent tokią informaciją:

1. Kai renkami su duomenų subjektu susiję asmens duomenys, duomenų valdytojas po to, kai pateikiama informacija pagal 13a straipsnį, pateikia duomenų subjektui bent tokią informaciją:

a) duomenų valdytojo ir prireikus jo atstovo ir duomenų apsaugos pareigūno vardą ir pavardę (pavadinimą) ir duomenis ryšiams;

a) duomenų valdytojo ir prireikus jo atstovo ir duomenų apsaugos pareigūno vardą ir pavardę (pavadinimą) ir kontaktinius duomenis;

b) tikslus, kuriais ketinama tvarkyti asmens duomenis, įskaitant sutarčių nuostatas ir bendrąsias sutarčių sudarymo sąlygas, kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies b punktu, ir teisėtus duomenų valdytojo interesus, kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies punktu;

b) konkrečius tikslus, kuriais ketinama tvarkyti asmens duomenis bei informaciją apie asmens duomenų tvarkymo apsaugą, įskaitant sutarčių nuostatas ir bendrąsias sutarčių sudarymo sąlygas, kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies b punktu, ir atitinkamais atvejais informaciją apie tai, kaip jais įgyvendinamas 6 straipsnio 1 dalies f punktas ir atitinkami jo reikalavimai;

c) asmens duomenų saugojimo laikotarpį;

c) asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;

d) galiojančią duomenų subjekto teisę prašyti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, ir juos ištaisytų arba ištrintų, arba teisę nesutikti, kad tokie asmens duomenys būtų tvarkomi;

d) galiojančią duomenų subjekto teisę prašyti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, ir juos ištaisytų arba ištrintų, teisę nesutikti, kad tokie asmens duomenys būtų tvarkomi, arba teisę gauti duomenis;

e) teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

e) teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

f) asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

f) asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

g) kai taikoma, apie duomenų valdytojo ketinimą duomenis perduoti į trečiąją šalį arba tarptautinei organizacijai ir Komisijos sprendimu dėl tinkamumo pagrįstą informaciją apie tos trečiosios šalies ar tarptautinės organizacijos užtikrinamą apsaugos lygį;

g) kai taikoma, apie duomenų valdytojo ketinimą duomenis perduoti trečiajai šaliai arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 42 ir 43 straipsnių arba 44 straipsnio 1 dalies h punkte nurodytų perdavimų atveju – tinkamas apsaugos priemones ir būdus, kaip gauti jų kopiją;

 

ga) kai taikoma, informaciją apie profiliavimo ir juo grindžiamų priemonių buvimą ir numatomus profiliavimo padarinius duomenų subjektui;

 

 

gb) svarbią informaciją apie bet kokio automatizuoto tvarkymo logiką;

h) bet kokią papildomą informaciją, kad būtų užtikrintas sąžiningas duomenų subjekto duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų rinkimo aplinkybes.

h) bet kokią papildomą informaciją, būtiną, kad būtų užtikrintas sąžiningas duomenų subjekto duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų rinkimo ar tvarkymo aplinkybes, ypač apie tvarkymo veiklos ir operacijų, kurios asmens duomenų poveikio vertinimo ataskaitose įvertintos kaip galinčios kelti itin didelę riziką, buvimą.

 

ha) kai taikoma, informaciją apie tai, ar duomenys buvo pateikti valdžios institucijoms per pastarąjį nepertraukiamą 12 mėnesių laikotarpį.

2. Kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir apie tai, ar asmens duomenys turi būti teikiami privaloma tvarka ar savanoriškai, taip pat nurodo galimas tokių duomenų nepateikimo pasekmes.

2. Kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir apie tai, ar asmens duomenys turi būti teikiami privaloma ar neprivaloma tvarka, taip pat nurodo galimas tokių duomenų nepateikimo pasekmes.

 

2a. Spręsdami, kokios dar informacijos reikia, kad duomenys būtų tvarkomi sąžiningai pagal 1 dalies h punktą, duomenų valdytojai atsižvelgia į visas atitinkamas 38 straipsnyje pateiktas gaires.

3. Kai asmens duomenys renkami ne iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir asmens duomenų šaltinį.

3. Kai asmens duomenys renkami ne iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir konkrečių asmens duomenų šaltinį. Jei asmens duomenų šaltinis yra viešai prieinamas, gali būti pateikiama bendra informacija.

4. Duomenų valdytojas 1, 2 ir 3 dalyse nurodytą informaciją pateikia:

4. Duomenų valdytojas 1, 2 ir 3 dalyse nurodytą informaciją pateikia:

a) tuo metu, kai iš duomenų subjekto gaunami asmens duomenys, arba

a) tuo metu, kai iš duomenų subjekto gaunami asmens duomenys, arba nepagrįstai nedelsdamas, jei tai neįmanoma, arba

 

aa) 73 straipsnyje nurodytos įstaigos, organizacijos ar asociacijos prašymu;

b) jeigu asmens duomenys renkami ne iš duomenų subjekto – tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį po jų surinkimo, atsižvelgiant į konkrečias duomenų rinkimo ar kitokio tvarkymo aplinkybes, arba – jeigu ketinama duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

b) jeigu asmens duomenys renkami ne iš duomenų subjekto – tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį po jų surinkimo, atsižvelgiant į konkrečias duomenų rinkimo ar kitokio tvarkymo aplinkybes, arba – jeigu ketinama duomenis perduoti kitam duomenų gavėjui – ne vėliau kaip pirmojo perdavimo metu, arba – jeigu duomenys bus naudojami palaikyti ryšiams su duomenų subjektu – ne vėliau kaip susisiekiant su tuo duomenų subjektu pirmą kartą, arba

 

ba) tik pateikus prašymą, jei duomenis tvarko mažoji ar labai maža įmonė, kuriai asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

5. Šio straipsnio 1–4 dalys netaikomos, jeigu:

5. Šio straipsnio 1–4 dalys netaikomos, jeigu:

a) duomenų subjektas jau turi 1, 2 ir 3 dalyse nurodytą informaciją; arba

a) duomenų subjektas jau turi 1, 2 ir 3 dalyse nurodytą informaciją arba

b) duomenys renkami ne iš duomenų subjekto ir pateikti tokią informaciją neįmanoma arba pareikalautų neproporcingų pastangų; arba

b) duomenys tvarkomi istoriniais, statistiniais ar mokslinių tyrimų tikslais, kuriems taikomos 81 ir 83 straipsniuose nurodytos sąlygos ir apsaugos priemonės, duomenys renkami ne iš duomenų subjekto ir pateikti tokią informaciją neįmanoma arba pareikalautų neproporcingų pastangų ir duomenų valdytojas paskelbė informaciją taip, kad kiekvienas ją gali rasti, arba

 

c) duomenys renkami ne iš duomenų subjekto ir duomenų įrašymas ar atskleidimas aiškiai nustatytas teisės akte; arba

c) duomenys renkami ne iš duomenų subjekto ir duomenų gavimas ar atskleidimas aiškiai nustatytas teisės akte, kuris taikomas duomenų valdytojui ir kuriame nustatomos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės atsižvelgiant į duomenų tvarkymo riziką ir asmens duomenų pobūdį, arba

d) duomenys renkami ne iš duomenų subjekto ir tokios informacijos pateikimu, remiantis Sąjungos ar valstybės narės teise, būtų varžomos kitų teisės ir laisvės, kaip apibrėžta 21 straipsnyje.

d) duomenys renkami ne iš duomenų subjekto ir tokios informacijos pateikimu, remiantis Sąjungos ar valstybės narės teise, būtų varžomos kitų fizinių asmenų teisės ir laisvės, kaip apibrėžta 21 straipsnyje;

 

da) duomenis tvarko profesinę veiklą vykdantis asmuo, duomenys patikimi asmeniui arba apie juos sužino asmuo, kuriam taikoma pagal Sąjungos arba valstybės narės teisę reglamentuojama pareiga saugoti profesinę paslaptį ar įstatymais nustatyta pareiga saugoti paslaptį, nebent duomenys būtų renkami tiesiai iš duomenų subjekto.

6. 5 dalies b punkte nurodytu atveju duomenų valdytojas numato tinkamas priemones teisėtiems duomenų subjekto interesams apsaugoti.

6. 5 dalies b punkte nurodytu atveju duomenų valdytojas numato tinkamas priemones teisėtiems duomenų subjekto teisėms ar interesams apsaugoti.

7. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies f punkte nurodytų duomenų gavėjų kategorijų kriterijus, 1 dalies g punkte nurodyto galimo informacijos suteikimo reikalavimus, 1 dalies h punkte nurodytos reikalingos informacijos suteikimo konkretiems sektoriams ir konkrečiais atvejais kriterijus ir 5 dalies b punkte įtvirtintoms išimtims taikomas sąlygas ir apsaugos priemones. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių.

 

8. Komisija gali nustatyti 1–3 dalyse nurodytos informacijos pateikimo standartines formas, prireikus atsižvelgdama į įvairių sektorių ypatumus bei poreikius ir duomenų tvarkymo atvejus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  111

Pasiūlymas dėl reglamento

15 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų subjekto teisė susipažinti su duomenimis

Duomenų subjekto teisė susipažinti su duomenimis ir juos gauti

1. Duomenų subjektas turi teisę pateikęs prašymą bet kuriuo metu iš duomenų valdytojo gauti patvirtinimą, ar tvarkomi jo asmens duomenys. Jeigu tokie asmens duomenys tvarkomi, duomenų valdytojas pateikia informaciją apie:

1. Remiantis 12 straipsnio 4 dalimi, duomenų subjektas turi teisę pateikęs prašymą bet kuriuo metu iš duomenų valdytojo gauti patvirtinimą, ar tvarkomi jo asmens duomenys, ir aiškia ir paprasta kalba informaciją apie:

a) duomenų tvarkymo tikslus;

a) kiekvienos kategorijos asmens duomenų tvarkymo tikslus;

b) atitinkamų asmens duomenų kategorijas;

b) atitinkamų asmens duomenų kategorijas;

c) duomenų gavėjus, kuriems ketinama atskleisti asmens duomenis arba kuriems asmens duomenys buvo atskleisti, arba tokių gavėjų kategorijas, visų pirma duomenų gavėjus trečiosiose šalyse;

c) duomenų gavėjus, kuriems ketinama atskleisti asmens duomenis arba kuriems asmens duomenys buvo atskleisti, įskaitant duomenų gavėjus trečiosiose šalyse;

d) asmens duomenų saugojimo laikotarpį;

d) asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;

e) tai, kad duomenų subjektas turi teisę prašyti duomenų valdytojo ištaisyti arba ištrinti su juo susijusius asmens duomenis arba nesutikti, kad tokie asmens duomenys būtų tvarkomi;

e) tai, kad duomenų subjektas turi teisę prašyti duomenų valdytojo ištaisyti arba ištrinti su juo susijusius asmens duomenis arba nesutikti, kad tokie asmens duomenys būtų tvarkomi;

f) teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

f) teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

g) tai, kokie asmens duomenys yra tvarkomi ir visą turimą informaciją apie jų šaltinius;

 

h) tokio duomenų tvarkymo reikšmę ir numatomas pasekmes bent tuo atveju, kai taikomos 20 straipsnyje nurodytos priemonės.

h) tokio duomenų tvarkymo reikšmę ir numatomas pasekmes.

 

ha) svarbią informaciją apie bet kokio automatizuoto tvarkymo logiką;

 

hb) nepažeidžiant 21 straipsnio, jeigu asmens duomenys atskleidžiami valdžios institucijai jos prašymu – patvirtinimą, kad toks prašymas buvo pateiktas.

2. Duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją, kokie asmens duomenys yra tvarkomi. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama elektroniniu būdu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

2. Duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją, kokie asmens duomenys yra tvarkomi. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama elektroniniu ir struktūrizuotu formatu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu. Nepažeidžiant 10 straipsnio, duomenų valdytojas imasi visų pagrįstų priemonių, kad įsitikintų, jog asmuo, prašantis leisti susipažinti su duomenimis, yra duomenų subjektas.

 

2a. Jeigu duomenų subjektas pateikė asmens duomenis ir jei asmens duomenys tvarkomi elektroniniu būdu, duomenų subjektas turi teisę iš duomenų valdytojo gauti pateiktų asmens duomenų kopiją elektroniniu ir sąveikiu formatu, kuris yra paprastai naudojamas, kad duomenų subjektas galėtų jais toliau naudotis, duomenų valdytojui, iš kurio tie asmens duomenys atšaukiami, netrukdant. Jeigu techniškai įmanoma ir duomenys turimi, duomenų subjekto prašymu jie perduodami tiesiogiai iš duomenų valdytojo duomenų valdytojui.

 

2b. Šiuo straipsniu nedaroma poveikio pareigai ištrinti duomenis, kai jų nebereikia pagal 5 straipsnio 1 dalies e punktą.

 

2c. Pagal 1 ir 2 dalį teisė susipažinti su duomenimis nesuteikiama, jei tai duomenys, kaip apibrėžta 14 straipsnio 5 dalies da punkte, išskyrus atvejus, kai duomenų subjektui suteikti įgaliojimai atskleisti atitinkamą paslaptį ir jis atitinkamai veikia.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies g punkte nurodytos informacijos apie asmens duomenų turinį pateikimo kriterijus ir reikalavimus.

 

4. Komisija gali nustatyti prašymų susipažinti su 1 punkte nurodyta informacija ir jos pateikimo standartines formas ir procedūras, be kita ko, susijusias su duomenų subjekto tapatybės patikrinimu ir informacijos apie asmens duomenis pateikimu duomenų subjektui, atsižvelgiant į konkrečius įvairių sektorių ir duomenų tvarkymo atvejų ypatumus ir reikalavimus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  112

Pasiūlymas dėl reglamento

17 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teisė būti pamirštam ir teisė reikalauti ištrinti duomenis

Teisė reikalauti ištrinti duomenis

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištrintų jo asmens duomenis ir tokių duomenų daugiau neplatintų, ypač asmens duomenų, kuriuos duomenų subjektas pateikė, kai buvo vaikas, jeigu tai galima pateisinti dėl kurios nors iš šių priežasčių:

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ir duomenų tvarkytojas ištrintų jo asmens duomenis ir tokių duomenų daugiau neplatintų, ir teisę reikalauti iš trečiųjų šalių ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus, jeigu tai galima pateisinti dėl kurios nors iš šių priežasčių:

a) duomenys nebereikalingi, kad būtų pasiekti tikslai, kuriems jie buvo renkami arba kitaip tvarkomi;

a) duomenys nebereikalingi, kad būtų pasiekti tikslai, kuriems jie buvo renkami arba kitaip tvarkomi;

b) duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą grindžiamas duomenų tvarkymas, arba kai yra pasibaigęs saugojimo laikotarpis, dėl kurio duotas sutikimas, ir jeigu nėra jokio kito teisinio pagrindo tvarkyti duomenis;

b) duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą grindžiamas duomenų tvarkymas, arba kai yra pasibaigęs saugojimo laikotarpis, dėl kurio duotas sutikimas, ir jeigu nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c) duomenų subjektas pagal 19 straipsnį nesutinka, kad asmens duomenys būtų tvarkomi;

c) duomenų subjektas pagal 19 straipsnį nesutinka, kad asmens duomenys būtų tvarkomi;

 

ca) Sąjungoje įsikūręs teismas ar reguliavimo institucija galutinai nusprendė, kad atitinkami duomenys privalo būti ištrinti;

d) duomenų tvarkymas neatitinka šio reglamento dėl kitų priežasčių.

d) duomenys buvo tvarkomi neteisėtai.

 

1a. 1 dalies taikymas priklauso nuo duomenų valdytojo gebėjimo įsitikinti, kad asmuo, prašantis ištrinti duomenis, yra duomenų subjektas.

2. Jeigu 1 dalyje nurodytas duomenų valdytojas viešai paskelbė asmens duomenis, jis imasi visų pagrįstų veiksmų, įskaitant technines priemones, dėl duomenų, už kurių paskelbimą yra atsakingas, kad informuotų tokius duomenis tvarkančius trečiuosius asmenis, jog duomenų subjektas prašo ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus. Jeigu duomenų valdytojas leido trečiajam asmeniui paskelbti asmens duomenis, už tą paskelbimą atsakingu laikomas duomenų valdytojas.

2. Jeigu 1 dalyje nurodytas duomenų valdytojas viešai paskelbė asmens duomenis neturėdamas 6 straipsnio 1 dalyje nurodyto pagrindo, jis imasi visų reikiamų veiksmų, kad duomenys būtų ištrinti, taip pat kad juos ištrintų trečiosios šalys, nepažeidžiant 77 straipsnio. Jei įmanoma, duomenų valdytojas informuoja duomenų subjektą apie veiksmus, kurių ėmėsi atitinkamos trečiosios šalys.

3. Duomenų valdytojas nedelsdamas ištrina asmens duomenis, išskyrus atvejus, kai asmens duomenis būtina išsaugoti:

3. Duomenų valdytojas ir, jei taikoma, trečioji šalis nedelsdami ištrina asmens duomenis, išskyrus atvejus, kai asmens duomenis būtina išsaugoti:

a) siekiant pasinaudoti teise į saviraiškos laisvę pagal 80 straipsnį;

a) siekiant pasinaudoti teise į saviraiškos laisvę pagal 80 straipsnį;

b) dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 81 straipsnį;

b) dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 81 straipsnį;

c) istoriniais, statistiniais ir mokslinių tyrimų tikslais pagal 83 straipsnį;

c) istoriniais, statistiniais ir mokslinių tyrimų tikslais pagal 83 straipsnį;

d) siekiant laikytis Sąjungos ar valstybės narės teisės aktais nustatytos duomenų valdytojui taikomos teisinės pareigos saugoti asmens duomenis; valstybių narių teisės aktais siekiama ginti viešąjį interesą, laikomasi esminių teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo;

d) siekiant laikytis Sąjungos ar valstybės narės teisės aktais nustatytos duomenų valdytojui taikomos teisinės pareigos saugoti asmens duomenis; valstybių narių teisės aktais siekiama ginti viešąjį interesą, laikomasi teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo;

e) 4 dalyje nurodytais atvejais.

e) 4 dalyje nurodytais atvejais.

4. Duomenų valdytojas asmens duomenų neištrina, o apriboja jų tvarkymą, jeigu:

4. Duomenų valdytojas asmens duomenų neištrina, o apriboja jų tvarkymą taip, kad su jais nebūtų galima atlikti įprastų susipažinimo su duomenimis ir jų tvarkymo operacijų ir duomenų daugiau nebūtų galima pakeisti, jeigu:

a) duomenų subjektas užginčija jų tikslumą; šiuo atveju duomenų tvarkymas apribojamas laikotarpiui, per kurį duomenų valdytojas gali patikrinti duomenų tikslumą;

a) duomenų subjektas užginčija jų tikslumą; šiuo atveju duomenų tvarkymas apribojamas laikotarpiui, per kurį duomenų valdytojas gali patikrinti duomenų tikslumą;

b) duomenų valdytojui nebereikia asmens duomenų savo užduočiai atlikti, tačiau jie turi būti saugomi įrodinėjimo tikslais;

b) duomenų valdytojui nebereikia asmens duomenų savo užduočiai atlikti, tačiau jie turi būti saugomi įrodinėjimo tikslais;

c) duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c) duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

 

ca) Sąjungoje įsikūręs teismas ar reguliavimo institucija galutinai nusprendė, kad atitinkamų duomenų tvarkymas privalo būti apribotas;

d) duomenų subjektas prašo persiųsti asmens duomenis į kitą automatizuotą duomenų tvarkymo sistemą pagal 18 straipsnio 2 dalį.

d) duomenų subjektas prašo persiųsti asmens duomenis į kitą automatizuotą duomenų tvarkymo sistemą pagal 15 straipsnio 2a dalį.

 

da) dėl duomenų saugojimo technologijų pobūdžio jų ištrinti neįmanoma ir tos technologijos buvo įrengtos prieš įsigaliojant šiam reglamentui.

5. 4 dalyje nurodyti asmens duomenys gali būti tvarkomi, išskyrus jų saugojimą, tik įrodinėjimo tikslais arba gavus duomenų subjekto sutikimą, arba siekiant užtikrinti kito fizinio ar juridinio asmens teisių apsaugą arba ginti viešąjį interesą.

5. 4 dalyje nurodyti asmens duomenys gali būti tvarkomi, išskyrus jų saugojimą, tik įrodinėjimo tikslais arba gavus duomenų subjekto sutikimą, arba siekiant užtikrinti kito fizinio ar juridinio asmens teisių apsaugą arba ginti viešąjį interesą.

6. Jeigu asmens duomenų tvarkymas apribojamas pagal 4 dalį, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

6. Jeigu asmens duomenų tvarkymas apribojamas pagal 4 dalį, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

7. Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad būtų nustatytu laiku ištrinami asmens duomenys ir (arba) periodiškai peržiūrima būtinybė juos saugoti.

 

8. Jei asmens duomenys ištrinami, duomenų valdytojas tokių asmens duomenų negali tvarkyti jokiais kitais būdais.

8. Jei asmens duomenys ištrinami, duomenų valdytojas tokių asmens duomenų negali tvarkyti jokiais kitais būdais.

 

8a. Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad būtų nustatytu laiku ištrinami asmens duomenys ir (arba) periodiškai peržiūrima būtinybė juos saugoti.

9. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius (-es):

9. Paprašius Europos duomenų apsaugos valdybos nuomonės, Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais nustatyti išsamesnius (-es):

a) 1 dalies taikymo konkretiems sektoriams ir konkrečiais duomenų tvarkymo atvejais kriterijus ir reikalavimus;

a) 1 dalies taikymo konkretiems sektoriams ir konkrečiais duomenų tvarkymo atvejais kriterijus ir reikalavimus;

b) kitas nuorodų į asmens duomenis, jų kopijų ar dublikatų ištrynimo iš viešai prieinamų ryšio paslaugų priemonių sąlygas, kaip nurodyta 2 dalyje;

b) kitas nuorodų į asmens duomenis, jų kopijų ar dublikatų ištrynimo iš viešai prieinamų ryšio paslaugų priemonių sąlygas, kaip nurodyta 2 dalyje;

c) 4 dalyje nurodyto asmens duomenų tvarkymo apribojimo kriterijus ir sąlygas;

c) 4 dalyje nurodyto asmens duomenų tvarkymo apribojimo kriterijus ir sąlygas;

Pakeitimas  113

Pasiūlymas dėl reglamento

18 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teisė į duomenų perkeliamumą

 

Išbraukta.

1. Jeigu asmens duomenys tvarkomi elektroniniu būdu ir taikant susistemintą bei dažnai naudojamą formatą, duomenų subjektas turi teisę iš duomenų valdytojo gauti tvarkomų duomenų kopiją elektroniniu ir susistemintu bei dažnai naudojamu formatu, kad duomenų subjektas galėtų ja toliau naudotis.

 

2. Jeigu duomenų subjektas pateikė asmens duomenis ir duomenų tvarkymas grindžiamas sutikimu arba sutartimi, duomenų subjektas turi teisę dažnai naudojamu elektroniniu formatu persiųsti tuos asmens duomenis ir bet kokią kitą informaciją, kurią jis pateikė ir kuri yra saugoma automatizuotoje duomenų tvarkymo sistemoje, į kitą automatizuotą duomenų tvarkymo sistemą, duomenų valdytojui, iš kurio tie asmens duomenys yra gauti, netrukdant.

 

3. Komisija gali nustatyti 1 dalyje nurodytą elektroninį formatą ir asmens duomenų persiuntimo pagal 2 dalį techninius standartus, būdus ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  114

Pasiūlymas dėl reglamento

19 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teisė nesutikti

Teisė nesutikti

1. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies d, e ir f punktais, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus arba pagrindines teises ir laisves.

1. Duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies d ir e punktais, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus arba pagrindines teises ir laisves.

2. Jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę nesutikti, kad jo asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, nemokėdamas jokio mokesčio. Ši teisė aiškiai nurodoma duomenų subjektui suprantamu būdu ir aiškiai atskiriama nuo kitos informacijos.

2. Jeigu asmens duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies f punktu, duomenų subjektas turi teisę bet kuriuo metu ir be jokio papildomo pagrindimo nesutikti, kad jo asmens duomenys būtų tvarkomi apskritai ir kuriuo nors konkrečiu tikslu, nemokėdamas jokio mokesčio.

 

2a. 2 dalyje paminėta teisė aiškiai nurodoma duomenų subjektui suprantamu būdu ir forma, aiškia ir paprasta kalba, ypač kai informacija skirta vaikui, ir aiškiai atskiriama nuo kitos informacijos.

 

2b. Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant Direktyvos 2002/58/EB, teise nesutikti gali būti naudojamasi automatizuotomis priemonėmis, naudojant techninį standartą, suteikiantį duomenų subjektui sąlygas aiškiai išreikšti savo pageidavimus.

3. Jeigu išreiškiamas nesutikimas pagal 1 ir 2 dalį, duomenų valdytojas nebenaudoja ar kitaip netvarko atitinkamų asmens duomenų.

3. Jeigu išreiškiamas nesutikimas pagal 1 ir 2 dalį, duomenų valdytojas nebenaudoja ar kitaip netvarko atitinkamų asmens duomenų nesutikime nurodytais tikslais.

(Komisijos teksto 2 dalies paskutinis sakinys Parlamento pakeitime tapo 2a dalimi.)

Pakeitimas  115

Pasiūlymas dėl reglamento

20 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Profiliavimu pagrįstos priemonės

Profiliavimas

1. Kiekvienas fizinis asmuo turi teisę į tai, kad jam nebūtų taikoma priemonė, dėl kurios jis patirtų teisinių pasekmių arba kuri darytų jam didelį poveikį ir kuri pagrįsta tik automatizuotu duomenų tvarkymu, siekiant įvertinti tam tikrus su tuo fiziniu asmeniu susijusius asmeninius aspektus arba visų pirma išnagrinėti arba numatyti fizinio asmens darbo rezultatus, ekonominę situaciją, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį.

1. Nepažeidžiant 6 straipsnio nuostatų, kiekvienas fizinis asmuo turi teisę nesutikti su profiliavimu pagal 19 straipsnį. Duomenų subjektas apie teisę nesutikti su profiliavimu informuojamas gerai matomu būdu.

2. Laikantis kitų šio reglamento nuostatų, asmeniui 1 dalyje nurodyto pobūdžio priemonė gali būti taikoma tik tuo atveju, jeigu:

2. Laikantis kitų šio reglamento nuostatų, profiliavimas, dėl kurio imamasi priemonių, darančių teisinį poveikį duomenų subjektui, arba kuris turi panašiai žymų poveikį atitinkamo duomenų subjekto interesams, teisėms ir laisvėms, asmeniui gali būti taikomas tik tuo atveju, jeigu:

a) duomenys tvarkomi sudarant arba vykdant sutartį, kai patenkintas duomenų subjekto prašymas sudaryti ar vykdyti sutartį arba kai nustatytos tinkamos priemonės teisėtiems duomenų subjekto interesams apsaugoti, kaip antai teisė reikalauti žmogaus įsikišimo; arba

a) duomenis tvarkyti būtina sudarant arba vykdant sutartį, kai patenkintas duomenų subjekto prašymas sudaryti ar vykdyti sutartį, su sąlyga, kad būtų nustatytos tinkamos priemonės teisėtiems duomenų subjekto interesams apsaugoti, arba

b) duomenų tvarkymas aiškiai leidžiamas Sąjungos ar valstybės narės teisės aktais, kuriais taip pat nustatomos priemonės teisėtiems duomenų subjekto interesams apsaugoti; arba

b) duomenų tvarkymas aiškiai leidžiamas Sąjungos ar valstybės narės teisės aktais, kuriais taip pat nustatomos priemonės teisėtiems duomenų subjekto interesams apsaugoti;

c) duomenų tvarkymas pagrįstas duomenų subjekto sutikimu laikantis 7 straipsnyje nustatytų sąlygų ir taikant tinkamas apsaugos priemones.

c) duomenų tvarkymas pagrįstas duomenų subjekto sutikimu laikantis 7 straipsnyje nustatytų sąlygų ir taikant tinkamas apsaugos priemones.

3. Automatizuotas asmens duomenų tvarkymas, siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, negali būti grindžiamas tik 9 straipsnyje nurodytais ypatingų kategorijų asmens duomenimis.

3. Draudžiamas profiliavimas, dėl kurio daromas diskriminacinis poveikis asmenims dėl jų rasinės ar tautinės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinėms sąjungoms, lytinės orientacijos ar lytinės tapatybės arba dėl kurio taikomos tokį poveikį turinčios priemonės. Duomenų valdytojas taiko veiksmingą apsaugą nuo galimos diskriminacijos, kylančios dėl profiliavimo. Profiliavimas negali būti grindžiamas tik 9 straipsnyje nurodytais ypatingų kategorijų asmens duomenimis.

4. 2 dalyje nurodytais atvejais duomenų valdytojas, teikdamas informaciją pagal 14 straipsnį, pateikia informaciją ir apie tai, ar duomenys yra tvarkomi 1 dalyje nurodyto pobūdžio priemonės tikslais ir kokios numatomos tokio duomenų tvarkymo pasekmės duomenų subjektui.

 

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius priemonių, tinkamų 2 dalyje nurodytiems duomenų subjekto teisėtiems interesams apsaugoti, kriterijus ir sąlygas.

5. Profiliavimas, dėl kurio imamasi priemonių, darančių teisinį poveikį duomenų subjektams, arba kuris panašiai turi žymų poveikį atitinkamo duomenų subjekto interesams, teisėms ir laisvėms, negali būti pagrįstas tik arba daugiausia automatizuotu duomenų tvarkymu ir apima žmogaus įvertinimą, įskaitant sprendimo, priimto atlikus šį vertinimą, paaiškinimą. Priemonės, tinkamos 2 dalyje nurodytiems duomenų subjekto teisėtiems interesams apsaugoti, apima teisę gauti žmogaus įvertinimą ir sprendimo, priimto atlikus šį vertinimą, paaiškinimą.

 

5a. Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl profiliavimui pagal 2 dalį taikomų kriterijų ir sąlygų sukonkretinimo.

Pakeitimas  116

Pasiūlymas dėl reglamento

21 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Apribojimai

Apribojimai

1. Sąjunga ar valstybės narės gali teisėkūros priemonėmis apriboti 5 straipsnio a–e punktuose ir 11–20 straipsniuose ir 32 straipsnyje nustatytas pareigas ir teises, kai toks apribojimas demokratinėje visuomenėje būtinas ir proporcingas siekiant užtikrinti:

1. Sąjunga ar valstybės narės gali teisėkūros priemonėmis apriboti 11–19 straipsniuose ir 32 straipsnyje nustatytas pareigas ir teises, jeigu toks apribojimas atitinka aiškiai apibrėžtą viešojo intereso tikslą, jį taikant atsižvelgiama į teisės į asmens duomenų apsaugą esmę, jis proporcingas siekiamam teisėtam tikslui ir jį taikant atsižvelgiama į duomenų subjekto pagrindines teises ir interesus ir jis būtinas ir proporcingas siekiant užtikrinti:

a) visuomenės saugumą;

a) visuomenės saugumą;

b) nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas;

b) nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas;

c) kitus svarbius Sąjungos ar valstybės narės viešuosius interesus, visų pirma svarbų ekonominį ar finansinį Sąjungos ar valstybės narės interesą, įskaitant pinigų, biudžeto bei mokesčių klausimus ir rinkos stabilumo bei vientisumo apsaugą;

c) mokesčių klausimus;

d) reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir traukimą atsakomybėn už juos;

d) reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir traukimą atsakomybėn už juos;

e) stebėjimo, tikrinimo ar reguliavimo funkciją, kuri, net ir laikinai, yra susijusi su naudojimusi valdžios įgaliojimais šios dalies a, b, c ir d punktuose nurodytais atvejais;

e) stebėjimo, tikrinimo ar reguliavimo funkciją, vykdant kompetentingos valdžios institucijos įgaliojimus šios dalies a, b, c ir d punktuose nurodytais atvejais;

f) duomenų subjekto apsaugą arba kitų asmenų teises ir laisves.

f) duomenų subjekto apsaugą arba kitų asmenų teises ir laisves.

2. 1 dalyje nurodytoje teisėkūros priemonėje visų pirma įtvirtinamos specialiosios nuostatos, susijusios bent su numatomais duomenų tvarkymo tikslais ir duomenų valdytojo apibrėžtimi.

2. 1 dalyje nurodyta teisėkūros priemonė visų pirma turi būti būtina ir proporcinga demokratinėje visuomenėje – šioje priemonėje įtvirtinamos specialiosios nuostatos, susijusios bent su:

 

a) numatomais duomenų tvarkymo tikslais;

 

b) duomenų valdytojo apibrėžtimi;

 

c) konkrečiais duomenų tvarkymo tikslais ir priemonėmis;

 

d) apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui;

 

e) duomenų subjektų teise būti informuojamiems apie apribojimą.

 

2a. 1 dalyje nurodytos teisinėmis priemonėmis privatiems duomenų valdytojams neleidžiama ir jie neįpareigojami saugoti daugiau duomenų nei tie, kuriuos siekiant pradinio tikslo griežtai būtina saugoti.

(Komisijos teksto 2 dalies paskutiniai žodžiai tapo Parlamento pakeitimo a ir b punktais.)

 

Pakeitimas  117

Pasiūlymas dėl reglamento

22 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų valdytojo atsakomybė

Duomenų valdytojo atsakomybė ir atskaitomybė

1. Duomenų valdytojas priima veiklos nuostatas ir taiko tinkamas priemones, kuriomis užtikrina, kad asmens duomenys būtų tvarkomi laikantis šio reglamento, ir gali tai įrodyti.

1. Duomenų valdytojas priima tinkamas veiklos nuostatas ir taiko tinkamas ir patikrinamas technines bei organizacines priemones, kuriomis užtikrina ir gali skaidriai įrodyti, kad asmens duomenys tvarkomi laikantis šio reglamento, atsižvelgiant į naujausias technines galimybes, asmens duomenų tvarkymo pobūdį, pavojų duomenų subjektų teisėms ir laisvėms bei organizacijos rūšį, tiek nustatant duomenų tvarkymo būdus, tiek juos tvarkant.

 

1a. Atsižvelgdamas į naujausias technines galimybes ir įdiegimo sąnaudas, duomenų valdytojas imasi visų pagrįstų veiksmų, kad įgyvendintų atitikties reikalavimams politiką ir procedūras, kuriose būtų atsižvelgiama į laisvą duomenų subjektų pasirinkimą. Ši atitikties reikalavimams politika peržiūrima bent kas dvejus metus ir prireikus atnaujinama.

2. 1 dalyje nurodytos priemonės – tai visų pirma:

 

a) dokumentų saugojimas pagal 28 straipsnį;

 

b) 30 straipsnyje nustatytų duomenų saugumo reikalavimų vykdymas;

 

c) duomenų apsaugos poveikio vertinimo atlikimas pagal 33 straipsnį;

 

d) priežiūros institucijos išankstinio leidimo arba išankstinio konsultavimosi su ja reikalavimų laikymasis pagal 34 straipsnio 1 ir 2 dalis;

 

e) duomenų apsaugos pareigūno paskyrimas pagal 35 straipsnio 1 dalį.

 

3. Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad 1 ir 2 dalyse nurodytų priemonių veiksmingumas būtų tikrinamas. Šį patikrinimą atlieka nepriklausomi vidaus ar išorės auditoriai, jei toks patikrinimas yra proporcingas.

3. Duomenų valdytojas turi sugebėti įrodyti 1 ir 2 dalyse nurodytų priemonių tinkamumą ir veiksmingumą. Visose reguliariose bendrosiose duomenų valdytojo veiklos ataskaitose, kaip antai privalomose viešųjų įmonių ataskaitose, pateikiamas trumpas politikos krypčių ir priemonių, nurodytų 1 dalyje, aprašymas.

 

3a. Duomenų subjektas turi teisę Sąjungos viduje persiųsti asmens duomenis įmonių grupei, kuriai duomenų valdytojas priklauso, kai toks tvarkymas būtinas siekiant teisėtų vidaus administracinių tikslų susijusiose įmonių grupės verslo srityse ir kai duomenų subjektų interesų apsauga užtikrinama vidinėmis duomenų apsaugos nuostatomis ar atitinkamais elgesio kodeksais, kaip nurodyta 38 straipsnyje.

4. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų tinkamų priemonių kriterijus ir reikalavimus, kurie nenurodyti 2 dalyje, 3 dalyje nurodytų patikrinimo ir audito mechanizmų sąlygas ir 3 dalyje nurodyto proporcingumo kriterijaus nuostatas, ir svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

 

Pakeitimas  118

Pasiūlymas dėl reglamento

23 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1. Atsižvelgdamas į naujausias technines galimybes ir įdiegimo sąnaudas, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo būdus, tiek juos tvarkydamas, įdiegia tinkamas technines bei organizacines priemones ir nustato procedūras, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

1. Atsižvelgdamas į naujausias technines galimybes, dabartines technines žinias, geriausią tarptautinę patirtį ir duomenų tvarkymo riziką, duomenų valdytojas ir duomenų tvarkytojas, jei yra, tiek nustatydamas duomenų tvarkymo tikslus bei būdus, tiek juos tvarkydamas, įdiegia tinkamas ir proporcingas technines bei organizacines priemones ir nustato procedūras, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, ypač pagal 5 straipsnyje išdėstytus principus. Taikant pritaikytąją duomenų apsaugą ypatingas dėmesys skiriamas viso asmens duomenų būvio ciklo nuo surinkimo ir tvarkymo iki panaikinimo valdymui, sistemingai daugiau dėmesio skiriant visapusiškoms procedūrinėms apsaugos priemonėms, taikomoms asmens duomenų tikslumui, konfidencialumui, vientisumui, fiziniam saugumui ir panaikinimui. Kai duomenų valdytojas yra pagal 33 straipsnį atlikęs duomenų apsaugos poveikio vertinimą, rengiant tas priemones ir procedūras atsižvelgiama į minėtojo vertinimo rezultatus.

 

1a. Siekiant skatinti plačiai paplitusį pritaikytosios duomenų apsaugos diegimą įvairiuose ekonomikos sektoriuose, ji yra būtina viešųjų pirkimo konkursų sąlyga remiantis Europos Parlamento ir Tarybos direktyva 2004/18/EB1 ir Europos Parlamento ir Tarybos direktyva 2004/17/EB2 (Komunalinio sektoriaus direktyva).

2. Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad paprastai būtų tvarkomi tik konkrečiam duomenų tvarkymo tikslui pasiekti būtini asmens duomenys ir kad visų pirma nebūtų renkama ar saugojama daugiau duomenų nei būtina tiems tikslams pasiekti, taip pat tie duomenys nebūtų renkami ar saugojami ilgiau nei būtina tiems tikslams pasiekti. Visų pirma tais mechanizmais užtikrinama, kad paprastai su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

2. Duomenų valdytojas užtikrina, kad paprastai būtų tvarkomi tik konkrečiam duomenų tvarkymo tikslui pasiekti būtini asmens duomenys ir kad visų pirma nebūtų renkama, saugojama ar platinama daugiau duomenų nei būtina tiems tikslams pasiekti, taip pat tie duomenys nebūtų renkami ar saugojami ilgiau nei būtina tiems tikslams pasiekti. Visų pirma tais mechanizmais užtikrinama, kad paprastai su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius ir kad duomenų subjektai galėtų kontroliuoti savo asmens duomenų sklaidą.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų tinkamų priemonių ir mechanizmų kriterijus ir reikalavimus, visų pirma įvairiems sektoriams, produktams ir paslaugoms taikomus pritaikytosios duomenų apsaugos reikalavimus.

 

4. Komisija gali nustatyti 1 ir 2 dalyse nustatytų reikalavimų techninius standartus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

 

1 2004 m. kovo 31 d. Europos Parlamento ir Tarybos direktyva 2004/18/EB dėl viešojo darbų, prekių ir paslaugų pirkimo sutarčių sudarymo tvarkos derinimo (OL L 134, 2004 4 30, p. 114).

2 2004 m. kovo 31 d. Europos Parlamento ir Tarybos direktyva 2004/17/EB dėl subjektų, vykdančių veiklą vandens, energetikos, transporto ir pašto paslaugų sektoriuose, vykdomų pirkimų tvarkos derinimo (OL L 134, 2004 4 30, p. 1).

Pakeitimas  119

Pasiūlymas dėl reglamento

24 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Bendri duomenų valdytojai

Bendri duomenų valdytojai

Jeigu duomenų valdytojas asmens duomenų tvarkymo tikslus, sąlygas ir būdus nustato kartu su kitais duomenų valdytojais, tokie bendri duomenų valdytojai tarpusavio susitarimu nustato savo atitinkamą atsakomybę už šiame reglamente nustatytų pareigų, visų pirma susijusių su duomenų subjekto naudojimosi savo teisėmis procedūromis ir mechanizmais, laikymąsi.

Jeigu duomenų tvarkymo tikslus ir būdus kartu nustato keli duomenų valdytojai, tokie bendri duomenų valdytojai tarpusavio susitarimu nustato savo atitinkamą atsakomybę už šiame reglamente nustatytų pareigų, visų pirma susijusių su duomenų subjekto naudojimosi savo teisėmis procedūromis ir mechanizmais, laikymąsi. Susitarime tinkamai apibrėžiamos atitinkamos veiksmingos bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu, o duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis. Kilus neaiškumų dėl atsakomybės, visi duomenų valdytojai laikomi solidariai atsakingais.

Pakeitimas  120

Pasiūlymas dėl reglamento

25 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Sąjungoje neįsisteigusių duomenų valdytojų atstovai

Sąjungoje neįsisteigusių duomenų valdytojų atstovai

1. 3 straipsnio 2 dalyje nurodytu atveju duomenų valdytojas paskiria atstovą Sąjungoje.

1. 3 straipsnio 2 dalyje nurodytu atveju duomenų valdytojas paskiria atstovą Sąjungoje.

2. Ši pareiga netaikoma:

2. Ši pareiga netaikoma:

a) trečiojoje šalyje įsisteigusiam duomenų valdytojui, jei Komisija nusprendė, kad ta trečioji šalis užtikrina tinkamą apsaugos lygį pagal 41 straipsnį; arba

a) trečiojoje šalyje įsisteigusiam duomenų valdytojui, jei Komisija nusprendė, kad ta trečioji šalis užtikrina tinkamą apsaugos lygį pagal 41 straipsnį, arba

b) įmonei, kurioje yra mažiau kaip 250 darbuotojų; arba

b) duomenų valdytojui, kuris tvarko mažiau negu 5 000 duomenų subjektų asmens duomenis per kurį 12 mėnesių iš eilės laikotarpį ir netvarko ypatingų kategorijų asmens duomenų, nurodytų 9 straipsnio 1 dalyje, vietos nustatymo duomenų arba vaikų ar darbuotojų duomenų, esančių didelės apimties susistemintuose rinkiniuose, arba

c) valdžios institucijai ar įstaigai; arba

c) valdžios institucijai ar įstaigai, arba

d) duomenų valdytojui, kuris tik retkarčiais siūlo prekes ar paslaugas Sąjungoje gyvenantiems duomenų subjektams.

d) duomenų valdytojui, kuris tik retkarčiais siūlo prekes ar paslaugas Sąjungos duomenų subjektams, nebent asmens duomenų tvarkymas būtų susijęs su ypatingų kategorijų asmens duomenimis, nurodytais 9 straipsnio 1 dalyje, vietos nustatymo duomenimis arba vaikų ar darbuotojų duomenimis, esančiais didelės apimties susistemintuose rinkiniuose.

3. Atstovas yra įsisteigęs vienoje iš tų valstybių narių, kuriose gyvena duomenų subjektai, kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo tikslais arba kurių elgesys yra stebimas.

3. Atstovas yra įsisteigęs vienoje iš tų valstybių narių, kuriose siūlomos prekės ar paslaugos duomenų subjektams arba stebimas jų elgesys.

4. Atstovą duomenų valdytojas skiria nedarydamas poveikio teisiniams veiksmams, kurių gali būti imtasi prieš patį duomenų valdytoją.

4. Atstovą duomenų valdytojas skiria nedarydamas poveikio teisiniams veiksmams, kurių gali būti imtasi prieš patį duomenų valdytoją.

Pakeitimas  121

Pasiūlymas dėl reglamento

26 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų tvarkytojas

Duomenų tvarkytojas

1. Jeigu duomenų valdytojo pavedimu turi būti atlikta duomenų tvarkymo operacija, duomenų valdytojas pasirenka duomenų tvarkytoją, kuris suteikia pakankamą garantiją, jog bus įdiegtos tinkamos techninės ir organizacinės priemonės ir nustatytos procedūros, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, visų pirma įdiegiant techninio saugumo ir organizacines priemones, susijusias su planuojamu duomenų tvarkymu, ir užtikrina, kad tų priemonių būtų laikomasi.

1. Jeigu duomenų valdytojo pavedimu turi būti atliktas duomenų tvarkymas, duomenų valdytojas pasirenka duomenų tvarkytoją, kuris suteikia pakankamą garantiją, jog bus įdiegtos tinkamos techninės ir organizacinės priemonės ir nustatytos procedūros, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, visų pirma įdiegiant techninio saugumo ir organizacines priemones, susijusias su planuojamu duomenų tvarkymu, ir užtikrina, kad tų priemonių būtų laikomasi.

2. Kaip duomenų tvarkytojas tvarko duomenis, reglamentuojama sutartimi arba teisės aktu, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui ir kuriuose visų pirma nurodoma, kad duomenų tvarkytojas:

2. Kaip duomenų tvarkytojas tvarko duomenis, reglamentuojama sutartimi arba teisės aktu, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui. Duomenų valdytojui ir duomenų tvarkytojui suteikiama galimybė atsižvelgiant į šio reglamento reikalavimus savo nuožiūra nustatyti savo atitinkamas funkcijas bei užduotis ir nustato, kad duomenų tvarkytojas:

a) veikia tik pagal duomenų valdytojo nurodymus, visų pirma jei naudojamų asmens duomenų perdavimas yra draudžiamas;

a) tvarko asmens duomenis tik pagal duomenų valdytojo nurodymus, nebent pagal Sąjungos ar valstybės narės teisę būtų reikalaujama kitaip;

b) įdarbina tik tuos darbuotojus, kurie įsipareigoja laikytis konfidencialumo arba kuriems taikoma įstatymu nustatyta konfidencialumo pareiga;

b) įdarbina tik tuos darbuotojus, kurie įsipareigoja laikytis konfidencialumo arba kuriems taikoma įstatymu nustatyta konfidencialumo pareiga;

c) imasi visų būtinų priemonių pagal 30 straipsnį;

c) imasi visų būtinų priemonių pagal 30 straipsnį;

d) pasitelkia kitą duomenų tvarkytoją tik gavęs išankstinį duomenų valdytojo leidimą;

d) jei nenustatyta kitaip, nustato kito duomenų tvarkytojo pasitelkimo sąlygas tik gavęs išankstinį duomenų valdytojo leidimą;

e) jei įmanoma, atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų valdytojui pritarus parengia būtinus techninius ir organizacinius reikalavimus, kad būtų įvykdyta duomenų valdytojo pareiga atsakyti į prašymus, pateiktus naudojantis III skyriuje nustatytomis duomenų subjekto teisėmis;

e) jei įmanoma, atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų valdytojui pritarus parengia tinkamus ir reikiamus techninius ir organizacinius reikalavimus, kad būtų įvykdyta duomenų valdytojo pareiga atsakyti į prašymus, pateiktus naudojantis III skyriuje nustatytomis duomenų subjekto teisėmis;

f) padeda duomenų valdytojui užtikrinti 30–34 straipsniuose nustatytų pareigų laikymąsi;

f) padeda duomenų valdytojui užtikrinti 30–34 straipsniuose nustatytų pareigų laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g) baigęs tvarkyti duomenis, perduoda visus rezultatus duomenų valdytojui ir kitaip asmens duomenų netvarko;

g) baigęs tvarkyti duomenis, perduoda visus rezultatus duomenų valdytojui, kitaip asmens duomenų netvarko ir ištrina turimas kopijas, nebent pagal Sąjungos ar valstybių narių teisę būtų reikalaujama duomenis saugoti;

h) pateikia duomenų valdytojui ir priežiūros institucijai visą būtiną informaciją šiame straipsnyje nustatytų pareigų laikymuisi kontroliuoti.

h) pateikia duomenų valdytojui visą informaciją, būtina įrodyti šiame straipsnyje nustatytų pareigų laikymąsi, ir leidžia atlikti patikrinimus vietoje.

3. Duomenų valdytojas ir duomenų tvarkytojas dokumentuoja duomenų valdytojo nurodymus ir 2 dalyje nurodytas duomenų tvarkytojo pareigas.

3. Duomenų valdytojas ir duomenų tvarkytojas dokumentuoja duomenų valdytojo nurodymus ir 2 dalyje nurodytas duomenų tvarkytojo pareigas.

 

3a. 1 dalyje minimą pakankamą garantiją gali rodyti elgesio kodeksų arba sertifikavimo mechanizmų, nurodytų šio reglamento 38 ir 39 straipsniuose, laikymasis.

4. Jeigu duomenų tvarkytojas tvarko asmens duomenis kitaip nei nurodė duomenų valdytojas, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas laikomas duomenų valdytoju ir jam taikomos 24 straipsnyje nustatytos taisyklės dėl bendrų duomenų valdytojų.

4. Jeigu duomenų tvarkytojas tvarko asmens duomenis kitaip nei nurodė duomenų valdytojas arba tampa duomenų tvarkymo tikslų ir priemonių nustatymo šalimi, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas laikomas duomenų valdytoju ir jam taikomos 24 straipsnyje nustatytos taisyklės dėl bendrų duomenų valdytojų.

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius su duomenų tvarkytoju susijusios atsakomybės, pareigų ir užduočių kriterijus ir reikalavimus pagal 1 dalį, taip pat sąlygas, kuriomis galima palengvinti asmens duomenų tvarkymą įmonių grupėms, visų pirma kontrolės ir ataskaitų rengimo tikslais.

 

Pakeitimas                122

Pasiūlymas dėl reglamento

28 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Dokumentai

Dokumentai

1. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, saugo visų duomenų tvarkymo operacijų, už kurias yra atsakingas, dokumentus.

1. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugo reguliariai atnaujinamus dokumentus, būtinus siekiant atitikti šio reglamento reikalavimus.

2. Dokumentuose nurodoma bent ši informacija:

2. Be to, kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugo dokumentus su šia informacija:

a) duomenų valdytojo arba bet kurio bendro duomenų valdytojo arba duomenų tvarkytojo, taip pat atstovo, jei toks yra, vardas ir pavardė (pavadinimas) ir duomenys ryšiams;

a) duomenų valdytojo arba bet kurio bendro duomenų valdytojo arba duomenų tvarkytojo, taip pat atstovo, jei toks yra, vardas ir pavardė (pavadinimas) ir kontaktiniai duomenys;

b) duomenų apsaugos pareigūno, jei toks yra, vardas ir pavardė ir duomenys ryšiams;

b) duomenų apsaugos pareigūno, jei toks yra, vardas ir pavardė ir kontaktiniai duomenys;

c) duomenų tvarkymo tikslai, įskaitant teisėtus duomenų valdytojo interesus, jei duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies f punktu;

 

d) duomenų subjektų kategorijų ir duomenų subjektų asmens duomenų kategorijų aprašymas;

 

e) asmens duomenų gavėjai ar jų kategorijos, įskaitant duomenų valdytojus, kuriems asmens duomenys atskleidžiami atsižvelgiant į teisėtą jų interesą;

e) duomenų valdytojų, kuriems asmens duomenys atskleidžiami, jei tokie yra, vardai ir pavardės (pavadinimai) ir kontaktiniai duomenys;

f) jei taikoma, duomenų perdavimas į trečiąją šalį arba tarptautinei organizacijai, įskaitant tos trečiosios šalies arba tarptautinės organizacijos pavadinimą, ir tais atvejais, kai duomenys perduodami remiantis 44 straipsnio 1 dalies h punktu, tinkamų apsaugos priemonių dokumentai;

 

g) bendra informacija apie skirtingų kategorijų duomenų ištrynimo terminus;

 

h) 22 straipsnio 3 dalyje nurodytų mechanizmų aprašymas.

 

3. Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai dokumentus.

 

4. 1 ir 2 dalyse nurodytos pareigos netaikomos šiems duomenų valdytojams ir duomenų tvarkytojams:

Išbraukta.

a) komercinio intereso neturinčiam asmens duomenis tvarkančiam fiziniam asmeniui; arba

 

b) įmonei arba organizacijai, kurioje yra mažiau kaip 250 darbuotojų ir kuriai asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

 

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų dokumentų kriterijus ir reikalavimus, visų pirma siekiant atsižvelgti į duomenų valdytojo ir duomenų tvarkytojo, taip pat duomenų valdytojo atstovo, jei toks yra, atsakomybę.

 

6. Komisija gali nustatyti 1 dalyje nurodytų dokumentų standartines formas. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  123

Pasiūlymas dėl reglamento

29 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Atliekant savo pareigas pateiktu priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, su ja bendradarbiauja, visų pirma pateikdami 53 straipsnio 2 dalies a punkte nurodytą informaciją ir suteikdami tos dalies b punkte nurodytą galimybę.

1. Atliekant savo pareigas pateiktu priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, jei toks yra, taip pat duomenų valdytojo atstovas, su ja bendradarbiauja, visų pirma pateikdami 53 straipsnio 2 dalies a punkte nurodytą informaciją ir suteikdami tos dalies b punkte nurodytą galimybę.

Pakeitimas  124

Pasiūlymas dėl reglamento

30 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų tvarkymo saugumas

Duomenų tvarkymo saugumas

1. Duomenų valdytojas ir duomenų tvarkytojas įdiegia tinkamas technines ir organizacines priemones, kad užtikrintų duomenų tvarkymo riziką ir saugotinų asmens duomenų pobūdį atitinkantį saugumo lygį, atsižvelgdami į naujausias technines galimybes ir tų priemonių įdiegimo sąnaudas.

1. Duomenų valdytojas ir duomenų tvarkytojas įdiegia tinkamas technines ir organizacines priemones, kad užtikrintų duomenų tvarkymo riziką atitinkantį saugumo lygį, atsižvelgdami į duomenų apsaugos poveikio vertinimo pagal 33 straipsnį rezultatus ir į naujausias technines galimybes ir tų priemonių įdiegimo sąnaudas.

 

1a. Atsižvelgiant į naujausias technines galimybes ir įgyvendinimo išlaidas, tokia saugumo politika apima:

 

a) gebėjimą užtikrinti, kad asmens duomenų vientisumas bus patvirtintas;

 

b) gebėjimą užtikrinti nuolatinį asmens duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, tinkamumą ir patvarumą;

 

c) gebėjimą laiku atkurti galimybę naudotis duomenimis informacinių sistemų fizinio arba techninio incidento, kuris turi poveikio informacinių sistemų ir paslaugų veikimui, vientisumui ir konfidencialumui, atveju;

 

d) tvarkant neskelbtinus asmens duomenis pagal 8 ir 9 straipsnius – papildomas saugumo priemones, skirtas užtikrinti supratimą apie pavojus ir gebėjimą imtis prevencinių, korekcinių ir švelninančių veiksmų beveik realiuoju laiku, šalinant rastus pažeidžiamumus arba incidentus, kurie gali kelti pavojaus duomenims;

 

e) reguliarų saugumo politikos, procedūrų ir planų tikrinimo, vertinimo ir veiksmingumo vertinimo procesą, siekiant užtikrinti nuolatinį jų veiksmingumą.

 

2. Duomenų valdytojas ir duomenų tvarkytojas, įvertinę riziką, imasi 1 dalyje nurodytų priemonių, kad apsaugotų asmens duomenis nuo netyčinio ar neteisėto sunaikinimo arba netyčinio praradimo ir užkirstų kelią bet kokio pobūdžio neteisėtam duomenų tvarkymui, visų pirma asmens duomenų neleistinam atskleidimui, platinimui ar susipažinimui su jais arba jų pakeitimui.

2. 1 dalyje nurodytomis priemonėmis bent jau:

 

a) užtikrinama, kad su asmens duomenimis galėtų susipažinti tik tam teisę turintys darbuotojai tik tais tikslais, kurie leidžiami pagal įstatymus;

 

b) užtikrinama saugomų arba perduodamų asmens duomenų apsauga nuo netyčinio ar neteisėto sunaikinimo, netyčinio praradimo ar pakeitimo bei neleistino ir neteisėto saugojimo, tvarkymo, susipažinimo ar atskleidimo; ir

 

c) užtikrinama, kad būtų įgyvendinama saugumo politika asmens duomenų tvarkymo srityje.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų techninių ir organizacinių priemonių kriterijus ir sąlygas, įskaitant naujausių techninių galimybių konkrečiuose sektoriuose ir konkrečiais duomenų tvarkymo atvejais apibrėžtis, visų pirma atsižvelgiant į technologijų raidą ir pritaikytosios privatumo apsaugos bei standartizuotosios duomenų apsaugos sprendimus, išskyrus atvejus, kai taikoma 4 dalis.

3. Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 ir 2 dalyse nurodytų techninių ir organizacinių priemonių kriterijų ir sąlygų, įskaitant naujausių techninių galimybių konkrečiuose sektoriuose ir konkrečiais duomenų tvarkymo atvejais apibrėžtis, visų pirma atsižvelgiant į technologijų raidą ir pritaikytosios privatumo apsaugos bei standartizuotosios duomenų apsaugos sprendimus.

4. Prireikus Komisija gali priimti įgyvendinimo aktus ir jais nustatyti, kaip 1 ir 2 dalyse nustatyti reikalavimai taikomi įvairiais atvejais visų pirma siekiant:

 

a) užkirsti kelią neleistinam susipažinimui su asmens duomenimis;

 

b) užkirsti kelią asmens duomenų neleistinam atskleidimui, skaitymui, kopijavimui, keitimui, ištrynimui ar pašalinimui;

 

c) užtikrinti, kad būtų tikrinamas duomenų tvarkymo operacijų teisėtumas.

 

Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

(Komisijos teksto 2 dalis tapo Parlamento pakeitimo b punktu.)

Pakeitimas  125

Pasiūlymas dėl reglamento

31 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

1. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas, nepagrįstai nedelsdamas, jei įmanoma per 24 valandas nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, praneša apie jį priežiūros institucijai. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 24 valandas, prie pranešimo pridedamas motyvuotas paaiškinimas.

1. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas, nepagrįstai nedelsdamas, praneša apie jį priežiūros institucijai.

2. Pagal 26 straipsnio 2 dalies f punktą duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nedelsdamas įspėja ir informuoja duomenų valdytoją.

2. Duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas įspėja ir informuoja duomenų valdytoją.

3. 1 dalyje nurodytame pranešime turi būti bent:

3. 1 dalyje nurodytame pranešime turi būti bent:

a) aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir skaičių, taip pat atitinkamų duomenų įrašų kategorijas ir skaičių;

a) aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir skaičių, taip pat atitinkamų duomenų įrašų kategorijas ir skaičių;

b) pateiktas duomenų apsaugos pareigūno vardas ir pavardė ir duomenys ryšiams arba kitas asmuo ryšiams, iš kurio galima gauti daugiau informacijos;

b) pateiktas duomenų apsaugos pareigūno vardas ir pavardė ir kontaktiniai duomenys arba kitas asmuo ryšiams, iš kurio galima gauti daugiau informacijos;

c) rekomenduotos priemonės galimam neigiamam asmens duomenų saugumo pažeidimo poveikiui sušvelninti;

c) rekomenduotos priemonės galimam neigiamam asmens duomenų saugumo pažeidimo poveikiui sušvelninti;

d) aprašytos asmens duomenų saugumo pažeidimo pasekmės;

d) aprašytos asmens duomenų saugumo pažeidimo pasekmės;

e) aprašytos priemonės, kurias pasiūlė arba kurių ėmėsi duomenų valdytojas asmens duomenų saugumo pažeidimui išaiškinti.

e) aprašytos priemonės, kurias pasiūlė arba kurių ėmėsi duomenų valdytojas asmens duomenų saugumo pažeidimui išaiškinti ir jo poveikiui sušvelninti.

Prireikus informacija gali būti teikiama etapais.

4. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant pažeidimo faktus, jo poveikį ir taisomuosius veiksmus, kurių ėmėsi. Remdamasi šiais dokumentais priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio. Dokumentuose pateikiama tik tam tikslui pasiekti būtina informacija.

4. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant pažeidimo faktus, jo poveikį ir taisomuosius veiksmus, kurių ėmėsi. Šių dokumentų priežiūros institucija turi užtekti, kad galėtų patikrinti, ar laikomasi šio ir 30 straipsnio. Dokumentuose pateikiama tik tam tikslui pasiekti būtina informacija.

 

4a. Priežiūros institucija veda viešą pažeidimų, apie kuriuos buvo pranešta, rūšių registrą.

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodyto duomenų saugumo pažeidimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas ir duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą, kriterijus ir reikalavimus.

5. Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 ir 2 dalyse nurodyto duomenų saugumo pažeidimo ir nepagrįsto vėlavimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas ir duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą, kriterijus ir reikalavimus.

6. Komisija priežiūros institucijai gali nustatyti standartinę tokio pranešimo formą, pranešimo procedūras ir 4 dalyje nurodytų dokumentų formas ir variantus, įskaitant juose pateiktos informacijos ištrynimo terminus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  126

Pasiūlymas dėl reglamento

32 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

1. Kai asmens duomenų saugumo pažeidimas gali turėti neigiamo poveikio asmens duomenų apsaugai ar duomenų subjekto privatumui, duomenų valdytojas, po to, kai pateikia 31 straipsnyje nurodytą pranešimą, nepagrįstai nedelsdamas apie pažeidimą praneša duomenų subjektui.

1. Kai asmens duomenų saugumo pažeidimas gali turėti neigiamo poveikio asmens duomenų apsaugai, duomenų subjekto privatumui, teisei ar teisėtiems interesams, duomenų valdytojas, po to, kai pateikia 31 straipsnyje nurodytą pranešimą, nepagrįstai nedelsdamas apie pažeidimą praneša duomenų subjektui.

2. 1 dalyje nurodytame pranešime duomenų subjektui aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 31 straipsnio 3 dalies b ir c punktuose nurodyta informacija ir rekomendacijos.

1 dalyje nurodytas pranešimas duomenų subjektui yra išsamus ir parašytas aiškia ir paprasta kalba. 1 dalyje nurodytame pranešime duomenų subjektui aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 31 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir rekomendacijos, taip pat informacija apie duomenų subjekto teises, įskaitant teisę į nuostolių atlyginimą.

3. Duomenų subjektui apie asmens duomenų saugumo pažeidimą pranešti nebūtina, jeigu duomenų valdytojas priežiūros institucijai patikimai įrodo, kad įdiegė tinkamas technologines apsaugos priemones ir kad tos priemonės taikytos su asmens duomenų saugumo pažeidimu susijusiems duomenims. Tokiomis technologinėmis apsaugos priemonėmis užtikrinama, kad asmeniui, neturinčiam leidimo su duomenimis susipažinti, jie būtų nesuprantami.

3. Duomenų subjektui apie asmens duomenų saugumo pažeidimą pranešti nebūtina, jeigu duomenų valdytojas priežiūros institucijai patikimai įrodo, kad įdiegė tinkamas technologines apsaugos priemones ir kad tos priemonės taikytos su asmens duomenų saugumo pažeidimu susijusiems duomenims. Tokiomis technologinėmis apsaugos priemonėmis užtikrinama, kad asmeniui, neturinčiam leidimo su duomenimis susipažinti, jie būtų nesuprantami.

4. Nepažeisdama duomenų valdytojo pareigos pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi galimą neigiamą pažeidimo poveikį, gali reikalauti, kad duomenų valdytojas praneštų apie asmens duomenų saugumo pažeidimą su juo susijusiam duomenų subjektui, jei jis to dar nepadarė.

4. Nepažeisdama duomenų valdytojo pareigos pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi galimą neigiamą pažeidimo poveikį, gali reikalauti, kad duomenų valdytojas praneštų apie asmens duomenų saugumo pažeidimą su juo susijusiam duomenų subjektui, jei jis to dar nepadarė.

5. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų aplinkybių, kuriomis asmens duomenų saugumo pažeidimas gali neigiamai paveikti asmens duomenis, kriterijus ir reikalavimus.

Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 dalyje nurodytų aplinkybių, kuriomis asmens duomenų saugumo pažeidimas gali neigiamai paveikti asmens duomenis ir duomenų subjekto privatumą, teises ir teisėtus interesus.

6. Komisija gali nustatyti 1 dalyje nurodyto pranešimo duomenų subjektui formatą ir tam pranešimui taikomas procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  127

Pasiūlymas dėl reglamento

32 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

32a straipsnis

 

Atsižvelgimas į rizikos principus

 

1. Duomenų valdytojas arba, kai taikoma, duomenų tvarkytojas atlieka numatyto duomenų tvarkymo galimo poveikio duomenų subjektų teisėms ir laisvėms rizikos analizę ir įvertina, ar dėl jo duomenų tvarkymo operacijų galėtų kilti konkreti rizika.

 

2. Konkrečią riziką gali kelti šios duomenų tvarkymo operacijos:

 

a) daugiau negu 5 000 duomenų subjektų asmens duomenų tvarkymas per bet kokį 12 mėnesių iš eilės laikotarpį;

 

b) 9 straipsnio 1 dalyje nurodytų ypatingų kategorijų duomenų, vietos nustatymo duomenų arba vaikų ar darbuotojų duomenų, esančių didelės apimties susistemintuose rinkiniuose, tvarkymas;

 

c) profiliavimas, kuriuo remiantis taikomos priemonės, dėl kurių asmuo patiria teisinių pasekmių arba kurios daro jam panašiai didelį poveikį;

 

d) asmens duomenų tvarkymas, atliekamas vykdant sveikatos priežiūrą, epidemiologinius tyrimus arba psichinių ar infekcinių ligų tyrimus, kai duomenys tvarkomi dideliu mastu siekiant imtis priemonių ar priimti sprendimus dėl konkrečių asmenų;

 

e) automatizuotas viešų vietų stebėjimas dideliu mastu;

 

f) kitos duomenų tvarkymo operacijos, kurioms atlikti būtina konsultuotis su duomenų apsaugos pareigūnu arba priežiūros institucija pagal 34 straipsnio 2 dalies b punktą.

 

g) kai asmens duomenų pažeidimas gali turėti neigiamą poveikį asmens duomenų apsaugai ar duomenų subjekto privatumui, teisėms ar teisėtiems interesams;

 

h) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus;

 

i) kai galimybė susipažinti su asmens duomenimis suteikiama daugeliui žmonių ir negalima pagrįstai tikėtis, kad jų skaičius bus apribotas.

 

3. Remiantis rizikos analizės rezultatais:

 

a) kai vykdomos bet kurios 2 dalies a arba b punkte nurodytos asmens duomenų tvarkymo operacijos, Sąjungoje neįsisteigę duomenų valdytojai, laikydamiesi 25 straipsnyje nurodytų reikalavimų ir išimčių, paskiria atstovą Sąjungoje;

 

b) kai vykdomos bet kurios 2 dalies a, b arba h punkte nurodytos asmens duomenų tvarkymo operacijos, duomenų valdytojai, laikydamiesi 35 straipsnyje nurodytų reikalavimų ir išimčių, paskiria duomenų apsaugos pareigūną;

 

c) kai vykdomos bet kurios 2 dalies a, b, c, d, e, f, g arba h punkte nurodytos asmens duomenų tvarkymo operacijos, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, laikydamasis 33 straipsnio, atlieka duomenų apsaugos poveikio vertinimą;

 

d) kai vykdomos 2 dalies f punkte nurodytos asmens duomenų tvarkymo operacijos, duomenų valdytojas, laikydamasis 34 straipsnio, konsultuojasi su duomenų apsaugos pareigūnu, o jei duomenų apsaugos pareigūnas nepaskirtas – su priežiūros institucija;

 

4. Rizikos analizė persvarstoma vėliausiai po metų arba nedelsiant, jei smarkiai keičiasi duomenų tvarkymo operacijų pobūdis, aprėptis ar tikslai. Kai remiantis 3 dalies c punktu duomenų valdytojas neprivalo atlikti duomenų apsaugos poveikio vertinimo, rizikos analizė įforminama dokumentais.

Pakeitimas  128

Pasiūlymas dėl reglamento

4 skyriaus 3 skirsnio antraštinė dalis

Komisijos siūlomas tekstas

Pakeitimas

DUOMENŲ APSAUGOS VERTINIMAS IR IŠANSKTINIS LEIDIMAS

DUOMENŲ APSAUGOS VALDYMAS PER VISĄ JŲ GYVAVIMO CIKLĄ

Pakeitimas  129

Pasiūlymas dėl reglamento

33 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų apsaugos poveikio vertinimas

Duomenų apsaugos poveikio vertinimas

1. Jeigu atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties arba tikslų kyla konkreti rizika duomenų subjektų teisėms ir laisvėms, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.

1. Jeigu reikalaujama pagal 32a straipsnio 3 dalies c punktą, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų subjektų teisėms ir laisvėms, ypač jų teisei į asmens duomenų apsaugą, vertinimą. Panašią riziką keliančių duomenų tvarkymo operacijų sekai išnagrinėti pakanka atlikti vieną vertinimą.

2. 1 dalyje nurodyta konkreti rizika kyla visų pirma atliekant šias duomenų tvarkymo operacijas:

 

a) sistemingą ir išsamų su fiziniu asmeniu susijusių asmeninių aspektų vertinimą arba duomenų tvarkymo operacijas, atliekamas siekiant išnagrinėti arba numatyti fizinio asmens ekonominę situaciją, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį, kai tokia operacija grindžiama automatizuotu duomenų tvarkymu ir ja remiantis taikomos priemonės, dėl kurių fizinis asmuo patiria teisinių pasekmių arba kurios daro jam didelį poveikį;

 

b) tvarkant informaciją apie lytinį gyvenimą, rasę ir tautinę kilmę arba duomenų tvarkymo operacijas, atliekamas teikiant sveikatos priežiūrą, epidemiologinius tyrimus arba psichinių ar infekcinių ligų tyrimus, kai duomenys tvarkomi dideliu mastu siekiant imtis priemonių ar priimti sprendimus dėl konkrečių fizinių asmenų;

 

c) viešų vietų stebėjimą, ypač dideliu mastu naudojant optinius elektroninius prietaisus (stebėjimas vaizdo kameromis);

 

d) tvarkant vaikų asmens duomenis, genetinius duomenis ar biometrinius duomenis didelės apimties susistemintuose rinkiniuose;

 

e) kitas duomenų tvarkymo operacijas, kurioms atlikti būtina konsultuotis su priežiūros institucija pagal 34 straipsnio 2 dalies b punktą.

 

3. Vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, rizikos duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tai rizikai pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų atitinkamų asmenų teises ir teisėtus interesus.

3. Vertinime atsižvelgiama į asmens duomenų tvarkymą per visą jų gyvavimo ciklą nuo duomenų rinkimo iki tvarkymo ir iki jų ištrynimo. Jame pateikiama bent:

 

a) sisteminis numatytų duomenų tvarkymo operacijų aprašymas, duomenų tvarkymo tikslai ir, jei taikoma, teisėti interesai, kurių siekia duomenų valdytojas;

 

b) duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

 

c) rizikos duomenų subjektų teisėms ir laisvėms, įskaitant riziką, kad atliekant operaciją diskriminacija įtvirtinama arba didinama, vertinimas

 

d) numatytų priemonių tai rizikai pašalinti ir tvarkomų asmens duomenų kiekiui kuo labiau sumažinti aprašymas;

 

e) apsaugos priemonių, saugumo priemonių ir mechanizmų, kuriais užtikrinama asmens duomenų apsauga, pvz., pseudonimų suteikimas, ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų atitinkamų asmenų teises ir teisėtus interesus, sąrašas;

 

f) bendra informacija apie skirtingų kategorijų duomenų ištrynimo terminus;

 

h) paaiškinimas, kokia pritaikytoji ir standartizuotoji duomenų apsauga įgyvendinta pagal 23 straipsnį;

 

i) asmens duomenų gavėjų arba gavėjų kategorijų sąrašas;

 

j) jei taikoma, numatytų duomenų perdavimų trečiajai šaliai arba tarptautinei organizacijai sąrašas, įskaitant tos trečiosios šalies arba tarptautinės organizacijos nurodymą, o tais atvejais, kai duomenys perduodami remiantis 44 straipsnio 1 dalies h punktu, tinkamų apsaugos priemonių dokumentų sąrašas;

 

k) duomenų tvarkymo aplinkybių įvertinimas.

 

3a. Jei duomenų valdytojas ar duomenų tvarkytojas paskyrė duomenų apsaugos pareigūną, jis turėtų dalyvauti atliekant poveikio vertinimą.

 

3b. Vertinimas dokumentuojamas ir jame pateikiamas reguliarių duomenų apsaugos reikalavimų laikymosi apžvalgų tvarkaraštis pagal 33a straipsnio 1 dalį. Vertinimas atnaujinamas nepagrįstai nedelsiant, jei duomenų apsaugos reikalavimų laikymosi apžvalgos, nurodytos 33a straipsnyje, rezultatai rodo, kad esama laikymosi neatitikimų. Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai vertinimą.

4. Duomenų valdytojas siekia išsiaiškinti, kokia duomenų subjektų ar jų atstovų nuomonė apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

 

5. Jeigu duomenų valdytojas yra valdžios institucija ar įstaiga ir jeigu duomenų tvarkymas grindžiamas teisine pareiga pagal 6 straipsnio 1 dalies c punktą, kuria numatomos su duomenų tvarkymo operacijomis susijusios taisyklės ir procedūros ir kuri įtvirtinta Sąjungos teisės aktais, 1–4 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

 

6. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų duomenų tvarkymo operacijų, kurias atliekant gali kilti konkreti rizika, kriterijus ir sąlygas, taip pat 3 dalyje nurodyto vertinimo reikalavimus, įskaitant išplėtimo, patikrinimo ir audito sąlygas. Naudodamasi šiuo įgaliojimu, Komisija svarsto labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

 

7. Komisija gali nustatyti 3 dalyje nurodyto vertinimo atlikimo, patikrinimo ir audito standartus ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

(Komisijos teksto 3 dalis iš dalies tapo Parlamento pakeitimo a, c, d ir e punktais.)

Pakeitimas  130

Pasiūlymas dėl reglamento

33 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

33a straipsnis

 

Duomenų apsaugos reikalavimų laikymosi apžvalga

 

1. Pagal 33 straipsnio 1 dalį praėjus ne daugiau kaip dvejiems metams nuo poveikio vertinimo atlikimo, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, atlieka reikalavimų laikymosi apžvalgą. Šia reikalavimų laikymosi apžvalga parodoma, kad asmens duomenys tvarkomi atsižvelgiant į poveikio duomenų apsaugai vertinimą.

 

2. Reikalavimų laikymosi apžvalga atliekama periodiškai bent kartą per dvejus metus arba nedelsiant, jei pasikeičia konkreti rizika, atsiradusi dėl duomenų tvarkymo operacijų.

 

3. Jei reikalavimų laikymosi apžvalgos rezultatai rodo, kad esama laikymosi neatitikimų, į reikalavimų laikymosi apžvalgą įtraukiamos rekomendacijos, kaip visiškai atitikti reikalavimus.

 

4. Reikalavimų laikymosi apžvalga ir jos rekomendacijos dokumentuojamos. Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai reikalavimų laikymosi apžvalgą.

 

5. Jei duomenų valdytojas ar duomenų tvarkytojas paskyrė duomenų apsaugos pareigūną, jis turėtų dalyvauti atliekant reikalavimų laikymosi apžvalgą.

Pakeitimas  131

Pasiūlymas dėl reglamento

34 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Išankstinis leidimas ir išankstinis konsultavimasis

Išankstinis konsultavimasis

1. Duomenų valdytojas arba atitinkamais atvejais duomenų tvarkytojas prieš pradėdamas tvarkyti asmens duomenis, iš priežiūros institucijos gauna leidimą ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu duomenų valdytojas arba duomenų tvarkytojas, norėdamas perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai, priima sutarties sąlygas, kaip nurodyta 42 straipsnio 2 dalies d punkte, arba nenustato tinkamų apsaugos priemonių teisiškai privalomu dokumentu, kaip nurodyta 42 straipsnio 5 dalyje.

 

2. Duomenų valdytojas arba duomenų tvarkytojas, veikdamas duomenų valdytojo pavedimu, prieš pradėdamas tvarkyti asmens duomenis, konsultuojasi su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu:

2. Duomenų valdytojas arba duomenų tvarkytojas, veikdamas duomenų valdytojo pavedimu, prieš pradėdamas tvarkyti asmens duomenis, konsultuojasi su duomenų apsaugos pareigūnu arba, jei duomenų apsaugos pareigūnas nepaskirtas, su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu:

a) duomenų apsaugos poveikio vertinime pagal 33 straipsnį nurodyta, kad atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties ar tikslų gali kilti didelė konkreti rizika; arba

a) duomenų apsaugos poveikio vertinime pagal 33 straipsnį nurodyta, kad atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties ar tikslų gali kilti didelė konkreti rizika, arba

b) priežiūros institucija mano, kad būtina iš anksto konsultuotis dėl duomenų tvarkymo operacijų, kurias atliekant dėl jų pobūdžio, aprėpties ir (arba) tikslų gali kilti konkreti rizika duomenų subjektų teisėms ir laisvėms ir kurios nustatytos pagal 4 dalį.

b) duomenų apsaugos pareigūnas arba priežiūros institucija mano, kad būtina iš anksto konsultuotis dėl duomenų tvarkymo operacijų, kurias atliekant dėl jų pobūdžio, aprėpties ir (arba) tikslų gali kilti konkreti rizika duomenų subjektų teisėms ir laisvėms ir kurios nustatytos pagal 4 dalį.

3. Jeigu priežiūros institucija mano, kad numatytas duomenų tvarkymas neatitinka šio reglamento, visų pirma jei nepakankamai išsiaiškinta arba sumažinta rizika, ji uždraudžia atlikti numatytą duomenų tvarkymą ir pateikia tinkamų pasiūlymų, kokių taisomųjų veiksmų reikia imtis.

3. Jeigu kompetentinga priežiūros institucija, remdamasi savo įgaliojimais, nusprendžia, kad numatytas duomenų tvarkymas neatitinka šio reglamento, visų pirma, jei nepakankamai išsiaiškinta arba sumažinta rizika, ji uždraudžia atlikti numatytą duomenų tvarkymą ir pateikia tinkamų pasiūlymų, kokių taisomųjų veiksmų reikia imtis.

4. Priežiūros institucija nustato duomenų tvarkymo operacijas, dėl kurių reikia iš anksto konsultuotis pagal 2 dalies b punktą, ir viešai jas paskelbia. Priežiūros institucija šiuos sąrašus pateikia Europos duomenų apsaugos valdybai.

4. Europos duomenų apsaugos valdyba nustato duomenų tvarkymo operacijas, dėl kurių reikia iš anksto konsultuotis pagal 2 dalį, ir viešai jas paskelbia.

5. Jeigu 4 dalyje nustatytame sąraše nurodyta duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su duomenų subjektų elgesio stebėjimu arba ją vykdant gali būti daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija, prieš priimdama sąrašą, taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

 

6. Duomenų valdytojas arba duomenų tvarkytojas pateikia priežiūros institucijai 33 straipsnyje nurodytą duomenų apsaugos poveikio vertinimą ir priežiūros institucijos prašymu bet kokią kitą informaciją, kuria remdamasi ji galėtų įvertinti, ar duomenų tvarkymas atitinka šį reglamentą, o visų pirma riziką duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

6. Duomenų valdytojas arba duomenų tvarkytojas priežiūros institucijos prašymu pateikia jai 33 straipsnyje nurodytą duomenų apsaugos poveikio vertinimą ir bet kokią kitą informaciją, kuria remdamasi ji galėtų įvertinti, ar duomenų tvarkymas atitinka šį reglamentą, o visų pirma riziką duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

7. Valstybės narės, rengdamos teisėkūros priemonę, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą priemonę, kuria nustatomas duomenų tvarkymo pobūdis, konsultuojasi su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika.

7. Valstybės narės, rengdamos teisėkūros priemonę, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą priemonę, kuria nustatomas duomenų tvarkymo pobūdis, konsultuojasi su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika.

8. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 2 dalies a punkte nurodytos didelės konkrečios rizikos nustatymo kriterijus ir reikalavimus.

 

9. Komisija gali nustatyti 1 ir 2 dalyse nurodyto išankstinio leidimo ir konsultavimosi standartines formas ir procedūras, taip pat informacijos teikimo priežiūros institucijai pagal 6 dalį standartines formas ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas                132

Pasiūlymas dėl reglamento

35 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų apsaugos pareigūno paskyrimas

Duomenų apsaugos pareigūno paskyrimas

1. Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

1. Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

a) duomenis tvarko valdžios institucija ar įstaiga; arba

a) duomenis tvarko valdžios institucija ar įstaiga arba

b) duomenis tvarko įmonė, kurioje yra 250 arba daugiau darbuotojų; arba

b) duomenis tvarko juridinis asmuo ir per 12 mėnesių iš eilės laikotarpį tvarkoma daugiau kaip 5 000 duomenų subjektų asmens duomenų, arba

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus.

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus, arba

 

d) pagrindinė duomenų valdytojo arba duomenų tvarkytojo veikla yra tvarkyti ypatingų kategorijų duomenis pagal 9 straipsnio 1 dalį, vietos nustatymo duomenis arba vaikų ar darbuotojų duomenis, esančius didelės apimties susistemintuose rinkiniuose.

2. 1 dalies b punkte nurodytu atveju įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną.

2. Įmonių grupė gali paskirti pagrindinį atsakingą duomenų apsaugos pareigūną, jeigu užtikrinta, kad su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos darbo vietos.

3. Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, duomenų apsaugos pareigūnas gali būti skiriamas keliems jai priklausantiems subjektams, atsižvelgiant į tos valdžios institucijos ar įstaigos organizacinę struktūrą.

3. Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, duomenų apsaugos pareigūnas gali būti skiriamas keliems jai priklausantiems subjektams, atsižvelgiant į tos valdžios institucijos ar įstaigos organizacinę struktūrą.

4. Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti duomenų apsaugos pareigūną.

4. Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti duomenų apsaugos pareigūną.

5. Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną paskiria vertindamas profesinę kvalifikaciją ir visų pirma duomenų apsaugos teisės aktų ir praktikos išmanymą, taip pat gebėjimą atlikti 37 straipsnyje nurodytas užduotis. Būtinas dalykinių žinių lygis visų pirma nustatomas atsižvelgiant į atliekamą duomenų tvarkymą ir būtiną duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų apsaugą.

5. Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną paskiria vertindamas profesinę kvalifikaciją ir visų pirma duomenų apsaugos teisės aktų ir praktikos išmanymą, taip pat gebėjimą atlikti 37 straipsnyje nurodytas užduotis. Būtinas dalykinių žinių lygis visų pirma nustatomas atsižvelgiant į atliekamą duomenų tvarkymą ir būtiną duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų apsaugą.

6. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad visos kitos tarnybinės duomenų apsaugos pareigūno pareigos atitiktų jo, kaip duomenų apsaugos pareigūno, užduotis ir pareigas ir kad dėl jų nekiltų interesų konfliktas.

6. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad visos kitos tarnybinės duomenų apsaugos pareigūno pareigos atitiktų jo, kaip duomenų apsaugos pareigūno, užduotis ir pareigas ir kad dėl jų nekiltų interesų konfliktas.

7. Duomenų valdytojas arba duomenų tvarkytojas paskiria duomenų apsaugos pareigūną mažiausiai dvejiems metams. Duomenų apsaugos pareigūno kadencija gali būti atnaujinama. Kadencijos laikotarpiu duomenų apsaugos pareigūnas gali būti atleidžiamas iš pareigų tik jei nebeatitinka jo pareigoms keliamų reikalavimų.

7. Duomenų valdytojas arba duomenų tvarkytojas paskiria duomenų apsaugos pareigūną mažiausiai ketveriems metams, jei tai darbuotojas, arba dvejiems metams, jei tai pasamdytas išorės paslaugų teikėjas. Duomenų apsaugos pareigūno kadencija gali būti atnaujinama. Savo kadencijos laikotarpiu duomenų apsaugos pareigūnas gali būti atleidžiamas iš pareigų tik jei nebeatitinka jo pareigoms keliamų reikalavimų.

8. Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną gali įdarbinti arba savo užduotis duomenų apsaugos pareigūnas gali atlikti pagal paslaugų teikimo sutartį.

8. Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną gali įdarbinti arba savo užduotis duomenų apsaugos pareigūnas gali atlikti pagal paslaugų teikimo sutartį.

9. Duomenų valdytojas arba duomenų tvarkytojas pateikia duomenų apsaugos pareigūno vardą, pavardę ir duomenis ryšiams priežiūros institucijai ir paskelbia viešai.

9. Duomenų valdytojas arba duomenų tvarkytojas pateikia duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis priežiūros institucijai ir paskelbia viešai.

10. Duomenų subjektai turi teisę kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais su jų duomenų tvarkymu ir prašymais, pateiktais naudojantis šiame reglamente nustatytomis teisėmis.

10. Duomenų subjektai turi teisę kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais su jų duomenų tvarkymu ir prašymais, pateiktais naudojantis šiame reglamente nustatytomis teisėmis.

11. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies c punkte nurodytos duomenų valdytojo arba duomenų tvarkytojo pagrindinės veiklos kriterijus ir reikalavimus, taip pat 5 dalyje nurodytų duomenų apsaugos pareigūno profesinės kvalifikacijos kriterijus.

 

Pakeitimas  133

Pasiūlymas dėl reglamento

36 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų apsaugos pareigūno statusas

Duomenų apsaugos pareigūno statusas

1. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnui būtų tinkamai ir laiku pranešama apie visus su asmens duomenų apsauga susijusius klausimus.

1. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnui būtų tinkamai ir laiku pranešama apie visus su asmens duomenų apsauga susijusius klausimus.

2. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas savo pareigas ir užduotis atliktų nepriklausomai ir nepriimtų jokių su funkcijų vykdymu susijusių nurodymų. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo vadovybei.

2. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas savo pareigas ir užduotis atliktų nepriklausomai ir nepriimtų jokių su funkcijų vykdymu susijusių nurodymų. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo vykdomajai vadovybei. Duomenų valdytojas arba duomenų tvarkytojas šiuo tikslu paskiria vykdomosios vadovybės narį, kuris yra atsakingas už šio reglamento nuostatų laikymąsi.

3. Duomenų valdytojas arba duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti jo užduotis ir teikia 37 straipsnyje nurodytoms pareigoms ir užduotims atlikti būtinus darbuotojus, patalpas, įrangą ir kitus išteklius.

3. Duomenų valdytojas arba duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti savo užduotis ir teikia visas priemones, įskaitant darbuotojus, patalpas, įrangą ir kitus išteklius, reikalingus 37 straipsnyje nurodytoms pareigoms ir užduotims atlikti duomenų apsaugos pareigūno profesinėms žinioms palaikyti.

 

4. Duomenų apsaugos pareigūnai saugo duomenų subjektų tapatybės ir aplinkybių, pagal kurias galima ją nustatyti, slaptumą, nebent duomenų subjektas juos nuo tos pareigos atleidžia.

Pakeitimas  134

Pasiūlymas dėl reglamento

37 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų apsaugos pareigūno užduotys

Duomenų apsaugos pareigūno užduotys

1. Duomenų valdytojas arba duomenų tvarkytojas paveda duomenų apsaugos pareigūnui atlikti bent šias užduotis:

Duomenų valdytojas arba duomenų tvarkytojas paveda duomenų apsaugos pareigūnui atlikti bent šias užduotis:

a) informuoti duomenų valdytoją arba duomenų tvarkytoją apie jų pareigas pagal šį reglamentą ir dėl tų pareigų duomenų valdytojui arba duomenų tvarkytojui patarti, taip pat dokumentuoti šią veiklą ir gautus atsakymus.

a) ugdyti sąmoningumą, informuoti duomenų valdytoją arba duomenų tvarkytoją apie jų pareigas pagal šį reglamentą, ypač susijusias su techninėmis ir organizacinėmis priemonėmis ir procedūromis, ir dėl tų pareigų duomenų valdytojui arba duomenų tvarkytojui patarti, taip pat dokumentuoti šią veiklą ir gautus atsakymus.

b) stebėti su asmens duomenų apsauga susijusios duomenų valdytojo arba duomenų tvarkytojo veiklos nuostatų įgyvendinimą ir taikymą, įskaitant atsakomybės priskyrimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų mokymą ir susijusius auditus;

b) stebėti su asmens duomenų apsauga susijusios duomenų valdytojo arba duomenų tvarkytojo veiklos nuostatų įgyvendinimą ir taikymą, įskaitant atsakomybės priskyrimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų mokymą ir susijusius auditus;

c) stebėti šio reglamento įgyvendinimą ir taikymą, visų pirma kiek tai susiję su reikalavimais dėl pritaikytosios duomenų apsaugos, standartizuotosios duomenų apsaugos ir duomenų saugumo, taip pat informacijos teikimo duomenų subjektams ir jų prašymų, pateiktų naudojantis šiame reglamente nustatytomis teisėmis;

c) stebėti šio reglamento įgyvendinimą ir taikymą, visų pirma kiek tai susiję su reikalavimais dėl pritaikytosios duomenų apsaugos, standartizuotosios duomenų apsaugos ir duomenų saugumo, taip pat informacijos teikimo duomenų subjektams ir jų prašymų, pateiktų naudojantis šiame reglamente nustatytomis teisėmis;

d) užtikrinti, kad būtų saugomi 28 straipsnyje nurodyti dokumentai;

d) užtikrinti, kad būtų saugomi 28 straipsnyje nurodyti dokumentai;

e) stebėti asmens duomenų saugumo pažeidimų dokumentavimą, pranešimus priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimus pagal 31 ir 32 straipsnius;

e) stebėti asmens duomenų saugumo pažeidimų dokumentavimą, pranešimus priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimus pagal 31 ir 32 straipsnius;

f) stebėti, kaip duomenų valdytojas arba duomenų tvarkytojas atlieka duomenų apsaugos poveikio vertinimą ir teikia prašymus dėl išankstinio leidimo arba išankstinio konsultavimosi, jei to reikia pagal 33 ir 34 straipsnius;

f) stebėti, kaip duomenų valdytojas arba duomenų tvarkytojas atlieka duomenų apsaugos poveikio vertinimą ir teikia prašymus dėl išankstinio konsultavimosi, jei to reikia pagal 32a, 33 ir 34 straipsnius;

g) stebėti, ką į prašymus atsako priežiūros institucija, ir priežiūros institucijos prašymu arba savo iniciatyva su ja bendradarbiauti pagal duomenų apsaugos pareigūno kompetenciją;

g) stebėti, ką į prašymus atsako priežiūros institucija, ir priežiūros institucijos prašymu arba savo iniciatyva su ja bendradarbiauti pagal duomenų apsaugos pareigūno kompetenciją;

h) atlikti asmens ryšiams funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus savo iniciatyva konsultuotis su priežiūros institucija.

h) atlikti asmens ryšiams funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus savo iniciatyva konsultuotis su priežiūros institucija.

 

i) patikrinti, ar laikomasi šio reglamento, pagal 34 straipsnyje nustatytą išankstinio konsultavimosi mechanizmą.

 

j) informuoti darbuotojų atstovus apie darbuotojų duomenų tvarkymą.

2. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų duomenų apsaugos pareigūno užduočių, sertifikavimo, statuso, įgaliojimų ir išteklių kriterijus ir reikalavimus.

 

Pakeitimas  135

Pasiūlymas dėl reglamento

38 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Elgesio kodeksai

Elgesio kodeksai

1. Valstybės narės, priežiūros institucijos ir Komisija skatina parengti etikos kodeksus, kuriais naudojantis būtų lengviau tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus, visų pirma į tokius aspektus:

1. Valstybės narės, priežiūros institucijos ir Komisija skatina parengti etikos kodeksus arba patvirtinti priežiūros institucijos parengtus elgesio kodeksus, kuriais naudojantis būtų lengviau tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus, visų pirma į tokius aspektus:

a) sąžiningo ir skaidraus duomenų tvarkymo;

a) sąžiningo ir skaidraus duomenų tvarkymo;

 

aa) pagarbos vartotojų teisėms;

b) duomenų rinkimo;

b) duomenų rinkimo;

c) informacijos teikimo visuomenei ir duomenų subjektams;

c) informacijos teikimo visuomenei ir duomenų subjektams;

d) duomenų subjektų prašymų, pateiktų naudojantis savo teisėmis;

d) duomenų subjektų prašymų, pateiktų naudojantis savo teisėmis;

e) informacijos teikimo vaikams ir jų apsaugos;

e) informacijos teikimo vaikams ir jų apsaugos;

f) duomenų perdavimo į trečiąsias šalis arba tarptautinėms organizacijoms;

f) duomenų perdavimo į trečiąsias šalis arba tarptautinėms organizacijoms;

g) stebėjimo, ar duomenų valdytojai, kuriems taikomas kodeksas, jo laikosi, ir užtikrinimo, kad jo būtų laikomasi, mechanizmų;

g) stebėjimo, ar duomenų valdytojai, kuriems taikomas kodeksas, jo laikosi, ir užtikrinimo, kad jo būtų laikomasi, mechanizmų;

h) neteisminio ginčo nagrinėjimo ir kitų ginčo sprendimo procedūrų, pagal kurias sprendžiami su asmens duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nepažeidžiant duomenų subjektų teisių pagal 73 ir 75 straipsnius.

h) neteisminio ginčo nagrinėjimo ir kitų ginčo sprendimo procedūrų, pagal kurias sprendžiami su asmens duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nepažeidžiant duomenų subjektų teisių pagal 73 ir 75 straipsnius.

2. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams vienoje valstybėje narėje, ketinančios parengti elgesio kodeksus arba iš dalies pakeisti ar papildyti galiojančius elgesio kodeksus, gali juos pateikti tos valstybės narės priežiūros institucijai, kad ši pateiktų savo nuomonę. Priežiūros institucija gali pateikti nuomonę dėl to, ar elgesio kodekso arba jo pakeitimo projektas atitinka šį reglamentą. Priežiūros institucija klausia duomenų subjektų arba jų atstovų nuomonės dėl šių projektų.

2. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams vienoje valstybėje narėje, ketinančios parengti elgesio kodeksus arba iš dalies pakeisti ar papildyti galiojančius elgesio kodeksus, gali juos pateikti tos valstybės narės priežiūros institucijai, kad ši pateiktų savo nuomonę. Priežiūros institucija nepagrįstai nedelsdama pateikia nuomonę dėl to, ar duomenų tvarkymas laikantis elgesio kodekso arba jo pakeitimo projekto atitinka šį reglamentą. Priežiūros institucija klausia duomenų subjektų arba jų atstovų nuomonės dėl šių projektų.

3. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams keliose valstybėse narėse, gali pateikti elgesio kodeksų ir galiojančių elgesio kodeksų pakeitimų ar papildymų projektus Komisijai.

3. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams keliose valstybėse narėse, gali pateikti elgesio kodeksų ir galiojančių elgesio kodeksų pakeitimų ar papildymų projektus Komisijai.

4. Komisija gali priimti įgyvendinimo aktus ir jais nuspręsti, kad elgesio kodeksai ir galiojančių elgesio kodeksų pakeitimai ar papildymai, jai pateikti pagal 3 dalį, visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

4. Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus ir jais nuspręsti, kad elgesio kodeksai ir galiojančių elgesio kodeksų pakeitimai ar papildymai, jai pateikti pagal 3 dalį, atitinka šį reglamentą ir visuotinai galioja Sąjungoje. Šiais deleguotaisiais aktais duomenų subjektams suteikiamos įgyvendinamos teisės.

5. Komisija užtikrina, kad kodeksai, kurie sprendimu pagal 4 dalį pripažinti visuotinai galiojančiais, būtų tinkamai paskelbti.

5. Komisija užtikrina, kad kodeksai, kurie sprendimu pagal 4 dalį pripažinti visuotinai galiojančiais, būtų tinkamai paskelbti.

Pakeitimas  136

Pasiūlymas dėl reglamento

39 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Sertifikavimas

Sertifikavimas

1. Valstybės narės ir Komisija skatina nustatyti – visų pirma Europos lygmeniu – duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad duomenų subjektai galėtų greitai įvertinti duomenų valdytojų ir duomenų tvarkytojų užtikrinamos duomenų apsaugos lygį. Duomenų apsaugos sertifikavimo mechanizmais padedama tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių sektorių ir skirtingų duomenų tvarkymo operacijų ypatumus.

 

 

1a. Bet kuris duomenų valdytojas ar duomenų tvarkytojas gali paprašyti bet kurios Sąjungos priežiūros institucijos už pagrįstą mokestį, atsižvelgiant į administracines išlaidas, patvirtinti, kad asmens duomenys tvarkomi laikantis šio reglamento, ypač 5, 23 ir 30 straipsniuose išdėstytų principų, duomenų valdytojo ir duomenų tvarkytojo pareigų ir duomenų subjekto teisių.

 

1b. Sertifikavimas yra savanoriškas, įperkamas ir prieinamas taikant skaidrų ir pernelyg didelės naštos nekeliantį procesą.

 

1c. Priežiūros institucijos ir Europos duomenų apsaugos valdyba bendradarbiauja pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kad užtikrintų suderintą duomenų apsaugos sertifikavimo mechanizmą, įskaitant suderintas kainas Sąjungos viduje.

 

1d. Šios sertifikavimo procedūros metu priežiūros institucija gali akredituoti atitinkamą specializaciją turinčius trečiųjų šalių auditorius jos vardu atlikti duomenų valdytojo ar duomenų tvarkytojo auditą. Trečiųjų šalių auditoriai turi pakankamai tinkamą kvalifikaciją turinčių darbuotojų, yra nešališka ir neturi jokių interesų konfliktų, susijusių su jiems pavestų užduočių vykdymu. Priežiūros institucijos atšaukia akreditavimą, jeigu yra pakankamai pagrindo manyti, kad auditorius nevykdo savo užduočių tinkamai. Galutinį sprendimą dėl sertifikavimo priima priežiūros institucija.

 

1e. Priežiūros institucijos duomenų valdytojams ir duomenų tvarkytojams, kurie, kaip patvirtino atliktas auditas, tvarko asmens duomenis laikydamiesi šio reglamento, suteikia standartizuotą duomenų apsaugos žymenį pavadinimu „Europos duomenų apsaugos ženklas“.

 

1f. „Europos duomenų apsaugos ženklas“ galioja tol, kol sertifikuoto duomenų valdytojo ar duomenų tvarkytojo atliekamos duomenų tvarkymo operacijos lygis visiškai atitinka šio reglamento reikalavimus.

 

1g. Nepaisant 1f punkto, sertifikatas galioja ne ilgiau kaip penkerius metus.

 

1h. Europos duomenų apsaugos valdyba įsteigia viešą elektroninį visų galiojančių ir negaliojančių valstybių narių suteiktų sertifikatų registrą, kuriuo gali naudotis visuomenė.

 

1i. Europos duomenų apsaugos valdyba gali savo iniciatyva sertifikuoti, kad duomenų apsaugą stiprinantis techninis standartas atitinka šį reglamentą.

2. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų duomenų apsaugos sertifikavimo mechanizmų kriterijus ir reikalavimus, įskaitant sertifikatų suteikimo ir atšaukimo sąlygas, taip pat pripažinimo Sąjungoje ir trečiosiose šalyse reikalavimus.

2. Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės ir pasikonsultavus su suinteresuotaisiais subjektais, ypač pramonės ir nevyriausybinėmis organizacijomis, priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1a–1h dalyse nurodytų duomenų apsaugos sertifikavimo mechanizmų kriterijus ir reikalavimus, įskaitant išsamesnius auditorių akreditavimo reikalavimus, sertifikatų suteikimo ir atšaukimo sąlygas, taip pat pripažinimo ir populiarinimo Sąjungoje ir trečiosiose šalyse reikalavimus. Šiais deleguotaisiais aktais duomenų subjektams suteikiamos įgyvendinamos teisės.

3. Komisija gali nustatyti techninius sertifikavimo mechanizmų ir ženklų bei žymenų standartus, taip pat sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų skatinimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  137

Pasiūlymas dėl reglamento

41 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Perdavimas remiantis sprendimu dėl tinkamumo

Perdavimas remiantis sprendimu dėl tinkamumo

1. Perduoti duomenis galima, jei Komisija nusprendė, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį. Tokiam perdavimui papildomo leidimo nereikia.

1. Perduoti duomenis galima, jei Komisija nusprendė, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį. Tokiam perdavimui specialaus leidimo nereikia.

2. Vertindama apsaugos lygio tinkamumą, Komisija atsižvelgia į šiuos veiksnius:

2. Vertindama apsaugos lygio tinkamumą, Komisija atsižvelgia į šiuos veiksnius:

a) teisinė valstybė, susiję galiojantys bendrieji ir atskiriems sektoriams skirti teisės aktai, be kita ko, susiję su visuomenės saugumu, gynyba, nacionaliniu saugumu ir baudžiamąja teise, profesinės taisyklės ir saugumo priemonės, kurios taikomos toje šalyje arba tarptautinėje organizacijoje, taip pat veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami;

a) teisinė valstybė, susiję galiojantys teisės aktai, be kita ko, susiję su visuomenės saugumu, gynyba, nacionaliniu saugumu ir baudžiamąja teise, šių teisės aktų įgyvendinimu, profesinės taisyklės ir saugumo priemonės, kurios taikomos toje šalyje arba tarptautinėje organizacijoje, teisminiai precedentai, taip pat veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami;

b) ar atitinkamoje trečiojoje šalyje arba tarptautinėje organizacijoje yra ir veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos, kurios užtikrina, kad būtų laikomasi duomenų apsaugos taisyklių, padeda ir pataria duomenų subjektams, kaip naudotis savo teisėmis, ir bendradarbiauja su Sąjungos ir valstybių narių priežiūros institucijomis; ir

b) ar atitinkamoje trečiojoje šalyje arba tarptautinėje organizacijoje yra ir veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos, kurios užtikrina, kad būtų laikomasi duomenų apsaugos taisyklių, ir turi pakankamai įgaliojimų taikyti sankcijas, taip pat padeda ir pataria duomenų subjektams, kaip naudotis savo teisėmis, ir bendradarbiauja su Sąjungos ir valstybių narių priežiūros institucijomis ir

c) atitinkamos trečiosios šalies arba tarptautinės organizacijos prisiimti tarptautiniai įsipareigojimai.

c) atitinkamos trečiosios šalies arba tarptautinės organizacijos prisiimti tarptautiniai įsipareigojimai, ypač visos teisiškai privalomos žmogaus teisių ar tarptautinės konvencijos arba dokumentai, susiję su su asmens duomenų apsauga.

3. Komisija gali nuspęsti, kad trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį, kaip apibrėžta 2 dalyje. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

3. Komisija pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais nuspręsti, kad trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį, kaip apibrėžta 2 dalyje. Šiuose deleguotuosiuose aktuose numatoma laikino galiojimo sąlyga, jei jie susiję su duomenų tvarkymo sektoriumi, ir jie atšaukiami pagal 5 dalį, jei tik remiantis šiuo reglamentu nebeužtikrinama tinkamo lygio apsauga.

4. Įgyvendinimo akte nustatoma geografinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma 2 dalies b punkte minėta priežiūros institucija.

4. Deleguotajame akte nustatoma teritorinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma 2 dalies b punkte minėta priežiūros institucija.

 

4a. Kai pagal 3 dalį priimamas deleguotasis aktas, Komisija nuolat stebi tendencijas trečiosiose šalyse ir tarptautinėse organizacijose, galinčias turėti poveikį 2 dalyje išvardytiems veiksniams.

5. Komisija gali nuspręsti, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija neužtikrina tinkamo apsaugos lygio, kaip apibrėžta šio straipsnio 2 dalyje, visų pirma tais atvejais, kai susijusiais bendraisiais ir atskiriems sektoriams skirtais teisės aktais, galiojančiais trečiojoje šalyje arba tarptautinėje organizacijoje, neužtikrinamos veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą, o tais atvejais, kai reikia itin skubiai užtikrinti fizinių asmenų teisę į asmens duomenų apsaugą, pagal 87 straipsnio 3 dalyje nurodytą procedūrą.

5. Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais nuspręsti, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija neužtikrina arba nebeužtikrina tinkamo apsaugos lygio, kaip apibrėžta šio straipsnio 2 dalyje, visų pirma tais atvejais, kai susijusiais bendraisiais ir atskiriems sektoriams skirtais teisės aktais, galiojančiais trečiojoje šalyje arba tarptautinėje organizacijoje, neužtikrinamos veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami.

6. Jeigu Komisija priima sprendimą pagal 5 dalį, nepažeidžiant 42–44 straipsnių, draudžiama perduoti asmens duomenis į atitinkamą trečiąją šalį arba jos teritoriją, arba su duomenų tvarkymu susijusį sektorių toje trečiojoje šalyje, arba tarptautinei organizacijai. Reikiamu metu Komisija pradeda konsultacijas su trečiąja šalimi arba tarptautine organizacija, kad padėtis, susijusi su sprendimu, priimtu pagal šio straipsnio 5 dalį, būtų ištaisyta.

6. Jeigu Komisija priima sprendimą pagal 5 dalį, nepažeidžiant 42–44 straipsnių, draudžiama perduoti asmens duomenis į atitinkamą trečiąją šalį arba jos teritoriją, arba su duomenų tvarkymu susijusį sektorių toje trečiojoje šalyje, arba tarptautinei organizacijai. Reikiamu metu Komisija pradeda konsultacijas su trečiąja šalimi arba tarptautine organizacija, kad padėtis, susijusi su sprendimu, priimtu pagal šio straipsnio 5 dalį, būtų ištaisyta.

 

6a. Prieš priimdama 3 arba 5 dalyje nurodytą deleguotąjį aktą, Komisija paprašo Europos duomenų apsaugos valdybos pateikti nuomonę dėl apsaugos lygio tinkamumo. Tuo tikslu Komisija pateikia Europos duomenų apsaugos valdybai visą reikiamą informaciją, įskaitant korespondenciją su trečiosios šalies vyriausybe ar jos teritorijos ar tos trečiosios šalies duomenų tvarkymo sektoriaus atstovais arba tarptautine organizacija.

 

7. Komisija Europos Sąjungos oficialiajame leidinyje paskelbia trečiųjų šalių, teritorijų ir su duomenų tvarkymu susijusių sektorių trečiojoje šalyje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo neužtikrina, sąrašą.

7. Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų šalių, teritorijų ir su duomenų tvarkymu susijusių sektorių trečiojoje šalyje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo neužtikrina, sąrašą.

8. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi ir 26 straipsnio 4 dalimi, lieka galioti, kol Komisija jų iš dalies nepakeis, nepakeis naujais sprendimais arba nepanaikins.

8. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi ir 26 straipsnio 4 dalimi, lieka galioti penkerius metus nuo šio reglamento įsigaliojimo, nebent prieš pasibaigiant šiam laikotarpiui Komisija jį iš dalies pakeistų, pakeistų naujais sprendimais arba panaikintų.

Pakeitimas  138

Pasiūlymas dėl reglamento

42 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Perdavimas remiantis tinkamomis apsaugos priemonėmis

Perdavimas remiantis tinkamomis apsaugos priemonėmis

1. Jeigu Komisija nėra priėmusi sprendimo pagal 41 straipsnį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas nustato su asmens duomenų apsauga susijusias tinkamas apsaugos priemones teisiškai privalomu dokumentu.

1. Jeigu Komisija nėra priėmusi sprendimo pagal 41 straipsnį arba jeigu ji nusprendžia, kad trečioji šalis arba jos teritorija, arba duomenų tvarkymo sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija neužtikrina tinkamo apsaugos lygio, pagal 41 straipsnio 5 dalį, duomenų valdytojas arba duomenų tvarkytojas negali perduoti asmens duomenų į trečiąją šalį arba tarptautinei organizacijai, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas nustato su asmens duomenų apsauga susijusias tinkamas apsaugos priemones teisiškai privalomu dokumentu.

2. 1 dalyje nurodytos tinkamos apsaugos priemonės visų pirma nustatomos:

2. 1 dalyje nurodytos tinkamos apsaugos priemonės visų pirma nustatomos:

a) įmonėms privalomomis taisyklėmis pagal 43 straipsnį; arba

a) įmonėms privalomomis taisyklėmis pagal 43 straipsnį arba

 

aa) galiojančiu 39 straipsnio 1e dal atitinkančiu „Europos duomenų apsaugos ženklu“ duomenų valdytojui ir gavėjui, arba

b) Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą; arba

 

c) standartinėmis duomenų apsaugos sąlygomis, kurias pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą priėmė priežiūros institucija, po to, kai Komisija jas paskelbė visuotinai galiojančiomis pagal 62 straipsnio 1 dalies b punktą; arba

c) standartinėmis duomenų apsaugos sąlygomis, kurias pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą priėmė priežiūros institucija, po to, kai Komisija jas paskelbė visuotinai galiojančiomis pagal 62 straipsnio 1 dalies b punktą, arba

d) duomenų valdytojo arba duomenų tvarkytojo ir duomenų gavėjo sutarties sąlygomis, kurias pagal 4 dalį patvirtino priežiūros institucija.

d) duomenų valdytojo arba duomenų tvarkytojo ir duomenų gavėjo sutarties sąlygomis, kurias pagal 4 dalį patvirtino priežiūros institucija.

3. Jeigu duomenys perduodami remiantis standartinėmis duomenų apsaugos sąlygomis arba įmonei privalomomis taisyklėmis, kaip nurodyta 2 dalies a, b arba c punktuose, jokio papildomo leidimo nereikia.

3. Jeigu duomenys perduodami remiantis standartinėmis duomenų apsaugos sąlygomis, „Europos duomenų apsaugos ženklu“ arba įmonei privalomomis taisyklėmis, kaip nurodyta 2 dalies a, aa arba c punkte, jokio specialaus leidimo nereikia.

4. Jeigu duomenys perduodami remiantis sutarties sąlygomis, kaip nurodyta šio straipsnio 2 dalies d punkte, duomenų valdytojas arba duomenų tvarkytojas iš priežiūros institucijos gauna išankstinį leidimą taikyti tas sutarties sąlygas pagal 34 straipsnio 1 dalį. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

4. Jeigu duomenys perduodami remiantis sutarties sąlygomis, kaip nurodyta šio straipsnio 2 dalies d punkte, duomenų valdytojas arba duomenų tvarkytojas iš priežiūros institucijos gauna išankstinį leidimą taikyti tas sutarties sąlygas. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5. Jeigu su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės nenustatytos teisiškai privalomu dokumentu, duomenų valdytojas arba duomenų tvarkytojas gauna išankstinį leidimą vieną ar kelis kartus perduoti duomenis arba į administracinius susitarimus, kuriais grindžiamas toks perdavimas, įtraukti atitinkamas nuostatas. Tokį leidimą priežiūros institucija suteikia pagal 34 straipsnio 1 dalį. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą. Leidimai, kuriuos priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti, kol ta priežiūros institucija iš dalies nepakeis, nepakeis naujais sprendimais arba nepanaikins.

5. Leidimai, kuriuos priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti dvejus metus nuo šio reglamento įsigaliojimo, nebent priežiūros institucija juos iš dalies pakeistų, pakeistų naujais sprendimais arba panaikintų.

Pakeitimas                139

Pasiūlymas dėl reglamento

43 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Perdavimas remiantis įmonei privalomomis taisyklėmis

Perdavimas remiantis įmonei privalomomis taisyklėmis

1. Priežiūros institucija pagal 58 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą patvirtina įmonei privalomas taisykles, jeigu:

1. Priežiūros institucija pagal 58 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą patvirtina įmonei privalomas taisykles, jeigu:

a) jos yra teisiškai privalomos ir taikomos kiekvienam duomenų valdytojo arba duomenų tvarkytojo įmonių grupės nariui, įskaitant jų darbuotojus, ir jie jų laikosi;

a) jos yra teisiškai privalomos ir taikomos kiekvienam duomenų valdytojo įmonių grupės nariui ir išorės subrangovams, kurie patenka į įmonėms privalomų taisyklių taikymo sritį, įskaitant jų darbuotojus, ir jie jų laikosi;

b) jomis duomenų subjektams aiškiai suteikiamos įgyvendinamos teisės;

b) jomis duomenų subjektams aiškiai suteikiamos įgyvendinamos teisės;

c) jos atitinka 2 dalyje nustatytus reikalavimus.

c) jos atitinka 2 dalyje nustatytus reikalavimus.

 

1a. Kalbant apie užimtumo duomenis pažymėtina, kad darbuotojų atstovai informuojami apie 43 straipsnyje minimų įmonėms privalomų taisyklių rengimą ir, laikantis Sąjungos ar valstybės narės teisės aktų ir praktikos, į jį įtraukiami.

2. Įmonei privalomomis taisyklėmis nustatoma bent:

2. Įmonei privalomomis taisyklėmis nustatoma bent:

a) įmonių grupės ir jos narių struktūra ir duomenys ryšiams;

a) įmonių grupės ir jos narių ir išorės subrangovų, kurie patenka į įmonėms privalomų taisyklių taikymo sritį, struktūra ir kontaktiniai duomenys;

b) duomenų perdavimai arba perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, susijusius duomenų subjektus ir atitinkamą trečiąją šalį arba šalis;

b) duomenų perdavimai arba perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, susijusius duomenų subjektus ir atitinkamą trečiąją šalį arba šalis;

c) tai, kad jos yra teisiškai privalomos ir vidaus, ir išorės lygmeniu;

c) tai, kad jos yra teisiškai privalomos ir vidaus, ir išorės lygmeniu;

d) bendrieji duomenų apsaugos principai, visų pirma susiję su tikslų apribojimu, duomenų kokybe, teisiniu duomenų tvarkymo pagrindu, neskelbtinų asmens duomenų tvarkymu; duomenų saugumo užtikrinimo priemonės; ir tolesnio perdavimo organizacijoms, kurios šių veiklos nuostatų laikytis neprivalo, reikalavimai;

d) bendrieji duomenų apsaugos principai, visų pirma susiję su tikslų apribojimu, kuo mažesniu duomenų kiekiu, ribotu duomenų laikymo laikotarpiu, duomenų kokybe, pritaikytąja ir standartizuotąja duomenų apsauga, teisiniu duomenų tvarkymo pagrindu, neskelbtinų asmens duomenų tvarkymu; duomenų saugumo užtikrinimo priemonės; ir tolesnio perdavimo organizacijoms, kurios šių veiklos nuostatų laikytis neprivalo, reikalavimai;

e) duomenų subjektų teisės ir naudojimosi šiomis teisėmis būdai, įskaitant teisę į tai, kad nebūtų taikoma profiliavimu pagrįsta priemonė pagal 20 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai ir kompetentingiems valstybių narių teismams pagal 75 straipsnį, teisę į tai, kad būtų ištaisyta padėtis ir, kai tinkama, teisę reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

e) duomenų subjektų teisės ir naudojimosi šiomis teisėmis būdai, įskaitant teisę į tai, kad nebūtų taikoma profiliavimu pagrįsta priemonė pagal 20 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai ir kompetentingiems valstybių narių teismams pagal 75 straipsnį, teisę į tai, kad būtų ištaisyta padėtis ir, kai tinkama, teisę reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

f) tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio įmonių grupės nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės tik tuo atveju, jei įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

f) tai, kad duomenų valdytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio įmonių grupės nario padarytus įmonėms privalomų taisyklių pažeidimus; duomenų valdytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės tik tuo atveju, jei įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g) kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams pagal 11 straipsnį;

g) kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams pagal 11 straipsnį;

h) pagal 35 straipsnį paskirto duomenų apsaugos pareigūno užduotys, įskaitant stebėjimą, ar įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo stebėjimą ir skundų nagrinėjimą;

h) pagal 35 straipsnį paskirto duomenų apsaugos pareigūno užduotys, įskaitant stebėjimą, ar įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo stebėjimą ir skundų nagrinėjimą;

i) įmonių grupės mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių;

i) įmonių grupės mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių;

j) ataskaitų teikimo ir veiklos nuostatų pakeitimų registravimo, taip pat pranešimo apie tuos pokyčius priežiūros institucijai mechanizmai;

j) ataskaitų teikimo ir veiklos nuostatų pakeitimų registravimo, taip pat pranešimo apie tuos pokyčius priežiūros institucijai mechanizmai;

k) bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant šios dalies i punkte nurodyto priemonių patikrinimo rezultatus.

k) bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant šios dalies i punkte nurodyto priemonių patikrinimo rezultatus.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius įmonei privalomų taisyklių, kaip apibrėžta šiame straipsnyje, kriterijus ir reikalavimus, visų pirma kriterijus, susijusius su įmonei privalomų taisyklių patvirtinimu, 2 dalies b, d, e ir f punktų taikymu įmonei privalomoms taisyklėms, kurių laikosi duomenų tvarkytojai, ir su kitais būtinais reikalavimais, siekiant užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą.

3. Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais išsamiau nustatyti įmonei privalomų taisyklių, kaip apibrėžta šiame straipsnyje, formą ir tvarką, kriterijus ir reikalavimus, visų pirma kriterijus, susijusius su įmonei privalomų taisyklių patvirtinimu, įskaitant skaidrumo užtikrinimą duomenų subjektams, 2 dalies b, d, e ir f punktų taikymu įmonei privalomoms taisyklėms, kurių laikosi duomenų tvarkytojai, ir su kitais būtinais reikalavimais, siekiant užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą.

4. Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijos keitimosi informacija elektroniniu būdu apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

Pakeitimas  140

Pasiūlymas dėl reglamento

43 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

43a straipsnis

 

Sąjungos teisės aktais neleidžiamas duomenų perdavimas ar atskleidimas

 

1. Nepažeidžiant abipusės pagalbos sutarties arba galiojančių prašymą pateikusios trečiosios šalies ir Sąjungos arba valstybės narės tarptautinių susitarimų, joks trečiosios šalies teismo arba administracinės institucijos sprendimas, kuriuo iš duomenų valdytojo arba duomenų tvarkytojo reikalaujama atskleisti asmens duomenis, nėra laikomas teisėtu arba vykdytinu.

 

2. Kai trečiosios šalies teismo arba administracinės institucijos sprendimu iš duomenų valdytojo arba duomenų tvarkytojo reikalaujama atskleisti asmens duomenis, duomenų valdytojas arba duomenų tvarkytojas ir, jei toks yra, duomenų valdytojo atstovas nedelsdamas praneša priežiūros institucijai apie tokį prašymą ir duomenims perduoti arba atskleisti iš jos turi gauti išankstinį leidimą.

 

3. Priežiūros institucija įvertina prašymo atskleisti duomenis atitiktį reglamentui, visų pirma kai atskleidimas yra būtinas ir teisiškai reikalingas pagal 44 straipsnio 1 dalies d ir e punktus ir 5 dalį. Jei daromas poveikis kitų valstybių narių duomenų subjektams, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

 

4. Priežiūros institucija apie prašymą informuoja kompetentingą nacionalinę valdžios instituciją. Nepažeidžiant 21 straipsnio, duomenų valdytojas arba duomenų tvarkytojas apie tokį prašymą ir priežiūros institucijos leidimą taip pat informuoja duomenų subjektus ir, kai taikoma, praneša duomenų subjektui, ar asmens duomenys buvo pateikti valdžios institucijoms per pastarąjį nepertraukiamą 12 mėnesių laikotarpį, kaip nurodyta 14 straipsnio 1 dalies ha punkte.

Pakeitimas  141

Pasiūlymas dėl reglamento

44 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Nukrypti leidžiančios nuostatos

Nukrypti leidžiančios nuostatos

1. Jeigu nepriimtas sprendimas dėl tinkamumo pagal 41 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 42 straipsnį, vieną ar kelis kartus perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai galima tik tada, kai:

1. Jeigu nepriimtas sprendimas dėl tinkamumo pagal 41 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 42 straipsnį, vieną ar kelis kartus perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai galima tik tada, kai:

a) duomenų subjektui buvo pranešta apie perdavimų, kai nepriimtas sprendimas dėl tinkamumo ir kai nenustatytos apsaugos priemonės, riziką ir jis sutiko, kad būtų numatyti duomenys būtų perduoti; arba

a) duomenų subjektui buvo pranešta apie perdavimų, kai nepriimtas sprendimas dėl tinkamumo ir kai nenustatytos apsaugos priemonės, riziką ir jis sutiko, kad būtų numatyti duomenys būtų perduoti, arba

b) perduoti duomenis būtina siekiant įvykdyti duomenų subjekto ir duomenų valdytojo sutartį arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu; arba

b) perduoti duomenis būtina siekiant įvykdyti duomenų subjekto ir duomenų valdytojo sutartį arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu, arba

c) perduoti duomenis būtina, kad remiantis duomenų subjekto interesais būtų sudaryta ir įvykdyta duomenų valdytojo ir kito fizinio arba juridinio asmens sutartis; arba

c) perduoti duomenis būtina, kad remiantis duomenų subjekto interesais būtų sudaryta ir įvykdyta duomenų valdytojo ir kito fizinio arba juridinio asmens sutartis, arba

d) perduoti duomenis būtina dėl svarbių viešojo intereso pagrindų; arba

d) perduoti duomenis būtina dėl svarbių viešojo intereso pagrindų, arba

e) perduoti duomenis būtina siekiant pagrįsti, pareikšti ar ginti teisinius reikalavimus; arba

e) perduoti duomenis būtina siekiant pagrįsti, pareikšti ar ginti teisinius reikalavimus, arba

f) perduoti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo; arba

f) perduoti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo, arba

g) duomenys perduodami iš registro, kuriuo pagal Sąjungos arba valstybės narės teisės aktus naudojamasi teikiant informaciją visuomenei ir su kuriame esančia informacija gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, jeigu kiekvienu konkrečiu atveju laikomasi Sąjungos arba valstybės narės teisės aktais nustatytų susipažinimo su tokiame registre esančia informacija sąlygų; arba

g) duomenys perduodami iš registro, kuriuo pagal Sąjungos arba valstybės narės teisės aktus naudojamasi teikiant informaciją visuomenei ir su kuriame esančia informacija gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, jeigu kiekvienu konkrečiu atveju laikomasi Sąjungos arba valstybės narės teisės aktais nustatytų susipažinimo su tokiame registre esančia informacija sąlygų.

h) perduoti duomenis būtina, kad duomenų valdytojas arba duomenų tvarkytojas galėtų siekti teisėtų interesų, jeigu toks perdavimas nėra dažnas arba masinis ir jeigu duomenų valdytojas arba duomenų tvarkytojas įvertino visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų seka susijusias aplinkybes ir remdamasis tuo vertinimu prireikus nustatė su asmens duomenų apsauga susijusias tinkamas apsaugos priemones.

 

2. Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi tam tikrų kategorijų duomenys. Jeigu registras yra skirtas tam, kad teisėtų interesų turintys asmenys susipažintų su jame esančia informacija, duomenys perduodami tik tų asmenų prašymu arba jei tie asmenys yra tų duomenų gavėjai.

2. Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi tam tikrų kategorijų duomenys. Jeigu registras yra skirtas tam, kad teisėtų interesų turintys asmenys susipažintų su jame esančia informacija, duomenys perduodami tik tų asmenų prašymu arba jei tie asmenys yra tų duomenų gavėjai.

3. Jeigu duomenų tvarkymas grindžiamas 1 dalies h punktu, duomenų valdytojas arba duomenų tvarkytojas visų pirma atsižvelgia į duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje šalyje ir paskirties šalyje ir prireikus nustatytas su asmens duomenų apsauga susijusias tinkamas apsaugos priemones.

 

4. 1 dalies b, c ir h punktai netaikomi veiklai, vykdomai valdžios institucijoms naudojantis viešaisiais įgaliojimais.

4. 1 dalies b ir c punktai netaikomi veiklai, vykdomai valdžios institucijoms naudojantis viešaisiais įgaliojimais.

5. 1 dalies d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teisės aktais arba duomenų valdytojui taikomais valstybės narės teisės aktais.

5. 1 dalies d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teisės aktais arba duomenų valdytojui taikomais valstybės narės teisės aktais.

6. Duomenų valdytojas arba duomenų tvarkytojas pagal 28 straipsnį dokumentuoja vertinimą ir nustatytas tinkamas apsaugos priemones, nurodytas šio straipsnio 1 dalies h punkte, ir apie perdavimą informuoja priežiūros instituciją.

 

7. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius svarbius viešojo intereso pagrindus, kaip apibrėžta dalies d punkte, taip pat 1 dalies h punkte nurodytų tinkamų apsaugos priemonių kriterijus ir reikalavimus.

7. Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl duomenų perdavimui pagal dalį taikomų kriterijų ir sąlygų sukonkretinimo.

Pakeitimas  142

Pasiūlymas dėl reglamento

45 straipsnio 1 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a) sukurti veiksmingus bendradarbiavimo su trečiosiomis šalimis ir tarptautinėmis organizacijomis mechanizmus, kad būtų lengviau įgyvendinti asmens duomenų apsaugos teisės aktus;

a) sukurti veiksmingus bendradarbiavimo su trečiosiomis šalimis ir tarptautinėmis organizacijomis mechanizmus, siekiant užtikrinti asmens duomenų apsaugos teisės aktų įgyvendinimą;

Pakeitimas  143

Pasiūlymas dėl reglamento

45 straipsnio 1 dalies d a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

da) išaiškinti jurisdikcijos konfliktus su trečiosiomis šalimis ir teikti konsultacijas jų klausimu.

Pakeitimas  144

Pasiūlymas dėl reglamento

45 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

45a straipsnis

 

Komisijos ataskaita

 

Ne vėliau kaip 91 straipsnio 1 dalyje nurodytą dieną Komisija Europos Parlamentui ir Tarybai pradeda reguliariai teikti 40–45 straipsnių taikymo ataskaitą. Tuo tikslu Komisija gali prašyti valstybių narių ir priežiūros institucijų pateikti informaciją, kurią jos turi pateikti nedelsdamos. Ši ataskaita skelbiama viešai.

Pakeitimas  145

Pasiūlymas dėl reglamento

47 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Atlikdama savo pareigas ir naudodamasi jai suteiktais įgaliojimus, priežiūros institucija veikia visiškai nepriklausomai.

1. Atlikdama savo pareigas ir naudodamasi jai suteiktais įgaliojimus, priežiūros institucija veikia visiškai nepriklausomai ir nešališkai, nepaisant šio reglamento VII skyriaus nuostatų dėl bendradarbiavimo ir nuoseklumo.

Pakeitimas  146

Pasiūlymas dėl reglamento

47 straipsnio 7 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

7a. Kiekviena valstybė narė užtikrina, kad priežiūros institucija biudžeto kontrolės klausimais būtų atskaitinga tik nacionaliniam parlamentui.

Pakeitimas  147

Pasiūlymas dėl reglamento

50 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Profesinė paslaptis

Profesinė paslaptis

Priežiūros institucijos nariai ir darbuotojai kadencijos metu ir jai pasibaigus privalo laikytis pareigos saugoti su bet kokia konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

Priežiūros institucijos nariai ir darbuotojai kadencijos metu ir jai pasibaigus, laikydamiesi nacionalinių teisės aktų ir praktikos, privalo laikytis pareigos saugoti su bet kokia konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas, be to, vykdyti savo pareigas laikydamiesi nepriklausomumo ir skaidrumo principų, kaip nustatyta šiame reglamente.

Pakeitimas     148

Pasiūlymas dėl reglamento

51 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Kiekviena priežiūros institucija savo valstybės narės teritorijoje naudojasi pagal šį reglamentą jai suteiktais įgaliojimais.

1. Kiekviena priežiūros institucija yra kompetentinga savo valstybėje narėje, nedarant poveikio 73 ir 74 straipsniams, eiti pagal šį reglamentą jai suteiktas pareigas ir naudotis pagal šį reglamentą suteiktais įgaliojimais . Valdžios institucijos duomenų tvarkymo veiklą prižiūri tik tos valstybės narės priežiūros institucija.

Pakeitimas  149

Pasiūlymas dėl reglamento

51 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Jeigu asmens duomenys tvarkomi duomenų valdytojo arba duomenų tvarkytojo buveinei veikiant Sąjungoje ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės priežiūros institucija yra kompetentinga prižiūrėti duomenų valdytojo arba duomenų tvarkytojo vykdomą duomenų tvarkymo veiklą visose valstybėse narėse, nepažeidžiant šio reglamento VII skyriaus nuostatų.

Išbraukta.

Pakeitimas  150

Pasiūlymas dėl reglamento

52 straipsnio 1 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b) nagrinėja skundus, kuriuos pagal 73 straipsnį pateikė bet kuris duomenų subjektas arba tam subjektui atstovaujanti asociacija, tinkamai tiria skundą ir per pagrįstą laikotarpį informuoja duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti su kita priežiūros institucija;

b) nagrinėja skundus, kuriuos pagal 73 straipsnį pateikė bet kuris duomenų subjektas arba asociacija, tinkamai tiria skundą ir per pagrįstą laikotarpį informuoja duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti su kita priežiūros institucija;

Pakeitimas  151

Pasiūlymas dėl reglamento

52 straipsnio 1 dalies d punktas

Komisijos siūlomas tekstas

Pakeitimas

d) atlieka tyrimus savo iniciatyva arba pagal skundą, arba kitos priežiūros institucijos prašymu ir per pagrįstą laikotarpį informuoja atitinkamą duomenų subjektą apie tyrimo rezultatą, jei duomenų subjektas skundą pateikė tai priežiūros institucijai;

d) atlieka tyrimus savo iniciatyva arba pagal skundą, arba pagal gautą konkrečią ir dokumentais pagrįstą informaciją dėl įtariamo neteisėto duomenų tvarkymo, arba kitos priežiūros institucijos prašymu ir per pagrįstą laikotarpį informuoja atitinkamą duomenų subjektą apie tyrimo rezultatą, jei duomenų subjektas skundą pateikė tai priežiūros institucijai;

Pakeitimas  152

Pasiūlymas dėl reglamento

52 straipsnio 1 dalies j a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ja) sertifikuoti duomenų valdytojus ir tvarkytojus pagal 39 straipsnį.

Pakeitimas  153

Pasiūlymas dėl reglamento

52 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Kiekviena priežiūros institucija didina visuomenės informuotumą apie su asmens duomenų tvarkymu susijusią riziką, taisykles, apsaugos priemones ir teises. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys.

2. Kiekviena priežiūros institucija didina visuomenės informuotumą apie su asmens duomenų tvarkymu susijusią riziką, taisykles, apsaugos priemones ir teises, taip pat apie atitinkamas asmens duomenų apsaugos priemones. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys.

Pakeitimas  154

Pasiūlymas dėl reglamento

52 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a. Kiekviena priežiūros institucija kartu su Europos duomenų apsaugos valdyba didina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie riziką, taisykles, apsaugos priemones ir teises, susijusias su asmens duomenų tvarkymu. Tam vedamas sankcijų ir pažeidimų registras. Į registrą turėtų būti įtraukiami kuo išsamesni duomenys apie visus įspėjimus ir sankcijas ir informacija apie pažeidimų ištaisymą. Kiekviena priežiūros institucija duomenų valdytojams ir duomenų tvarkytojams, kurie yra labai mažos bei mažosios ir vidutinės įmonės, jų prašymu pateikia išsamų sąrašą, kuriame pateikiama bendra informacija apie jų įpareigojimus ir atsakomybę pagal šį reglamentą.

Pakeitimas  155

Pasiūlymas dėl reglamento

52 straipsnio 6 dalis

Komisijos siūlomas tekstas

Pakeitimas

6. Jeigu prašymai yra akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį arba nesiimti duomenų subjekto prašomų veiksmų. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

6. Jeigu prašymai yra akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti pagrįstą mokestį arba nesiimti duomenų subjekto prašomų veiksmų. Šis mokestis neviršija prašomų imtis veiksmų išlaidų. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

Pakeitimas  156

Pasiūlymas dėl reglamento

53 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Įgaliojimai

Įgaliojimai

1. Kiekviena priežiūros institucija įgaliojama:

1. Kiekviena priežiūros institucija pagal šį reglamentą įgaliojama:

a) pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą nuostatų dėl asmens duomenų tvarkymo pažeidimą ir, kai tinkama, nurodyti duomenų valdytojui arba duomenų tvarkytojui konkrečiomis priemonėmis ištaisyti pažeidimą, siekiant sustiprinti duomenų subjekto apsaugą;

a) pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą nuostatų dėl asmens duomenų tvarkymo pažeidimą ir, kai tinkama, nurodyti duomenų valdytojui arba duomenų tvarkytojui konkrečiomis priemonėmis ištaisyti pažeidimą, siekiant sustiprinti duomenų subjekto apsaugą, arba prireikus nurodyti duomenų valdytojui pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui;

b) nurodyti duomenų valdytojui arba duomenų tvarkytojui tenkinti duomenų subjekto prašymus užtikrinti šiame reglamente nustatytas teises;

b) nurodyti duomenų valdytojui arba duomenų tvarkytojui tenkinti duomenų subjekto prašymus užtikrinti šiame reglamente nustatytas teises;

c) nurodyti duomenų valdytojui ir duomenų tvarkytojui, ir, jei taikoma, atstovui pateikti visą jų pareigų atlikimui svarbią informaciją;

c) nurodyti duomenų valdytojui ir duomenų tvarkytojui, ir, jei taikoma, atstovui pateikti visą jų pareigų atlikimui svarbią informaciją;

d) užtikrinti, kad būtų laikomasi nuostatų dėl 34 straipsnyje nurodytų išankstinių leidimų ir išankstinio konsultavimosi;

d) užtikrinti, kad būtų laikomasi nuostatų dėl 34 straipsnyje nurodytų išankstinių leidimų ir išankstinio konsultavimosi;

e) įspėti duomenų valdytoją arba duomenų tvarkytoją arba pareikšti jiems pastabą;

e) įspėti duomenų valdytoją arba duomenų tvarkytoją arba pareikšti jiems pastabą;

f) nurodyti ištaisyti, ištrinti ar sunaikinti visus duomenis, jei jie buvo tvarkomi pažeidžiant šio reglamento nuostatas, ir pranešti apie tokius veiksmus tretiesiems asmenims, kuriems duomenys buvo atskleisti;

f) nurodyti ištaisyti, ištrinti ar sunaikinti visus duomenis, jei jie buvo tvarkomi pažeidžiant šio reglamento nuostatas, ir pranešti apie tokius veiksmus tretiesiems asmenims, kuriems duomenys buvo atskleisti;

g) laikinai ar galutinai uždrausti tvarkyti duomenis;

g) laikinai ar galutinai uždrausti tvarkyti duomenis;

h) sustabdyti duomenų srautus duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai;

h) sustabdyti duomenų srautus duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai;

i) teikti savo nuomonę bet kuriais su asmens duomenų apsauga susijusiais klausimais;

i) teikti savo nuomonę bet kuriais su asmens duomenų apsauga susijusiais klausimais;

 

ia) sertifikuoti duomenų valdytojus ir tvarkytojus pagal 39 straipsnį;

j) informuoti nacionalinį parlamentą, vyriausybę arba kitas politines institucijas, taip pat visuomenę bet kuriais su asmens duomenų apsauga susijusiais klausimais.

j) informuoti nacionalinį parlamentą, vyriausybę arba kitas politines institucijas, taip pat visuomenę bet kuriais su asmens duomenų apsauga susijusiais klausimais;

 

ja) įdiegti veiksmingus mechanizmus, kuriais būtų skatinama teikti konfidencialius pranešimus apie šio reglamento pažeidimus, atsižvelgiant į Europos duomenų apsaugos valdybos pagal 66 straipsnio 4b dalį pateiktas gaires.

2. Kiekviena priežiūros institucija, remdamasi įgaliojimu atlikti tyrimą, gali iš duomenų valdytojo arba duomenų tvarkytojo pareikalauti suteikti:

2. Kiekviena priežiūros institucija, remdamasi įgaliojimu atlikti tyrimą, gali be išankstinio pranešimo iš duomenų valdytojo arba duomenų tvarkytojo pareikalauti suteikti:

a) galimybę susipažinti su visais asmens duomenimis ir visa priežiūros institucijos pareigoms atlikti būtina informacija;

a) galimybę susipažinti su visais asmens duomenimis, visais dokumentais ir visa priežiūros institucijos pareigoms atlikti būtina informacija;

b) galimybę patekti į bet kurias jo patalpas ir, be kita ko, pasinaudoti bet kuria jo duomenų tvarkymo įranga ir priemonėmis, jeigu yra pagrįstų priežasčių manyti, kad ten vykdoma veikla pažeidžiamas šis reglamentas.

b) galimybę patekti į bet kurias jo patalpas ir, be kita ko, pasinaudoti bet kuria jo duomenų tvarkymo įranga ir priemonėmis.

Šios dalies b punktu suteiktais įgaliojimais naudojamasi laikantis Sąjungos ir valstybės narės teisės aktų.

Šios dalies b punktu suteiktais įgaliojimais naudojamasi laikantis Sąjungos ir valstybės narės teisės aktų.

3. Kiekviena priežiūros institucija turi įgaliojimą atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir būti proceso šalimi, visų pirma pagal 74 straipsnio 4 dalį ir 75 straipsnio 2 dalį.

3. Kiekviena priežiūros institucija turi įgaliojimą atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir būti proceso šalimi, visų pirma pagal 74 straipsnio 4 dalį ir 75 straipsnio 2 dalį.

4. Kiekviena priežiūros institucija turi įgaliojimą skirti sankcijas už administracinius pažeidimus, visų pirma nurodytus 79 straipsnio 4, 5 ir 6 dalyse.

4. Kiekviena priežiūros institucija pagal 79 straipsnį turi įgaliojimą skirti sankcijas už administracinius pažeidimus. Šiais įgaliojimais naudojamasi veiksmingai, proporcingai ir atgrasomai.

Pakeitimas  157

Pasiūlymas dėl reglamento

54 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Kiekviena priežiūros institucija privalo parengti metinę savo veiklos ataskaitą. Ataskaita teikiama nacionaliniam parlamentui ir skelbiama viešai, taip pat teikiama Komisijai ir Europos duomenų apsaugos valdybai.

Kiekviena priežiūros institucija bent kas dvejus metus privalo parengti savo veiklos ataskaitą. Ataskaita teikiama atitinkamam nacionaliniam parlamentui ir skelbiama viešai, taip pat teikiama Komisijai ir Europos duomenų apsaugos valdybai.

Pakeitimas  158

Pasiūlymas dėl reglamento

54 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

54a straipsnis

 

Vadovaujanti institucija

 

1. Jeigu asmens duomenys tvarkomi duomenų valdytojo arba duomenų tvarkytojo buveinei veikiant Sąjungoje ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, arba jei tvarkomi kelių valstybių narių gyventojų asmens duomenys, remiantis šio reglamento VII skyriaus nuostatomis, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės vietos priežiūros institucija veikia kaip vadovaujanti institucija, atsakinga už duomenų valdytojo ar duomenų tvarkytojo vykdomos duomenų tvarkymo veiklos priežiūrą visose valstybėse narėse.

 

2. Vadovaujanti priežiūros institucija imasi tinkamų duomenų valdytojo ar duomenų tvarkytojo duomenų vykdomos tvarkymo veiklos priežiūros, už kurią ji atsakinga, priemonių tik pasikonsultavusi su visomis kitomis kompetentingomis priežiūros institucijomis, kaip apibrėžta 51 straipsnio 1 dalyje, kad pasiektų bendrą sutarimą. Tuo tikslu ji pirmiausia pateikia bet kokią aktualią informaciją ir, prieš tvirtindama priemonę, kuria siekiama daryti teisinį poveikį duomenų valdytojui arba duomenų tvarkytojui pagal 51 straipsnio 1 dalį, konsultuojasi su kitomis institucijomis. Vadovaujanti institucija kuo labiau atsižvelgia į dalyvaujančių institucijų nuomones. Vadovaujanti institucija yra vienintelė institucija, kuriai suteikti įgaliojimai priimti sprendimus dėl priemonių, kuriomis siekiama daryti teisinį poveikį, susijusį su duomenų valdytojo ar duomenų tvarkytojo vykdoma duomenų tvarkymo veikla, už kurią ji atsakinga.

 

3. Europos duomenų apsaugos valdyba kompetentingos priežiūros institucijos prašymu pateikia nuomonę dėl vadovaujančios institucijos, atsakingos už duomenų tvarkytoją ar duomenų valdytoją, nustatymo, kai:

 

a) iš atvejo aplinkybių neaišku, kur yra pagrindinė duomenų valdytojo ar duomenų tvarkytojo buveinė, arba

 

b) kompetentingos institucijos nesutaria dėl to, kuri priežiūros institucija veiks kaip vadovaujanti institucija, arba

 

c) duomenų valdytojas nėra įsisteigęs Sąjungoje, o įvairių valstybių narių gyventojai patiria į šio reglamento taikymo sritį patenkančių duomenų tvarkymo operacijų padarinius.

 

3a. Kai duomenų valdytojas taip pat vykdo duomenų tvarkytojo veiklą, pagrindinės duomenų valdytojo buveinės vietos priežiūros institucija veikia kaip vadovaujanti institucija, atliekanti duomenų tvarkymo veiklos priežiūrą.

 

4. Europos duomenų apsaugos valdyba gali gali priimti sprendimą dėl vadovaujančios institucijos nustatymo.

(Parlamento pakeitimo 1 dalis grindžiama Komisijos pasiūlymo 51 straipsnio 2 dalimi.)

Pakeitimas  159

Pasiūlymas dėl reglamento

55 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir konsultuoti, tyrimais ir skubiai teikiama informacija apie bylos nagrinėjimo pradžią, taip pat tolesniais veiksmais tais atvejais, kai duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams.

1. Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir konsultuoti, patikromis bei tyrimais ir skubiai teikiama informacija apie bylos nagrinėjimo pradžią, taip pat tolesniais veiksmais tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams. 54a straipsnyje apibrėžta vadovaujanti institucija užtikrina veiklos koordinavimą su dalyvaujančiomis priežiūros institucijomis ir veikia kaip vienas bendras informacinis punktas duomenų valdytojui arba duomenų tvarkytojui.

Pakeitimas  160

Pasiūlymas dėl reglamento

55 straipsnio 7 dalis

Komisijos siūlomas tekstas

Pakeitimas

7. Už veiksmus, kurių imamasi siekiant patenkinti savitarpio pagalbos prašymą, mokestis neimamas.

7. Už veiksmus, kurių imamasi siekiant patenkinti savitarpio pagalbos prašymą, iš prašymą pateikusios priežiūros institucijos mokestis neimamas.

Pakeitimas  161

Pasiūlymas dėl reglamento

55 straipsnio 8 dalis

Komisijos siūlomas tekstas

Pakeitimas

8. Jeigu priežiūros institucija neatsako į kitos priežiūros institucijos prašymą per vieną mėnesį, prašymą pateikusi priežiūros institucija yra kompetentinga priimti laikinąsias priemones savo valstybės narės teritorijoje pagal 51 straipsnio 1 dalį ir pateikia klausimą nagrinėti Europos duomenų apsaugos valdybai pagal 57 straipsnyje nurodytą procedūrą.

8. Jeigu priežiūros institucija neatsako į kitos priežiūros institucijos prašymą per vieną mėnesį, prašymą pateikusi priežiūros institucija yra kompetentinga priimti laikinąsias priemones savo valstybės narės teritorijoje pagal 51 straipsnio 1 dalį ir pateikia klausimą nagrinėti Europos duomenų apsaugos valdybai pagal 57 straipsnyje nurodytą procedūrą. Ji gali priimti laikinąsias priemones pagal 53 straipsnį savo valstybės narės teritorijoje, jei dėl dar nebaigtos pagalbos teikimo procedūros galutinės priemonės priimti dar negalima.

Pakeitimas  162

Pasiūlymas dėl reglamento

55 straipsnio 9 dalis

Komisijos siūlomas tekstas

Pakeitimas

9. Priežiūros institucija nurodo tokių laikinųjų priemonių galiojimo laikotarpį. Šis laikotarpis negali būti ilgesnis kaip treji mėnesiai. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai.

9. Priežiūros institucija nurodo tokių laikinųjų priemonių galiojimo laikotarpį. Šis laikotarpis negali būti ilgesnis kaip treji mėnesiai. Priežiūros institucija tas priemones ir išsamias jų priežastis laikydamasi 57 straipsnyje nurodytos procedūros nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai.

Pakeitimas  163

Pasiūlymas dėl reglamento

55 straipsnio 10 dalis

Komisijos siūlomas tekstas

Pakeitimas

10. Komisija gali nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formatą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 6 dalyje nurodytą standartizuotą formą. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

10. Europos duomenų apsaugos valdyba gali nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formatą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 6 dalyje nurodytą standartizuotą formą.

Pakeitimas  164

Pasiūlymas dėl reglamento

56 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Tais atvejais, kai duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti atliekant bendras tyrimo užduotis arba prireikus vykdant bendras operacijas. Kompetentinga priežiūros institucija pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti atliekant atitinkamas bendras tyrimo užduotis arba vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo vykdant tokias operacijas.

2. Tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti atliekant bendras tyrimo užduotis arba prireikus vykdant bendras operacijas. 54a straipsnyje apibrėžta vadovaujanti institucija pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti atliekant atitinkamas bendras tyrimo užduotis arba vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo vykdant tokias operacijas. Vadovaujanti institucija veikia kaip vienas bendras informacinis punktas duomenų valdytojui arba duomenų tvarkytojui.

Pakeitimas  165

Pasiūlymas dėl reglamento

57 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Nuoseklumo užtikrinimo mechanizmas.

Nuoseklumo užtikrinimo mechanizmas.

Siekdamos 46 straipsnio 1 dalyje nustatytų tikslų, priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.

Siekdamos 46 straipsnio 1 dalyje nustatytų tikslų, ir bendro pobūdžio klausimais, ir atskirais atvejais priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija pagal nuoseklumo užtikrinimo mechanizmą, laikydamosi šio skirsnio nuostatų.

Pakeitimas  166

Pasiūlymas dėl reglamento

58 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Europos duomenų apsaugos valdybos nuomonė

Bendro pobūdžio klausimų nagrinėjimo nuoseklumas

1. Prieš priimdama 2 dalyje nurodytą priemonę, priežiūros institucija priemonės projektą pateikia Europos duomenų apsaugos valdybai ir Komisijai.

1. Prieš priimdama 2 dalyje nurodytą priemonę, priežiūros institucija priemonės projektą pateikia Europos duomenų apsaugos valdybai ir Komisijai.

2. 1 dalyje nurodyta pareiga taikoma priemonei, kuria siekiama daryti teisinį poveikį ir:

2. 1 dalyje nurodyta pareiga taikoma priemonei, kuria siekiama daryti teisinį poveikį ir:

a) kuri yra susijusi su duomenų tvarkymo veikla, vykdoma siekiant siūlyti prekes arba paslaugas duomenų subjektams keliose valstybėse narėse ar stebėti jų elgesį; arba

 

b) kuria gali būti daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje; arba

 

c) priimti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis, sąrašą pagal 34 straipsnio 5 dalį; arba

 

d) nustatyti 42 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas; arba

d) nustatyti 42 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas arba

e) duoti leidimą taikyti 42 straipsnio 2 dalies d punkte nurodytas sutarties sąlygas; arba

e) duoti leidimą taikyti 42 straipsnio 2 dalies d punkte nurodytas sutarties sąlygas, arba

f) patvirtinti įmonei privalomas taisykles, kaip apibrėžta 43 straipsnyje.

f) patvirtinti įmonei privalomas taisykles, kaip apibrėžta 43 straipsnyje.

3. Bet kuri priežiūros institucija arba Europos duomenų apsaugos valdyba gali prašyti, kad bet koks klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą, visų pirma tais atvejais, kai priežiūros institucija nepateikia 2 dalyje nurodyto priemonės projekto ar neįvykdo su savitarpio pagalba susijusių pareigų pagal 55 straipsnį arba su bendromis operacijomis susijusių pareigų pagal 56 straipsnį.

3. Bet kuri priežiūros institucija arba Europos duomenų apsaugos valdyba gali prašyti, kad bet koks bendro pobūdžio klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą, visų pirma tais atvejais, kai priežiūros institucija nepateikia 2 dalyje nurodyto priemonės projekto ar neįvykdo su savitarpio pagalba susijusių pareigų pagal 55 straipsnį arba su bendromis operacijomis susijusių pareigų pagal 56 straipsnį.

4. Siekdama užtikrinti tinkamą ir nuoseklų šio reglamento taikymą, Komisija gali prašyti, kad bet koks klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą.

4. Siekdama užtikrinti tinkamą ir nuoseklų šio reglamento taikymą, Komisija gali prašyti, kad bet koks bendro pobūdžio klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą.

5. Priežiūros institucijos ir Komisija elektroniniu būdu pateikia bet kokią reikšmingą informaciją, įskaitant, atitinkamais atvejais, faktų santrauką, priemonės projektą ir priežastis, dėl kurių reikėjo nustatyti tą priemonę, naudodamosi standartizuota forma.

5. Priežiūros institucijos ir Komisija nepagrįstai nedelsdamos elektroniniu būdu pateikia bet kokią reikšmingą informaciją, įskaitant, atitinkamais atvejais, faktų santrauką, priemonės projektą ir priežastis, dėl kurių reikėjo nustatyti tą priemonę, naudodamosi standartizuota forma.

6. Europos duomenų apsaugos valdybos pirmininkas elektroniniu būdu pateikia Europos duomenų apsaugos valdybos nariams ir Komisijai bet kokią reikšmingą informaciją, kuri jam buvo pateikta, naudodamasis standartizuota forma. Europos duomenų apsaugos valdybos pirmininkas prireikus pateikia reikšmingos informacijos vertimą.

6. Europos duomenų apsaugos valdybos pirmininkas nepagrįstai nedelsdamas elektroniniu būdu pateikia Europos duomenų apsaugos valdybos nariams ir Komisijai bet kokią reikšmingą informaciją, kuri jam buvo pateikta, naudodamasis standartizuota forma. Europos duomenų apsaugos valdybos sekretoriatas prireikus pateikia reikšmingos informacijos vertimą.

 

6a. Europos duomenų apsaugos valdyba priima nuomonę dėl jai pagal 2 dalį pateiktų klausimų.

7. Europos duomenų apsaugos valdyba pateikia nuomonę atitinkamu klausimu, jeigu ji taip nusprendė paprasta savo narių balsų dauguma arba jeigu bet kuri priežiūros institucija ar Komisija to paprašo, per vieną savaitę nuo reikšmingos informacijos pateikimo pagal 5 dalį. Nuomonė priimama per vieną mėnesį paprasta Europos duomenų apsaugos valdybos narių balsų dauguma. Europos duomenų apsaugos valdybos pirmininkas, nepagrįstai nedelsdamas, informuoja apie savo nuomonę, atitinkamais atvejais, 1 ir 3 dalyse nurodytą priežiūros instituciją, Komisiją ir pagal 51 straipsnį kompetentingą priežiūros instituciją ir paskelbia ją viešai.

7. Europos duomenų apsaugos valdyba gali paprasta balsų dauguma nuspręsti, ar priimti nuomonę bet kuriuo pagal 3 ir 4 dalis jai pateiktu klausimu, atsižvelgdama į šiuos dalykus:

 

a) ar klausimas susijęs su naujovėmis, atsižvelgiant į teisinius ir faktinius pokyčius, ypač informacinių technologijų srityje, ir į informacinės visuomenės pažangą, ir

 

b) ar Europos duomenų apsaugos valdyba jau yra pateikusi nuomonę tuo pačiu klausimu.

8. 1 dalyje nurodyta priežiūros institucija ir pagal 51 straipsnį kompetentinga priežiūros institucija atsižvelgia į Europos duomenų apsaugos valdybos nuomonę ir per dvi savaites nuo tada, kai Europos duomenų apsaugos valdybos pirmininkas pranešė apie nuomonę, elektroniniu būdu praneša Europos duomenų apsaugos valdybos pirmininkui ir Komisijai – ar nekeičia priemonės projekto, ar jį iš dalies pakeičia, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą priemonės projektą, naudodamasi standartizuota forma.

8. Europos duomenų apsaugos valdyba nuomones pagal 6a ir 7 dalis priima paprasta savo narių balsų dauguma. Šios nuomonės skelbiamos viešai.

Pakeitimas                167

Pasiūlymas dėl reglamento

58 a straipsnis (naujas)

 

Komisijos siūlomas tekstas

Pakeitimas

 

58a straipsnis

 

Atskirų atvejų nagrinėjimo nuoseklumas

 

1. Prieš imdamasi priemonės, kuria siekiama daryti teisinį poveikį pagal 54a straipsnį, vadovaujanti institucija pasidalija visa svarbia informacija su visomis kitomis kompetentingomis institucijomis ir pateikia joms priemonės projektą. Vadovaujanti institucija nuomonės nepriima, jei kompetentinga institucija per tris savaites pareiškia rimtai prieštaraujanti tos priemonės priėmimui.

 

2. Jei kompetentinga institucija nurodo rimtai prieštaraujanti vadovaujančios institucijos priemonės projektui arba jei vadovaujanti institucija nepateikia 1 dalyje nurodyto priemonės projekto ar neįvykdo su savitarpio pagalba susijusių pareigų pagal 55 straipsnį arba su bendromis operacijomis susijusių pareigų pagal 56 straipsnį, klausimą svarsto Europos duomenų apsaugos valdyba.

 

3. Vadovaujanti institucija ir (arba) kitos dalyvaujančios kompetentingos institucijos ir Komisija nepagrįstai nedelsdamos elektroniniu būdu naudodamosi standartizuota forma pateikia Europos duomenų apsaugos valdybai bet kokią reikšmingą informaciją, įskaitant, atitinkamais atvejais, faktų santrauką, priemonės projektą ir priežastis, dėl kurių reikėjo nustatyti tą priemonę, dėl jos pareikštus prieštaravimus ir kitų susijusių priežiūros institucijų nuomones.

 

4. Europos duomenų apsaugos valdyba apsvarsto klausimą, atsižvelgdama į vadovaujančios institucijos priemonės projekto poveikį duomenų subjektų pagrindinėms teisėms ir laisvėms, ir paprasta savo narių balsų dauguma nusprendžia, ar pateikti nuomonę tuo klausimu, per dvi savaites nuo reikšmingos informacijos pateikimo pagal 3 dalį.

 

5. Jei Europos duomenų apsaugos valdyba nusprendžia nuomonę pateikti, ji tai padaro per šešias savaites ir paskelbia nuomonę viešai.

 

6. Vadovaujanti institucija kuo labiau atsižvelgia į Europos duomenų apsaugos valdybos nuomonę ir per dvi savaites nuo tada, kai Europos duomenų apsaugos valdybos pirmininkas pranešė apie nuomonę, elektroniniu būdu praneša Europos duomenų apsaugos valdybos pirmininkui ir Komisijai, ar priemonės projekto nekeičia ar jį iš dalies pakeičia, ir pastaruoju atveju pateikia iš dalies pakeistą priemonės projektą, naudodamasi standartizuota forma. Jei vadovaujanti institucija ketina nesivadovauti Europos duomenų apsaugos valdybos nuomone, ji pateikia motyvuotą pagrindimą.

 

7. Jeigu Europos duomenų apsaugos valdyba vis tiek nesutinka su 5 dalyje nurodytos priežiūros institucijos priemone, ji dviejų trečdalių balsų dauguma gali per vieną mėnesį patvirtinti priemonę, kuri priežiūros institucijai yra privaloma.

Pakeitimas  168

Pasiūlymas dėl reglamento

59 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

59 straipsnis

Išbraukta.

Komisijos nuomonė

 

1. Per dešimt savaičių nuo tada, kai klausimas pateikiamas pagal 58 straipsnį, arba per šešias savaites 61 straipsnio atveju Komisija gali priimti nuomonę pagal 58 arba 61 straipsnį pateiktu klausimu, kad užtikrintų tinkamą ir nuoseklų šio reglamento taikymą.

 

2. Jeigu Komisija priėmė nuomonę pagal 1 dalį, atitinkama priežiūros institucija kuo labiau atsižvelgia į Komisijos nuomonę ir informuoja Komisiją ir Europos duomenų apsaugos valdybą apie savo ketinimą nekeisti priemonės projekto ar jį iš dalies pakeisti.

 

3. Kol nepasibaigęs 1 dalyje nurodytas laikotarpis, priežiūros institucija negali priimti priemonės projekto.

 

4. Jeigu atitinkama priežiūros institucija ketina neatsižvelgti į Komisijos nuomonę, ji informuoja apie tai Komisiją ir Europos duomenų apsaugos valdybą per 1 dalyje nurodytą laikotarpį ir pateikia paaiškinimą. Tokiu atveju priemonės projektas negali būti priimtas dar vieną mėnesį.

 

Pakeitimas  169

Pasiūlymas dėl reglamento

60 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

60 straipsnis

Išbraukta.

Priemonės projekto priėmimo sustabdymas

 

1. Jeigu Komisijai kyla rimtų abejonių dėl to, ar priemonės projektu būtų užtikrintas tinkamas šio reglamento taikymas arba jį priėmus šis reglamentas būtų taikomas nenuosekliai, ji per vieną mėnesį nuo 59 straipsnio 4 dalyje nurodyto pranešimo gali priimti motyvuotą sprendimą, kuriuo reikalaujama, kad priežiūros institucija sustabdytų priemonės projekto priėmimą, atsižvelgdama į Europos duomenų apsaugos valdybos nuomonę, pateiktą pagal 58 straipsnio 7 dalį arba 61 straipsnio 2 dalį, jeigu to reikia siekiant:

 

a) suderinti skirtingas priežiūros institucijos ir Europos duomenų apsaugos valdybos pozicijas, jei tai vis dar atrodo įmanoma; arba

 

b) priimti priemonę pagal 62 straipsnio 1 dalies a punktą.

 

2. Komisija nustato tokio sustabdymo trukmę, kuri negali būti ilgesnė kaip 12 mėnesių.

 

3. Kol nepasibaigęs 2 dalyje nurodytas laikotarpis, priežiūros institucija negali priimti priemonės projekto.

 

Pakeitimas  170

Pasiūlymas dėl reglamento

60 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

60a straipsnis

 

Informacija Europos Parlamentui ir Tarybai

 

Komisija reguliariai, ne rečiau kaip kas pusę metų, remdamasi Europos duomenų apsaugos valdybos pirmininko pranešimu, informuoja Europos Parlamentą ir Tarybą apie pagal nuoseklumo užtikrinimo mechanizmą nagrinėtus klausimus ir pateikia Komisijos ir Europos duomenų apsaugos valdybos padarytas išvadas dėl šio reglamento vienodo įgyvendinimo ir taikymo užtikrinimo.

Pakeitimas  171

Pasiūlymas dėl reglamento

61 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Jeigu išimtinėmis aplinkybėmis priežiūros institucija mano, jog būtina skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, visų pirma tais atvejais, kai esama pavojaus, kad pasikeitus esamai padėčiai gali būti labai sunku įgyvendinti duomenų subjekto teisę arba siekiama pašalinti didelius trūkumus, arba dėl kitų priežasčių, nukrypdama nuo 58 straipsnyje nurodytos procedūros, ji gali priimti konkretų laikotarpį galiojančias laikinąsias priemones. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai.

1. Jeigu išimtinėmis aplinkybėmis priežiūros institucija mano, jog būtina skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, visų pirma tais atvejais, kai esama pavojaus, kad pasikeitus esamai padėčiai gali būti labai sunku įgyvendinti duomenų subjekto teisę arba siekiama pašalinti didelius trūkumus, arba dėl kitų priežasčių, nukrypdama nuo 58a straipsnyje nurodytos procedūros, ji gali priimti konkretų laikotarpį galiojančias laikinąsias priemones. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai.

Pakeitimas  172

Pasiūlymas dėl reglamento

61 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4. Nukrypstant nuo 58 straipsnio 7 dalies, šio straipsnio 2 ir 3 dalyse nurodyta nuomonė skubiai – per dvi savaites – priimama paprasta Europos duomenų apsaugos valdybos narių balsų dauguma.

4. Šio straipsnio 2 ir 3 dalyse nurodyta nuomonė skubiai – per dvi savaites – priimama paprasta Europos duomenų apsaugos valdybos narių balsų dauguma.

Pakeitimas  173

Pasiūlymas dėl reglamento

62 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Įgyvendinimo aktai

Įgyvendinimo aktai

Komisija gali priimti įgyvendinimo aktus, siekdama:

1. Komisija, paprašiusi Europos duomenų apsaugos valdybos nuomonės, gali priimti visuotinai taikomus įgyvendinimo aktus, siekdama:

a) priimti sprendimus dėl tinkamo šio reglamento taikymo pagal jo tikslus ir reikalavimus, susijusius su klausimais, kuriuos priežiūros institucijos pateikė pagal 58 arba 61 straipsnius, su klausimu, dėl kurio pagal 60 straipsnio 1 dalį priimtas motyvuotas sprendimas, arba klausimu, kai priežiūros institucija nepateikia priemonės projekto ir kai nurodė neketinanti atsižvelgti į nuomonę, kurią Komisija priėmė pagal 59 straipsnį;

 

b) per 59 straipsnio 1 dalyje nurodytą terminą nuspręsti, ar paskelbti 58 straipsnio 2 dalies d punkte nurodytų standartinių duomenų apsaugos sąlygų projektą visuotinai galiojančiu;

b) nuspręsti, ar paskelbti 42 straipsnio 2 dalies d punkte nurodytų standartinių duomenų apsaugos sąlygų projektą visuotinai galiojančiu;

c) nustatyti šiame skirsnyje nurodyto nuoseklumo užtikrinimo mechanizmo formatą ir procedūras;

 

d) nustatyti priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 58 straipsnio 5, 6 ir 8 dalyse nurodytą standartizuotą formą.

d) nustatyti priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 58 straipsnio 5, 6 ir 8 dalyse nurodytą standartizuotą formą.

Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

 

2. Remdamasi tinkamai pagrįstais imperatyviais pagrindais, dėl kurių būtina skubiai veikti siekiant apsaugoti duomenų subjektų interesus 1 dalies a punkte nurodytais atvejais, Komisija pagal 87 straipsnio 3 dalyje nurodytą procedūrą priima nedelsiant taikomus įgyvendinimo aktus. Tie aktai lieka galioti ne ilgiau kaip 12 mėnesių.

 

3. Nepriklausomai nuo to, ar priimama priemonė pagal šį skirsnį, Komisija gali remdamasi Sutartimis priimti bet kokią kitą priemonę.

3. Nepriklausomai nuo to, ar priimama priemonė pagal šį skirsnį, Komisija gali remdamasi Sutartimis priimti bet kokią kitą priemonę.

Pakeitimas  174

Pasiūlymas dėl reglamento

63 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Jeigu priežiūros institucija, pažeisdama 58 straipsnio 1–5 dalis, nepateikia priemonės projekto pagal nuoseklumo užtikrinimo mechanizmą, ta priežiūros institucijos priemonė neturi teisinės galios ir nėra vykdytina.

2. Jeigu priežiūros institucija, pažeisdama 58 straipsnio 1 ir 2 dalis, nepateikia priemonės projekto pagal nuoseklumo užtikrinimo mechanizmą arba patvirtina priemonę, nepaisant to, kad pagal 58a straipsnio 1 dalį buvo pareikštas rimtas prieštaravimas, ta priežiūros institucijos priemonė neturi teisinės galios ir nėra vykdytina.

Pakeitimas  175

Pasiūlymas dėl reglamento

66 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Europos duomenų apsaugos valdybos užduotys

Europos duomenų apsaugos valdybos užduotys

1. Europos duomenų apsaugos valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Siekdama šio tikslo, Europos duomenų apsaugos valdyba savo iniciatyva arba Komisijos prašymu visų pirma:

1. Europos duomenų apsaugos valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Siekdama šio tikslo, Europos duomenų apsaugos valdyba savo iniciatyva, Europos Parlamento, Tarybos arba Komisijos prašymu visų pirma:

a) pataria Komisijai visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, įskaitant dėl visų siūlomų šio reglamento pakeitimų;

a) pataria ES institucijoms visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, įskaitant dėl visų siūlomų šio reglamento pakeitimų;

b) savo iniciatyva arba vieno iš savo narių iniciatyva, arba Komisijos prašymu nagrinėja visus klausimus, susijusius su šio reglamento taikymu, ir skelbia priežiūros institucijoms skirtas gaires, rekomendacijas ir geriausią patirtį, siekdama skatinti šį reglamentą taikyti nuosekliai;

b) savo iniciatyva arba vieno iš savo narių iniciatyva, arba Europos Parlamento, Tarybos ar Komisijos prašymu nagrinėja visus klausimus, susijusius su šio reglamento taikymu, ir skelbia priežiūros institucijoms skirtas gaires, rekomendacijas ir geriausią patirtį, siekdama skatinti šį reglamentą taikyti nuosekliai, taip pat ir naudojimosi vykdymo užtikrinimo įgaliojimais srityje;

c) peržiūri praktinį šios dalies b punkte nurodytų gairių, rekomendacijų ir geriausios patirties taikymą ir reguliariai teikia Komisijai ataskaitas apie jas;

c) peržiūri praktinį šios dalies b punkte nurodytų gairių, rekomendacijų ir geriausios patirties taikymą ir reguliariai teikia Komisijai ataskaitas apie jas;

d) teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą;

d) teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą;

 

da) teikia nuomonę dėl to, kuri institucija turėtų būti vadovaujanti pagal 54a straipsnio 3 dalį;

e) skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį arba daugiašalį keitimąsi informacija ir praktika;

e) skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį arba daugiašalį keitimąsi informacija ir praktika, įskaitant bendrų operacijų ir kitos bendros veiklos koordinavimą, kai Europos duomenų apsaugos valdyba taip nusprendžia vienos ar kelių priežiūros institucijų prašymu;

f) skatina bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, kai tinkama, trečiųjų šalių arba tarptautinių organizacijų priežiūros institucijų darbuotojų mainus;

f) skatina bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, kai tinkama, trečiųjų šalių arba tarptautinių organizacijų priežiūros institucijų darbuotojų mainus;

g) skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje.

g) skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

 

ga) teikia nuomonę Komisijai rengiant šiuo reglamentu grindžiamus deleguotuosius ir įgyvendinimo aktus;

 

gb) teikia nuomonę dėl Sąjungos lygmens elgesio kodeksų, parengtų pagal 38 straipsnio 4 dalį;

 

gc) teikia nuomonę dėl duomenų apsaugos sertifikavimo mechanizmams, nustatytiems pagal 39 straipsnio 3 dalį, taikomų kriterijų ir reikalavimų;

 

gd) veda viešą elektroninį visų galiojančių ir negaliojančių sertifikatų registrą, kaip nurodyta 39 straipsnio 1h dalyje;

 

ge) teikia pagalbą nacionalinėms priežiūros institucijoms, šioms paprašius;

 

gf) parengia ir viešai paskelbia duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 34 straipsnį, sąrašą;

 

gg) veda sankcijų, kurias kompetentingos priežiūros institucijos pritaikė duomenų valdytojams ar duomenų tvarkytojams, registrą.

2. Jeigu Komisija prašo Europos duomenų apsaugos valdybos patarti, ji gali nustatyti terminą, per kurį Europos duomenų apsaugos valdyba tokį patarimą turi pateikti, atsižvelgdama į klausimo skubumą.

2. Jeigu Europos Parlamentas, Taryba arba Komisija prašo Europos duomenų apsaugos valdybos patarti, ji gali nustatyti terminą, per kurį Europos duomenų apsaugos valdyba tokį patarimą turi pateikti, atsižvelgdama į klausimo skubumą.

3. Europos duomenų apsaugos valdyba savo nuomones, gaires bei rekomendacijas ir geriausią patirtį teikia Komisijai ir 87 straipsnyje nurodytam komitetui ir skelbia jas viešai.

3. Europos duomenų apsaugos valdyba savo nuomones, gaires bei rekomendacijas ir geriausią patirtį teikia Europos Parlamentui, Tarybai ir Komisijai bei 87 straipsnyje nurodytam komitetui ir skelbia jas viešai.

4. Komisija informuoja Europos duomenų apsaugos valdybą apie veiksmus, kurių ji ėmėsi, atsižvelgdama į Europos duomenų apsaugos valdybos paskelbtas nuomones, gaires bei rekomendacijas ir geriausią patirtį.

4. Komisija informuoja Europos duomenų apsaugos valdybą apie veiksmus, kurių ji ėmėsi, atsižvelgdama į Europos duomenų apsaugos valdybos paskelbtas nuomones, gaires bei rekomendacijas ir geriausią patirtį.

 

4a. Europos duomenų apsaugos valdyba tam tikrais atvejais konsultuojasi su suinteresuotomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nepažeidžiant 72 straipsnio, Europos duomenų apsaugos valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

 

4b. Europos duomenų apsaugos valdybai pavedama pagal 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl informacijos apie įtariamą neteisėtą duomenų tvarkymą pateikimo ir konfidencialumo užtikrinimo bei gautos informacijos šaltinių apsaugos bendrosios tvarkos.

Pakeitimas  176

Pasiūlymas dėl reglamento

67 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Europos duomenų apsaugos valdyba reguliariai ir laiku informuoja Komisiją apie visą Europos duomenų apsaugos valdybos veiklą. Ji parengia metinę ataskaitą apie fizinių asmenų apsaugos tvarkant asmens duomenis būklę Sąjungoje ir trečiosiose šalyse.

Šioje ataskaitoje pateikiami praktinio gairių, rekomendacijų ir geriausios patirties taikymo peržiūros pagal 66 straipsnio 1 dalies c punktą rezultatai.

1.  Europos duomenų apsaugos valdyba reguliariai ir laiku informuoja Europos Parlamentą, Tarybą ir Komisiją apie visą Europos duomenų apsaugos valdybos veiklą. Ji bent kas dvejus metus parengia ataskaitą apie fizinių asmenų apsaugos tvarkant asmens duomenis būklę Sąjungoje ir trečiosiose šalyse.

Šioje ataskaitoje pateikiami praktinio gairių, rekomendacijų ir geriausios patirties taikymo peržiūros pagal 66 straipsnio 1 dalies c punktą rezultatai.

Pakeitimas  177

Pasiūlymas dėl reglamento

68 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Europos duomenų apsaugos valdyba priima sprendimus paprasta savo narių balsų dauguma.

1. Europos duomenų apsaugos valdyba priima sprendimus paprasta savo narių balsų dauguma, nebent jos darbo tvarkos taisyklėse būtų nurodyta kitaip.

Pakeitimas  178

Pasiūlymas dėl reglamento

69 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Europos duomenų apsaugos valdyba iš savo narių renka pirmininką ir du jo pavaduotojus. Vieno pirmininko pavaduotojo pareigas eina Europos duomenų apsaugos priežiūros pareigūnas, išskyrus atvejus, kai jis išrinktas pirmininku.

1. Europos duomenų apsaugos valdyba iš savo narių renka pirmininką ir bent du jo pavaduotojus.

Pakeitimas  179

Pasiūlymas dėl reglamento

69 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a. Pirmininko pareigos einamos visą darbo dieną.

Pakeitimas  180

Pasiūlymas dėl reglamento

71 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Sekretoriatas Europos duomenų apsaugos valdybos primininkui vadovaujant teikia jai analitinę, administracinę ir logistinę paramą.

2. Sekretoriatas Europos duomenų apsaugos valdybos primininkui vadovaujant teikia jai analitinę, teisinę, administracinę ir logistinę paramą.

Pakeitimas  181

Pasiūlymas dėl reglamento

72 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Europos duomenų apsaugos valdybos diskusijos yra konfidencialios.

1. Prireikus Europos duomenų apsaugos valdybos diskusijos gali būti konfidencialios, nebent jos darbo tvarkos taisyklėse būtų numatyta kitaip. Europos duomenų apsaugos valdybos posėdžių darbotvarkės skelbiamos viešai.

Pakeitimas  182

Pasiūlymas dėl reglamento

73 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teisė pateikti skundą priežiūros institucijai

Teisė pateikti skundą priežiūros institucijai

1. Neapribojant galimybių imtis bet kurių kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad jo asmens duomenys tvarkomi nesilaikant šio reglamento.

1. Neapribojant galimybių imtis bet kurių kitų administracinių arba teisminių teisių gynimo priemonių ir nedarant poveikio nuoseklumo užtikrinimo mechanizmui, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad jo asmens duomenys tvarkomi nesilaikant šio reglamento.

2. Bet kuri įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų asmens duomenų apsauga, ir kuri tinkamai įsteigta pagal valstybės narės teisę, turi teisę vieno ar kelių duomenų subjektų vardu pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos šiame reglamente nustatytos duomenų subjektų teisės.

2. Bet kuri viešajam interesui atstovaujanti įstaiga, organizacija ar asociacija, kuri tinkamai įsteigta pagal valstybės narės teisę, turi teisę vieno ar kelių duomenų subjektų vardu pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos šiame reglamente nustatytos duomenų subjektų teisės.

3. Net jeigu duomenų subjektas nėra pateikęs skundo, 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad buvo padarytas asmens duomenų saugumo pažeidimas.

3. Net jeigu duomenų subjektas nėra pateikęs skundo, 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad buvo padarytas šio reglamento pažeidimas.

Pakeitimas  183

Pasiūlymas dėl reglamento

74 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją

Teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją

1. Kiekvienas fizinis arba juridinis asmuo turi teisę imtis teisminių teisių gynimo priemonių prieš priežiūros institucijos sprendimus dėl jų.

1. Neapribojant galimybių imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis arba juridinis asmuo turi teisę imtis teisminių teisių gynimo priemonių prieš priežiūros institucijos sprendimus dėl jų.

2. Kiekvienas duomenų subjektas turi teisę imtis teisminių teisių gynimo priemonių, kad įpareigotų priežiūros instituciją imtis veiksmų dėl skundo, jeigu nepriimtas jo teisėms apsaugoti būtinas sprendimas arba jeigu priežiūros institucija per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo pažangą ar jo rezultatus pagal 52 straipsnio 1 dalies b punktą.

2. Neapribojant galimybių imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis teisminių teisių gynimo priemonių, kad įpareigotų priežiūros instituciją imtis veiksmų dėl skundo, jeigu nepriimtas jo teisėms apsaugoti būtinas sprendimas arba jeigu priežiūros institucija per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo pažangą ar jo rezultatus pagal 52 straipsnio 1 dalies b punktą.

3. Byla priežiūros institucijai keliama valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose.

3. Byla priežiūros institucijai keliama valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose.

4. Duomenų subjektas, dėl kurio sprendimą priėmė priežiūros institucija ne toje valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, jis gali prašyti priežiūros institucijos valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, iškelti bylą jo vardu tos kitos valstybės narės kompetentingai priežiūros institucijai.

4. Nedarant poveikio nuoseklumo užtikrinimo mechanizmui, duomenų subjektas, dėl kurio sprendimą priėmė priežiūros institucija ne toje valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, jis gali prašyti priežiūros institucijos valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, iškelti bylą jo vardu tos kitos valstybės narės kompetentingai priežiūros institucijai.

5. Valstybės narės užtikrina šiame straipsnyje nurodytų teismų galutinių sprendimų vykdymą.

5. Valstybės narės užtikrina šiame straipsnyje nurodytų teismų galutinių sprendimų vykdymą.

Pakeitimas  184

Pasiūlymas dėl reglamento

75 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas įsisteigęs, teismuose. Tokia byla taip pat gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas yra valdžios institucija, veikianti pagal savo viešuosius įgaliojimus.

2. Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas įsisteigęs, teismuose. Tokia byla taip pat gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas yra Sąjungos arba valstybės narės valdžios institucija, veikianti pagal savo viešuosius įgaliojimus.

Pakeitimas  185

Pasiūlymas dėl reglamento

76 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Bet kuri 73 straipsnio 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę vieno ar kelių duomenų subjektų vardu naudotis 74 ir 75 straipsniuose nurodytomis teisėmis.

1. Bet kuri 73 straipsnio 2 dalyje nurodyta įstaiga, organizacija ar asociacija, jei yra įgaliota vieno ar kelių duomenų subjektų, turi teisę naudotis 74, 75 ir 77 straipsniuose nurodytomis teisėmis.

Pakeitimas  186

Pasiūlymas dėl reglamento

77 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Bet kuris asmuo, patyręs žalą dėl neteisėtos duomenų tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su šiuo reglamentu, turi teisę reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas atlygintų patirtą žalą.

1. Bet kuris asmuo, patyręs žalą, įskaitant neturtinę žalą, dėl neteisėtos duomenų tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su šiuo reglamentu, turi teisę reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas atlygintų patirtą žalą.

Pakeitimas  187

Pasiūlymas dėl reglamento

77 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Jeigu tvarkant duomenis dalyvauja daugiau kaip vienas duomenų valdytojas arba duomenų tvarkytojas, kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra solidariai atsakingi už visą padarytą žalą.

2. Jeigu tvarkant duomenis dalyvauja daugiau kaip vienas duomenų valdytojas arba duomenų tvarkytojas, kiekvienas iš šių duomenų valdytojų arba duomenų tvarkytojų yra solidariai atsakingas už visą padarytą žalą, nebent jie turėtų atitinkamą raštišką susitarimą, kuriame būtų nustatyta kiekvieno iš jų atsakomybė, kaip nurodyta 24 straipsnyje.

Pakeitimas  188

Pasiūlymas dėl reglamento

79 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Administracinės sankcijos

Administracinės sankcijos

1. Kiekviena priežiūros institucija įgaliojama skirti administracines sankcijas pagal šį straipsnį.

1. Kiekviena priežiūros institucija įgaliojama skirti administracines sankcijas pagal šį straipsnį. Priežiūros institucijos bendradarbiauja tarpusavyje pagal 46 ir 57 straipsnius, kad užtikrintų suderintas sankcijas visoje Sąjungoje.

2. Administracinės sankcijos kiekvienu konkrečiu atveju yra veiksmingos, proporcingos ir atgrasomos. Administracinės baudos dydis nustatomas tinkamai atsižvelgiant į saugumo pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas padarytas tyčia ar dėl neatsargumo, kokia yra fizinio arba juridinio asmens atsakomybė, taip pat į to asmens ankstesnius pažeidimus, pagal 23 straipsnį įdiegtas technines ir organizacines priemones ir nustatytas procedūras ir į tai, kaip bendradarbiauta su priežiūros institucija siekiant ištaisyti pažeidimą.

2. Administracinės sankcijos kiekvienu konkrečiu atveju yra veiksmingos, proporcingos ir atgrasomos.

 

2a. Bet kuriam subjektui, kuris nesilaiko šiame reglamente išdėstytų reikalavimų, priežiūros institucija taiko bent vieną iš šių sankcijų:

 

a) raštiškas įspėjimas, jeigu reglamento nesilaikyta pirmą kartą ir netyčia;

 

b) reguliarūs periodiškai atliekami duomenų apsaugos auditai;

 

c) bauda, kurios suma gali būti iki 100 000 000 EUR arba, įmonės atveju, iki 5 % metinės pasaulinės apyvartos (taikoma didesnė suma).

 

2b. Jei duomenų valdytojas ar duomenų tvarkytojas pagal 39 straipsnį turi galiojantį „Europos duomenų apsaugos ženklą“, bauda pagal 2a dalies c punktą skiriama tik tais atvejais, kai reglamento nesilaikoma tyčia ar dėl neatsargumo.

 

2c. Skiriant administracinę sankciją atsižvelgiama į šiuos veiksnius:

 

a) reikalavimų nesilaikymo pobūdį, sunkumą ir trukmę;

 

b) tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo,

 

c) tai, kokia yra fizinio arba juridinio asmens atsakomybė, taip pat į to asmens ankstesnius pažeidimus;

 

d) kartojamąjį pažeidimo pobūdį;

 

e) bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

 

f) konkrečias asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas,

 

g) duomenų subjektų patirtos žalos, įskaitant neturtinę žalą, lygį;

 

h) veiksmus, kurių ėmėsi duomenų valdytojas arba duomenų tvarkytojas, siekdamas sumažinti duomenų subjektų patirtą žalą;

 

i) bet kokią finansinę naudą, kurią buvo siekiama gauti arba kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

 

j) pagal šiuos straipsnius įgyvendintų techninių ir organizacinių priemonių bei procedūrų mastą:

 

i)23 straipsnį „Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga“;

 

ii) 30 straipsnį „Duomenų tvarkymo saugumas“;

 

iii) 33 straipsnį „Duomenų apsaugos poveikio vertinimas“;

 

 

iv) 33a straipsnį „Duomenų apsaugos reikalavimų laikymosi apžvalga“;

 

v) 35 straipsnį „Duomenų apsaugos pareigūno paskyrimas“;

 

k) atsisakymą bendradarbiauti arba trukdymą pagal 53 straipsnį priežiūros institucijos atliekamoms patikroms, auditams ir kontrolei;

 

l) kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis.

3. Jeigu šio reglamento nesilaikyta pirmą kartą ir netyčia, duodamas raštiškas įspėjimas ir sankcijos neskiriamos, jeigu:

 

a) asmens duomenis tvarko komercinio intereso neturintis fizinis asmuo; arba

 

b) įmonei arba organizacijai, kurioje yra mažiau kaip 250 darbuotojų, asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

 

4. Priežiūros institucija skiria baudą, kurios suma gali būti iki 250.000 EUR, o įmonės atveju – iki 0,5 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

 

a) nenustato su duomenų subjektų prašymais susijusių mechanizmų arba skubiai neatsako duomenų subjektui arba atsako netinkamu formatu pagal 12 straipsnio 1 ir 2 dalis;

 

b) ima mokestį už informaciją arba atsakymus į duomenų subjektų prašymus, pažeisdamas 12 straipsnio 4 dalį.

 

5. Priežiūros institucija skiria baudą, kurios suma gali būti iki 500 000 EUR, o įmonės atveju – iki 1 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

 

a) duomenų subjektui nepateikia informacijos arba pateikia ne visą informaciją, arba pateikia informaciją nepakankamai skaidriai pagal 11 straipsnį, 12 straipsnio 3 dalį ir 14 straipsnį;

 

b) nesuteikia duomenų subjektui galimybės susipažinti arba neištaiso asmens duomenų pagal 15 ir 16 straipsnius, arba nepateikia reikšmingos informacijos duomenų gavėjui pagal 13 straipsnį;

 

c) nepaiso teisės būti pamirštam arba teisės reikalauti ištrinti duomenis arba netaiko mechanizmų, kuriais užtikrintų, kad būtų laikomasi terminų, ir nesiima visų būtinų veiksmų, kad informuotų trečiuosius asmenis, kad duomenų subjektas prašo ištrinti visas nuorodas į asmens duomenis arba jų kopijas ar dublikatus pagal 17 straipsnį;

 

d) nepateikia asmens duomenų kopijos elektroniniu formatu arba trukdo duomenų subjektui persiųsti asmens duomenis į kitą programą, pažeisdamas 18 straipsnį;

 

e) neapibrėžia arba nepakankamai apibrėžia atitinkamą bendrų duomenų valdytojų atsakomybę pagal 24 straipsnį;

 

f) nesaugo arba nepakankamai saugo dokumentus pagal 28 straipsnį, 31 straipsnio 4 dalį ir 44 straipsnio 3 dalį;

 

g) tais atvejais, kai tvarkomi specialių kategorijų duomenys, pagal 80, 82 ir 83 straipsnius nesilaiko taisyklių, susijusių su saviraiškos laisve, arba taisyklių dėl duomenų tvarkymo su darbo santykiais susijusiais tikslais, arba nesilaiko duomenų tvarkymo istoriniais, statistiniais ir mokslinių tyrimų tikslais sąlygų.

 

6. Priežiūros institucija skiria baudą, kurios suma gali būti iki 1 000 000 EUR, o įmonės atveju – iki 2 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

 

a) tvarko asmens duomenis neturėdamas jokio arba pakankamo teisinio pagrindo juos tvarkyti arba nesilaiko su sutikimu susijusių sąlygų pagal 6, 7 ir 8 straipsnius;

 

b) tvarko specialių kategorijų duomenis, pažeisdamas 9 ir 81 straipsnius;

 

c) neatsižvelgia į duomenų subjekto išreikštą nesutikimą arba nesilaiko reikalavimo pagal 19 straipsnį;

 

d) nesilaiko sąlygų dėl profiliavimu pagrįstų priemonių pagal 20 straipsnį;

 

e) nepriima vidaus nuostatų arba netaiko tinkamų priemonių, kuriomis užtikrinama, kad būtų laikomasi reikalavimų, ir tai įrodytų pagal 22, 23 ir 30 straipsnius;

 

f) nepaskiria atstovo pagal 25 straipsnį;

 

g) tvarko asmens duomenis arba nurodo juos tvarkyti, nesilaikydamas pareigų dėl duomenų tvarkymo duomenų valdytojo pavedimu pagal 26 ir 27 straipsnius;

 

h) neįspėja ar nepraneša apie asmens duomenų saugumo pažeidimą, arba laiku nepraneša ar neišsamiai praneša apie duomenų saugumo pažeidimą priežiūros institucijai arba duomenų subjektui pagal 31 ir 32 straipsnius;

 

i) neatlieka duomenų apsaugos poveikio vertinimo arba tvarko asmens duomenis negavęs priežiūros institucijos išankstinio leidimo arba iš anksto nesikonsultavęs su ja pagal 33 ir 34 straipsnius;

 

j) nepaskiria duomenų apsaugos pareigūno arba neužtikrina sąlygų atlikti užduotis pagal 35, 36 ir 37 straipsnius;

 

k) netinkamai naudoja ženklus arba žymenis, kaip apibrėžta 39 straipsnyje;

 

l) perduoda duomenis arba nurodo juos perduoti į trečiąją šalį arba tarptautinei organizacijai, kai toks perdavimas neleidžiamas nei sprendimu dėl tinkamumo, nei tinkamomis apsaugos priemonėmis, nei nukrypti leidžiančiomis nuostatomis pagal 40–44 straipsnius;

 

m) nesilaiko priežiūros institucijos nurodymo arba laikino ar nuolatinio draudimo tvarkyti duomenis arba duomenų srautų sustabdymo pagal 53 straipsnio 1 dalį;

 

n) nesilaiko pareigų priežiūros institucijai padėti arba jai atsakyti, arba pateikti reikšmingą informaciją, arba suteikti galimybę patekti į patalpas pagal 28 straipsnio 3 dalį, 29 straipsnį, 34 straipsnio 6 dalį ir 53 straipsnio 2 dalį;

 

o) nesilaiko taisyklių dėl profesinės paslapties saugojimo pagal 84 straipsnį;

 

7. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais atnaujinti 4, 5 ir 6 dalyse nurodytų administracinių baudų dydžius, atsižvelgiant į 2 dalyje nurodytus kriterijus.

7. Komisija 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais atnaujinti 2a dalyje nurodytų administracinių baudų absoliučius dydžius, atsižvelgiant į 2 ir 2c dalyse nurodytus kriterijus ir veiksnius.

Pakeitimas  189

Pasiūlymas dėl reglamento

80 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Valstybės narės nustato II skyriuje pateiktų bendrųjų principų nuostatų, III skyriuje – duomenų subjektų teisių nuostatų, IV skyriuje – duomenų valdytojų ir duomenų tvarkytojų nuostatų, V skyriuje – asmens duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms nuostatų, VI skyriuje – nepriklausomų priežiūros institucijų nuostatų, VI  skyriuje – bendradarbiavimo ir nuoseklumo nuostatų išimtis ir nukrypti leidžiančias nuostatas, kai asmens duomenys tvarkomi tik žurnalistiniais arba meninės ar literatūrinės raiškos tikslais, kad teisė į duomenų apsaugą būtų suderinta su saviraiškos laisvę reglamentuojančiomis taisyklėmis.

1. Valstybės narės nustato II skyriuje pateiktų bendrųjų principų nuostatų, III skyriuje – duomenų subjektų teisių nuostatų, IV skyriuje – duomenų valdytojų ir duomenų tvarkytojų nuostatų, V skyriuje – asmens duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms nuostatų, VI skyriuje – nepriklausomų priežiūros institucijų nuostatų, VII skyriuje – bendradarbiavimo ir nuoseklumo nuostatų ir IX skyriuje – nuostatų, susijusių su specialiais duomenų tvarkymo atvejais išimtis ir nukrypti leidžiančias nuostatas, kai to reikia, kad remiantis Europos Sąjungos pagrindinių teisių chartija teisė į duomenų apsaugą būtų suderinta su saviraiškos laisvę reglamentuojančiomis taisyklėmis.

Pakeitimas  190

Pasiūlymas dėl reglamento

80 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

80a straipsnis

 

Galimybė susipažinti su dokumentais

 

1. Valstybinės institucijos arba organizacijos turimuose dokumentuose esantys asmens duomenys šios institucijos arba organizacijos gali būti atskleisti laikantis Sąjungos arba valstybės narės teisės aktų dėl viešos prieigos prie oficialių dokumentų, kuriais yra suderinama teisė į asmens duomenų apsaugą su viešos prieigos prie oficialiųjų dokumentų principu.

 

2. Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

Pakeitimas  191

Pasiūlymas dėl reglamento

81 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Asmens sveikatos duomenų tvarkymas

Asmens sveikatos duomenų tvarkymas

1. Laikantis šio reglamento ribų ir pagal 9 straipsnio 2 dalies punktą asmens sveikatos duomenų tvarkymas turi būti grindžiamas Sąjungos teisės aktais arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos ir specialios priemonės duomenų subjekto teisėtiems interesams apsaugoti, ir būtinas:

1. Remiantis šiame reglamente išdėstytomis taisyklėmis, ypač 9 straipsnio 2 dalies punktu, asmens sveikatos duomenų tvarkymas turi būti grindžiamas Sąjungos teisės aktais arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos, nuoseklios ir specialios priemonės duomenų subjekto interesams ir pagrindinėms teisėms apsaugoti, kad duomenų tvarkymas būtų būtinas ir proporcingas, duomenų subjektas galėtų numatyti jo poveikį ir kad jis būtų atliekamas:

a) teikiant profilaktinės ar darbo medicinos, medicininės diagnostikos, medicininės priežiūros ar gydymo paslaugas arba sveikatos priežiūros valdymui ir jeigu tokius duomenis tvarko sveikatos priežiūros specialistas, kuriam taikoma pareiga saugoti profesinę paslaptį, arba kitas asmuo, kuriam taip pat taikoma lygiavertė konfidencialumo pareiga pagal valstybės narės teisės aktus arba nacionalinių kompetentingų institucijų nustatytas taisykles; arba

a) teikiant profilaktinės ar darbo medicinos, medicininės diagnostikos, medicininės priežiūros ar gydymo paslaugas arba sveikatos priežiūros valdymui ir jeigu tokius duomenis tvarko sveikatos priežiūros specialistas, kuriam taikoma pareiga saugoti profesinę paslaptį, arba kitas asmuo, kuriam taip pat taikoma lygiavertė konfidencialumo pareiga pagal valstybės narės teisės aktus arba nacionalinių kompetentingų institucijų nustatytas taisykles, arba

b) dėl viešojo intereso priežasčių visuomenės sveikatos srityje, kaip antai siekiant apsisaugoti nuo rimtų tarpvalstybinių grėsmių sveikatai arba užtikrinti aukštus kokybės ir saugos standartus, be kita ko, susijusius su medicininiais produktais arba medicininiais prietaisais; arba

b) dėl viešojo intereso priežasčių visuomenės sveikatos srityje, kaip antai siekiant apsisaugoti nuo rimtų tarpvalstybinių grėsmių sveikatai arba užtikrinti aukštus kokybės ir saugos standartus, be kita ko, susijusius su medicininiais produktais arba medicininiais prietaisais, ir jei duomenis tvarko konfidencialumo pareigos saistomas asmuo, arba

c) dėl kitų viešojo intereso priežasčių tokiose srityse, kaip socialinė apsauga, ypač siekiant užtikrinti, kad sveikatos draudimo sistemoje prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros būtų kokybiškos ir nereikalautų daug sąnaudų.

c) dėl kitų viešojo intereso priežasčių tokiose srityse, kaip socialinė apsauga, ypač siekiant užtikrinti, kad sveikatos draudimo sistemoje prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros ir teikiamos sveikatos priežiūros paslaugos būtų kokybiškos ir nereikalautų daug sąnaudų. Asmens duomenų, susijusių su sveikata, tvarkymas dėl viešojo intereso priežasčių neturėtų lemti duomenų tvarkymo kitais tikslais, nebent duomenų subjektui davus sutikimą arba pagal Sąjungos ar valstybės narės teisės aktus.

 

1a. Kai 1 dalies a–c punktuose nurodytus tikslus galima pasiekti nenaudojant asmens duomenų, šie duomenys minėtiesiems tikslams nenaudojami, nebent duomenų subjektui davus sutikimą arba pagal Sąjungos ar valstybės narės teisės aktus.

 

1b. Jei norint išskirtinai visuomenės sveikatos tyrimų tikslais tvarkyti medicininius duomenis būtinas duomenų subjekto sutikimas, sutikimą galima duoti vienam ar daugiau konkrečių ir panašių tyrimų. Tačiau duomenų subjektas gali bet kuriuo metu atšaukti savo sutikimą.

 

1c. Sutikimo dalyvauti mokslinių tyrimų veikloje atliekant klinikinius tyrimus tikslais taikomos atitinkamos Europos Parlamento ir Tarybos direktyvos 2001/20/EB1 nuostatos.

2. Asmens sveikatos duomenų tvarkymui, būtinam istoriniais, statistiniais arba mokslinių tyrimų tikslais, kaip antai pacientų registrai, kurie sukurti siekiant gerinti diagnozes ir atskirti panašių rūšių ligas, taip pat rengti gydymo tyrimus, taikomos 83 straipsnyje nurodytos sąlygos ir apsaugos priemonės.

2. Asmens sveikatos duomenų tvarkymas, būtinas istoriniais, statistiniais arba mokslinių tyrimų tikslais, leidžiamas tik duomenų subjektui sutikus, ir tokiam tvarkymui taikomos 83 straipsnyje nurodytos sąlygos ir apsaugos priemonės.

 

2a. Valstybių narių teisės aktais gali būti numatytos reikalavimo gauti sutikimą 2 dalyje nurodytiems moksliniams tyrimams išimtys, taikomos moksliniams tyrimams, atitinkantiems svarbų viešąjį interesą, jeigu tų mokslinių tyrimų neįmanoma atlikti kitaip. Atitinkami duomenys paverčiami anoniminiais arba, jei to neįmanoma padaryti mokslinių tyrimų tikslais, taikant aukščiausius techninius standartus šie duomenys paverčiami pseudoniminiais duomenimis ir imamasi visų reikiamų priemonių, kad nebūtų galima iš naujo nustatyti duomenų subjektų tapatybės. Tačiau duomenų subjektas pagal 19 straipsnį turi teisę bet kuriuo metu nesutikti.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais išsamiau nustatyti kitas viešojo intereso priežastis visuomenės sveikatos srityje, kaip nurodyta 1 dalies b punkte, taip pat apsaugos priemonių, taikomų asmens duomenis tvarkant 1 dalyje nurodytais tikslais, kriterijus ir reikalavimus.

3. Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašiusi Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus ir jais išsamiau nustatyti viešąjį interesą visuomenės sveikatos srityje, kaip nurodyta 1 dalies b punkte, ir svarbų viešąjį interesą mokslinių tyrimų srityje, kaip nurodyta 2a dalyje.

 

3a. Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

 

1 Balandžio 4 d. Europos Parlamento ir Tarybos direktyva 2001/20/EB dėl valstybių narių įstatymų ir kitų teisės aktų, susijusių su geros klinikinės praktikos įgyvendinimu atliekant žmonėms skirtų vaistų klinikinius tyrimus, suderinimo (OL L 121, 2001 5 1, p. 34).

Pakeitimas  192

Pasiūlymas dėl reglamento

82 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų tvarkymas su darbo santykiais susijusiais tikslais

Duomenų tvarkymo su darbo santykiais susijusiais tikslais būtiniausi standartai

1. Laikydamosi šio reglamento ribų, valstybės narės gali teisės aktais priimti specialias taisykles, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais, visų pirma juos samdant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyviniais susitarimais nustatytų pareigų vykdymą, darbo valdymą, planavimą ir organizavimą, sveikatos priežiūrą ir saugą darbe, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat nutraukti darbo santykius.

1. Laikydamosi šiuo reglamentu nustatytų taisyklių ir atsižvelgdamos į proporcingumo principą, valstybės narės gali teisės nuostatomis priimti specialias taisykles, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais, visų pirma (bet ne tik) juos samdant, jiems teikiant paraišką gauti darbo vietą įmonių grupėje, vykdant darbo sutartį, įskaitant teisės aktais ir kolektyviniais susitarimais nustatytų pareigų vykdymą pagal nacionalinės teisės aktus ir praktiką, darbo valdymą, planavimą ir organizavimą, sveikatos priežiūrą ir saugą darbe, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat nutraukti darbo santykius. Valstybės narės gali leisti, kad kolektyvinėse sutartyse būtų sukonkretintos šiame straipsnyje išdėstytos nuostatos.

 

1a. Tokių duomenų tvarkymo tikslas turi būti susijęs su priežastimi, dėl kurios jie buvo surinkti, ir likti susijęs su darbo santykiais. Draudžiama juos naudoti profiliavimui ar antriniams tikslams.

 

1b. Darbuotojo sutikimas nelaikomas galiojančiu duomenų tvarkymo, atliekamo darbdavio, teisiniu pagrindu, jei sutikimas nebuvo duotas savanoriškai.

 

1c. Nepažeidžiant kitų šio reglamento nuostatų, 1 dalyje nurodytos valstybių narių teisės nuostatos apima bent šiuos būtiniausius standartus:

 

 

a) draudžiama tvarkyti darbuotojų asmens duomenis be jų žinios. Nepaisant pirmo sakinio, valstybės narės, nustatydamos duomenų ištrynimo terminus, gali įstatymiškai leisti tokią praktiką tuo atveju, kai iš faktinių pradinių duomenų, kuriuos reikia pagrįsti dokumentais, galima daryti išvadą, kad darbuotojas įvykdė su darbo santykiais susijusį nusikaltimą arba yra kaltas dėl didelio tarnybinio aplaidumo, kai reikia atlikti tyrimus siekiant išsiaiškinti įvykį ir kai tyrimų būdas ir mastas yra būtini ir proporcingi tikslui, kuriam jie skirti, pasiekti. Visada turi būti saugomas darbuotojų privatumas ir asmeninis gyvenimas. Tyrimus atlieka kompetentingos institucijos;

 

b) draudžiamas atviras vaizdo elektroninis ir (arba) atviras garso elektroninis sekimas, vykdomas viešai neprieinamose įmonės patalpose, skirtose daugiausia asmeninėms darbuotojų reikmėms, ypač sanitarijos, pertraukų ir miegamosiose patalpose. Slaptai sekti draudžiama bet kokiu atveju;

 

c) jei įmonės ar institucijos, kai atliekama medicininė apžiūra ir (arba) tinkamumo testai, tvarko asmens duomenis, jos prieš tai turi paaiškinti kandidatui ar darbuotojui, kam šie duomenys naudojami, ir užtikrinti, kad po to jie bus pateikti drauge su rezultatais ir, gavus prašymą, paaiškinti. Iš principo draudžiama rinkti duomenis genetinių bandymų ir tyrimų tikslais;

 

d) ar ir kiek leidžiama naudotis telefonu, elektroniniu paštu, internetu ir kitomis telekomunikacijų paslaugomis asmeniniais tikslais, galima nustatyti pagal kolektyvines sutartis. Jeigu tai nėra reglamentuojama pagal kolektyvinę sutartį, darbuotojas šiuo klausimu susitaria tiesiogiai su darbdaviu. Jeigu leidžiamas asmeninis naudojimas, susikaupusius duomenis leidžiama tvarkyti visų pirma siekiant užtikrinti duomenų saugumą, tinkamą telekomunikacijų tinklų ir paslaugų veikimą ir apskaitos tikslais.

 

Nepaisant trečio sakinio, valstybės narės, nustačiusios duomenų ištrynimo terminus, gali įstatymiškai leisti tokią praktiką tuo atveju, kai iš faktinių pradinių duomenų, kuriuos reikia pagrįsti dokumentais, galima daryti išvadą, kad darbuotojas įvykdė su darbo santykiais susijusį nusikaltimą arba yra kaltas dėl didelio tarnybinio aplaidumo, kai reikia atlikti tyrimus siekiant išsiaiškinti įvykį ir kai tyrimų būdas ir mastas yra proporcingi tikslui. Visada turi būti saugomas darbuotojų privatumas ir asmeninis gyvenimas. Tyrimus atlieka kompetentingos institucijos;

 

e) darbuotojų asmens duomenys, visų pirma neskelbtini duomenys, pvz., politinės pažiūros, priklausymas profesinėms sąjungoms ir veikla jose, jokiu būdu negali būti naudojami siekiant įtraukti darbuotojus į vadinamuosius juoduosius sąrašus, tikrinti juos ir užkirsti jiems kelią ateityje gauti darbą; Draudžiama tvarkyti, naudoti su darbo santykiais susijusiu tikslu, sudaryti ir perduoti vadinamuosius juoduosius darbuotojų sąrašus. Valstybės narės atlieka patikrinimus ir nustato atitinkamas sankcijas pagal 79 straipsnio 6 dalį, siekdamos užtikrinti veiksmingą šios dalies vykdymą.

 

1d. Darbuotojų asmens duomenis galima perduoti ir atiduoti tvarkyti teisiškai savarankiškoms įmonių grupės įmonėms ir teisinių ar mokesčių konsultanto profesijų asmenims, jeigu duomenys yra svarbūs įmonės veiklai ir naudojami tikslinėms darbo ar administracinėms procedūroms atlikti ir neprieštarauja duomenų subjekto interesams ir pagrindinėms teisėms, kurias reikia apsaugoti. Jeigu darbuotojo duomenys perduodami į trečiąsias šalis ir (arba) tarptautinei organizacijai, taikomas V skyrius.

2. Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

2. Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 ir 1b dalis, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius apsaugos priemonių tvarkant asmens duomenis 1 dalyje nurodytais tikslais kriterijus ir reikalavimus.

3. Komisija pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus ir jais nustatyti išsamesnius apsaugos priemonių tvarkant asmens duomenis 1 dalyje nurodytais tikslais kriterijus ir reikalavimus.

Pakeitimas  193

Pasiūlymas dėl reglamento

82 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

82a straipsnis

 

Duomenų tvarkymas su socialine apsauga susijusiais tikslais

 

1. Valstybės narės, remdamosi šiuo reglamentu nustatytomis taisyklėmis, gali priimti specialias teisėkūros taisykles, kuriomis būtų konkrečiai nurodomos valdžios ir privačių institucijų ir įstaigų atliekamo asmens duomenų tvarkymo sąlygos socialinės apsaugos srityje, jei duomenys tvarkomi siekiant viešojo intereso.

 

2. Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie tokias savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

Pakeitimas  194

Pasiūlymas dėl reglamento

83 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Duomenų tvarkymas istoriniais, statistiniais ir mokslinių tyrimų tikslais

Duomenų tvarkymas istoriniais, statistiniais ir mokslinių tyrimų tikslais

1. Laikantis šio reglamento ribų, asmens duomenys gali būti tvarkomi istoriniais, statistiniais ir mokslinių tyrimų tikslais tik tuo atveju, jeigu:

1. Laikantis šiame reglamente išdėstytų taisyklių, asmens duomenys gali būti tvarkomi istoriniais, statistiniais ir mokslinių tyrimų tikslais tik tuo atveju, jeigu:

a) šių tikslų negalima pasiekti kitu būdu tvarkant duomenis, iš kurių neįmanoma arba jau neįmanoma nustatyti duomenų subjekto tapatybės;

a) šių tikslų negalima pasiekti kitu būdu tvarkant duomenis, iš kurių neįmanoma arba jau neįmanoma nustatyti duomenų subjekto tapatybės;

b) duomenys, pagal kuriuos informaciją galima priskirti duomenų subjektui, kurio tapatybė yra nustatyta arba gali būti nustatyta, laikomi atskirai nuo kitos informacijos, jeigu tokiu būdu galima pasiekti šiuos tikslus.

b) duomenys, pagal kuriuos informaciją galima priskirti duomenų subjektui, kurio tapatybė yra nustatyta arba gali būti nustatyta, taikant aukščiausius techninius standartus laikomi atskirai nuo kitos informacijos ir imamasi visų reikiamų priemonių, kad nebūtų galima iš naujo nustatyti duomenų subjektų tapatybės.

2. Istorinius, statistinius ar mokslinius tyrimus atliekančios įstaigos gali paskelbti arba kitaip paviešinti asmens duomenis tik tuo atveju, jeigu:

 

a) duomenų subjektas davė sutikimą pagal 7 straipsnyje nustatytas sąlygas;

 

b) asmens duomenis paskelbti būtina tyrimų išvadoms pateikti arba tyrimams palengvinti, jeigu šie interesai nėra viršesni už duomenų subjekto interesus arba pagrindines teises ar laisves; arba

 

c) duomenų subjektas paskelbė duomenis viešai.

 

3. Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius asmens duomenų tvarkymo 1 ir 2 dalyse nurodytais tikslais kriterijus ir reikalavimus, taip pat bet kokius būtinus duomenų subjekto teisės gauti informaciją ir susipažinti su duomenimis apribojimus, ir išdėstyti šiomis aplinkybėmis duomenų subjekto teisėms taikomas sąlygas ir apsaugos priemones.

 

Pakeitimas  195

Pasiūlymas dėl reglamento

83 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

83a straipsnis

 

Archyvų tarnybos atliekamas asmens duomenų tvarkymas

 

1. Baigus pradinį duomenų tvarkymą, dėl kurio buvo rinkti duomenys, asmens duomenis gali tvarkyti archyvų tarnyba, kurios pagrindinė ar privaloma užduotis yra siekiant viešojo intereso rinkti, saugoti, naudoti ir platinti archyvus bei teikti apie juos informaciją, ypač siekiant įgyvendinti asmenų teises ar istoriniais, statistiniais arba mokslinių tyrimų tikslais. Šios užduotys vykdomos laikantis valstybių narių nustatytų taisyklių dėl teisės susipažinti su administraciniais arba archyviniais dokumentais, juos skelbti bei platinti ir laikantis šiame reglamente išdėstytų taisyklių, ypač susijusių su sutikimu ir teise nesutikti.

 

2. Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

Pakeitimas  196

Pasiūlymas dėl reglamento

84 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1. Laikydamosi šio reglamento ribų, valstybės narės gali priimti specialias taisykles ir jomis išdėstyti 53 straipsnio 2 dalyje nustatytus priežiūros institucijų tyrimo įgaliojimus dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal nacionalinės teisės aktus arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį arba kitos lygiavertės pareigos saugoti paslaptį, jeigu tai būtina ir proporcinga, siekiant suderinti teisę į asmens duomenų apsaugą su pareiga saugoti paslaptį. Šios taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma pareiga saugoti paslaptį.

1. Laikydamosi šiame reglamente išdėstytų taisyklių, valstybės narės užtikrina, kad būtų parengtos specialios taisyklės, taikomos 53 straipsnyje nustatytiems priežiūros institucijų įgaliojimams dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal nacionalinės teisės aktus arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį arba kitos lygiavertės pareigos saugoti paslaptį, jeigu tai būtina ir proporcinga, siekiant suderinti teisę į asmens duomenų apsaugą su pareiga saugoti paslaptį. Šios taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma pareiga saugoti paslaptį.

Pakeitimas  197

Pasiūlymas dėl reglamento

85 straipsnis

Komisijos siūlomas tekstas

Pakeitimas

Bažnyčių ir religinių asociacijų galiojančios duomenų apsaugos taisyklės

Bažnyčių ir religinių asociacijų galiojančios duomenų apsaugos taisyklės

1. Jeigu įsigaliojant šiam reglamentui valstybėje narėje bažnyčios ir religinės asociacijos arba bendruomenės taiko visapusiškas taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės gali būti toliau taikomos, jeigu jos yra suderintos su šio reglamento nuostatomis.

1. Jeigu įsigaliojant šiam reglamentui valstybėje narėje bažnyčios ir religinės asociacijos arba bendruomenės taiko atitinkamas taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės gali būti toliau taikomos, jeigu jos yra suderintos su šio reglamento nuostatomis.

2. Bažnyčios ir religinės asociacijos, taikančios visapusiškas taisykles pagal 1 dalį, numato įsteigia nepriklausomą priežiūros instituciją pagal šio reglamento VI skyrių.

2. Bažnyčios ir religinės asociacijos, taikančios atitinkamas taisykles pagal 1 dalį, gauna nuomonę dėl reikalavimų laikymosi pagal 38 straipsnį.

Pakeitimas  198

Pasiūlymas dėl reglamento

85 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

85a straipsnis

 

Žmogaus teisių laikymasis

 

Šis reglamentas nekeičia pareigos gerbti pagrindines teises ir pagrindinius teisės principus, įtvirtintus ES sutarties 6 straipsnyje.

Pakeitimas  199

Pasiūlymas dėl reglamento

85 b straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

85b straipsnis

 

Standartinės formos

 

1. Komisija gali, atsižvelgdama į specialius įvairių sektorių ir duomenų tvarkymo atvejų ypatumus ir reikalavimus, nustatyti standartines formas:

 

a) specialiems metodams įrodomam sutikimui, nurodytam 8 straipsnio 1 dalyje, gauti,

 

 

b) 12 straipsnio 2 dalyje nurodytam informavimui, įskaitant elektroninį formatą,

 

c) informacijos, minimos 14 straipsnio 1–3 dalyse, teikimui,

 

d) prašymui susipažinti su informacija, nurodyta 15 straipsnio 1 dalyje, įskaitant asmens duomenų pateikimą duomenų subjektui, ir leidimui susipažinti su šia informacija,

 

e) dokumentams, nurodytiems 28 straipsnio 1 dalyje,

 

f) pagal 31 straipsnį priežiūros institucijai teikiamiems pranešimams apie asmens duomenų saugumo pažeidimą ir 31 straipsnio 4 dalyje nurodytiems dokumentams,

 

g) 34 straipsnyje minimam išankstiniam konsultavimuisi ir priežiūros institucijų informavimui pagal 34 straipsnio 6 dalį.

 

2. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių.

 

3. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

Pakeitimas  200

Pasiūlymas dėl reglamento

86 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. 6 straipsnio 5 dalyje, 8 straipsnio 3 dalyje, 9 straipsnio 3 dalyje, 12 straipsnio 5 dalyje, 14 straipsnio 7 dalyje, 15 straipsnio 3 dalyje, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalyje, 22 straipsnio 4 dalyje, 23 straipsnio 3 dalyje, 26 straipsnio 5 dalyje, 28 straipsnio 5 dalyje, 30 straipsnio 3 dalyje, 31 straipsnio 5 dalyje, 32 straipsnio 5 dalyje, 33 straipsnio 6 dalyje, 34 straipsnio 8 dalyje, 35 straipsnio 11 dalyje, 37 straipsnio 2 dalyje, 39 straipsnio 2 dalyje, 43 straipsnio 3 dalyje, 44 straipsnio 7 dalyje, 79 straipsniodalyje, 81 straipsnio 3 dalyje, 82 straipsnio 3 dalį ir 83 straipsnio 3 dalyje nurodyti įgaliojimai Komisijai suteikiami neribotam laikotarpiui nuo šio reglamento įsigaliojimo datos.

2. 13a straipsnio 5 dalyje, 17 straipsnio 9 dalyje, 38 straipsnio 4 dalyje, 39 straipsnio 2 dalyje, 41 straipsnio 3 dalyje, 41 straipsnio 5 dalyje, 43 straipsnio 3 dalyje, 79 straipsnio 7 dalyje, 81 straipsnio 3 dalyje ir 82 straipsnio 3 dalyje nurodyti įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami neribotam laikotarpiui nuo šio reglamento įsigaliojimo datos.

Pakeitimas  201

Pasiūlymas dėl reglamento

86 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3. Europos Parlamentas arba Taryba bet kuriuo metu gali atšaukti suteiktus 6 straipsnio 5 dalyje, 8 straipsnio 3 dalyje, 9 straipsnio 3 dalyje, 12 straipsnio 5 dalyje, 14 straipsnio 7 dalyje, 15 straipsnio 3 dalyje, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalyje, 22 straipsnio 4 dalyje, 23 straipsnio 3 dalyje, 26 straipsnio 5 dalyje, 28 straipsnio 5 dalyje, 30 straipsnio 3 dalyje, 31 straipsnio 5 dalyje, 32 straipsnio 5 dalyje, 33 straipsnio 6 dalyje, 34 straipsnio 8 dalyje, 35 straipsnio 11 dalyje, 37 straipsnio 2 dalyje, 39 straipsnio 2 dalyje, 43 straipsnio 3 dalyje, 44 straipsnio 7 dalyje, 79 straipsniodalyje, 81 straipsnio 3 dalyje, 82 straipsnio 3 dalį ir 83 straipsnio 3 dalyje nurodytus įgaliojimus. Sprendimu dėl atšaukimo panaikinami suteikti tame sprendime nurodyti įgaliojimai. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba jame nurodytą vėlesnę dieną. Jis neturi poveikio jau galiojantiems deleguotiesiems aktams.

3. Europos Parlamentas arba Taryba gali bet kuriuo metu atšaukti 13a straipsnio 5 dalyje, 17 straipsnio 9 dalyje, 38 straipsnio 4 dalyje, 39 straipsnio 2 dalyje, 41 straipsnio 3 dalyje, 41 straipsnio 5 dalyje, 43 straipsnio 3 dalyje, 79 straipsnio 7 dalyje, 81 straipsnio 3 dalyje ir 82 straipsnio 3 dalyje nurodytų įgaliojimų suteikimą. Sprendimu dėl atšaukimo nutraukiamas tame sprendime nurodytų įgaliojimų suteikimas. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba jame nurodytą vėlesnę dieną. Jis neturi poveikio jau galiojantiems deleguotiesiems aktams.

Pakeitimas  202

Pasiūlymas dėl reglamento

86 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5. Deleguotieji aktai, priimti pagal 6 straipsnio 5 dalį, 8 straipsnio 3 dalį, 9 straipsnio 3 dalį, 12 straipsnio 5 dalį, 14 straipsnio 7 dalį, 15 straipsnio 3 dalį, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalį, 22 straipsnio 4 dalį, 23 straipsnio 3 dalį, 26 straipsnio 5 dalį, 28 straipsnio 5 dalį, 30 straipsnio 3 dalį, 31 straipsnio 5 dalį, 32 straipsnio 5 dalį, 33 straipsnio 6 dalį, 34 straipsnio 8 dalį, 35 straipsnio 11 dalį, 37 straipsnio 2 dalį, 39 straipsnio 2 dalį, 43 straipsnio 3 dalį, 44 straipsnio 7 dalį, 79 straipsniodalį, 81 straipsnio 3 dalį, 82 straipsnio 3 dalį ir 83 straipsnio 3 dalį įsigalioja tik tuo atveju, jeigu per 2 mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie tą aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimo arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba informuoja Komisiją, kad neprieštaraus. Europos Parlamento arba Tarybos iniciatyva tas laikotarpis pratęsiamas dviem mėnesiams.

5. Pagal 13a straipsnio 5 dalį, 17 straipsnio 9 dalį, 38 straipsnio 4 dalį, 39 straipsnio 2 dalį, 41 straipsnio 3 dalį, 41 straipsnio 5 dalį, 43 straipsnio 3 dalį, 79 straipsnio 7 dalį, 81 straipsnio 3 dalį ir 82 straipsnio 3 dalį priimtas deleguotasis aktas įsigalioja tik tuomet, jeigu per šešis mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie tą aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimo arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba informuoja Komisiją, kad neprieštaraus. Europos Parlamento arba Tarybos iniciatyva tas laikotarpis pratęsiamas šešiems mėnesiams.

Pakeitimas  203

Pasiūlymas dėl reglamento

87 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

Išbraukta.

Pakeitimas  204

Pasiūlymas dėl reglamento

89 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2. Direktyvos 2002/58/EB 1 straipsnio 2 išbraukiama.

2. Direktyvos 2002/58/EB 1 straipsnio 2 dalis, 4 ir 15 straipsniai išbraukiami.

Pakeitimas  205

Pasiūlymas dėl reglamento

89 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a. Komisija nedelsdama, vėliausiai – iki 91 straipsnio 2 dalyje nurodytos datos, pateikia pasiūlymą persvarstyti teisinę asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių paslaugų srityje sistemą, siekdama suderinti teisės aktus su šiuo reglamentu ir užtikrinti nuoseklias ir vienodas teisės nuostatas dėl pagrindinės teisės į asmens duomenų apsaugą Europos Sąjungoje.

Pakeitimas  206

Pasiūlymas dėl reglamento

89 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

89a straipsnis

 

Ryšys su Reglamentu (EB) 45/2001/EB ir jo keitimas

 

1. Šiame reglamente išdėstytos taisyklės taikomos Sąjungos institucijų, įstaigų, organų ir agentūrų asmens duomenų tvarkymui srityse, kuriose netaikomos papildomos Reglamente (EB) Nr. 45/2001 išdėstytos taisyklės.

 

2. Komisija vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos nedelsdama pateikia Sąjungos institucijų, įstaigų, organų ir agentūrų tvarkomiems asmens duomenims taikomos teisinės sistemos persvarstymo pasiūlymą.

1 priedas. 13a straipsnyje (naujas) nurodytos informacijos pateikimas

1) Laikantis 6 punkte nurodytų proporcijų, informacija pateikiama tokiu būdu:

2) Šie žodžiai 1 punkto lentelės antrame stulpelyje („ESMINĖ INFORMACIJA“) nurodytose eilutėse rašomi pusjuodžiu šriftu:

a) žodis „nerenkama“ pirmoje antro stulpelio eilutėje;

b) žodis „nesaugoma“ antroje antro stulpelio eilutėje;

c) žodis „tvarkomi“ trečioje antro stulpelio eilutėje;

d) žodis „platinami“ ketvirtoje antro stulpelio eilutėje;

e) žodžiai „parduodami ar nuomojami“ penktoje antro stulpelio eilutėje;

f) žodis „koduoti“ šeštoje antro stulpelio eilutėje.

3) Laikantis 6 punkte nurodytų proporcijų, 1 punkto lentelės trečio stulpelio („ĮVYKDYTA“) nurodytos eilutės užpildomos įrašant vieną iš dviejų grafinių formų, laikantis 4 punkte nustatytų sąlygų:

a)

b)

4)

a) Jei nerenkama daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės pirmoje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

b) Jei renkama daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės pirmoje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

c) Jei nesaugoma daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės antroje trečio stu