(Įprasta teisėkūros procedūra: pirmasis svarstymas)

Europos Parlamentas,

–  atsižvelgdamas į Komisijos pasiūlymą Europos Parlamentui ir Tarybai (COM(2012)0011),

–  atsižvelgdamas į Sutarties dėl Europos Sąjungos veikimo 294 straipsnio 2 dalį, 16 straipsnio 2 dalį ir į 114 straipsnio 1 dalį, pagal kuriuos Komisija pateikė pasiūlymą Parlamentui (C7-0025/2012),

–  atsižvelgdamas į Sutarties dėl Europos Sąjungos veikimo 294 straipsnio 3 dalį,

–  atsižvelgdamas į Belgijos Atstovų Rūmų, Vokietijos Bundesrato, Prancūzijos Senato, Italijos Deputatų Rūmų ir Švedijos Riksdago pagal Protokolą Nr. 2 dėl subsidiarumo ir proporcingumo principų taikymo pateiktas pagrįstas nuomones, kuriose tvirtinama, jog teisėkūros procedūra priimamo akto projektas neatitinka subsidiarumo principo,

–  atsižvelgdamas į 2012 m. gegužės 23 d. Europos ekonomikos ir socialinių reikalų komiteto nuomonę(1),

–  pasikonsultavęs su Regionų komitetu,

–  atsižvelgdamas į 2012 m. kovo 7 d. Europos duomenų apsaugos priežiūros pareigūno nuomonę(2),

–  atsižvelgdamas į 2012 m. spalio 1 d. Europos Sąjungos pagrindinių teisių agentūros nuomonę,

–  atsižvelgdamas į Darbo tvarkos taisyklių 55 straipsnį,

–  atsižvelgdamas į Piliečių laisvių, teisingumo ir vidaus reikalų komiteto pranešimą ir į Užimtumo ir socialinių reikalų komiteto, Pramonės, mokslinių tyrimų ir energetikos komiteto, Vidaus rinkos ir vartotojų apsaugos komiteto bei Teisės reikalų komiteto nuomones (A7-0402/2013),

1.  priima per pirmąjį svarstymą toliau pateiktą poziciją;

2.  ragina Komisiją dar kartą perduoti klausimą svarstyti Parlamentui, jei ji ketina pasiūlymą keisti iš esmės arba pakeisti jo tekstą nauju tekstu;

3.  paveda Pirmininkui perduoti Parlamento poziciją Tarybai, Komisijai ir nacionaliniams parlamentams.

(1) OL C 229, 2012 7 31, p. 90. (2) OL C 192, 2012 6 30, p. 7.

(Tekstas svarbus EEE)

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį ir 114 straipsnio 1 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisėkūros procedūra priimamo akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę(1),

pasikonsultavę su Regionų komitetu,

atsižvelgdami į Europos duomenų apsaugos priežiūros pareigūno nuomonę(2),

laikydamiesi įprastos teisėkūros procedūros(3),

kadangi:

(1)  fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties 16 straipsnio 1 dalyje nustatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

(2)  duomenų tvarkymo paskirtis – tarnauti žmogui; asmenų apsaugos principais ir taisyklėmis, taikomais tvarkant jų asmens duomenis, turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Tai turėtų padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą, skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką, siekti jų integracijos vidaus rinkoje ir žmonių gerovės;

(3)  Europos Parlamento ir Tarybos direktyva 95/46/EB(4) siekiama suderinti fizinių asmenų pagrindinių teisių ir laisvių apsaugą atliekant duomenų tvarkymo operacijas ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių;

(4)  dėl ekonominės ir socialinės integracijos, kuri yra vidaus rinkos veikimo rezultatas, labai išaugo judėjimas tarp valstybių narių. Sąjungoje padidėjo keitimosi duomenimis tarp ūkio ir socialinio sektoriaus, taip pat viešojo ir privačiojo sektoriaus subjektų mastas. Sąjungos teisė įpareigoja valstybių narių institucijas bendradarbiauti ir keistis asmens duomenimis, kad šios galėtų vykdyti savo pareigas arba kitos valstybės narės institucijos prašymu atlikti užduotis;

(5)  dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Stipriai išaugo keitimosi duomenimis ir jų rinkimo mastas. Technologijos leidžia privačioms įmonėms ir valdžios institucijoms vykdant savo veiklą precedento neturinčiu mastu naudotis asmens duomenimis. Asmenys vis dažniau viešina asmeninę informaciją, su kuria galima susipažinti pasauliniame tinkle. Technologijos pakeitė ekonominį ir socialinį gyvenimą todėl reikia palengvinti laisvą duomenų judėjimą Sąjungoje ir jų perdavimą į trečiąsias šalis bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį;

(6)  dėl šių pokyčių Sąjungoje reikia nustatyti tvirtus ir nuoseklesnius duomenų apsaugos reglamentavimo pagrindus, kurie būtų griežtai įgyvendinami, kad išaugtų pasitikėjimas, kuris skaitmeninei ekonomikai padėtų įsitvirtinti vidaus rinkoje. Asmenims turėtų būti suteikta galimybė kontroliuoti savo asmens duomenis, be to, teisiniu ir praktiniu požiūriu turėtų būti sustiprintas ūkinės veiklos vykdytojų ir valdžios institucijų pasitikėjimas;

(7)  Direktyvos 95/46/EB tikslai ir principai tebegalioja, tačiau ji neužkirto kelio skirtingam asmens duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ir plačiai paplitusiai viešajai nuomonei, kad ypač internete asmenų apsaugai kyla rimtų grėsmių. Dėl skirtingo asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje. Todėl šie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungoje, iškreipti konkurenciją ar trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę. Skirtingo lygio apsaugą lėmė nevienodas Direktyvos 95/46/EB įgyvendinimas ir taikymas;

(8)  siekiant užtikrinti vienodą aukšto lygio asmenų apsaugą ir pašalinti asmens duomenų judėjimo kliūtis, visose valstybėse narėse turėtų būti suteikiama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą tvarkant asmens duomenis, taikymas;

(9)  siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir patikslinti duomenų subjektų teises ir asmens duomenis tvarkančių ir su jų tvarkymu susijusius sprendimus priimančių subjektų pareigas, bet ir nustatyti lygiaverčius priežiūros įgaliojimus valstybėse narėse ir užtikrinti, kad būtų laikomasi asmens duomenų apsaugos taisyklių, o pažeidėjams taikomos lygiavertės sankcijos;

(10)  Sutarties 16 straipsnio 2 dalimi Europos Parlamentas ir Taryba įgaliojami nustatyti asmenų apsaugos tvarkant asmens duomenis ir laisvo asmens duomenų judėjimo taisykles;

(11)  siekiant užtikrinti vienodą asmenų apsaugą visoje Sąjungoje ir pašalinti skirtumus, kurie kliudo asmens duomenų judėjimui vidaus rinkoje, būtina priimti reglamentą, kuris ūkinės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, suteiktų teisinio tikrumo ir skaidrumo, asmenims – visose valstybėse narėse vienodas teisiškai įgyvendinamas teises, duomenų valdytojams ir duomenų tvarkytojams – nustatytų vienodas pareigas bei atsakomybę, užtikrintų nuoseklią asmens duomenų tvarkymo priežiūrą ir visose valstybėse narėse lygiavertes sankcijas, taip pat veiksmingą atskirų valstybių narių priežiūros institucijų bendradarbiavimą. Kad būtų atsižvelgta į ypatingą labai mažų, mažųjų ir vidutinių įmonių padėtį, šiame reglamente numatyta tam tikrų nukrypti leidžiančių nuostatų. Be to, Sąjungos institucijos ir įstaigos, valstybės narės ir jų priežiūros institucijos raginamos taikant šį reglamentą atsižvelgti į specialius labai mažų, mažųjų ir vidutinių įmonių poreikius. Labai mažų, mažųjų ir vidutinių įmonių apibrėžtis turėtų būti grindžiama Komisijos rekomendacija 2003/361/EB(5);

(12)  šiuo reglamentu fiziniams asmenims užtikrinama apsauga tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Kiek tai susiję su juridinių asmenų ir ypač juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymu, teisė remtis šiuo reglamentu nesuteikiama. Tai taikytina ir tais atvejais, kai juridinio asmens pavadinime yra vieno ar daugiau fizinių asmenų vardai;

(13)  asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir nepriklausyti nuo taikomų metodų; priešingu atveju iškiltų rimta teisės aktų apėjimo grėsmė. Asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

(14)  šiuo reglamentu nereguliuojami nei pagrindinių teisių ir laisvių apsaugos ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, judėjimo klausimai, nei asmens duomenų tvarkymas, kai duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros, kurioms taikomas. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001(6), arba valstybės narės, atlikdamos su Sąjungos bendra užsienio ir saugumo politika susijusią veiklą turėtų būti suderintas su šiuo reglamentu ir taikomas remiantis šiuo reglamentu; [1 pakeit.]

(15)  šis reglamentas neturėtų būti taikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko išimtinai asmeniniais, šeiminiais arba namų ūkio tikslais, pavyzdžiui, korespondencijai ir adresų saugojimui ar asmeniniams pardavimams, ir nesiekdamas pelno, t. y. nesusiedamas su profesine ar komercine veikla. Išimtis neturėtų būti taikoma Tačiau šis reglamentas turėtų būti taikomas duomenų valdytojams ar ir tvarkytojams, kurie tokiai su asmeniniais ar šeiminiais tikslais susijusiai veiklai teikia suteikia priemones asmens duomenų tvarkymo priemones tvarkymui vykdant tokią asmeninę ar namų ūkio priežiūros veiklą; [2 pakeit.]

(16)  fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu. Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymui tokiais tikslais. Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, jų tvarkymas turėtų būti reglamentuojamas kitu specialiu Sąjungos teisės aktu (Europos Parlamento ir Tarybos direktyva 2014/.../ES dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir laisvo tokių duomenų judėjimo);

(17)  šis reglamentas neturėtų daryti poveikio Europos Parlamento ir Tarybos direktyvos 2000/31/EB(7), visų pirma jos 12–15 straipsniuose įtvirtintų tarpininkavimo paslaugų teikėjų atsakomybės nuostatų, taikymui;

(18)  taikant šio reglamento nuostatas galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą. Valdžios institucija arba įstaiga savo turimuose dokumentuose esančius asmens duomenis gali atskleisti remdamasi Sąjungos arba valstybės narės teisės aktais, kuriais reglamentuojama galimybė visuomenei susipažinti su oficialiais dokumentais, nes tai padeda teisę į duomenų apsaugą suderinti su visuomenės teise susipažinti su oficialiais dokumentais ir užtikrinti sąžiningą įvairių atitinkamų interesų pusiausvyrą; [3 pakeit.]

(19)  bet koks asmens duomenų tvarkymas, atliekamas duomenų valdytojo ar tvarkytojo buveinei veikiant Sąjungoje, turėtų vykti pagal šio reglamento nuostatas, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama Sąjungos teritorijoje. Buveinė per stabilias struktūras turi vykdyti veiksmingą ir realią veiklą. Teisinė tokios struktūros forma, neatsižvelgiant į tai, ar tai filialas ar patronuojamoji bendrovė, turinti juridinio asmens statusą, šiuo požiūriu nėra svarbus veiksnys;

(20)  kad asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal šį reglamentą, šis reglamentas turėtų būti taikomas Sąjungoje gyvenančių Sąjungos duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas, tvarkymui, kai duomenų tvarkymas susijęs su prekių ar paslaugų, nesvarbu, ar jos mokamos ar ne, siūlymu tokiems duomenų subjektams arba tokių duomenų subjektų elgesio stebėjimu. Siekiant nustatyti, ar toks duomenų valdytojas siūlo prekes ar paslaugas tokiems duomenų subjektams Sąjungoje, turėtų būti įsitikinta, ar akivaizdu, kad tas duomenų valdytojas numato teikti paslaugas duomenų subjektams vienoje ar keliose Sąjungos valstybėse narėse; [4 pakeit.]

(21)  siekiant nustatyti, ar duomenų tvarkymas gali būti laikomas duomenų subjektų elgesio stebėjimu, reikėtų įvertinti, ar asmenys internete atsekti taikant sekami nepriklausomai nuo duomenų kilmės, ar renkami kiti duomenys apie juos, įskaitant duomenis iš Sąjungos viešų registrų ir skelbimų, prieinamus iš Sąjungai nepriklausančių šalių, surinktus, be kita ko, siekiant taikyti arba pasiliekant galimybę vėliau taikyti duomenų tvarkymo metodus, kuriais asmeniui priskiriamas tam tikras profilis, ypač siekiant sužinoti jo sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį ir įpročius; [5 pakeit.]

(22)  kai pagal viešąją tarptautinę teisę taikoma valstybės narės teisė, pavyzdžiui, valstybių narių diplomatinėse atstovybėse ar kosulinėse įstaigose, šis reglamentas taip pat turėtų būti taikomas Sąjungos teritorijoje neįsisteigusiems duomenų valdytojams;

(23)  duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Sprendžiant, ar galima nustatyti asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti gali arba išskirti galėtų naudoti duomenų valdytojas ar bet kuris kitas asmuo. Vertinant, ar tam tikros priemonės galėtų būti naudojamos siekiant nustatyti asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, asmenybei nustatyti reikiamas išlaidas ir laiką, taip pat į duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anoniminiams duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė nebegali būti nustatyta, kurie yra su nustatytu arba nustatytinu fiziniu asmeniu nesusijusi informacija. Dėl to šis reglamentas netaikomas tokių anoniminių duomenų tvarkymui, įskaitant statistiniais ir mokslinių tyrimų tikslais; [6 pakeit.]

(24)  naudodamiesi interneto paslaugomis, asmenys gali būti susieti su savo šis reglamentas turėtų būti taikomas duomenų tvarkymui, susijusiam su įrenginių, programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui interneto protokolo adresais arba slapukų identifikatoriais ir radijo dažninio atpažinimo žymenimis, išskyrus atvejus, kai tie identifikatoriai nesusiję su nustatytu arba nustatytinu fiziniu asmeniu. Taip gali likti pėdsakų, kurie kartu su unikaliu identifikatoriumi ir kita serverio gauta informacija gali būti panaudoti asmenų profiliams kurti ir jiems identifikuoti. Todėl asmens identifikavimo numeris, vietos nustatymo duomenys, interneto identifikatoriai ar kiti specifiniai požymiai patys savaime nebūtinai visomis aplinkybėmis turi būti laikomi asmens duomenimis; [7 pakeit.]

(25)  sutikimas turi būti išreikštas aiškiai ir tinkamu būdu, leidžiančiu savanoriškai ir konkrečiai tinkamai informuotam duomenų subjektui išreikšti valią pareiškimu arba vienareikšmiais veiksmais, ir užtikrinančiu kurie yra jo pasirinkimo rezultatas, užtikrinant, kad asmenys suvokia sutinkantys, kad būtų tvarkomi jų asmens duomenys. Tai jie galėtų parodyti, pavyzdžiui, pažymėdami langelį interneto svetainėje arba kitaip pareikšdami ar atlikdami kitus veiksmus, šiomis aplinkybėmis aiškiai parodančius duomenų subjekto sutikimą su ketinimu tvarkyti jų asmens duomenis. Todėl tylėjimas, vien naudojimasis paslauga arba neveikimas neturėtų būti laikomas laikomi sutikimu. Sutikimas turėtų apimti visas duomenų tvarkymo operacijas, atliekamas tuo pačiu tikslu ar tais pačiais tikslais. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo; [8 pakeit.]

(26)  prie asmens sveikatos duomenų turėtų būti priskirta visa informacija apie duomenų subjekto sveikatos būklę, informacija apie asmens registraciją sveikatos priežiūros paslaugoms gauti, informacija apie apmokėjimą ar asmens teisę į sveikatos priežiūrą, asmens numeris, simbolis ar žymė, pagal kurią būtų galima nustatyti asmens tapatybę sveikatos priežiūros tikslais, visa informacija apie asmenį, kuri buvo surinkta jam teikiant sveikatos priežiūros paslaugas, informacija, gauta atliekant kūno dalies ar medžiagos tyrimus, įskaitant biologinius ėminius, asmeniui sveikatos priežiūros paslaugas teikiančio paslaugų teikėjo tapatybė ar kita informacija, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba faktinę duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pvz., ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos prietaiso ar in vitro diagnostinio tyrimo;

(27)  pagrindinė duomenų valdytojo buveinė Sąjungos teritorijoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią veiklą, priimdama sprendimus dėl duomenų tvarkymo tikslų, sąlygų ir būdų. Vertinant šį kriterijų nėra svarbu, ar asmens duomenys faktiškai buvo tvarkomi toje vietoje; asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo operacijos savaime nepagrindžia pagrindinės buveinės egzistavimo ir todėl nėra esminis pagrindinės buveinės nustatymo kriterijus. Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungos teritorijoje;

(28)  įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės santykių, finansinių įnašų, įmonės veiklą reglamentuojančių taisyklių arba įgaliojimo nustatyti asmens duomenų apsaugos taisykles;

(29)  vaikams turėtų būti užtikrinta ypatinga jų asmens duomenų apsauga, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusią riziką, pasekmes, apsaugos priemones ir savo teises. Siekiant nustatyti, koks asmuo laikomas vaiku, šiame reglamente turėtų būti vadovaujamasi JT Vaiko teisių konvencijoje nustatytos apibrėžties Kai duomenų tvarkymas paremtas duomenų subjekto sutikimu, kai prekės ar paslaugos tiesiogiai siūlomos jaunesniam nei 13 metų vaikui, sutikimą arba leidimą turėtų duoti vienas iš vaiko tėvų arba globėjas. Kai prekės ar paslaugos taikomos vaikams, turėtų būti naudojama pagal amžių tinkama kalba. Turėtų ir toliau galioti kitos teisėto duomenų tvarkymo priežastys, kaip antai viešojo intereso priežastys, pvz., duomenų tvarkymas, susijęs su tiesiogiai vaikui teikiamomis prevencinio pobūdžio ir konsultuojamosiomis paslaugomis; [9 pakeit.]

(30)  asmens duomenys turėtų būti tvarkomi teisėtai, sąžiningai ir skaidriai suinteresuotųjų asmenų atžvilgiu. Visų pirma turėtų būti aiškūs, teisėti ir duomenų rinkimo metu nustatyti konkretūs tikslai, kuriais tvarkomi duomenys. Duomenys turėtų būti adekvatūs, susiję ir jų apimtis neviršyti tikslų, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad būtų surinkta ne per daug duomenų, o duomenų saugojimo laikotarpis būtų tik minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei duomenų tvarkymo tikslų negalima pasiekti kitomis priemonėmis. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus;

(31)  kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo asmens sutikimą arba kitu teisėtu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos ar valstybės narės teisės akte. Vaiko ar asmens, kuris neturi veiksnumo, atveju atitinkamame Sąjungos arba valstybės narės teisės akte turėtų būti apibrėžtos sąlygos, pagal kurias šis asmuo duoda sutikimą ar leidimą; [10 pakeit.]

(32)  kai duomenys tvarkomi gavus duomenų subjekto sutikimą, pareiga įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija, turėtų tekti duomenų valdytojui. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvokia, kad sutinka ir dėl ko. Siekiant laikytis kuo mažesnio duomenų kiekio pateikimo principo, įrodymo pareiga neturėtų būti suvokiama kaip pareiga konkrečiai nurodyti duomenų subjektus, išskyrus atvejus, kai tai būtina. Panašiai kaip civilinės teisės nuostatos (pvz., Tarybos direktyva 93/13/EEB(8)), duomenų apsaugos politika turėtų būti kuo aiškesnė ir skaidresnė. Joje neturėtų būti paslėptų ar nepalankių sąlygų. Negali būti duodamas sutikimas tvarkyti trečiųjų asmenų duomenis; [11 pakeit.]

(33)  siekiant užtikrinti, kad sutikimas būtų savanoriškas, reikėtų tiksliai apibrėžti, kad sutikimas nėra laikomas galiojančiu teisiniu pagrindu, kai asmuo faktiškai neturi laisvo pasirinkimo ir todėl negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamos žalos. Tai ypač aktualu tais atvejais, kai duomenų valdytojas yra valdžios institucija, kuri, remdamasi savo viešaisiais įgaliojimais, gali nustatyti pareigą ir sutikimas negali būti laikomas savanorišku. Standartiniu atveju galiojančių variantų, kuriuos duomenų subjektas privalo pakeisti siekdamas pareikšti nesutikimą su duomenų tvarkymu, pvz., iš anksto pažymėtų langelių, naudojimas nereiškia laisvo sutikimo. Norint naudotis paslaugomis, sutikimo dėl papildomų asmens duomenų, kurie nėra būtini norint teikti paslaugas, tvarkymo neturėtų būti reikalaujama. Kai sutikimas atšaukiamas, paslaugas, kurios priklauso nuo duomenų, teikti gali būti baigiama arba jos gali būti paliekamos nebaigtos teikti. Kai neaišku, ar numatytas tikslas jau pasiektas, duomenų valdytojas turėtų reguliariai teikti duomenų subjektui informaciją apie duomenų tvarkymą ir prašyti iš naujo patvirtinti savo sutikimą; [12 pakeit.]

(34)  sutikimas neturėtų būti laikomas galiojančiu asmens duomenų tvarkymo teisiniu pagrindu, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas. Tai yra visų pirma tuomet, kai duomenų subjektas yra priklausomas nuo duomenų valdytojo, pavyzdžiui, kai palaikant darbo santykius darbuotojo asmens duomenis tvarko darbdavys. Kai duomenų valdytojas yra valdžios institucija, disbalansas atsirastų tik atliekant tokias specialias tvarkymo operacijas, kurių atveju valdžios institucija, remdamasi savo viešaisiais įgaliojimais, gali nustatyti pareigą ir sutikimas negali būti laikomas savanorišku, atsižvelgiant į duomenų subjekto interesus; [13 pakeit.]

(35)  duomenų tvarkymas turėtų būti teisėtas, kai juos būtina tvarkyti siekiant vykdyti sutartį arba ketinant ją sudaryti;

(36)  kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią pareigą arba kai duomenis būtina tvarkyti viešojo intereso užduočiai įvykdyti ar vykdant valdžios įgaliojimus, duomenų tvarkymo teisinis pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje ir atitikti Chartijos reikalavimus, jei teisės arba laisvės suvaržomos. Ši nuostata taip pat turėtų būti taikoma kolektyvinėms sutartims, kurios pagal nacionalinius teisės aktus gali būti pripažįstamos kaip visuotinai galiojančios. Be to, Sąjungos arba nacionalinėje teisėje turi būti nustatyta, ar duomenų valdytojas, vykdantis viešojo intereso užduotį arba valdžios įgaliojimus, turėtų būti viešojo administravimo institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba privatinės teisės reglamentuojamas fizinis ar juridinis asmuo, kaip antai profesinė asociacija; [14 pakeit.]

(37)  asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai duomenis tvarkyti būtina norint apsaugoti gyvybinį duomenų subjekto interesą;

(38)  teisėti duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu jie atitinka pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju, ir jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni. Juos reikėtų kruopščiai pasverti visų pirma tuomet, kai duomenų subjektas yra vaikas, nes vaikams reikalinga ypatinga apsauga. Jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, turėtų būti laikoma, kad duomenų tvarkymas, apsiribojantis tik pseudoniminiais duomenimis, atitinka pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju. Duomenų subjektui turėtų būti suteikta teisė dėl priežasčių, susijusių su jo konkrečia padėtimi, nesutikti, kad duomenys būtų tvarkomi, ir dėl to nepatirti išlaidų. Siekiant užtikrinti skaidrumą, duomenų valdytojas turėtų būti įpareigotas aiškiai informuoti duomenų subjektą apie teisėtus interesus, kurių siekia, ir jo teisę su tuo nesutikti, be to, jis turėtų būti įpareigotas šiuos teisėtus interesus dokumentuoti. Duomenų subjekto interesai ir pagrindinės teisės gali būti ypač viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. Atsižvelgiant į tai, kad teisinį duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, šis pateisinimo pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas; [15 pakeit.]

(39)  duomenų tvarkymas, atliekamas valstybės institucijų, kompiuterinių incidentų tarnybų (angl. Computer Emergency Response Teams, CERT), kompiuterių saugumo incidentų tyrimo tarnybų (angl. Computer Emergency Response Teams, CSIRT), elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų, laikomas teisėtu atitinkamo duomenų valdytojo interesu tiek, kiek to reikia ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar perduodamų duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia arba kurios prieinamos teikiamos per tuos tinklus ir sistemas, saugumą. Toks teisėtas interesas galėtų būti, pavyzdžiui, kelio užkirtimas neteisėtai prieigai prie elektroninių ryšių tinklų, kenkimo programų kodų platinimui, elektroninės paslaugų trikdymo atakoms (angl. denial of service) ir kompiuterių bei elektroninių ryšių sistemų sugadinimui. Šis principas taip pat taikomas asmens duomenų tvarkymui siekiant apriboti piktnaudžiavimą prieiga prie viešai prieinamo tinklo ar informacinių sistemų, pvz., elektroninių identifikatorių juodojo sąrašo sudarymui; [16 pakeit.]

(39a)  jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, duomenų valdytojo kelio žalai užkirtimas arba žalos apribojimas turėtų būti suprantami kaip vykdomi remiantis teisėtais duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesais ir kaip atitinkantys pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju. Be to, tas pats principas taikomas teisinių pretenzijų duomenų subjekto atžvilgiu tenkinimui, pvz., skolos išieškojimui arba civilinės žalos atlyginimui ir teisių gynimo priemonėms; [17 pakeit.]

(39b)  jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, asmens duomenų tvarkymas tiesioginės savo ir panašių produktų ir paslaugų rinkodaros tikslais arba paštu vykdomos tiesioginės rinkodaros tikslais turėtų būti suprantamas kaip vykdomas remiantis teisėtais duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesais ir kaip atitinkantys pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju, jei pateikiama gerai matoma informacija apie teisę nesutikti ir apie asmens duomenų šaltinį. Įmonių kontaktinių duomenų tvarkymas paprastai turėtų būti suprantamas kaip vykdomas remiantis teisėtais duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesais ir kaip atitinkantys pagrįstus duomenų subjekto lūkesčius, paremtus jo santykiais su duomenų valdytoju. Ta pati nuostata turėtų būti taikoma duomenų subjekto akivaizdžiai paskelbtų viešai asmens duomenų tvarkymui; [18 pakeit.]

(40)  asmens duomenų tvarkymas kitais tikslais turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas dera su tikslais, kuriais iš pradžių duomenys buvo rinkti, visų pirma, kai duomenis tvarkyti būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais. Kai kitas tikslas su pradiniu duomenų rinkimo tikslu nedera, duomenų valdytojas turėtų gauti duomenų subjekto sutikimą duomenis tvarkyti tuo kitu tikslu arba duomenų tvarkymą pagrįsti kitu teisėtu pagrindu, visų pirma įtvirtintu Sąjungos teisėje arba duomenų valdytojui taikytinos valstybės narės teisėje. Visais atvejais turėtų būti užtikrinta, kad bus taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas bus informuotas apie tuos kitus duomenų tvarkymo tikslus; [19 pakeit.]

(41)  reikia užtikrinti ypatingą asmens duomenų, visų pirma tų, kurie dėl savo pobūdžio yra neskelbtini ir dėl kurių gali būti pažeistos pagrindinės teisės arba privatumas, apsaugą; tokie duomenys neturėtų būti tvarkomi, nebent duomenų subjektas su tuo aiškiai sutiko. Tačiau būtinųjų poreikių atveju reikėtų aiškiai nustatyti šio draudimo išimtis, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kovojantys už pagrindinių laisvių įgyvendinimą; [20 pakeit.]

(42)  be to, netaikyti draudimo tvarkyti ypatingų kategorijų duomenis turėtų būti leidžiama, jei tai numatyta įstatyme ir taikomos tinkamos asmens duomenų ir kitų pagrindinių teisių apsaugos priemonės, kai galima pateisinti viešojo intereso pagrindais, visų pirma kai tai susiję su sveikatos klausimais, įskaitant visuomenės sveikatos ir socialinės apsaugos užtikrinimą ir sveikatos priežiūros paslaugų administravimą, ypač siekiant, kad sveikatos draudimo sistemoje taikomos prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros būtų kokybiškos ir nereikalautų daug sąnaudų, arba kai duomenys tvarkomi istoriniais, statistiniais ir mokslinių tyrimų ar archyvų tarnybos tikslais; [21 pakeit.]

(43)  be to, siekiant oficialiai pripažintų religinių bendruomenių tikslų, išdėstytų konstitucinėje teisėje arba tarptautinėje viešojoje teisėje, valdžios institucijos asmens duomenis tvarko viešojo intereso pagrindais;

(44)  tais atvejais, kai, vykstant rinkimams, demokratinės sistemos veikimui tam tikroje valstybėje narėje užtikrinti būtina, kad politinės partijos surinktų duomenis apie asmenų politines pažiūras, gali būti leista tvarkyti tokius duomenis ginant viešąjį interesą su sąlyga, kad yra nustatytos tinkamos apsaugos priemonės;

(45)  jeigu duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, jis neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Kai pateikiamas prašymas susipažinti su duomenimis, duomenų valdytojas turėtų turėti teisę pareikalauti iš duomenų subjekto papildomos informacijos, kuri jam padėtų rasti prašomus asmens duomenis. Jeigu duomenų subjektas gali pateikti tokius duomenis, duomenų valdytojams neturėtų būti leidžiama informacijos trūkumo nurodyti kaip priežasties, kuria remdamiesi jie atmestų prašymą susipažinti su duomenimis; [22 pakeit.]

(46)  skaidrumo principas reiškia, kad visa visuomenei arba duomenų subjektui skirta informacija turėtų būti lengvai prieinama ir suprantama, t. y. suformuluota aiškiai ir paprastai. Tai ypač svarbu tokiais atvejais, kaip antai interneto reklama, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu. Kai duomenų tvarkymas orientuotas būtent į vaikus, dėl būtinybės vaikams užtikrinti ypatingą apsaugą visa informacija ir pranešimai turi būti suformuluoti vaikui lengvai suprantama, aiškia ir paprasta kalba;

(47)  siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant visų pirma prašymo galimybių nemokamai suteikti teisę susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti, taip pat naudojimosi teise nesutikti tvarką. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti per nustatytą pagrįstą terminą ir, jei duomenų subjekto prašymo netenkina, nurodyti priežastis; [23 pakeit.]

(48)  pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui turėtų būti pranešta visų pirma apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, kaip ilgai greičiausiai bus saugomi duomenys kiekvienu tikslu, jei duomenys turi būti perduoti trečiosioms šalims ar trečiosioms valstybėms, apie priemones nesutikti ir teisę susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti ir apie teisę pateikti skundą. Kai duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuotas, ar jis privalo pateikti duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ši informacija turėtų būti teikiama, o tai gali reikšti – iš karto paskelbiama, duomenų subjektui, pateikus supaprastintą informaciją standartizuotų piktogramų pavidalu. Be to, tai turėtų reikšti, kad asmens duomenys tvarkomi taip, kad duomenų subjektas galėtų veiksmingai naudotis savo teisėmis; [24 pakeit.]

(49)  informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti suteikta duomenis renkant arba – kai duomenys renkami ne iš duomenų subjekto – per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo duomenų atskleidimo jų gavėjui metu;

(50)  tačiau šią pareigą nebūtina nustatyti tais atvejais, kai duomenų subjektas jau buvo informuotas žino šią informaciją arba kai duomenų įrašymas ar atskleidimas įtvirtintas įstatyme, arba kai pateikti informaciją duomenų subjektui neįmanoma arba reikalautų neproporcingai didelių pastangų. Pastarasis atvejis būtų, pavyzdžiui, duomenis tvarkant istoriniais, statistiniais arba mokslinių tyrimų tikslais; tokioje situacijoje galima atsižvelgti į duomenų subjektų skaičių, duomenų senumą ir bet kurias priimtas kompensacines priemones; [25 pakeit.]

(51)  bet kuris asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, pavyzdžiui, apie tai, kokiais tikslais duomenys tvarkomi, kaip ilgai, manoma, jie bus laikomi, kas yra duomenų gavėjas, pagal kokią bendrą logiką duomenys tvarkomi ir kokios galėtų būti tokio duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ši teisė neturėtų varžyti kitų asmenų teisių ir laisvių, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač pvz., susijusias su autorių teises teisėmis, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją; [26 pakeit.]

(52)  duomenų valdytojas turėtų naudotis visomis pagrįstomis priemonėmis, kad patikrintų prašančio leisti susipažinti su duomenimis duomenų subjekto tapatybę, ypač kai tai susiję su interneto paslaugomis ir interneto identifikatoriais. Duomenų valdytojas neturėtų saugoti asmens duomenų vien tam, kad galėtų atsakyti į galimus prašymus;

(53)  kiekvienas asmuo turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti užmirštam reikalauti ištrinti duomenis, kai tokių duomenų saugojimas neatitinka šio reglamento reikalavimų. Pirmiausia, duomenų subjektai turėtų turėti teisę reikalauti, kad jų duomenys būtų ištrinti ir toliau nebetvarkomi, kai duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektai atšaukė savo sutikimą dėl duomenų tvarkymo ar nesutinka, kad jų asmens duomenys būtų tvarkomi, arba kai jų asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento nuostatų. Ši teisė ypatingai svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas, nevisiškai suvokdamas su duomenų tvarkymu susijusią riziką, o vėliau panoro, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Tačiau turėtų būti leidžiama toliau saugoti duomenis, jei to reikia istoriniais, statistiniais ir mokslinių tyrimų tikslais, siekiant apginti viešąjį interesą visuomenės sveikatos srityje ar norint pasinaudoti teise į saviraiškos laisvę, kai tai numatyta pagal įstatymą arba yra pagrindas duomenų tvarkymą riboti, o ne juos ištrinti. Taip pat teisė reikalauti ištrinti duomenis neturėtų būti taikoma tuo atveju, kai saugoti asmens duomenis būtina siekiant vykdyti sutartį su duomenų subjektu arba kai yra teisės aktais nustatytas reikalavimas saugoti šiuos duomenis; [27 pakeit.]

(54)  siekiant sustiprinti teisę būti užmirštam reikalauti ištrinti duomenis internetinėje aplinkoje, teisė reikalauti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris be teisinio pagrindimo asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius duomenis tvarkančius trečiuosius asmenis apie imtis visų reikiamų veiksmų, kad duomenys būtų ištrinti, taip pat ir trečiųjų šalių, nedarant poveikio duomenų subjekto prašymą ištrinti visas nuorodas į tuos duomenis, jų kopijas ar dublikatus. Dėl duomenų, už kurių paskelbimą duomenų valdytojas yra atsakingas, jis turėtų imtis visų pagrįstų veiksmų, įskaitant technines priemones, kad tokią informaciją perduotų tretiesiems asmenims. Kai asmens duomenis paskelbė tretieji asmenys, duomenų valdytojas turėtų būti laikomas atsakingu už jų paskelbimą, jei jis davė tokį leidimą subjekto teisei reikalauti atlyginti nuostolius; [28 pakeit.]

(54a)  duomenys, kuriuos duomenų subjektas užginčija ir kurių tikslumo ar netikslumo nustatyti negalima, turėtų būti užblokuojami, kol klausimas bus išsiaiškintas; [29 pakeit.]

(55)  kai asmens duomenys tvarkomi elektroninėmis priemonėmis ir susistemintu bei dažnai naudojamu elektroniniu formatu, duomenų subjektai turėtų turėti teisę savo duomenų kopiją gauti taip pat dažnai naudojamu elektroniniu formatu, kad galėtų geriau kontroliuoti savo asmens duomenis ir pasinaudoti savo teise su jais susipažinti. Be to, duomenų subjektui taip pat turėtų būti leidžiama savo pateiktus duomenis persiųsti iš vienos automatizuotos programos, pavyzdžiui, socialinio tinklo, į kitą. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Tai turėtų būti taikoma tais atvejais, kai duomenų subjektas duomenis automatizuotai duomenų tvarkymo sistemai pateikė savo sutikimu arba vykdydamas sutartį. Visuomenės informavimo paslaugų teikėjai tokių duomenų perdavimo neturėtų padaryti būtina savo paslaugų teikimo sąlyga; [30 pakeit.]

(56)  kai asmens duomenys gali būti teisėtai tvarkomi, kad būtų apsaugoti gyvybiniai duomenų subjekto interesai arba ginant viešąjį interesą, vykdant valdžios įgaliojimus ar užtikrinant teisėtus duomenų valdytojo interesus, kiekvienas duomenų subjektas vis tiek turėtų turėti teisę nemokamai, paprastai ir veiksmingai nesutikti su bet kokių jo duomenų tvarkymu. Pareiga įrodyti, kad teisėti duomenų valdytojo interesai viršesni už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui; [31 pakeit.]

(57)  jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turėtų galėti nemokamai, paprastai ir veiksmingai pasinaudoti teise nesutikti su tokiu duomenų tvarkymu duomenų subjektas turi teisę nesutikti su duomenų tvarkymu, duomenų valdytojas turėtų ją aiškiai nurodyti duomenų subjektui suprantamu būdu ir forma, aiškia bei paprasta kalba ir šią informaciją turėtų aiškiai atskirti nuo kitos informacijos; [32 pakeit.]

(58)  nedarant poveikio duomenų tvarkymo teisėtumui, kiekvienas fizinis asmuo turėtų turėti teisę, kad jam nebūtų taikoma priemonė, pagrįsta profiliavimu duomenis tvarkant automatizuotai. Tačiau tokia priemonė nesutikti su profiliavimu. Profiliavimas, dėl kurio imamasi priemonių, darančių teisinį poveikį duomenų subjektams, arba kuris turi panašiai žymų poveikį atitinkamo duomenų subjekto interesams, teisėms ir laisvėms, turėtų būti leidžiama leidžiamas tik tais atvejais, kai ji jis aiškiai numatyta numatytas įstatyme, įgyvendinta įgyvendinamas sudarant arba vykdant sutartį arba kai buvo gautas duomenų subjekto sutikimas. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, pavyzdžiui, duomenų subjekto informavimas arba teisė reikalauti žmogaus įsikišimo įvertinimo, o tokia priemonė neturėtų būti taikoma vaikui. Tokios priemonės neturėtų lemti asmenų diskriminacijos dėl jų rasinės ar tautinės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinėms sąjungoms, lytinės orientacijos ar lytinės tapatybės; [33 pakeit.]

(58a)   turėtų būti laikoma, kad profiliavimas, grindžiamas tik pseudoniminių duomenų tvarkymu, neturi žymaus poveikio duomenų subjekto interesams, teisėms ir laisvėms. Jei profiliavimas – nesvarbu, ar grindžiamas vienu pseudoniminių duomenų šaltiniu, ar skirtingų šaltinių pseudoniminių duomenų rinkiniu – sudaro duomenų valdytojui sąlygas priskirti pseudoniminius duomenis konkrečiam duomenų subjektui, tvarkomi duomenys nebeturėtų būti laikomi pseudoniminiais; [34 pakeit.]

(59)  Sąjungos arba valstybės narės teisėje gali būti nustatyti ribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, susipažinti su duomenimis, teisė reikalauti ištaisyti ir ištrinti duomenis ar teisė į duomenų perkeliamumą, profiliavimu grindžiamos priemonės susipažinti su duomenimis ir juos gauti, teisė nesutikti su duomenų tvarkymu, profiliavimas, taip pat duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų pareigos, jeigu toks ribojimas reikalingas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, įskaitant žmonių gyvybių apsaugą reaguojant į gaivalines ar žmogaus sukeltas nelaimes, nusikalstamos veikos arba reglamentuojamų profesijų etikos taisyklių pažeidimų prevenciją, tyrimą ir traukimą baudžiamojon atsakomybėn už juos, taip pat siekiant apginti kitus konkrečius ir gerai apibrėžtus Sąjungos ar valstybių narių viešuosius interesus, visų pirma, svarbius ekonominius arba finansinius Sąjungos ar valstybių narių interesus, arba užtikrinti duomenų subjekto arba kitų asmenų teisių ir laisvių apsaugą. Šie apribojimai turėtų Chartijos ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos reikalavimus; [35 pakeit.]

(60)  turėtų būti nustatyta visapusiška duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo pavedimu vykdomą asmens duomenų tvarkymą, ypač srityse, susijusiose su dokumentais, duomenų saugumu, poveikio vertinimais, duomenų apsaugos pareigūnu ir duomenų apsaugos institucijų priežiūra. Visų pirma, duomenų valdytojas turėtų užtikrinti, kad kiekviena duomenų tvarkymo operacija atitinka šį reglamentą, ir privalėti galėti tą įrodyti. Tai turėtų tikrinti nepriklausomi vidaus ar išorės auditoriai; [36 pakeit.]

(61)  dėl duomenų subjektų teisių ir laisvių apsaugos tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad ir kuriant duomenų tvarkymo sistemas, ir duomenis tvarkant, būtų laikomasi reglamento reikalavimų. Siekdamas užtikrinti ir įrodyti šio reglamento nuostatų laikymąsi, duomenų valdytojas turėtų priimti vidaus nuostatas ir įdiegti tinkamas priemones, kuriomis visų pirma paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų; Pagal pritaikytosios duomenų apsaugos principą duomenys yra saugomi visą technologijų gyvavimo ciklą – nuo jų pradinio kūrimo etapo iki jų diegimo, naudojimo ir galutinio atsisakymo. Tai taip pat turėtų apimti atsakomybę už duomenų valdytojo ar duomenų tvarkytojo naudojamus produktus ir paslaugas. Pagal standartizuotosios duomenų apsaugos principą paslaugoms ir produktams taikomi privatumo nustatymai, kurie standartiniu atveju turėtų atitikti bendruosius duomenų apsaugos principus, pvz., kuo mažesnio duomenų kiekio ir tikslų apribojimo principus; [37 pakeit.]

(62)  siekiant užtikrinti duomenų subjektų teises ir laisves ir nustatyti duomenų valdytojų ir duomenų tvarkytojų atsakomybę, šiame reglamente reikia aiškiai paskirstyti atsakomybę – taip pat ir priežiūros institucijų stebėjimo ir priemonių atžvilgiu – be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus, sąlygas ir būdus arba kai duomenų tvarkymo operacija atlikta duomenų valdytojo pavedimu. Bendrų duomenų valdytojų tarpusavio susitarimuose turėtų būti nurodytos faktinės bendrų duomenų valdytojų funkcijos ir santykiai. Remiantis šiuo reglamentu vykdomas asmens duomenų tvarkymas turėtų apimti leidimą duomenų valdytojui perduoti duomenis bendram duomenų valdytojui ar tvarkytojui, kad jie tvarkytų duomenis savo vardu; [38 pakeit.]

(63)  kai Sąjungoje gyvenančių Sąjungos duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų kontrolierius, kurio valdytojas, duomenų tvarkymo veikla susijusi su prekių ir paslaugų siūlymu tokiems duomenų subjektams arba jų elgesio stebėjimu, duomenų valdytojas turėtų paskirti atstovą, nebent duomenų valdytojas yra įsikūręs trečiojoje šalyje, kuri užtikrina tinkamą apsaugos lygį, tvarkomi mažiau negu 5 000 duomenų subjektų asmens duomenys per 12 mėnesių iš eilės laikotarpį ir netvarkomi specialios kategorijos asmens duomenys arba duomenų valdytojas yra mažoji ar vidutinė įmonė, valdžios institucija ar įstaiga, arba duomenų valdytojas prekes ir paslaugas tokiems duomenų subjektams siūlo tik retkarčiais. Atstovas turėtų veikti duomenų valdytojo vardu, o į jį galėtų kreiptis priežiūros institucijos; [39 pakeit.]

(64)  siekiant nustatyti, ar duomenų valdytojas prekes ir paslaugas Sąjungoje gyvenantiems Sąjungos duomenų subjektams siūlo tik retkarčiais, reikėtų įvertinti, ar iš visos duomenų valdytojo veiklos matyti, kad prekių ir paslaugų siūlymas tokiems duomenų subjektams tik papildo pagrindinę jo veiklą; [40 pakeit.]

(65)  kad įrodytų galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas arba tvarkytojas turėtų dokumentuoti kiekvieną duomenų tvarkymo operaciją turėti visus reikiamus dokumentus, kad galėtų įgyvendinti šiame reglamente nustatytus reikalavimus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir paprašius pateikti turimus dokumentus, kad pagal juos būtų galima patikrinti tvarkymo operacijas įvertinti, ar jie laikosi šio reglamento. Vis dėlto tokią pačią svarbą ir dėmesį reikėtų skirti gerajai praktikai ir reikalavimų laikymuisi, ne tik visų dokumentų turėjimui; [41 pakeit.]

(66)  siekiant užtikrinti saugumą ir užkirsti kelią šio reglamento nuostatų neatitinkančiam duomenų tvarkymui, duomenų valdytojas arba tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusią riziką ir įgyvendinti jas mažinančias priemones. Šiomis priemonėmis turėtų būti užtikrintas saugumo lygis, kuris atsižvelgiant į technologijų lygį ir jų įdiegimo išlaidas, turėtų būti adekvatus tvarkymo keliamai rizikai ir saugotinų asmens duomenų pobūdžiui. Nustatydama Nustatant techninius standartus ir organizacines priemones duomenų tvarkymo saugumui užtikrinti, Komisija turėtų reikėtų skatinti technologinį neutralumą, sąveikumą ir inovacijas, o prireikus skatinti bendradarbiauti su trečiosiomis šalimis; [42 pakeit.]

(67)  dėl asmens duomenų saugumo pažeidimo, jei jis tinkamai ir laiku neišaiškintas, asmuo gali patirti didelių ekonominių nuostolių arba socialinę žalą, įskaitant tapatybės klastojimą. Todėl, kai tik duomenų valdytojas sužino, kad padarytas toks pažeidimas, jis apie pažeidimą turėtų pranešti priežiūros institucijai nepagrįstai nedelsdamas, jei įmanoma, per 24 valandas pranešti priežiūros institucijai. Kai to neįmanoma padaryti per 24 valandas, o tai turėtų reikšti – ne vėliau kaip 72 valandas. Atitinkamais atvejais pranešant reikėtų nurodyti vėlavimo priežastis. Fiziniai asmenys, kurių asmens duomenims ar privatumui pažeidimas galėjo turėti neigiamą poveikį, turėtų būti nepagrįstai nedelsiant informuojami, kad galėtų imtis būtinų atsargumo priemonių. Pažeidimas turėtų būti laikomas turinčiu neigiamą poveikį asmens duomenims ar duomenų subjekto privatumui, jeigu dėl jo, pavyzdžiui, galėtų būti pavogta ar suklastota tapatybė, padaryta fizinė žala, patirtas didelis pažeminimas ar pakenkta reputacijai. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir fiziniams asmenims nurodytos rekomendacijos, kaip sušvelninti galimą neigiamą poveikį. Duomenų subjektams apie tai turėtų būti pranešta kuo greičiau, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos ar kitos atitinkamos institucijos (pvz., teisėsaugos institucijų) pateiktų nurodymų. Kad duomenų subjektai galėtų sumažinti tiesioginį žalos pavojų, reikėtų, pavyzdžiui, jiems nedelsiant apie tai pranešti, o ilgesnį pranešimo terminą būtų galima pateisinti būtinybe įgyvendinti tinkamas priemones, nukreiptas prieš tęstinius arba panašius duomenų saugumo pažeidimus; [43 pakeit.]

(68)  siekiant nustatyti, ar apie asmens duomenų saugumo pažeidimą priežiūros institucijai ir duomenų subjektui pranešta nepagrįstai nedelsiant, reikėtų patikrinti, ar duomenų valdytojas įgyvendino ir taikė tinkamas technologijų apsaugos ir organizacines priemones, kad galėtų iš karto nustatyti, ar buvo padarytas asmens duomenų saugumo pažeidimas, ir nedelsdamas iki žalos padarymo asmeniniams ir ekonominiams interesams apie tai informuoti priežiūros instituciją ir duomenų subjektą, kartu atsižvelgdamas visų pirma į asmens duomenų saugumo pažeidimo pobūdį ir sunkumą, jo pasekmes ir padarinius duomenų subjektui;

(69)  nustatant išsamias pranešimo apie asmens duomenų saugumo pažeidimą formos ir tvarkos taisykles, turėtų būti tinkamai atsižvelgiama į pažeidimo aplinkybes, įskaitant tai, ar asmens duomenys buvo apsaugoti tinkamomis techninėmis priemonėmis, veiksmingai ribojančiomis tapatybės klastojimo arba kitokio neteisėto naudojimo galimybę. Be to, nustatant tokias taisykles ir tvarką reikėtų atsižvelgti į teisėtus teisėsaugos institucijų interesus tais atvejais, kai ankstyvas informacijos apie incidentą paskelbimas galėtų bereikalingai sutrukdyti pažeidimo aplinkybių tyrimą;

(70)  Direktyvoje 95/46/EB nustatyta bendra pareiga priežiūros institucijoms pranešti apie asmens duomenų tvarkymą. Ši pareiga susijusi su administracine ir finansine našta, tačiau ji ne visada padėdavo gerinti asmens duomenų apsaugą. Todėl tokią bendrą visuotinę pareigą pranešti reikėtų panaikinti ir ją pakeisti veiksmingomis procedūromis ir mechanizmu, kurie būtų labiau orientuoti į duomenų tvarkymo operacijas, dėl kurių pobūdžio, apimties ir tikslų galėtų kilti konkretus pavojus duomenų subjektų teisėms ir laisvėms. Tokiais atvejais duomenų valdytojas ar tvarkytojas prieš pradėdamas tvarkyti duomenis turėtų atlikti duomenų apsaugos poveikio įvertinimą, kuris visų pirma apimtų numatomas priemones, apsaugos priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodomas šio reglamento nuostatų laikymasis;

(71)  tai pirmiausia turėtų būti taikoma naujiems sukurtiems didelės apimties duomenų rinkiniams, kuriais siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurie gali turėti poveikio dideliam skaičiui duomenų subjektų;

(71a)  bet kurios ilgalaikės duomenų apsaugos sistemos pagrindas yra poveikio vertinimas, suteikiantis galimybę užtikrinti, kad įmonės iš pat pradžių supranta visas galimas jų duomenų tvarkymo operacijų pasekmes. Atlikus kruopštų poveikio vertinimą galima iš esmės apriboti tikimybę, kad bus duomenų saugumo pažeidimų ar privatumą pažeidžiančių operacijų. Atitinkamai vertinant duomenų apsaugos poveikį reikėtų atsižvelgti į asmens duomenų tvarkymą per visą jų gyvavimo ciklą, t. y. nuo duomenų rinkimo iki tvarkymo ir iki jų ištrynimo, išsamiai aprašant numatytas tvarkymo operacijas, riziką duomenų subjektų teisėms ir laisvėms, numatytas priemones tai rizikai pašalinti, apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama atitiktis šiam reglamentui; [44 pakeit.]

(71b)  duomenų valdytojai turėtų didžiausią dėmesį skirti asmens duomenų apsaugai per visą duomenų gyvavimo ciklą, t. y. nuo duomenų rinkimo iki tvarkymo ir iki jų ištrynimo, iš pat pradžių investuodami į ilgalaikio duomenų tvarkymo sistemą ir jos laikydamiesi pagal visapusės atitikties mechanizmą; [45 pakeit.]

(72)  tam tikromis aplinkybėmis gali būti tikslinga ir ekonomiška atlikti platesnio masto duomenų apsaugos poveikio įvertinimą, o ne jį susieti su vienu konkrečiu projektu, pavyzdžiui, kai valdžios institucijos ar įstaigos siekia sukurti bendrą programą ar duomenų tvarkymo platformą arba kai keli duomenų valdytojai ketina tam tikroje pramonės šakoje, jos sektoriuje arba plačiai paplitusioje horizontalioje veikloje pradėti taikyti bendrą programą ar duomenų tvarkymo aplinką;

(73)  duomenų apsaugos poveikio įvertinimą turėtų atlikti valdžios institucija arba įstaiga, jei toks įvertinimas dar nebuvo atliktas priimant nacionalinį įstatymą, kurio pagrindu valdžios institucija ar įstaiga atlieka savo funkcijas ir kuriuo reglamentuojama konkreti duomenų tvarkymo operacija ar jų seka; [46 pakeit.]

(74)  kai iš duomenų apsaugos poveikio įvertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su didele konkrečia rizika duomenų subjektų teisėms ir laisvėms, kaip antai rizika, kad naudojant konkrečias naujas technologijas fiziniams asmenims bus užkirstas kelias pasinaudoti savo teisėmis, prieš pradedant operacijas reikėtų su duomenų apsaugos pareigūnu arba priežiūros institucija konsultuotis dėl su rizika susijusio duomenų tvarkymo, kuris galėtų pažeisti šio reglamento reikalavimus, ir pateikti pasiūlymus, kaip tokią padėtį ištaisyti. Konsultuotis su priežiūros institucija reikėtų ir rengiant nacionalinio parlamento teisėkūros priemonę arba ja pagrįstą priemonę, kuria apibrėžiamas duomenų tvarkymo pobūdis ir nustatomos tinkamos apsaugos priemonės; [47 pakeit.]

(74a)  poveikio vertinimai gali būti naudingi tik tuo atveju, jei duomenų valdytojai užtikrina, kad laikosi juose numatytų pradinių savo įsipareigojimų. Taigi duomenų valdytojai turėtų reguliariai rengti duomenų apsaugos reikalavimų laikymosi apžvalgas, siekdami nustatyti, ar naudojant galiojančius duomenų tvarkymo mechanizmus užtikrinamas duomenų apsaugos poveikio vertinime numatytas saugumas. Be to, jose turėtų būti įrodomas duomenų valdytojo pajėgumas užtikrinti, kad gerbiamas laisvas duomenų subjektų pasirinkimas. Be to, jei rengiant apžvalgą randama laikymosi neatitikimų, apžvalgoje reikėtų atkreipti į juos dėmesį ir pateikti rekomendacijas dėl to, kaip užtikrinti visapusišką reikalavimų laikymąsi; [48 pakeit.]

(75)  kai duomenys tvarkomi viešajame sektoriuje arba kai duomenis privačiajame sektoriuje tvarko didelė įmonė per 12 mėnesių tvarkomi daugiau kaip 5 000 duomenų subjektų duomenys, arba jos pagrindinė įmonės veikla, nepaisant įmonės jos dydžio, apima neskelbtinų duomenų tvarkymo operacijas ar duomenų tvarkymo operacijas, kurias reikia reguliariai ir sistemingai stebėti, prižiūrėti, kaip įmonė laikosi šio reglamento, duomenų valdytojui ar tvarkytojui turėtų padėti dar vienas asmuo. Nustatant, ar tvarkoma labai daug duomenų subjektų duomenų, neturėtų būti atsižvelgiama į archyvuojamus duomenis, kurie apriboti taip, kad su jais nebūtų galima susipažinti įprastu būdu, duomenų valdytojas negalėtų atlikti jų tvarkymo operacijų ir jų nebūtų galima pakeisti. Tokie duomenų apsaugos pareigūnai, nepriklausomai nuo to neatsižvelgiant į tai, ar jie yra duomenų valdytojo darbuotojai ir ar jie tas funkcijas atlieka visą darbo dieną, savo pareigas ir užduotis turėtų atlikti visiškai nepriklausomai ir jiems turėtų būti taikoma speciali apsauga nuo atleidimo iš darbo. Galutinė atsakomybė turėtų tekti organizacijos vadovybei. Svarbiausia, kad su duomenų apsaugos pareigūnu būtų konsultuojamasi prieš kuriant, įsigyjant, rengiant ir konfigūruojant automatizuoto asmens duomenų tvarkymo sistemas, kad būtų užtikrintas pritaikytosios ir standartizuotosios privatumo apsaugos principų laikymasis; [49 pakeit.]

(75a)  duomenų apsaugos pareigūnas turėtų turėti bent jau šią kvalifikaciją: turėti daug žinių apie duomenų apsaugos teisės turinį ir taikymą, įskaitant technines ir organizacines priemones ir procedūras; žinoti techninius pritaikytosios ir standartizuotosios privatumo apsaugos ir duomenų saugumo reikalavimus; turėti konkrečios veiklos srities žinių, atitinkančių duomenų valdytojo ar tvarkytojo dydį ir tvarkytinų duomenų neskelbtinumą; sugebėti atlikti patikras, vykdyti konsultacijas, rengti dokumentus ir atlikti registracijos bylų analizę; sugebėti dirbti darbuotojų atstovavimo srityje. Duomenų valdytojas turėtų sudaryti duomenų apsaugos pareigūnui sąlygas dalyvauti aukštesnio lygio mokymuose, kad būtų palaikomos specializuotos žinios, reikalingos jo pareigoms atlikti. Paskyrus duomenų apsaugos pareigūną nereiškia, kad atitinkamas darbuotojas šią veiklą būtinai turės vykdyti visą darbo dieną; [50 pakeit.]

(76)  asociacijos ar kitos įstaigos, atstovaujančios tam tikrų kategorijų duomenų valdytojams, pasikonsultavus su darbuotojų atstovais turėtų būti skatinamos, gavusios įmonės darbuotojų atstovų sutikimą, pagal šio reglamento reikalavimus parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus. Vadovaujantis tokiais kodeksais, pramonės įmonėms turėtų būti lengviau laikytis šio reglamento; [51 pakeit.]

(77)  siekiant didesnio skaidrumo ir geresnio šio reglamento laikymosi, reikėtų skatinti įvesti sertifikavimo mechanizmus, duomenų apsaugos ženklus ir standartizuotus žymenis, kurie leistų duomenų subjektams greitai, patikimai ir įrodomai įvertinti konkretaus produkto ar paslaugos duomenų apsaugos lygį. Europos duomenų apsaugos ženklas turėtų būti sukurtas Europos mastu, kad padėtų kurti pasitikėjimą tarp duomenų subjektų, užtikrinti teisinį tikrumą duomenų valdytojams ir kartu skleisti Europos duomenų apsaugos standartus sudarant galimybes ne ES įmonėms lengviau patekti į Europos rinkas taikant sertifikavimą; [52 pakeit.]

(78)  asmens duomenų judėjimas iš vienos valstybės į kitą reikalingas tarptautinės prekybos plėtrai ir tarptautiniam bendradarbiavimui. Šiems srautams padidėjus, kilo naujų sunkumų ir naujų reikalavimų asmens duomenų apsaugai. Tačiau kai asmens duomenys perduodami iš Sąjungos į trečiąsias šalis arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis. Bet kuriuo atveju duomenys trečiosioms šalims gali būti perduodami tik besąlygiškai laikantis šio reglamento nuostatų;

(79)  šiuo reglamentu nedaromas poveikis Sąjungos ir trečiųjų valstybių sudarytiems tarptautiniams susitarimams, kuriais reglamentuojamas asmens duomenų perdavimas, įskaitant tinkamas duomenų subjektų apsaugos priemones, užtikrinant tinkamo lygio piliečių pagrindinių teisių apsaugą; [53 pakeit.]

(80)  Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios šalys arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Šiais atvejais asmens duomenys į šias šalis gali būti perduodami be papildomo leidimo Komisija, įspėjusi trečiąją šalį ir pateikusi jai išsamų pagrindimą, taip pat gali nuspręsti atšaukti tokį sprendimą; [54 pakeit.]

(81)  paisydama pagrindinių vertybių, kuriomis grindžiama Sąjunga, visų pirma žmogaus teisių apsaugos, Komisija, vertindama trečiąją šalį, turėtų atsižvelgti į tai, kaip joje laikomasi teisinės valstybės principų, teisės kreiptis į teismą, taip pat tarptautinių žmogaus teisių normų ir standartų;

(82)  Komisija taip pat gali pripažinti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo duomenų apsaugos lygio. Bet kokius teisės aktus, kuriuose leidžiama ekstrateritorinė prieiga prie Sąjungoje tvarkomų asmens duomenų be leidimo, suteikto pagal Sąjungos ar valstybės narės teisės aktus, reikėtų laikyti tinkamo duomenų apsaugos lygio nebuvimo ženklu. Todėl asmens duomenų perdavimas į tą trečiąją šalį turėtų būti draudžiamas. Tokiu atveju turėtų būti numatyta galimybė Komisijai konsultuotis su tokiomis trečiosiomis šalimis arba tarptautinėmis organizacijomis; [55 pakeit.]

(83)  jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje šalyje kompensuoti. Tokios apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos patvirtintomis sutarties sąlygomis ar kitomis tinkamomis ir proporcingomis priemonėmis, pateisinamomis atsižvelgiant į visas duomenų perdavimo operacijos ar operacijų sekos aplinkybes ir patvirtintomis priežiūros institucijos. Tokiomis apsaugos priemonėmis turėtų būti užtikrinama tokia pati pagarba duomenų subjektų teisėms, kaip ir tuomet, kai duomenys tvarkomi ES viduje, ypač atsižvelgiant į tikslų apribojimą, prieigos teisę, duomenų ištaisymą, ištrynimą ir žalos atlyginimą. Tomis apsaugos priemonėmis turėtų visų pirma būti užtikrinama, kad būtų laikomasi asmens duomenų tvarkymo principų, apsaugomos duomenų subjektų teisės ir nustatyti veiksmingi nuostolių atlyginimo mechanizmai, užtikrinama, kad būtų laikomasi pritaikytosios ir standartizuotosios duomenų apsaugos principų ir būtų paskirtas duomenų apsaugos pareigūnas; [56 pakeit.]

(84)  galimybė duomenų valdytojui ar tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos priemonėmis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ir laisvių. Komisijos priimtos standartinės duomenų apsaugos sąlygos gali apimti skirtingas situacijas, pvz., Sąjungoje įsisteigusių duomenų valdytojų duomenų perdavimą ne Sąjungoje įsisteigusiems duomenų valdytojams ir Sąjungoje įsisteigusių duomenų valdytojų duomenų perdavimą ne Sąjungoje įsisteigusiems duomenų tvarkytojams, įskaitant subrangos būdu samdomus duomenų tvarkytojus. Duomenų valdytojai ir tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant papildomus sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas; [57 pakeit.]

(85)  įmonių grupė turėtų galėti remtis patvirtintomis įmonei privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos tai pačiai įmonių grupei priklausančioms organizacijoms, jei tokiose įmonės taisyklėse įtvirtinti visi svarbiausi principai ir įgyvendinamos teisės, kuriomis užtikrinamos tinkamos asmens duomenų perdavimo ar perdavimo kategorijų apsaugos priemonės; [58 pakeit.]

(86)  turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs sutikimą, kai perduoti būtina dėl sutarties ar teismui pareikšto ieškinio, kai tai reikalinga dėl Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso pagrindų, arba kai duomenys perduodami iš įstatymu įsteigto registro, kuris skirtas naudotis visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises; [59 pakeit.]

(87)  šios išimtys pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant apsaugoti svarbų viešąjį interesą, pavyzdžiui, tarptautinio duomenų keitimosi tarp konkurencijos, mokesčių, muitų ar finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų arba valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas, įskaitant valdžios institucijas, atsakingas už pinigų plovimo prevenciją ir kovą su teroristų finansavimu, atvejais. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinį duomenų subjekto ar kito asmens interesą, jei duomenų subjektas negali duoti sutikimo. Asmens duomenys dėl svarbių viešojo intereso priežasčių turėtų būti perduodami tik retais atvejais. Kiekvienu konkrečiu atveju turėtų būti nuodugniai įvertinamos visos duomenų perdavimo aplinkybės; [60 pakeit.]

(88)  duomenų perdavimas, kurio negalima laikyti dažnu ar masiniu, taip pat turėtų būti galimas, kai duomenų valdytojas ar tvarkytojas siekia teisėtų interesų, jeigu jis įvertino visas su duomenų perdavimu susijusias aplinkybes. duomenis tvarkant istoriniais, statistiniais ir mokslinių tyrimų tikslais, turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius dėl išaugusios gauti daugiau žinių apimties; [61 pakeit.]

(89)  visada, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje šalyje, duomenų valdytojas arba tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinama suteikiama teisiškai privaloma garantija, kad jie Sąjungoje ir toliau galės naudotis jų duomenų tvarkymui Sąjungoje taikomomis pagrindinėmis teisėmis ir apsaugos priemonėmis, kai tik tie duomenys bus perduoti, jei toks tvarkymas nebus didelio masto, pasikartojantis ir struktūrinis. Ta garantija turėtų apimti finansinę kompensaciją, kai patiriami nuostoliai arba be leidimo susipažįstama su duomenimis arba jie be leidimo tvarkomi, ir nepaisant nacionalinių teisės aktų taikomą pareigą suteikti visą informaciją apie visus trečiosios šalies valdžios institucijų bandymus susipažinti su duomenimis; [62 pakeit.]

(90)  kai kurios trečiosios šalys priėmė įstatymus ir kitus teisės aktus, kuriais tiesiogiai reguliuojama valstybių narių jurisdikcijai priklausančių fizinių ir juridinių asmenų veikla. Ekstrateritoriniu šių įstatymų ir kitų teisės aktų taikymu galėtų būti pažeista tarptautinė teisė ir trikdoma šiuo reglamentu Sąjungoje garantuojama fizinių asmenų apsauga.. Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias šalis taikomos šio reglamento sąlygos. Taip gali būti, pavyzdžiui, jeigu atskleisti duomenis būtina ginant svarbų Sąjungos ar duomenų valdytojui taikytinos valstybės narės teisėje pripažintą viešąjį interesą. Svarbaus viešojo intereso buvimo sąlygas Komisija turėtų tiksliau nustatyti deleguotajame akte. Tais atvejais, kai duomenų valdytojai ar tvarkytojai susiduria su Sąjungos ir trečiosios šalies jurisdikcijose nustatytais prieštaringais atitikimo reikalavimais, Komisija turėtų užtikrinti, kad Sąjungos teisės aktai visuomet turėtų viršenybę. Komisija turėtų duomenų valdytojui ir tvarkytojui teikti rekomendacijas ir pagalbą ir stengtis išspręsti su trečiosiomis šalimis kylančius teisinės kompetencijos konfliktus; [63 pakeit.]

(91)  kai asmens duomenys perduodami į užsienį, fiziniams asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, o visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybinių sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis ir kartu atlikti tyrimus;

(92)  visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Valstybės narės gali įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą. Institucijai suteikiama pakankamai finansinių ir žmogiškųjų išteklių, kad atsižvelgiant į gyventojų skaičių ir tvarkomų asmens duomenų kiekį ji galėtų visapusiškai atlikti savo funkcijas; [64 pakeit.]

(93)  jeigu valstybė narė įsteigia kelias priežiūros institucijas, ji įstatymu turėtų nustatyti tvarką, kuria būtų užtikrintas veiksmingas tų priežiūros institucijų dalyvavimas nuoseklumo užtikrinimo mechanizme. Pirmiausia, ta valstybė narė turėtų paskirti priežiūros instituciją, kuri atliktų vieno bendro informacinio punkto funkciją, kad tos institucijos veiksmingai dalyvautų mechanizme, būtų užtikrintas greitas ir sklandus bendradarbiavimas su kitomis priežiūros institucijomis, Europos duomenų apsaugos valdyba ir Komisija;

(94)  kiekvienai priežiūros institucijai turėtų būti suteikta pakankamai finansinių ir žmogiškųjų išteklių, ypatingą dėmesį skiriant tinkamų personalo techninių įgūdžių užtikrinimui, taip pat patalpos ir infrastruktūra, kurie joms būtini siekiant veiksmingai vykdyti užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis; [65 pakeit.]

(95)  kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariams, visų pirma turėtų būti nustatyta, kad šiuos narius turėtų skirti valstybės narės parlamentas arba vyriausybė, deramai pasirūpinę, kad politinio kišimosi galimybė būtų kuo mažesnė, taip pat turėtų būti įtrauktos taisyklės dėl narių tinkamumo, interesų konfliktų vengimo ir šių narių statuso; [66 pakeit.]

(96)  priežiūros institucijos turėtų stebėti, kaip taikomos šio reglamento nuostatos, ir padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir palengvintas asmens duomenų judėjimas vidaus rinkoje. Siekdamos šio tikslo, priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija;

(97)  jeigu asmens duomenys tvarkomi daugiau nei vienoje valstybėje narėje, o duomenų valdytojo arba tvarkytojo buveinė vykdo veiklą Sąjungoje, viena priežiūros institucija turėtų būti kompetentinga stebėti veikti kaip vienas bendras informacinis punktas ir už duomenų valdytojo arba tvarkytojo veiklą priežiūrą visoje Sąjungoje atsakinga vadovaujanti institucija, ir priimti atitinkamus sprendimus, kad būtų vienodžiau taikoma teisė, būtų užtikrintas teisinis tikrumas ir tokiems duomenų valdytojams ir duomenų tvarkytojams sumažėtų administracinė našta; [67 pakeit.]

(98)  vadovaujanti institucija, atliekanti tokios centrinės institucijos funkciją, turėtų būti valstybės narės, kurioje yra pagrindinė duomenų valdytojo arba tvarkytojo arba duomenų valdytojo atstovo buveinė, priežiūros institucija. Tam tikrais atvejais kompetentingos institucijos prašymu pagal nuoseklumo užtikrinimo mechanizmą vadovaujančią instituciją gali paskirti Europos duomenų apsaugos valdyba; [68 pakeit.]

(98a)  duomenų subjektai, kurių asmens duomenis tvarko kitos valstybės narės duomenų valdytojas ar tvarkytojas, turėtų turėti galimybę pateikti skundą savo pasirinktai priežiūros institucijai. Vadovaujanti duomenų apsaugos institucija turėtų koordinuoti savo darbą su kitų susijusių institucijų darbu; [69 pakeit.]

(99)  šis reglamentas taip pat taikomas nacionalinių teismų veiklai, tačiau priežiūros institucijų kompetencija neturėtų apimti asmens duomenų tvarkymo, kurį jie vykdo atlikdami teisingumo funkcijas, siekiant apsaugoti teisėjų nepriklausomumą jiems atliekant savo teismines užduotis. Vis dėlto ši išimtis turėtų būti griežtai taikoma tik faktinei teisminei veiklai teismo bylose ir netaikoma kitai veiklai, kurią teisėjai gali vykdyti pagal nacionalinę teisę;

(100)  siekiant užtikrinti nuoseklią šio reglamento taikymo stebėseną ir vykdymą visoje Sąjungoje, kiekvienos valstybės narės priežiūros institucijos turėtų atlikti tas pačias pareigas ir veiksmingai naudotis tais pačiais įgaliojimais, įskaitant įgaliojimus vykdyti tyrimą ir teisiškai privalomas intervencijas, priimti sprendimus ir skirti sankcijas, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir būti proceso šalimi. Priežiūros institucijų tyrimo įgaliojimai, kai reikia patekti į patalpas, turėtų būti įgyvendinami laikantis Sąjungos ir nacionalinės teisės nuostatų. Pirmiausia tai taikoma reikalavimui iš anksto gauti teismo leidimą;

(101)  kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas arba viešajam interesui atstovaujanti asociacija, ir juos tirti. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą. Jeigu reikia papildo tyrimo arba jį koordinuoti su kita priežiūros institucija, duomenų subjektas taip pat turėtų būti apie tai informuojamas; [70 pakeit.]

(102)  priežiūros institucijų vykdoma visuomenės informavimo veikla turėtų apimti specialias priemones duomenų valdytojams ir duomenų tvarkytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, ir duomenų subjektams;

(103)  priežiūros institucijos turėtų viena kitai padėti atlikti savo pareigas ir teikti savitarpio pagalbą, kad šis reglamentas būtų nuosekliai taikomas ir vykdomas vidaus rinkoje;

(104)  kiekviena priežiūros institucija turėtų turėti teisę dalyvauti bendrose priežiūros institucijų operacijose. Prašomoji priežiūros institucija turėtų būti įpareigota į prašymą atsakyti per nustatytą terminą;

(105)  kad šis reglamentas būtų nuosekliai taikomas visoje Sąjungoje, reikėtų sukurti nuoseklumo užtikrinimo mechanizmą, pagal kurį priežiūros institucijos bendradarbiautų tarpusavyje ir su Komisija. Šis mechanizmas pirmiausia taikomas, kai priežiūros institucija ketina imtis tam tikros priemonės dėl duomenų tvarkymo operacijų, kurios yra susijusios su prekių ir paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su tokių duomenų subjektų stebėjimu, arba kurios gali iš esmės paveikti laisvą asmens duomenų judėjimą. Be to, jis turėtų būti taikomas, kai kuri nors priežiūros institucija arba Komisija prašo tam tikrą klausimą nagrinėti pagal nuoseklumo užtikrinimo mechanizmą. Be to, duomenų subjektai turėtų turėti teisę į nuoseklumo užtikrinimą, jeigu mano, kad duomenų apsaugos institucijos ar valstybės narės taikoma priemonė neatitinka šio kriterijaus. Šis mechanizmas neturėtų prieštarauti priemonėms, kurių Komisija gali imtis vykdydama savo įgaliojimus pagal Sutartis; [71 pakeit.]

(106)  taikant nuoseklumo užtikrinimo mechanizmą Europos duomenų apsaugos valdyba turėtų savo nuomonę pateikti per nustatytą terminą, jeigu taip nusprendė paprasta jos narių dauguma arba to prašo kita priežiūros institucija arba Komisija;

(106a)  siekdama užtikrinti nuoseklų šio reglamento taikymą, Europos duomenų apsaugos valdyba gali atskirais atvejais priimti sprendimą, privalomą kompetentingoms priežiūros institucijoms; [72 pakeit.]

(107)  siekdama užtikrinti šio reglamento laikymąsi, Komisija gali šiuo klausimu priimti nuomonę arba sprendimą, kuriuo priežiūros institucija įpareigojama sustabdyti priemonės projekto priėmimą; [73 pakeit.]

(108)  tam tikrais atvejais gali kilti būtinybė skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, ypač kai kyla pavojus, kad gali būti labai apsunkintos duomenų subjekto galimybės naudotis savo teise. Todėl taikydama nuoseklumo užtikrinimo mechanizmą priežiūros institucija turėtų galėti priimti nustatytą laikotarpį galiojančias laikinąsias priemones;

(109)  atitinkamas sprendimas įgyja teisinę galią ir gali būti vykdomas priežiūros institucijos, tik jeigu buvo taikytas šis mechanizmas. Kitais tarpvalstybinės svarbos atvejais atitinkamos priežiūros institucijos gali teikti tarpusavio pagalbą ir atlikti bendrus tyrimus dvišaliu arba daugiašaliu pagrindu, nesinaudodamos nuoseklumo užtikrinimo mechanizmu;

(110)  Sąjungos lygmeniu turėtų būti įsteigta Europos duomenų apsaugos valdyba. Ji turėtų pakeisti pagal Direktyvą 95/46/EB įsteigtą darbo grupę asmenų apsaugai tvarkant asmens duomenis. Ją turėtų sudaryti visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas. Jos veikloje turėtų dalyvauti Komisija. Europos duomenų apsaugos valdyba turėtų padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, be kita ko, patarti Komisijai Sąjungos institucijoms ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje, be kita ko, koordinuodama bendras operacijas. Atlikdama savo užduotis Europos duomenų apsaugos valdyba turėtų veikti nepriklausomai. Europos duomenų apsaugos valdyba turėtų vykdyti aktyvesnį dialogą su atitinkamais suinteresuotaisiais subjektais, pvz., duomenų subjektų asociacijomis, vartotojų organizacijomis, duomenų valdytojais ir kitais susijusiais suinteresuotaisiais subjektais ir ekspertais; [74 pakeit.]

(111)  kiekvienas duomenų subjektai turėtų turėti teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje ir turėti teisę, remiantis Chartijos 47 straipsniu, imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės pagal šį reglamentą pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo arba nesiima veiksmų, kai tai būtina duomenų subjekto teisėms apsaugoti; [75 pakeit.]

(112)  bet kokia viešajam interesui atstovaujanti įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ir kuri įsteigta pagal valstybės narės teisę, turėtų turėti teisę duomenų subjektų vardu šiems sutikus pateikti skundą priežiūros institucijai arba duomenų subjektui įgaliojus pasinaudoti teisminėmis teisių gynimo priemonėmis duomenų subjektų vardu, jeigu jų yra tinkamai įgaliota, arba pati pateikti skundą duomenų subjektui skundo nepateikus, jeigu mano, kad buvo pažeistas asmens duomenų saugumas šis reglamentas; [76 pakeit.]

(113)  kiekvienas fizinis arba juridinis asmuo turėtų turėti teisę imtis teisminių teisių gynimo priemonių prieš jų atžvilgiu priimtus priežiūros institucijos sprendimus. Ieškinys priežiūros institucijai turėtų būti pareiškiamas valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose;

(114)  siekiant sustiprinti duomenų subjekto teisminę apsaugą tais atvejais, kai kompetentinga priežiūros institucija įsisteigusi kitoje valstybėje narėje nei duomenų subjektas gyvena, duomenų subjektas gali prašyti bet kurios įstaigos, organizacijos ar asociacijos, siekiančios apginti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, įgalioti bet kurią viešajam interesui atstovaujančią įstaigą, organizaciją ar asociaciją pareikšti ieškinį tai priežiūros institucijai jo vardu pareikšti kompetentingame kitos valstybės narės teisme; [77 pakeit.]

(115)  tais atvejais, kai kitoje valstybėje narėje įsisteigusi kompetentinga priežiūros institucija nesiima veiksmų arba ėmėsi nepakankamų priemonių dėl skundo, duomenų subjektas gali prašyti valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, priežiūros institucijos pareikšti ieškinį tai priežiūros institucijai kompetentingame kitos valstybės narės teisme. Ši nuostata netaikoma ne ES gyventojams. Prašomoji priežiūros institucija gali priimti sprendimą, kurį galima peržiūrėti teismine tvarka, ar tinkama šį prašymą tenkinti; [78 pakeit.]

(116)  kai ieškinys pareiškiamas duomenų valdytojui ar tvarkytojui, ieškovas turėtų turėti galimybę kreiptis į valstybės narės, kurioje duomenų valdytojas ar tvarkytojas įsisteigęs arba, jei jis gyvena ES, kurioje duomenų subjektas gyvena, teismus, nebent duomenų valdytojas yra Sąjungos ar valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus; [79 pakeit.]

(117)  kai yra požymių, kad vienu metu ta pati byla nagrinėjama skirtingų valstybių narių teismuose, teismai turėtų būti įpareigoti susiekti. Teismai turėtų turėti galimybę sustabdyti bylos nagrinėjimą, kai ta pati byla nagrinėjama kitoje valstybėje narėje. Valstybės narės turėtų užtikrinti veiksmingas galimybes pareikšti ieškinius, kurie leistų greitai imtis priemonių šio reglamento pažeidimui ištaisyti arba užkirsti jam kelią;

(118)  bet kokią turtinę arba neturtinę žalą, kurią asmuo gali patirti dėl neteisėto duomenų tvarkymo, turėtų atlyginti duomenų valdytojas arba tvarkytojas, kurie gali būti atleisti nuo atsakomybės tik tuo atveju, jeigu įrodo, kad nėra atsakingi už žalą, visų pirma, kai nustatyta duomenų subjekto kaltė arba nenugalimos jėgos atveju; [80 pakeit.]

(119)  viešosios teisės arba privatinės teisės reglamentuojamam asmeniui, nesilaikančiam šio reglamento, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir privalo imtis visų priemonių sankcijoms vykdyti. Taisyklėms dėl sankcijų turėtų būti taikomos tinkamos procedūrinės apsaugos priemonės, atitinkančios bendruosius Sąjungos teisės ir Chartijos principus, įskaitant susijusius su teise į veiksmingą teisminį teisių gynimą bei tinkamą bylos nagrinėjimą ir su ne bis in idem principu; [81 pakeit.]

(119a)  taikydamos sankcijas valstybės narės turėtų visapusiškai laikytis tinkamų procedūrinės apsaugos priemonių, įskaitant teisę į veiksmingą teisminį teisių gynimą, tinkamą bylos nagrinėjimą ir ne bis in idem principą; [82 pakeit.]

(120)  siekiant sustiprinti administracinių sankcijų už šio reglamento pažeidimus poveikį ir jas suvienodinti, kiekvienai priežiūros institucijai turėtų būti suteikti įgaliojimai skirti sankcijas už administracinius pažeidimus. Šiame reglamente turėtų būti nurodyti tie pažeidimai ir nustatyti didžiausi už juos skiriamų administracinių baudų dydžiai; baudos kiekvienu konkrečiu atveju turėtų būti proporcingos atvejo aplinkybėms ir skiriamos atsižvelgiant visų pirma į pažeidimo pobūdį, sunkumą ir trukmę. Nuoseklumo užtikrinimo mechanizmas taip pat gali būti naudojamas siekiant pašalinti administracinių sankcijų taikymo skirtumus;

(121)  asmens duomenų tvarkymui prireikus vien tik žurnalistiniais arba meninės ar literatūrinės raiškos tikslais turėtų būti nustatytos taikomos tam tikrų reglamento reikalavimų, susijusių asmens duomenų tvarkymu, išimtys arba nukrypti leidžiančios nuostatos, kad teisė į asmens duomenų apsaugą būtų suderinta su teise į saviraiškos laisvę reglamentuojančiomis taisyklėmis, ypač teise gauti nešališką bei skleisti informaciją, garantuojama Chartijos 11 straipsniu. Tai visų pirma turėtų būti taikoma asmens duomenų tvarkymui audiovizualinėje srityje ir žinių bei spaudos archyvuose. Todėl valstybės narės turėtų priimti teisės nuostatas, kuriomis būtų nustatytos išimtys ir nukrypti leidžiančios nuostatos, reikalingos šioms pagrindinės teisėms suderinti. Tokias išimtis ir nukrypti leidžiančias nuostatas valstybės narės turėtų priimti bendrųjų principų, duomenų subjekto teisių, duomenų valdytojų ir duomenų tvarkytojų, duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms, nepriklausomų priežiūros institucijų, bendradarbiavimo, ir nuoseklaus teisės taikymu taikymo atžvilgiu ir konkretiems duomenų tvarkymo atvejams. Tačiau tai neturėtų suteikti valstybėms narėms pagrindo nustatyti kitų šio reglamento nuostatų išimtis. Siekiant apimti visas veiklos sritis, kurių tikslas yra paskelbti informaciją, nuomones ar idėjas visuomenei, nepriklausomai nuo pasirinkto perdavimo būdo, taip pat atsižvelgti į technologinę plėtrą, kad būtų atsižvelgta į teisės į saviraiškos laisvę svarbą demokratinėje visuomenėje, su šia laisve susijusias sąvokas, kaip antai žurnalistika, būtina aiškinti plačiai. Todėl šio reglamento išimčių ir nukrypti leidžiančių nuostatų tikslais valstybės narės turėtų veiklą priskirti „žurnalistinei“, jeigu jos tikslas – paskelbti informaciją, nuomones ar idėjas visuomenei, nepriklausomai nuo pasirinkto perdavimo būdo. Tokia veikla turėtų būti siejama ne vien su žiniasklaidos bendrovėmis; ji gali būti vykdoma pelno ir ne pelno tikslais; [83 pakeit.]

(122)  su sveikata susijusių asmens duomenų, kaip specialios kategorijos duomenų, kuriai taikytina aukšto lygio apsauga, tvarkymą dažnai galima pateisinti įvairiais teisėtais asmenims ir visuomenei apskritai naudingais pagrindais, ypač kai reikia užtikrinti sveikatos priežiūros užsienyje tęstinumą. Todėl šiame reglamente turėtų būti nustatytos asmens sveikatos duomenų tvarkymo sąlygos, jeigu bus taikomos specialios ir tinkamos apsaugos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti. Tai apima fizinių asmenų teisę susipažinti su jų asmens sveikatos duomenimis, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos;

(122a)   jei įmanoma, su sveikata susijusius asmens duomenis tvarkantis specialistas turėtų gauti anoniminius ar pseudoniminius duomenis, o asmens tapatybę turėtų žinoti tik bendrosios praktikos gydytojas ar tokius duomenis sutvarkyti prašęs specialistas; [84 pakeit.]

(123)  dėl viešojo intereso priežasčių visuomenės sveikatos srityje tvarkyti asmens sveikatos duomenis gali prireikti ir be duomenų subjekto sutikimo. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama taip, kai ji apibrėžta 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008(9) dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe, ir apimti visus elementus, susijusius su sveikata, kaip antai sveikatos būklė, įskaitant sergamumą ir neįgalumą, veiksniai, darantys poveikį šiai sveikatos būklei, sveikatos priežiūros poreikiai, sveikatos priežiūrai skirti ištekliai, sveikatos priežiūros paslaugų teikimas ir jų visuotinis prieinamumas, sveikatos priežiūros išlaidos ir jos finansavimas, taip pat mirtingumo priežastys. Su sveikata susijusių asmens duomenų tvarkymas dėl viešojo intereso neturėtų lemti, kad asmens duomenis kitais tikslais tvarkytų tretieji asmenys, kaip antai darbdaviai, draudimo bendrovės ir bankai; [85 pakeit.]

(123a)   su sveikata susijusių asmens duomenų, kaip specialios kategorijos duomenų, tvarkymas gali būti reikalingas istoriniams, statistiniams arba moksliniams tyrimams atlikti. Todėl šiame reglamente nustatyta sutikimo reikalavimo išimtis, taikoma moksliniams tyrimams, atitinkantiems itin svarbius viešuosius interesus; [86 pakeit.]

(124)  bendrieji fizinių asmenų apsaugos tvarkant asmens duomenis principai taip pat turėtų būti taikomi ir su darbo santykiais bei socialine apsauga susijusiais tikslais. Todėl siekiant Valstybės narės, vadovaudamosi šiame reglamente numatytomis nuostatomis ir būtiniausiais standartais, turėtų galėti reglamentuoti darbuotojų asmens duomenų tvarkymą su darbo santykiais susijusiais tikslais, valstybės narės, neperžengdamos šio reglamento ribų, turėtų galėti priimti įstatymus, kuriuose būtų įtvirtintos specialios ir asmens duomenų tvarkymo užimtumo sektoriuje taisyklės tvarkymą su socialine apsauga susijusiais tikslais. Jeigu atitinkamoje valstybėje narėje esama teisinio pagrindo, pagal kurį darbo santykių klausimai reglamentuojami darbuotojų atstovų ir įmonės vadovybės arba įmonių grupę valdančiosios įmonės susitarimu (kolektyvine sutartimi) arba remiantis Europos Parlamento ir Tarybos direktyva 2009/38/EB(10), asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais taip pat gali būti reglamentuojamas pagal tokį susitarimą; [87 pakeit.]

(125)  kad asmens duomenų tvarkymas istoriniais, statistiniais arba mokslinių tyrimų tikslais būtų teisėtas, taip pat reikėtų paisyti kitų tos srities teisės aktų, pavyzdžiui, dėl klinikinių tyrimų;

(125a)  be to, vėliau asmens duomenis gali tvarkyti archyvų tarnyba, kurios pagrindinė ar privaloma užduotis yra siekiant viešojo intereso rinkti, saugoti, naudoti ir platinti archyvus bei teikti apie juos informaciją. Teisė į asmens duomenų apsaugą su archyvams ir visuotinei prieigai prie administracinės informacijos taikomomis taisyklėmis turėtų būti suderinta valstybių narių teisės aktais. Valstybės narės imasi veiksmų, kad būtų parengtos taisyklės (ypač, kad jas parengtų Europos archyvų grupė), pagal kurias būtų užtikrintas duomenų konfidencialumas trečiųjų šalių atžvilgiu ir duomenų autentiškumas, vientisumas ir tinkamas saugojimas; [88 pakeit.]

(126)  moksliniai tyrimai šio reglamento tikslais turėtų apimti fundamentinius tyrimus, taikomuosius tyrimus ir privačių asmenų finansuojamus tyrimus; jie taip pat turi būti orientuoti į Sutarties dėl Sąjungos veikimo 179 straipsnio 1 dalyje nustatytą tikslą sukurti Europos mokslinių tyrimų erdvę. Dėl asmens duomenų tvarkymo istorinių, statistinių ir mokslinių tyrimų tikslais jie neturėtų būti tvarkomi kitais tikslais, nebent duomenų subjektui davus sutikimą arba pagal Sąjungos ar valstybės narės teisės aktus; [89 pakeit.]

(127)  kiek tai susiję su priežiūros institucijų įgaliojimais reikalauti, kad duomenų valdytojai ar tvarkytojai leistų susipažinti su asmens duomenimis ir įsileistų į savo patalpas, valstybės narės, neperžengdamos šio reglamento ribų, gali priimti įstatymą, kuriame įtvirtintų specialias profesinės paslapties ar kitų lygiaverčių pareigų saugoti paslaptį taisykles, jeigu to reikia teisei į asmens duomenų apsaugą ir pareigai saugoti profesinę paslaptį suderinti;

(128)  kaip nustatyta Sutarties dėl Europos Sąjungos veikimo 17 straipsnyje, šiuo reglamentu paisoma pagal nacionalinę teisę nustatyto valstybių narių bažnyčių ir religinių asociacijų ar bendruomenių statuso ir jo nepažeidžia. Jeigu įsigaliojant šiam reglamentui bažnyčia valstybėje narėje taiko išsamias tinkamas taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės turėtų būti taikomos toliau, jeigu jos dera su šio reglamento nuostatomis, Tokios bažnyčios ir religinės asociacijos turėtų būti įpareigotos įsteigti visiškai nepriklausomą priežiūros instituciją ir jų atitiktis pripažįstama; [90 pakeit.]

(129)  siekiant įgyvendinti šio reglamento tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti aktus. Visų pirma, deleguotieji aktai turėtų būti priimti dėl duomenų tvarkymo teisėtumo; vaiko sutikimo kriterijų ir piktograminio informacijos teikimo sąlygų nustatymo; ypatingų kategorijų duomenų tvarkymo; akivaizdžiai neproporcingų prašymų ir mokesčio už duomenų subjekto naudojimąsi teisėmis kriterijų ir sąlygų nustatymo; duomenų subjekto informavimo ir teisės susipažinti su duomenimis kriterijų ir reikalavimų; teisės būti pamirštam ir teisės reikalauti ištrinti duomenis; profiliavimu pagrįstų priemonių; duomenų valdytojo atsakomybės ir pritaikytosios bei standartizuotosios duomenų apsaugos kriterijų ir reikalavimų; duomenų tvarkytojo; dokumentavimo ir duomenų tvarkymo kriterijų ir reikalavimų; asmens duomenų saugumo pažeidimo ir pranešimo apie jį priežiūros institucijoms kriterijų bei reikalavimų ir aplinkybių, kuriomis tikėtina, kad asmens duomenų saugumo pažeidimas turės neigiamo poveikio duomenų subjektui; duomenų tvarkymo operacijų, kurioms reikalingas duomenų apsaugos poveikio įvertinimas, kriterijų ir sąlygų; didelės konkrečios rizikos, dėl kurios būtina iš anksto konsultuotis, nustatymo kriterijų ir reikalavimų; duomenų apsaugos pareigūno paskyrimo ir užduočių; teisės reikalauti ištrinti duomenis; paskelbimo, kad elgesio kodeksų; kodeksai atitinka šį reglamentą; sertifikavimo mechanizmų kriterijų ir reikalavimų; tinkamo duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba tarptautinė organizacija; duomenų perdavimo remiantis įmonei privalomomis taisyklėmis kriterijų ir reikalavimų; duomenų perdavimo išimčių; administracinių sankcijų; duomenų tvarkymo sveikatos priežiūros tikslais; duomenų tvarkymo ir su darbo santykiais susijusiais tikslais ir duomenų tvarkymo istoriniais, statistiniais ir mokslinių tyrimų tikslais. Itin svarbu, kad atlikdama parengiamuosius darbus Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais, ypač su Europos duomenų apsaugos valdyba. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus, Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduoti Europos Parlamentui ir Tarybai; [91 pakeit.]

(130)  siekiant užtikrinti vienodas šio reglamento taikymo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai dėl: standartinės formos, susijusios su konkrečiais metodais įrodomam sutikimui dėl vaiko asmens duomenų tvarkymo formos gauti, nustatymo; standartinių pranešimo duomenų subjektams dėl jų naudojimosi duomenų subjekto savo teisėmis procedūrų ir formų; standartinių duomenų subjekto informavimo formų; standartinių naudojimosi teise susipažinti su duomenimis formų ir procedūrų; teisės į duomenų perkeliamumą; standartinių duomenų valdytojo atsakomybės už pritaikytąją bei standartizuotąją duomenų apsaugą ir dokumentų, įskaitant asmens duomenų pateikimą duomenų subjektui, formų; duomenų tvarkymo saugumo specialių reikalavimų; dokumentų, kuriuos turi saugoti duomenų valdytojas ir duomenų tvarkytojas, standartinių formų; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai ir duomenų subjektui standartinės formos ir tvarkos asmens duomenų pažeidimo užfiksavimo standartinės formos; duomenų apsaugos poveikio įvertinimo standartų ir tvarkos; išankstinio leidimo ir išankstinio konsultavimosi formos ir tvarkos; techninių standartų ir sertifikavimo mechanizmų; duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija, tinkamumo įvertinimo; duomenų atskleidimo pažeidžiant Sąjungos teisę; savitarpio pagalbos; bendrų operacijų ir sprendimų pagal nuoseklumo užtikrinimo mechanizmą konsultavimosi ir priežiūros institucijos informavimo formos. Tais įgaliojimais turėtų būti naudojamasi laikantis 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai(11). Komisija turėtų svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas konkrečias priemones; [92 pakeit.]

(131)  nagrinėjimo procedūra turėtų būti taikoma standartinių vaiko sutikimo formų priėmimui;: standartinėms naudojimosi duomenų subjekto teisėmis procedūroms ir formoms konkrečių metodų įrodomam sutikimui dėl vaiko asmens duomenų tvarkymo gauti, nustatymui; standartinėms pranešimo duomenų subjektui formoms subjektams dėl jų naudojimosi savo teisėmis; duomenų subjekto informavimo; standartinėms naudojimosi teise susipažinti su duomenimis formoms ir procedūroms; standartinėms naudojimosi teise susipažinti su duomenimis, įskaitant asmens duomenų valdytojo atsakomybės už pritaikytąją bei standartizuotąją pateikimą duomenų apsaugą ir dokumentų formoms subjektui; specialiems duomenų tvarkymo saugumo reikalavimams dokumentų, kuriuos turi saugoti duomenų valdytojas ir duomenų tvarkytojas, standartinėms formoms; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai ir asmens duomenų subjektui standartinei formai ir tvarkai pažeidimo užfiksavimo; duomenų apsaugos poveikio įvertinimo standartams ir tvarkai; išankstinio leidimo ir išankstinio konsultavimosi formoms ir tvarkai; techniniams standartams ir sertifikavimo mechanizmams; duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija tinkamumo įvertinimui; duomenų atskleidimui pažeidžiant Sąjungos teisę; savitarpio pagalbai; bendroms operacijoms ir sprendimams pagal nuoseklumo užtikrinimo mechanizmą konsultavimosi ir priežiūros institucijos informavimo, jeigu tie aktai yra bendro pobūdžio; [93 pakeit.]

(132)  Komisija turėtų priimti nedelsiant taikomus įgyvendinimo aktus, jeigu tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio neužtikrinančia trečiąja šalimi arba teritorija, arba su sektoriumi, kurio duomenys tvarkomi, toje trečiojoje šalyje, arba tarptautine organizacija ir susijusiais su priežiūros institucijai pagal nuoseklumo užtikrinimo mechanizmą praneštais klausimais, to reikia dėl imperatyvių skubos pagrindų; [94 pakeit.]

(133)  kadangi šio reglamento tikslų, t. y. užtikrinti vienodą fizinių asmenų apsaugos lygį ir laisvą duomenų judėjimą Sąjungoje, valstybės narės negali tinkamai pasiekti pačios , o dėl veiksmų masto arba poveikio jų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Laikantis tame straipsnyje nustatyto proporcingumo principo šiuo reglamentu neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(134)  Direktyva 95/46/EB turėtų būti panaikinta šiuo reglamentu. Tačiau pagal Direktyvą 95/46/EB Komisijos priimti sprendimai ir priežiūros institucijų suteikti leidimai turėtų toliau galioti. Su asmens duomenų perdavimu trečiosioms valstybėms pagal 41 straipsnio 8 dalį susiję Komisijos sprendimai ir priežiūros institucijų leidimai įsigaliojus šiam reglamentui turėtų galioti pereinamąjį penkerių metų laikotarpį, nebent prieš pasibaigiant šiam laikotarpiui Komisija juos iš dalies pakeistų, pakeistų naujais arba panaikintų; [95 pakeit.]

(135)  šis reglamentas turėtų būti taikomas visiems su pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis susijusiems klausimams, kuriems negalioja Europos Parlamento ir Tarybos direktyvoje 2002/58/EB(12) nustatytos specialios pareigos, kuriomis siekiama tų pačių tikslų, įskaitant duomenų valdytojo pareigas ir fizinių asmenų teises. Siekiant aiškiai apibrėžti šio reglamento ir Direktyvos 2002/58/EB santykį, pastaroji direktyva turėtų būti atitinkamai pakeista;

(136)  Islandijos ir Norvegijos atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos tiek, kiek jis taikomas šio acquis įgyvendinime dalyvaujančių institucijų atliekamam asmens duomenų tvarkymui, kaip apibrėžta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės sudarytame susitarime dėl šių dviejų valstybių asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis(13);

(137)  Šveicarijos atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos tiek, kiek jis taikomas šio acquis įgyvendinime dalyvaujančių institucijų atliekamam asmens duomenų tvarkymui, kaip apibrėžta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos sudarytame susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis(14);

(138)  Lichtenšteino atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos tiek, kiek jis taikomas šio acquis įgyvendinime dalyvaujančių institucijų atliekamam asmens duomenų tvarkymui, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės pasirašytame protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis(15);

(139)  atsižvelgiant į tai, kad, kaip pabrėžė Europos Sąjungos Teisingumo Teismas, teisė į asmens duomenų apsaugą nėra absoliuti ir turi būti vertinama pagal jos visuomeninę paskirtį ir remiantis proporcingumo principu derėti su kitomis pagrindinėmis teisėmis, šiuo reglamentu paisoma visų Chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir principų, ypač teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, kalbų ir religijų įvairovės,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir tikslai

1.  Šiuo reglamentu nustatomos fizinių asmenų apsaugos tvarkant asmens duomenis ir laisvo asmens duomenų judėjimo taisyklės.

2.  Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3.  Laisvas asmens duomenų judėjimas Sąjungoje negali būti varžomas ar draudžiamas remiantis su asmenų apsauga tvarkant asmens duomenis susijusiais pagrindais.

2 straipsnis

Dalykinė taikymo sritis

1.  Šis reglamentas taikomas visiškai arba iš dalies automatizuotomis priemonėmis tvarkomiems asmens duomenims, neatsižvelgiant į tvarkymo metodą, neteikiant pirmenybės jokioms tvarkymo priemonėms, ir neautomatizuotomis priemonėmis tvarkomiems asmens duomenims, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį.

2.  Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)  vykdoma Sąjungos teisės nereglamentuojama veikla, visų pirma susijusi su nacionaliniu saugumu;

b)  duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros;

c)  valstybės narės atlieka Europos Sąjungos sutarties V antraštinės dalies 2 skyriuje reglamentuojamą veiklą;

d)  duomenis išimtinai asmeniniais arba šeimos tikslais nesiekdamas pelno tvarko fizinis asmuo. Be to, ši išimtis taikoma viešam asmens duomenų paskelbimui – tokiu atveju gali būti pagrįstai tikimasi, kad su jais susipažins tik ribotas skaičius asmenų;

e)  duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymo tikslais.

3.  Šis reglamentas neturi įtakos Direktyvos 2000/31/EB, visų pirma jos 12–15 straipsniuose įtvirtintų tarpininkavimo paslaugų teikėjų atsakomybės nuostatų, taikymui. [96 pakeit.]

3 straipsnis

Teritorinė taikymo sritis

1.  Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba tvarkytojo buveinė, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje ar ne.

2.  Šis reglamentas taikomas asmens duomenų tvarkymui, kai Sąjungoje gyvenančių Sąjungos duomenų subjektų duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ar tvarkytojas ir duomenų tvarkymas susijęs su:

a)  prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje, nepaisant to, ar duomenų subjektas turi už tai sumokėti arba

b)  jų elgesio šių duomenų subjektų stebėjimu.

3.  Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ten, kur pagal viešąją tarptautinę teisę taikoma valstybės narės nacionalinė teisė. [97 pakeit.]

4 straipsnis

Apibrėžtys

Šiame reglamente:

1)  duomenų subjektas – konkretus fizinis asmuo, kurį tiesiogiai arba netiesiogiai galima nustatyti priemonėmis, kuriomis, tikėtina, galėtų naudotis duomenų valdytojas arba kitas fizinis ar juridinis asmuo, visų pirma pagal asmens identifikavimo numerį, vietos nustatymo duomenis, interneto identifikatorių arba vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)  asmens duomenys – tai bet kokia kuri informacija apie duomenų subjektą, susijusi su fiziniu asmeniu („duomenų subjektu“), kurio tapatybė yra arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta – tai asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, pirmiausia pagal žymenį, pavyzdžiui, vardą, asmens kodą, duomenis apie vietą, unikalų žymenį arba pagal vieną ar kelis to asmens fizinio, fiziologinio, genetinio, psichologinio, ekonominio, kultūrinio ar socialinio arba lyties požymius;

2a)  pseudoniminiai duomenys – asmens duomenys, kurie negali būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, tol, kol tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės, siekiant užtikrinti tokį nepriskyrimą;

2b)  užkoduoti duomenys − asmens duomenys, kurie technologinėmis apsaugos priemonėmis paversti nesuprantamais bet kokiam asmeniui, neturinčiam leidimo su jais susipažinti;

3)  duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniu atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, ištrynimas ar sunaikinimas;

3a)  profiliavimas – bet kokia automatizuoto asmens duomenų tvarkymo forma, kuria siekiama įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus arba visų pirma išnagrinėti arba numatyti to fizinio asmens darbo rezultatus, ekonominę padėtį, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį;

4)  susistemintas rinkinys – bet kuris susistemintas pagal specifinius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

5)  duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kitas organas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus, sąlygas ir būdus; jeigu tvarkymo tikslai, sąlygos ir būdai nustatyti Sąjungos arba valstybės narės teisės aktais, duomenų valdytojas arba specialūs jo skyrimo kriterijai taip pat gali būti nustatyti Sąjungos arba valstybės narės teisės aktais;

6)  duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuris duomenų valdytojo pavedimu tvarko asmens duomenis;

7)  duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuriam atskleidžiami asmens duomenys;

7a)  trečioji šalis – bet kuris fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuri kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas ar tvarkytojas arba asmuo, kuriam leidžiama tvarkyti duomenis, tiesiogiai įgaliotam duomenų valdytojo ar tvarkytojo;

8)  duomenų subjekto sutikimas – savanoriškas konkretus ir aiškus tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję duomenys;

9)  asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduoti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų gaunama prieiga netyčinis arba neteisėtas sunaikinimas, praradimas, pakeitimas, be leidimo atskleidimas, saugojimas arba kitoks asmens duomenų tvarkymas arba prieigos prie jų gavimas;

10)  genetiniai duomenys – visi bet kokios rūšies asmens duomenys, susiję su embrioniniu laikotarpiu paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, gaunami analizuojant biologinius atitinkamo asmens mėginius, ypač analizuojant chromosomas ir deoksiribonukleo rūgštį arba ribonukleino rūgštį, arba kitus elementus, iš kurių galima gauti atitinkamą informaciją;

11)  biometriniai duomenys – bet kokie asmens duomenys apie asmens fizinius, fiziologinius arba elgesio ypatumus, pagal kuriuos galimas unikalus jo atpažinimas, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys;

12)  sveikatos duomenys – visa informacija, susijusi asmens duomenys, susiję su fizine ar psichine asmens sveikata arba su asmeniui teikiamomis sveikatos priežiūros paslaugomis;

13)  pagrindinė buveinė – duomenų valdytojo atveju yra jo arba tvarkytojo įmonės arba įmonių grupės buveinės vieta Sąjungos teritorijoje, kurioje priimami pagrindiniai sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų; jei sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų Sąjungos teritorijoje nepriimami, pagrindine buveine laikoma vieta, kurioje duomenų valdytojo buveinei veikiant Sąjungoje atliekamos pagrindinės duomenų tvarkymo operacijos. Duomenų tvarkytojo pagrindinė buveinė – jo centrinės administracijos vieta Sąjungos teritorijoje. Be kitų, gali būti atsižvelgiama į šiuos objektyvius kriterijus: duomenų valdytojo arba tvarkytojo būstinės vieta; įmonių grupei priklausančios įmonės, kuri labiausiai tinka valdymo funkcijoms ir administracinėms pareigoms vykdyti įgyvendinant šiame reglamente nustatytas taisykles, vieta, kurioje vykdoma veiksminga ir reali valdymo veikla, užtikrinanti, kad duomenų tvarkymas vykdomas taikant stabilias struktūras;

14)  atstovas – bet koks Sąjungos teritorijoje įsisteigęs, duomenų valdytojo aiškiai paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su duomenų valdytojo pareigomis pagal šį reglamentą, veikia atstovauja duomenų valdytojo vardu ir į kurį gali kreiptis bet kokia Sąjungos priežiūros institucija ir kitos įstaigos valdytojui;

15)  įmonė – bet kuris bet kokios teisinės formos ekonomine veikla užsiimantis subjektas, visų pirma reguliaria ekonomine veikla užsiimantys fiziniai ir juridiniai asmenys, ūkinės bendrijos ar susivienijimai;

16)  įmonių grupė – valdančioji įmonė ir jos valdomos įmonės;

17)  įmonei privalomos taisyklės – asmens duomenų apsaugos nuostatos, kurių Sąjungos valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba tvarkytojas laikosi vieną ar daugiau kartų perduodamas asmens duomenis vienos ar daugiau trečiųjų šalių duomenų valdytojui arba tvarkytojui, priklausančiam tai pačiai įmonių grupei;

18)  vaikas – bet kuris jaunesnis nei 18 metų asmuo;

19)  priežiūros institucija – valstybės narės pagal 46 straipsnį įsteigta valdžios institucija. [98 pakeit.]

II SKYRIUS

PRINCIPAI

5 straipsnis

Asmens duomenų tvarkymo principai

Asmens duomenys turi būti yra:

a)  duomenų subjekto atžvilgiu tvarkomi teisėtai, sąžiningai ir skaidriai (teisėtumas, sąžiningumas ir skaidrumas);

b)  renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, o toliau tvarkomi su šiais tikslais suderintais būdais (tikslų apribojimas);

c)  adekvatūs, susiję ir minimalios apimties, būtinos tikslams, kuriais jie tvarkomi, pasiekti; jie tvarkomi tik tiek ir tol, kol tikslų negalima pasiekti tvarkant asmens duomenų neapimančios informacijos (kuo mažesnis duomenų kiekis);

d)  tikslūs ir, jei būtina, nuolat atnaujinami; būtina imtis visų pagrįstų priemonių, kad atsižvelgiant į duomenų tvarkymo tikslus netikslūs asmens duomenys būtų nedelsiant ištrinti arba ištaisyti (tikslumas);

e)  laikomi tokiu pavidalu, kad duomenų subjektų tapatybę būtų galima tiesiogiai ar netiesiogiai nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys tvarkomi; asmens duomenis galima saugoti ilgesnį laikotarpį, jeigu duomenys bus tvarkomi išimtinai istoriniais, statistiniais arba, mokslinių tyrimų arba archyvavimo tikslais, laikantis 83 straipsnyje 83 ir 83a straipsniuose nustatytų taisyklių ir sąlygų, ir jeigu periodiškai atliekama peržiūra siekiant nustatyti, ar juos būtina toliau saugoti, ir jeigu numatytos atitinkamos techninės ir organizacinės priemonės siekiant apriboti prieigą prie duomenų tik šiais tikslais (kuo mažesnio duomenų kiekio saugojimas);

ea)  tvarkomi taip, kad duomenų subjektai galėtų veiksmingai naudotis savo teisėmis (veiksmingumas);

eb)  tvarkomi taip, kad taikant atitinkamas technines ar organizacines priemones būtų apsaugoti nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumas);

f)  tvarkomi duomenų valdytojo atsakomybe, kuris užtikrina ir įrodo, kad gali įrodyti kiekviena duomenų tvarkymo operacija atitinka atitiktį šio reglamento nuostatas nuostatoms (atskaitomybė). [99 pakeit.]

6 straipsnis

Tvarkymo teisėtumas

1.  Asmens duomenų tvarkymas teisėtas, tik jeigu ir tiek, kiek taikoma bent viena iš šių sąlygų:

a)  duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)  tvarkyti duomenis reikia siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu;

c)  tvarkyti duomenis reikia siekiant, kad duomenų valdytojas įvykdytų savo teisinę pareigą;

d)  tvarkyti duomenis reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus;

e)  tvarkyti duomenis reikia siekiant įvykdyti duomenų valdytojui pavestą viešojo intereso užduotį arba įgyvendinti valdžios įgaliojimus;

f)  tvarkyti duomenis reikia siekiant teisėtų duomenų valdytojo arba, jei duomenys atskleidžiami, trečiosios šalies, kuriai duomenys buvo atskleisti, interesų, atitinkančių pagrįstus duomenų subjekto lūkesčius, paremtus jo ar jos santykiais su duomenų valdytoju, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, kuriems turi būti taikoma asmens duomenų apsauga, už juos viršesni, ypač kai duomenų subjektas yra vaikas. Tai netaikoma duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo funkcijas.

2.  Asmens duomenų tvarkymas, reikalingas istoriniais, statistiniais arba mokslinių tyrimų tikslais, yra teisėtas, jeigu laikomasi 83 straipsnyje nurodytų sąlygų ir apsaugos priemonių.

3.  1 dalies c–e punktuose nurodytas asmenų tvarkymo pagrindas turi būti įtvirtintas:

a)  Sąjungos teisėje arba

b)  duomenų valdytojui taikytinos valstybės narės teisėje.

Valstybės narės teisės aktais turi būti siekiama ginti viešąjį interesą arba jie

reikalingi, kad būtų apsaugotos kitų teisės ir laisvės, laikomasi esminių teisės į

asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo. Atsižvelgiant į šio reglamento nustatytas ribas, valstybės narės teisėje gali būti pateikta išsami informacija dėl duomenų tvarkymo teisėtumo, ypač dėl duomenų valdytojų, duomenų tvarkymo tikslo ir tikslo apribojimo, duomenų pobūdžio ir duomenų subjektų, tvarkymo priemonių ir procedūrų, gavėjų ir saugojimo trukmės.

4.  Kai tolesnio duomenų tvarkymo tikslas neatitinka tikslo, kuriuo buvo rinkti asmens duomenys, duomenų tvarkymas turi būti grindžiamas bent vienu iš 1 dalies a–e punktuose nurodytų teisinių pagrindų. Tai ypač taikytina bet kokiems sutarties nuostatų ir bendrųjų sutarties sudarymo sąlygų pakeitimams.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnes 1 dalies f punkte nurodytas sąlygas, taikomas įvairiems sektoriams ir duomenų tvarkymo atvejams, be kita ko, susijusiems su vaiko asmens duomenų tvarkymu. [100 pakeit.]

7 straipsnis

Sutikimo sąlygos

1.  Kai duomenų tvarkymas grindžiamas sutikimu, pareiga įrodyti, kad duomenų subjektas sutiko su jo asmens duomenų tvarkymu nustatytiems tikslams, tenka duomenų valdytojui.

2.  Jeigu duomenų subjekto sutikimas turi būti išreikštas rašytiniu pareiškimu, susijusiu ir su kitu klausimu, reikalavimas duoti sutikimą turi būti pateiktas aiškiai atskyrus nuo to kito klausimo. Nuostatos dėl duomenų subjekto sutikimo, kuriomis iš dalies pažeidžiamas šis reglamentas, yra visiškai niekinės.

3.  Nepaisant kitų teisinių duomenų tvarkymo pagrindų, duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Atšaukti sutikimą taip pat lengva kaip jį duoti. Duomenų valdytojas informuoja duomenų subjektą, jei dėl sutikimo atšaukimo gali būti baigiama teikti paslaugas arba nutraukiami santykiai su duomenų valdytoju.

4.  Sutikimas nelaikomas galiojančiu duomenų tvarkymo teisiniu pagrindu, kai yra didelis duomenų subjekto ir duomenų valdytojo padėties disbalansas priklauso nuo tikslų ir netenka galios, kai nebeturi tikslo arba iš karto, kai tik asmens duomenų nebereikia tvarkyti tuo tikslu, kuriuo jie buvo iš pradžių surinkti. Sutarties vykdymas ar paslaugos teikimas netampa priklausomi nuo sutikimo tvarkyti duomenis, kurie nėra būtini sutarčiai vykdyti ar paslaugai teikti pagal 6 straipsnio 1 dalies b punktą. [101 pakeit.]

8 straipsnis

Vaiko asmens duomenų tvarkymas

1.  Šio reglamento tikslais jaunesnio nei 13 metų vaiko, kuriam tiesiogiai siūlomos informacinės visuomenės prekės ar paslaugos, asmens duomenų tvarkymas yra teisėtas, tik jeigu ir tiek, kiek sutikimą davė arba tvarkyti duomenis leido vaiko tėvai arba teisėtas globėjas. Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda tinkamas pastangas, kad gautų įrodomą įrodytų tokį sutikimą, nesukeldamas priešingu atveju nereikalingo asmens duomenų tvarkymo.

1a.  Informacija vaikams, tėvams ir teisėtiems globėjams, kad būtų išreikštas sutikimas, įskaitant dėl duomenų valdytojo asmens duomenų rinkimo ir naudojimo, turėtų būti pateikiama aiškia kalba, atsižvelgiant į publiką, kuriai ji skirta.

2.  1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai su vaiku sudaromos sutarties galiojimo, sudarymo arba pasekmių normoms.

3.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų įrodomo sutikimo gavimo būdų kriterijus ir reikalavimus. Naudodamasi šiuo įgaliojimu, Komisija svarsto labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnį nustatyti gaires, rekomendacijas ir gerąją patirtį dėl būdų įrodyti 1 dalyje minimą sutikimą.

4.  Komisija gali nustatyti specialių 1 dalyje nurodyto įrodomo sutikimo gavimo būdų standartines formas. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [102 pakeit.]

9 straipsnis

Ypatingų kategorijų asmens Specialios duomenų tvarkymas kategorijos

1.  Draudžiama tvarkyti asmens duomenis, kurie atskleidžia rasinę arba tautinę kilmę, politines pažiūras, religiją ar tikėjimą filosofinius įsitikinimus, seksualinę orientaciją arba lyties tapatybę, priklausymą profesinėms sąjungoms ir dalyvavimą jų veikloje, taip pat genetinius ar biometrinius duomenis arba duomenis apie sveikatą ar lytinį gyvenimą, administracines sankcijas, nuosprendžius, nusikalstamą veiką ar įtariamus nusikaltimus, teistumą arba teistumą ar su juo susijusias saugumo priemones.

2.  1 dalis netaikoma tais atvejais, kai jei taikoma viena iš toliau nurodytų sąlygų:

a)  duomenų subjektas sutiko, kad tokie asmens duomenys vienu ar daugiau konkrečių tikslų būtų tvarkomi laikantis 7 ir 8 straipsniuose nustatytų sąlygų, išskyrus, kai Sąjungos arba valstybės narės teisės aktuose numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti, arba

aa)  tvarkyti duomenis reikia vykdant ar įgyvendinant sutartį, kurią duomenų subjektas yra sudaręs kaip viena iš šalių, arba duomenų subjekto prašymu norint imtis priemonių prieš sudarant sutartį;

b)  tvarkyti duomenis būtina, kad duomenų valdytojas galėtų įvykdyti pareigas ir naudotis specialiomis teisėmis darbo teisės srityje, kiek tai leidžiama Sąjungos arba nacionalinės valstybių narių teisės aktais ar kolektyviniais susitarimais, kuriuose numatytos atitinkamos duomenų subjekto pagrindinių teisių ir interesų, pvz., teisės į nediskriminavimą, apsaugos priemonės, atsižvelgiant į 82 straipsnyje nurodytas sąlygas ir apsaugos priemones, arba

c)  tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;, arba

d)  duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydami teisėtą veiklą ir taikydami tinkamas apsaugos priemones, ir su sąlyga, kad taip tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su šia organizacija dėl jos siekiamų tikslų, duomenys ir kad duomenys neperduodami už organizacijos ribų be duomenų subjektų sutikimo;, arba

e)  tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;, arba

f)  tvarkyti duomenis būtina siekiant pagrįsti, pareikšti arba apginti teisinius reikalavimus;, arba

g)  tvarkyti duomenis būtina, kad, remiantis Sąjungos arba valstybės narės teisės aktais, kurie turi būti proporcingi siekiamam tikslui, nepažeisti esminių teisės į asmens duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos teisėtų duomenų subjektų pagrindinių teisių ir interesų apsaugos priemonės, būtų galima atlikti svarbaus viešojo intereso užduotį;, arba

h)  tvarkyti sveikatos duomenis būtina sveikatos priežiūros tikslais ir su sąlyga, kad laikomasi 81 straipsnyje nustatytų sąlygų ir apsaugos priemonių;, arba

i)  tvarkyti duomenis būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais su sąlyga, kad laikomasi 83 straipsnyje nustatytų sąlygų ir apsaugos priemonių;, arba

ia)  tvarkyti duomenis būtina archyvų tarnybai, su sąlyga, kad būtų laikomasi 83a straipsnyje nurodytų sąlygų ir apsaugos priemonių, arba

j)  duomenys apie administracines sankcijas, nuosprendžius, nusikalstamą veiką, teistumą ar su juo susijusias saugumo priemones tvarkomi arba prižiūrint valdžios institucijai, arba kai tvarkyti duomenis reikia, kad būtų įvykdyta teisinė ar įstatyme nustatyta duomenų valdytojo pareiga arba būtų atlikta svarbiu viešuoju interesu pagrįsta užduotis, ir tiek, kiek tai leidžiama Sąjungos arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės. Išsamus Visi teistumo duomenų registras vedamas registrai vedami tik prižiūrint valdžios institucijai.

3.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnį nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 dalyje nurodyto ypatingų kategorijų asmens duomenų tvarkymo kriterijus, sąlygas ir tinkamas apsaugos priemones ir 2 dalyje numatytas išimtis numatytų išimčių. [103 pakeit.]

10 straipsnis

Duomenų tvarkymas, kai asmens tapatybės nustatyti negalima

1.  Jeigu duomenų valdytojas ar tvarkytojas pagal duomenų valdytojo tvarkomus duomenis negali tiesiogiai ar netiesiogiai nustatyti fizinio asmens tapatybės jis neįpareigojamas gauti arba jei tvarkomus duomenis sudaro tik pseudoniminiai duomenys, duomenų valdytojas netvarko ar negauna papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos.

2.  Jei dėl 1 dalies duomenų valdytojas negali laikytis šio reglamento nuostatos, duomenų valdytojas neįpareigojamas laikytis tos konkrečios šio reglamento nuostatos. Jei dėl to duomenų valdytojas negali patenkinti duomenų subjekto prašymo, jis atitinkamai informuoja duomenų subjektą. [104 pakeit.]

10a straipsnis

Bendrieji duomenų subjektų teisių principai

1.  Duomenų apsaugos pagrindas – aiškios ir nedviprasmiškos duomenų subjekto teisės, kurias gerbia duomenų valdytojas. Šio reglamento nuostatomis siekiama sustiprinti, paaiškinti, užtikrinti ir prireikus susisteminti šias teises.

2.  Tokios teisės apima, inter alia, teisę gauti aiškią, lengvai suprantamą informaciją apie savo asmens duomenų tvarkymą, teisę susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti, teisę gauti duomenis, teisę nesutikti su profiliavimu, teisę pateikti skundą kompetentingai duomenų apsaugos institucijai ir pradėti teisinį procesą, taip pat teisę į kompensaciją ir nuostolių, padarytų neteisėta duomenų tvarkymo operacija, atlyginimą. Paprastai šiomis teisėmis naudojamasi nemokamai. Duomenų valdytojas atsako į duomenų subjekto prašymus per pagristą laikotarpį. [105 pakeit.]

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

1 SKIRSNIS

SKAIDRUMAS IR SĄLYGOS

11 straipsnis

Skaidrus informavimas ir pranešimas

1.  Duomenų valdytojas numato glaustas, skaidrias, aiškias ir lengvai suprantamas asmens duomenų tvarkymo ir duomenų subjektų naudojimosi teisėmis nuostatas.

2.  Visą informaciją ir pranešimus, susijusius su asmens duomenų tvarkymu, duomenų valdytojas duomenų subjektui pateikia suprantama forma, aiškia ir paprasta duomenų subjektui pritaikyta kalba, ypač kai informacija skirta vaikui. [106 pakeit.]

12 straipsnis

Naudojimosi duomenų subjekto teisėmis tvarka ir mechanizmai

1.  Duomenų valdytojas nustato 14 straipsnyje nurodytos informacijos suteikimo ir naudojimosi 13 straipsnyje ir 15–19 straipsniuose nurodytomis duomenų subjektų teisėmis tvarką. Duomenų valdytojas visų pirma numato mechanizmus, kuriais palengvinamos galimybės prašyti taikyti 13 straipsnyje ir 15–19 straipsniuose nurodytas priemones. Kai asmens duomenys tvarkomi automatizuotomis priemonėmis, jei įmanoma, duomenų valdytojas taip pat užtikrina galimybes prašymus pateikti elektroniniu būdu.

2.  Duomenų valdytojas nepagrįstai nedelsdamas, bet ne vėliau kaip per vieną mėnesį 40 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą, ar imtasi priemonių pagal 13 straipsnį ir 15–19 straipsnius, ir pateikia prašomą informaciją. Šis terminas gali būti pratęstas dar vienu mėnesiu, jeigu savo teisėmis naudojasi keli duomenų subjektai ir jiems būtina bendradarbiauti, kiek to pagrįstai reikia, kad būtų išvengta bereikalingų ir neproporcingų duomenų valdytojo pastangų. Ši informacija pateikiama raštu, ir, kai tai įmanoma, duomenų valdytojas gali suteikti nuotolinę prieigą prie saugios interneto sistemos, kurioje duomenų subjektas gali tiesiogiai prieiti prie savo asmens duomenų. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama, jei įmanoma, elektroniniu būdu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

3.  Jei duomenų valdytojas nesiima priemonių dėl duomenų subjekto prašymo, duomenų valdytojas informuoja duomenų subjektą apie atsisakymą imtis priemonių dėl duomenų subjekto prašymo, nurodo atsisakymo nesiėmimo priežastis ir galimybes pateikti skundą priežiūros institucijai bei teisę imtis teisminių teisių gynimo priemonių.

4.  1 dalyje nurodyta informacija ir priemonės, kurių imtasi dėl prašymų, yra nemokamos. Jeigu prašymai akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali imti pagrįstą mokestį už atsižvelgdamas į administracines informacijos suteikimo ar prašomos informacijos suteikimą arba priemonių vykdymą, arba gali nevykdyti prašomų priemonių priemonės vykdymo išlaidas. Tokiu atveju duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 4 dalyje nurodytų akivaizdžiai neproporcingų prašymų kriterijus bei sąlygas ir mokestį.

6.  Komisija gali nustatyti 2 dalyje nurodyto pranešimo, be kita ko ir elektroniniu būdu, standartines formas ir standartines procedūras. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [107 pakeit.]

13 straipsnis

Teisės duomenų gavėjų atžvilgiu Pranešimo reikalavimas duomenų ištaisymo ir ištrynimo atveju

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti perduoti duomenys, duomenų valdytojas praneša apie bet kokį duomenų ištaisymą arba ištrynimą pagal 16 ir 17 straipsnius, nebent tai padaryti būtų neįmanoma arba pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie šiuos gavėjus. [108 pakeit.]

13a straipsnis

Standartizuota duomenų politika

1.  Kai renkami su duomenų subjektu susiję asmens duomenys, duomenų valdytojas, prieš pateikdamas informaciją pagal 14 straipsnį, pateikia duomenų subjektui šią informaciją:

a)  ar renkama daugiau asmens duomenų nei būtina kiekvienam konkrečiam tvarkymo tikslui pasiekti;

b)  ar saugojama daugiau asmens duomenų nei būtina kiekvienam konkrečiam tvarkymo tikslui pasiekti;

c)  ar asmens duomenys tvarkomi kitiems tikslams nei tie, kuriems jie renkami;

d)  ar asmens duomenys platinami trečiosioms šalims, kurios užsiima komercine veikla;

e)  ar asmens duomenys parduodami ar nuomojami;

f)  ar asmens duomenys saugomi užkoduota forma.

2.  1 dalyje nurodyta informacija pateikiama pagal šio reglamento priedą lentelės formatu, naudojant tekstą ir simbolius, tokiose trijose skiltyse:

a)  pirmoje skiltyje pateikiamos grafinės formos, simbolizuojančios šią informaciją;

b)  antroje skiltyje pateikiama svarbiausi tą informaciją apibūdinantys dalykai;

c)  trečiojoje skiltyje pateikiamos grafinės formos, nurodančios, ar pateikta atitinkama informacija.

3.  1 ir 2 dalyse nurodyta informacija pateikiama lengvai matomu ir aiškiai įskaitomu būdu ir kalba, kuri yra lengvai suprantama valstybių narių vartotojams, kuriems ši informacija teikiama. Jei informacija pateikiama elektroniniu formatu, ji turi būti nuskaitoma automatizuotai.

4.  Papildomos detalės neteikiamos. Išsamūs paaiškinimai ar tolesnės pastabos dėl 1 dalyje nurodytos informacijos gali būti pateikiami kartu su kitais informacijos reikalavimais pagal 14 straipsnį.

5.  Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus siekiant sukonkretinti 1 dalyje nurodytą informaciją bei jos pateikimą, kaip nurodyta 2 dalyje ir šio reglamento priede. [109 pakeit.]

2 SKIRSNIS

INFORMAVIMAS IR TEISĖ SUSIPAŽINTI SU DUOMENIMIS

14 straipsnis

Duomenų subjektui teikiama informacija

1.  Kai renkami su duomenų subjekto subjektu susiję asmens duomenys, duomenų valdytojas po to, kai pateikiama informacija pagal 13a straipsnį, pateikia duomenų subjektui pateikia bent tokią informaciją:

a)  duomenų valdytojo ir prireikus jo atstovo ir duomenų apsaugos pareigūno vardą ir pavardę (pavadinimą) ir kontaktinius duomenis ryšiams;

b)  konkrečius tikslus, kuriais ketinama tvarkyti asmens duomenis bei informaciją apie asmens duomenų tvarkymo apsaugą, įskaitant sutarčių nuostatas ir bendrąsias sutarčių sudarymo sąlygas, kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies b punktu, ir teisėtus duomenų valdytojo interesus, kai duomenų tvarkymas grindžiamas atitinkamais atvejais informaciją apie tai, kaip jais įgyvendinamas 6 straipsnio 1 dalies f punktu punktas ir atitinkami jo reikalavimai;

c)  asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;

d)  galiojančią duomenų subjekto teisę prašyti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, ir juos ištaisytų arba ištrintų, arba teisę nesutikti, kad tokie asmens duomenys būtų tvarkomi, arba teisę gauti duomenis;

e)  teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

f)  asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

g)  kai taikoma, apie duomenų valdytojo ketinimą duomenis perduoti į trečiąją šalį trečiajai šaliai arba tarptautinei organizacijai ir Komisijos sprendimu sprendimo dėl tinkamumo pagrįstą informaciją apie tos trečiosios šalies ar tarptautinės organizacijos užtikrinamą buvimą ar nebuvimą, o 42 arba 43 straipsniuose nurodytų perdavimų atveju – tinkamas apsaugos lygį priemones ir būdus, kaip gauti jų kopiją;

ga)  kai taikoma, informaciją apie profiliavimo ir juo grindžiamų priemonių buvimą ir numatomus profiliavimo padarinius duomenų subjektui;

gb)  svarbią informaciją apie bet kokio automatizuoto tvarkymo logiką;

h)  bet kokią papildomą informaciją, būtiną, kad būtų užtikrintas sąžiningas duomenų subjekto duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų rinkimo ar tvarkymo aplinkybes, ypač apie tvarkymo veiklos ir operacijų, kurios asmens duomenų poveikio vertinimo ataskaitose įvertintos kaip galinčios kelti itin didelę riziką, buvimą;

ha)  kai taikoma, informaciją apie tai, ar duomenys buvo pateikti valdžios institucijoms per pastarąjį nepertraukiamą 12 mėnesių laikotarpį.

2.  Kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir apie tai, ar asmens duomenys turi būti teikiami privaloma privaloma ar neprivaloma tvarka ar savanoriškai, taip pat nurodo galimas tokių duomenų nepateikimo pasekmes.

2a.  Spręsdami, kokios dar informacijos reikia, kad duomenys būtų tvarkomi sąžiningai pagal 1 dalies h punktą, duomenų valdytojai atsižvelgia į visas atitinkamas 34 straipsnyje pateiktas gaires.

3.  Kai asmens duomenys renkami ne iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir konkrečių asmens duomenų šaltinį. Jei asmens duomenų šaltinis yra viešai prieinamas, gali būti pateikiama bendra informacija.

4.  Duomenų valdytojas 1, 2 ir 3 dalyse nurodytą informaciją pateikia:

a)  tuo metu, kai iš duomenų subjekto gaunami asmens duomenys, arba nepagrįstai nedelsdamas, jei tai neįmanoma, arba

aa)  73 straipsnyje nurodytos įstaigos, organizacijos ar asociacijos prašymu;

b)  jeigu asmens duomenys renkami ne iš duomenų subjekto – tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį po jų surinkimo, atsižvelgiant į konkrečias duomenų rinkimo ar kitokio tvarkymo aplinkybes, arba – jeigu ketinama duomenis atskleisti perduoti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmojo perdavimo metu, arba – jeigu duomenys bus naudojami palaikyti ryšiams su duomenų subjektu – ne vėliau kaip susisiekiant su tuo duomenų subjektu pirmą kartą, arba

ba)  tik pateikus prašymą, jei duomenis tvarko mažoji ar labai maža įmonė, kuriai asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

5.  Šio straipsnio 1–4 dalys netaikomos, jeigu:

a)  duomenų subjektas jau turi 1, 2 ir 3 dalyse nurodytą informaciją;, arba

b)  duomenys tvarkomi istoriniais, statistiniais ar mokslinių tyrimų tikslais, kuriems taikomos 81 ir 83 straipsniuose nurodytos sąlygos ir apsaugos priemonės, duomenys renkami ne iš duomenų subjekto ir pateikti tokią informaciją neįmanoma arba pareikalautų neproporcingų pastangų ir duomenų valdytojas paskelbė informaciją taip, kad kiekvienas ją gali rasti;, arba

c)  duomenys renkami ne iš duomenų subjekto ir duomenų įrašymas gavimas ar atskleidimas aiškiai nustatytas teisės akte;, kuris taikomas duomenų valdytojui ir kuriame nustatomos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės atsižvelgiant į duomenų tvarkymo riziką ir asmens duomenų pobūdį, arba

d)  duomenys renkami ne iš duomenų subjekto ir tokios informacijos pateikimu, remiantis Sąjungos ar valstybės narės teise, būtų varžomos kitų fizinių asmenų teisės ir laisvės, kaip apibrėžta 21 straipsnyje;

da)  duomenis tvarko profesinę veiklą vykdantis asmuo, duomenys patikimi asmeniui arba apie juos sužino asmuo, kuriam taikoma pagal Sąjungos arba valstybės narės teisę reglamentuojama pareiga saugoti profesinę paslaptį ar įstatymais nustatyta pareiga saugoti paslaptį, nebent duomenys būtų renkami tiesiai iš duomenų subjekto.

6.  5 dalies b punkte nurodytu atveju duomenų valdytojas numato tinkamas priemones teisėtiems duomenų subjekto teisėms ar interesams apsaugoti.

7.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies f punkte nurodytų duomenų gavėjų kategorijų kriterijus, 1 dalies g punkte nurodyto galimo informacijos suteikimo reikalavimus, 1 dalies h punkte nurodytos reikalingos informacijos suteikimo konkretiems sektoriams ir konkrečiais atvejais kriterijus ir 5 dalies b punkte įtvirtintoms išimtims taikomas sąlygas ir apsaugos priemones. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių.

8.  Komisija gali nustatyti 1–3 dalyse nurodytos informacijos pateikimo standartines formas, prireikus atsižvelgdama į įvairių sektorių ypatumus bei poreikius ir duomenų tvarkymo atvejus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [110 pakeit.]

15 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis ir juos gauti

1.  Remiantis 12 straipsnio 4 dalimi, duomenų subjektas turi teisę pateikęs prašymą bet kuriuo metu iš duomenų valdytojo gauti patvirtinimą, ar tvarkomi jo asmens duomenys. Jeigu tokie asmens duomenys tvarkomi, duomenų valdytojas pateikia, ir aiškia ir paprasta kalba informaciją apie:

a)  kiekvienos kategorijos asmens duomenų tvarkymo tikslus;

b)  atitinkamų asmens duomenų kategorijas;

c)  duomenų gavėjus, kuriems ketinama atskleisti asmens duomenis arba kuriems asmens duomenys buvo atskleisti, arba tokių gavėjų kategorijas, visų pirma įskaitant duomenų gavėjus trečiosiose šalyse;

d)  asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;

e)  tai, kad duomenų subjektas turi teisę prašyti duomenų valdytojo ištaisyti arba ištrinti su juo susijusius asmens duomenis arba nesutikti, kad tokie asmens duomenys būtų tvarkomi;

f)  teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

g)  tai, kokie asmens duomenys yra tvarkomi ir visą turimą informaciją apie jų šaltinius;

h)  tokio duomenų tvarkymo reikšmę ir numatomas pasekmes bent tuo atveju, kai taikomos 20 straipsnyje nurodytos priemonės;

ha)  svarbią informaciją apie bet kokio automatizuoto tvarkymo logiką;

hb)  nepažeidžiant 21 straipsnio, jeigu asmens duomenys atskleidžiami valdžios institucijai jos prašymu – patvirtinimą, kad toks prašymas buvo pateiktas.

2.  Duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją, kokie asmens duomenys yra tvarkomi. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama elektroniniu būdu ir struktūrizuotu formatu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu. Nepažeidžiant 10 straipsnio, duomenų valdytojas imasi visų pagrįstų priemonių, kad įsitikintų, jog asmuo, prašantis leisti susipažinti su duomenimis, yra duomenų subjektas.

2a.  Jeigu duomenų subjektas pateikė asmens duomenis ir jei asmens duomenys tvarkomi elektroniniu būdu, duomenų subjektas turi teisę iš duomenų valdytojo gauti pateiktų asmens duomenų kopiją elektroniniu ir sąveikiu formatu, kuris yra paprastai naudojamas, kad duomenų subjektas galėtų jais toliau naudotis, duomenų valdytojui, iš kurio tie asmens duomenys atšaukiami, netrukdant. Jeigu techniškai įmanoma ir duomenys turimi, duomenų subjekto prašymu jie perduodami tiesiogiai iš duomenų valdytojo duomenų valdytojui.

2b.  Šiuo straipsniu nedaroma poveikio pareigai ištrinti duomenis, kai jų nebereikia pagal 5 straipsnio 1 dalies e punktą.

2c.  Pagal 1 ir 2 dalį teisė susipažinti su duomenimis nesuteikiama, jei tai duomenys, kaip apibrėžta 14 straipsnio 5 dalies da punkte, išskyrus atvejus, kai duomenų subjektui suteikti įgaliojimai atskleisti atitinkamą paslaptį ir jis atitinkamai veikia.

3.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies g punkte nurodytos informacijos apie asmens duomenų turinį pateikimo kriterijus ir reikalavimus.

4.  Komisija gali nustatyti prašymų susipažinti su 1 punkte nurodyta informacija ir jos pateikimo standartines formas ir procedūras, be kita ko, susijusias su duomenų subjekto tapatybės patikrinimu ir informacijos apie asmens duomenis pateikimu duomenų subjektui, atsižvelgiant į konkrečius įvairių sektorių ir duomenų tvarkymo atvejų ypatumus ir reikalavimus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [111 pakeit.]

3 SKIRSNIS

DUOMENŲ IŠTAISYMAS IR IŠTRYNIMAS

16 straipsnis

Teisė reikalauti ištaisyti duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištaisytų netikslius jo asmens duomenis. Duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, parengiant klaidų ištaisymą.

17 straipsnis

Teisė būti pamirštam ir teisė reikalauti ištrinti duomenis

1.  Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištrintų jo asmens duomenis ir tokių duomenų daugiau neplatintų, ypač ir teisę reikalauti iš trečiųjų šalių ištrinti visas nuorodas į tuos asmens duomenų, kuriuos duomenų subjektas pateikė, kai buvo vaikas duomenis arba jų kopijas ar dublikatus, jeigu tai galima pateisinti dėl kurios nors iš šių priežasčių:

a)  duomenys nebereikalingi, kad būtų pasiekti tikslai, kuriems jie buvo renkami arba kitaip tvarkomi;

b)  duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą grindžiamas duomenų tvarkymas, arba kai yra pasibaigęs saugojimo laikotarpis, dėl kurio duotas sutikimas, ir jeigu nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)  duomenų subjektas pagal 19 straipsnį nesutinka, kad asmens duomenys būtų tvarkomi;

ca)  Sąjungoje įsikūręs teismas ar reguliavimo institucija galutinai nusprendė, kad atitinkami duomenys privalo būti ištrinti;

d)  duomenų tvarkymas neatitinka šio reglamento dėl kitų priežasčių duomenys buvo tvarkomi neteisėtai.

1a.  1 dalies taikymas priklauso nuo duomenų valdytojo gebėjimo įsitikinti, kad asmuo, prašantis ištrinti duomenis, yra duomenų subjektas.

2.  Jeigu 1 dalyje nurodytas duomenų valdytojas viešai paskelbė asmens duomenis neturėdamas 6 straipsnio 1 dalyje nurodyto pagrindo, jis imasi visų pagrįstų veiksmų, įskaitant technines priemones, dėl duomenų, už kurių paskelbimą yra atsakingas, kad informuotų tokius duomenis tvarkančius trečiuosius asmenis, jog duomenų subjektas prašo ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus. Jeigu duomenų valdytojas leido trečiajam asmeniui paskelbti asmens duomenis, už tą paskelbimą atsakingu laikomas duomenų valdytojas reikiamų veiksmų, kad duomenys būtų ištrinti, taip pat kad juos ištrintų trečiosios šalys, nepažeidžiant 77 straipsnio. Jei įmanoma, duomenų valdytojas informuoja duomenų subjektą apie veiksmus, kurių ėmėsi atitinkamos trečiosios šalys.

3.  Duomenų valdytojas nedelsdamas ir, jei taikoma, trečioji šalis nedelsdami ištrina asmens duomenis, išskyrus atvejus, kai asmens duomenis būtina išsaugoti:

a)  siekiant pasinaudoti teise į saviraiškos laisvę pagal 80 straipsnį;

b)  dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 81 straipsnį;

c)  istoriniais, statistiniais ir mokslinių tyrimų tikslais pagal 83 straipsnį;

d)  siekiant laikytis Sąjungos ar valstybės narės teisės aktais nustatytos duomenų valdytojui taikomos teisinės pareigos saugoti asmens duomenis; valstybių narių teisės aktais siekiama ginti viešąjį interesą, laikomasi esminių teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo;

e)  4 dalyje nurodytais atvejais.

4.  Duomenų valdytojas asmens duomenų neištrina, o apriboja jų tvarkymą taip, kad su jais nebūtų galima atlikti įprastų susipažinimo su duomenimis ir jų tvarkymo operacijų ir duomenų daugiau nebūtų galima pakeisti, jeigu:

a)  duomenų subjektas užginčija jų tikslumą; šiuo atveju duomenų tvarkymas apribojamas laikotarpiui, per kurį duomenų valdytojas gali patikrinti duomenų tikslumą;

b)  duomenų valdytojui nebereikia asmens duomenų savo užduočiai atlikti, tačiau jie turi būti saugomi įrodinėjimo tikslais;

c)  duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

ca)  Sąjungoje įsikūręs teismas ar reguliavimo institucija galutinai nusprendė, kad atitinkamų duomenų tvarkymas privalo būti apribotas;

d)  duomenų subjektas prašo persiųsti asmens duomenis į kitą automatizuotą duomenų tvarkymo sistemą pagal 18 straipsnio 2 dalį 15 straipsnio 2a dalį;

da)  dėl duomenų saugojimo technologijų pobūdžio jų ištrinti neįmanoma ir tos technologijos buvo įrengtos prieš įsigaliojant šiam reglamentui.

5.  4 dalyje nurodyti asmens duomenys gali būti tvarkomi, išskyrus jų saugojimą, tik įrodinėjimo tikslais arba gavus duomenų subjekto sutikimą, arba siekiant užtikrinti kito fizinio ar juridinio asmens teisių apsaugą arba ginti viešąjį interesą.

6.  Jeigu asmens duomenų tvarkymas apribojamas pagal 4 dalį, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

7.  Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad būtų nustatytu laiku ištrinami asmens duomenys ir (arba) periodiškai peržiūrima būtinybė juos saugoti.

8.  Jei asmens duomenys ištrinami, duomenų valdytojas tokių asmens duomenų negali tvarkyti jokiais kitais būdais.

8a.  Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad būtų nustatytu laiku ištrinami asmens duomenys ir (arba) periodiškai peržiūrima būtinybė juos saugoti.

9.  Komisija įgaliojama Paprašius Europos duomenų apsaugos valdybos nuomonės, Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais nustatyti išsamesnius (-es):

a)  1 dalies taikymo konkretiems sektoriams ir konkrečiais duomenų tvarkymo atvejais kriterijus ir reikalavimus;

b)  kitas nuorodų į asmens duomenis, jų kopijų ar dublikatų ištrynimo iš viešai prieinamų ryšio paslaugų priemonių sąlygas, kaip nurodyta 2 dalyje;

c)  4 dalyje nurodyto asmens duomenų tvarkymo apribojimo kriterijus ir sąlygas. [112 pakeit.]

18 straipsnis

Teisė į duomenų perkeliamumą

1.  Jeigu asmens duomenys tvarkomi elektroniniu būdu ir taikant susistemintą bei dažnai naudojamą formatą, duomenų subjektas turi teisę iš duomenų valdytojo gauti tvarkomų duomenų kopiją elektroniniu ir susistemintu bei dažnai naudojamu formatu, kad duomenų subjektas galėtų ja toliau naudotis.

2.  Jeigu duomenų subjektas pateikė asmens duomenis ir duomenų tvarkymas grindžiamas sutikimu arba sutartimi, duomenų subjektas turi teisę dažnai naudojamu elektroniniu formatu persiųsti tuos asmens duomenis ir bet kokią kitą informaciją, kurią jis pateikė ir kuri yra saugoma automatizuotoje duomenų tvarkymo sistemoje, į kitą automatizuotą duomenų tvarkymo sistemą, duomenų valdytojui, iš kurio tie asmens duomenys yra gauti, netrukdant.

3.  Komisija gali nustatyti 1 dalyje nurodytą elektroninį formatą ir asmens duomenų persiuntimo pagal 2 dalį techninius standartus, būdus ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [113 pakeit.]

4 SKIRSNIS

TEISĖ NESUTIKTI IR PROFILIAVIMAS

19 straipsnis

Teisė nesutikti

1.  Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies d, ir e ir f punktais, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus arba pagrindines teises ir laisves.

2.  Jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies f punktu, duomenų subjektas turi teisę bet kuriuo metu ir be jokio papildomo pagrindimo nesutikti, kad jo asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, nemokėdamas jokio mokesčio Ši teisė aiškiai nurodoma duomenų subjektui suprantamu būdu ir aiškiai atskiriama nuo kitos informacijos, apskritai ir kuriuo nors konkrečiu tikslu.

2a.  2 dalyje paminėta teisė aiškiai nurodoma duomenų subjektui suprantamu būdu ir forma, aiškia ir paprasta kalba, ypač kai informacija skirta vaikui, ir aiškiai atskiriama nuo kitos informacijos.

2b.  Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant Direktyvos 2002/58/EB, teise nesutikti gali būti naudojamasi automatizuotomis priemonėmis, naudojant techninį standartą, suteikiantį duomenų subjektui sąlygas aiškiai išreikšti savo pageidavimus.

3.  Jeigu išreiškiamas nesutikimas pagal 1 ir 2 dalį, duomenų valdytojas nebenaudoja ar kitaip netvarko atitinkamų asmens duomenų nesutikime nurodytais tikslais. [114 pakeit.]

20 straipsnis

Profiliavimu pagrįstos priemonės Profiliavimas

1.  Nepažeidžiant 6 straipsnio nuostatų, kiekvienas fizinis asmuo turi teisę į tai, kad jam nebūtų taikoma priemonė, dėl kurios jis patirtų teisinių pasekmių arba kuri darytų jam didelį poveikį ir kuri pagrįsta tik automatizuotu duomenų tvarkymu, siekiant įvertinti tam tikrus su tuo fiziniu asmeniu susijusius asmeninius aspektus arba visų pirma išnagrinėti arba numatyti fizinio asmens darbo rezultatus, ekonominę situaciją, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį nesutikti su profiliavimu pagal 19 straipsnį. Duomenų subjektas apie teisę nesutikti su profiliavimu informuojamas gerai matomu būdu.

2.  Laikantis kitų šio reglamento nuostatų, profiliavimas, dėl kurio imamasi priemonių, darančių teisinį poveikį duomenų subjektui, arba kuris turi panašiai žymų poveikį atitinkamo duomenų subjekto interesams, teisėms ir laisvėms, asmeniui 1 dalyje nurodyto pobūdžio priemonė gali būti taikoma taikomas tik tuo atveju, jeigu:

a)  duomenys tvarkomi duomenis tvarkyti būtina sudarant arba vykdant sutartį, kai patenkintas duomenų subjekto prašymas sudaryti ar vykdyti sutartį arba kai, su sąlyga, kad būtų nustatytos tinkamos priemonės teisėtiems duomenų subjekto interesams apsaugoti, kaip antai teisė reikalauti žmogaus įsikišimo;, arba

b)  duomenų tvarkymas aiškiai leidžiamas Sąjungos ar valstybės narės teisės aktais, kuriais taip pat nustatomos priemonės teisėtiems duomenų subjekto interesams apsaugoti; arba

c)  duomenų tvarkymas pagrįstas duomenų subjekto sutikimu laikantis 7 straipsnyje nustatytų sąlygų ir taikant tinkamas apsaugos priemones.

3.  Automatizuotas asmens duomenų tvarkymas, siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, Draudžiamas profiliavimas, dėl kurio daromas diskriminacinis poveikis asmenims dėl jų rasinės ar tautinės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinėms sąjungoms, lytinės orientacijos ar lytinės tapatybės arba dėl kurio taikomos tokį poveikį turinčios priemonės. Duomenų valdytojas taiko veiksmingą apsaugą nuo galimos diskriminacijos, kylančios dėl profiliavimo. Profiliavimas negali būti grindžiamas tik 9 straipsnyje nurodytais ypatingų kategorijų asmens duomenimis.

4.  2 dalyje nurodytais atvejais duomenų valdytojas, teikdamas informaciją pagal 14 straipsnį, pateikia informaciją ir apie tai, ar duomenys yra tvarkomi 1 dalyje nurodyto pobūdžio priemonės tikslais ir kokios numatomos tokio duomenų tvarkymo pasekmės duomenų subjektui.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius Profiliavimas, dėl kurio imamasi priemonių, tinkamų darančių teisinį poveikį duomenų subjektams, arba kuris panašiai turi žymų poveikį atitinkamo duomenų subjekto interesams, teisėms ir laisvėms, negali būti pagrįstas tik arba daugiausia automatizuotu duomenų tvarkymu ir apima žmogaus įvertinimą, įskaitant sprendimo, priimto atlikus šį vertinimą, paaiškinimą. Priemonės, tinkamos 2 dalyje nurodytiems duomenų subjekto teisėtiems interesams apsaugoti, kriterijus ir sąlygas apima teisę gauti žmogaus įvertinimą ir sprendimo, priimto atlikus šį vertinimą, paaiškinimą.

5a.  Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl profiliavimui pagal 2 dalį taikomų kriterijų ir sąlygų sukonkretinimo. [115 pakeit.]

5 SKIRSNIS

APRIBOJIMAI

21 straipsnis

Apribojimai

1.  Sąjunga ar valstybės narės gali teisėkūros priemonėmis apriboti 5 straipsnio a–e punktuose ir 11–2019 straipsniuose ir 32 straipsnyje nustatytas pareigas ir teises, kai jeigu toks apribojimas demokratinėje visuomenėje atitinka aiškiai apibrėžtą viešojo intereso tikslą, jį taikant atsižvelgiama į teisės į asmens duomenų apsaugą esmę, jis proporcingas siekiamam teisėtam tikslui ir jį taikant atsižvelgiama į duomenų subjekto pagrindines teises ir interesus ir jis būtinas ir proporcingas siekiant užtikrinti:

a)  visuomenės saugumą;

b)  nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas;

c)  kitus svarbius Sąjungos ar valstybės narės viešuosius interesus, visų pirma svarbų ekonominį ar finansinį Sąjungos ar valstybės narės interesą, įskaitant pinigų, biudžeto bei mokesčių klausimus ir rinkos stabilumo bei vientisumo apsaugą;

d)  reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir traukimą atsakomybėn už juos;

e)  stebėjimo, tikrinimo ar reguliavimo funkciją, kuri, net ir laikinai, yra susijusi su naudojimusi vykdant kompetentingos valdžios įgaliojimais institucijos įgaliojimus šios dalies a, b, c ir d punktuose nurodytais atvejais;

f)  duomenų subjekto apsaugą arba kitų asmenų teises ir laisves.

2.  1 dalyje nurodytoje nurodyta teisėkūros priemonėje priemonė visų pirma turi būti būtina ir proporcinga demokratinėje visuomenėje – šioje priemonėje įtvirtinamos specialiosios nuostatos, susijusios bent su numatomais duomenų tvarkymo tikslais ir duomenų valdytojo apibrėžtimi.:

a)  numatomais duomenų tvarkymo tikslais;

b)  duomenų valdytojo apibrėžtimi;

c)  konkrečiais duomenų tvarkymo tikslais ir priemonėmis;

d)  apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui;

e)  duomenų subjektų teise būti informuojamiems apie apribojimą.

2a.  1 dalyje nurodytos teisinėmis priemonėmis privatiems duomenų valdytojams neleidžiama ir jie neįpareigojami saugoti daugiau duomenų nei tie, kuriuos siekiant pradinio tikslo griežtai būtina saugoti. [116 pakeit.]

IV SKYRIUS

DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 SKIRSNIS

BENDROSIOS PAREIGOS

22 straipsnis

Duomenų valdytojo atsakomybė ir atskaitomybė

1.  Duomenų valdytojas priima tinkamas veiklos nuostatas ir taiko tinkamas ir patikrinamas technines bei organizacines priemones, kuriomis užtikrina ir gali skaidriai įrodyti, kad asmens duomenys būtų tvarkomi laikantis šio reglamento, ir gali tai įrodyti atsižvelgiant į naujausias technines galimybes, asmens duomenų tvarkymo pobūdį, pavojų duomenų subjektų teisėms ir laisvėms bei organizacijos rūšį, tiek nustatant duomenų tvarkymo būdus, tiek juos tvarkant.

1a.  Atsižvelgdamas į naujausias technines galimybes ir įdiegimo sąnaudas, duomenų valdytojas imasi visų pagrįstų veiksmų, kad įgyvendintų atitikties reikalavimams politiką ir procedūras, kuriose būtų atsižvelgiama į laisvą duomenų subjektų pasirinkimą. Ta atitikties reikalavimams politika peržiūrima bent kas dvejus metus ir prireikus atnaujinama.

2.  1 dalyje nurodytos priemonės – tai visų pirma:

a)  dokumentų saugojimas pagal 28 straipsnį;

b)  30 straipsnyje nustatytų duomenų saugumo reikalavimų vykdymas;

c)  duomenų apsaugos poveikio vertinimo atlikimas pagal 33 straipsnį;

d)  priežiūros institucijos išankstinio leidimo arba išankstinio konsultavimosi su ja reikalavimų laikymasis pagal 34 straipsnio 1 ir 2 dalis;

e)  duomenų apsaugos pareigūno paskyrimas pagal 35 straipsnio 1 dalį.

3.  Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad turi sugebėti įrodyti 1 ir 2 dalyse nurodytų priemonių veiksmingumas būtų tikrinamas. Šį patikrinimą atlieka nepriklausomi vidaus ar išorės auditoriai, jei toks patikrinimas yra proporcingas tinkamumą ir veiksmingumą. Visose reguliariose bendrosiose duomenų valdytojo veiklos ataskaitose, kaip antai privalomose viešųjų įmonių ataskaitose, pateikiamas trumpas politikos krypčių ir priemonių, nurodytų 1 dalyje, aprašymas.

3a.  Duomenų subjektas turi teisę Sąjungos viduje persiųsti asmens duomenis įmonių grupei, kuriai duomenų valdytojas priklauso, kai toks tvarkymas būtinas siekiant teisėtų vidaus administracinių tikslų susijusiose įmonių grupės verslo srityse ir kai duomenų subjektų interesų apsauga užtikrinama vidinėmis duomenų apsaugos nuostatomis ar atitinkamais elgesio kodeksais, kaip nurodyta 38 straipsnyje.

4.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų tinkamų priemonių kriterijus ir reikalavimus, kurie nenurodyti 2 dalyje, 3 dalyje nurodytų patikrinimo ir audito mechanizmų sąlygas ir 3 dalyje nurodyto proporcingumo kriterijaus nuostatas, ir svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones. [117 pakeit.]

23 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.  Atsižvelgdamas į naujausias technines galimybes, dabartines technines žinias, geriausią tarptautinę patirtį ir duomenų tvarkymo riziką ir įdiegimo sąnaudas, duomenų valdytojas ir duomenų tvarkytojas, jei yra, tiek nustatydamas duomenų tvarkymo tikslus bei būdus, tiek juos tvarkydamas, įdiegia tinkamas ir proporcingas technines bei organizacines priemones ir nustato procedūras, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, ypač pagal 5 straipsnyje nustatytus principus. Taikant pritaikytąją duomenų apsaugą ypatingas dėmesys skiriamas viso asmens duomenų būvio ciklo nuo surinkimo ir tvarkymo iki panaikinimo valdymui, sistemingai daugiau dėmesio skiriant visapusiškoms procedūrinėms apsaugos priemonėms, taikomoms asmens duomenų tikslumui, konfidencialumui, vientisumui, fiziniam saugumui ir panaikinimui. Kai duomenų valdytojas yra pagal 33 straipsnį atlikęs duomenų apsaugos poveikio vertinimą, rengiant tas priemones ir procedūras atsižvelgiama į minėtojo vertinimo rezultatus.

1a.  Siekiant skatinti plačiai paplitusį pritaikytosios duomenų apsaugos diegimą įvairiuose ekonomikos sektoriuose, ji yra būtina viešųjų pirkimo konkursų sąlyga remiantis Europos Parlamento ir Tarybos direktyva 2004/18/EB(16) ir Europos Parlamento ir Tarybos direktyva 2004/17/EB(17) (Komunalinio sektoriaus direktyva).

2.  Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad paprastai būtų tvarkomi tik konkrečiam duomenų tvarkymo tikslui pasiekti būtini asmens duomenys ir kad visų pirma nebūtų renkama ar, saugojama ar platinama daugiau duomenų nei būtina tiems tikslams pasiekti, taip pat tie duomenys nebūtų renkami ar saugojami ilgiau nei būtina tiems tikslams pasiekti. Visų pirma tais mechanizmais užtikrinama, kad paprastai su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius ir kad duomenų subjektai galėtų kontroliuoti savo asmens duomenų sklaidą.

3.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų tinkamų priemonių ir mechanizmų kriterijus ir reikalavimus, visų pirma įvairiems sektoriams, produktams ir paslaugoms taikomus pritaikytosios duomenų apsaugos reikalavimus.

4.  Komisija gali nustatyti 1 ir 2 dalyse nustatytų reikalavimų techninius standartus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [118 pakeit.]

24 straipsnis

Bendri duomenų valdytojai

Jeigu duomenų valdytojas asmens duomenų tvarkymo tikslus, sąlygas ir būdus kartu nustato kartu su kitais keli duomenų valdytojais valdytojai, tokie bendri duomenų valdytojai tarpusavio susitarimu nustato savo atitinkamą atsakomybę už šiame reglamente nustatytų pareigų, visų pirma susijusių su duomenų subjekto naudojimosi savo teisėmis procedūromis ir mechanizmais, laikymąsi. Susitarime tinkamai apibrėžiamos atitinkamos veiksmingos bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu, o duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis. Kilus neaiškumų dėl atsakomybės, visi duomenų valdytojai laikomi solidariai atsakingais. [119 pakeit.]

25 straipsnis

Sąjungoje neįsisteigusių duomenų valdytojų atstovai

1.  3 straipsnio 2 dalyje nurodytu atveju duomenų valdytojas paskiria atstovą Sąjungoje.

2.  Ši pareiga netaikoma:

a)  trečiojoje šalyje įsisteigusiam duomenų valdytojui, jei Komisija nusprendė, kad ta trečioji šalis užtikrina tinkamą apsaugos lygį pagal 41 straipsnį; arba

b)  įmonei, kurioje yra mažiau kaip 250 darbuotojų; arba duomenų valdytojui, kuris tvarko mažiau negu 5 000 duomenų subjektų asmens duomenis per kurį 12 mėnesių iš eilės laikotarpį ir netvarko ypatingų kategorijų asmens duomenų, nurodytų 9 straipsnio 1 dalyje, vietos nustatymo duomenų arba vaikų ar darbuotojų duomenų, esančių didelės apimties susistemintuose rinkiniuose, arba

c)  valdžios institucijai ar įstaigai;, arba

d)  duomenų valdytojui, kuris tik retkarčiais siūlo prekes ar paslaugas Sąjungoje gyvenantiems Sąjungos duomenų subjektams, nebent asmens duomenų tvarkymas būtų susijęs su ypatingų kategorijų asmens duomenimis, nurodytais 9 straipsnio 1 dalyje, vietos nustatymo duomenimis arba vaikų ar darbuotojų duomenimis, esančiais didelės apimties susistemintuose rinkiniuose.

3.  Atstovas yra įsisteigęs vienoje iš tų valstybių narių, kuriose gyvena duomenų subjektai, kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo tikslais arba kurių elgesys yra stebimas siūlomos prekės ar paslaugos duomenų subjektams arba stebimas jų elgesys.

4.  Atstovą duomenų valdytojas skiria nedarydamas poveikio teisiniams veiksmams, kurių gali būti imtasi prieš patį duomenų valdytoją. [120 pakeit.]

26 straipsnis

Duomenų tvarkytojas

1.  Jeigu duomenų valdytojo pavedimu turi būti atlikta atliktas duomenų tvarkymo operacija tvarkymas, duomenų valdytojas pasirenka duomenų tvarkytoją, kuris suteikia pakankamą garantiją, jog bus įdiegtos tinkamos techninės ir organizacinės priemonės ir nustatytos procedūros, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, visų pirma įdiegiant techninio saugumo ir organizacines priemones, susijusias su planuojamu duomenų tvarkymu, ir užtikrina, kad tų priemonių būtų laikomasi.

2.  Kaip duomenų tvarkytojas tvarko duomenis, reglamentuojama sutartimi arba teisės aktu, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui ir kuriuose visų pirma nurodoma. Duomenų valdytojui ir duomenų tvarkytojui suteikiama galimybė atsižvelgiant į šio reglamento reikalavimus savo nuožiūra nustatyti savo atitinkamas funkcijas bei užduotis, ir nustatoma, kad duomenų tvarkytojas:

a)  veikia tvarko asmens duomenis tik pagal duomenų valdytojo nurodymus, visų pirma jei naudojamų asmens duomenų perdavimas yra draudžiamas nebent pagal Sąjungos ar valstybės narės teisę būtų reikalaujama kitaip;

b)  įdarbina tik tuos darbuotojus, kurie įsipareigoja laikytis konfidencialumo arba kuriems taikoma įstatymu nustatyta konfidencialumo pareiga;

c)  imasi visų būtinų priemonių pagal 30 straipsnį;

d)  pasitelkia kitą jei nenustatyta kitaip, nustato kito duomenų tvarkytoją tvarkytojo pasitelkimo sąlygas tik gavęs išankstinį duomenų valdytojo leidimą;

e)  jei įmanoma, atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų valdytojui pritarus parengia būtinus tinkamus ir reikiamus techninius ir organizacinius reikalavimus, kad būtų įvykdyta duomenų valdytojo pareiga atsakyti į prašymus, pateiktus naudojantis III skyriuje nustatytomis duomenų subjekto teisėmis;

f)  padeda duomenų valdytojui užtikrinti 30–34 straipsniuose nustatytų pareigų laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)  baigęs tvarkyti duomenis, perduoda visus rezultatus duomenų valdytojui, kitaip asmens duomenų netvarko ir ištrina turimas kopijas, nebent pagal Sąjungos ar valstybių narių teisę būtų reikalaujama duomenis saugoti;

h)  pateikia duomenų valdytojui ir priežiūros institucijai visą būtiną informaciją, būtiną įrodyti šiame straipsnyje nustatytų pareigų laikymuisi kontroliuoti laikymąsi, ir leidžia atlikti patikrinimus vietoje.

3.  Duomenų valdytojas ir duomenų tvarkytojas dokumentuoja duomenų valdytojo nurodymus ir 2 dalyje nurodytas duomenų tvarkytojo pareigas.

3a.  1 dalyje minimą pakankamą garantiją gali rodyti elgesio kodeksų arba sertifikavimo mechanizmų, nurodytų šio reglamento 38 ir 39 straipsniuose, laikymasis.

4.  Jeigu duomenų tvarkytojas tvarko asmens duomenis kitaip nei nurodė duomenų valdytojas arba tampa duomenų tvarkymo tikslų ir priemonių nustatymo šalimi, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas laikomas duomenų valdytoju ir jam taikomos 24 straipsnyje nustatytos taisyklės dėl bendrų duomenų valdytojų.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius su duomenų tvarkytoju susijusios atsakomybės, pareigų ir užduočių kriterijus ir reikalavimus pagal 1 dalį, taip pat sąlygas, kuriomis galima palengvinti asmens duomenų tvarkymą įmonių grupėms, visų pirma kontrolės ir ataskaitų rengimo tikslais. [121 pakeit.]

27 straipsnis

Duomenų valdytojui ir duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali jų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymą juos tvarkyti, nebent tai daryti reikalaujama Sąjungos ar valstybės narės teisės aktais.

28 straipsnis

Dokumentai

1.  Kiekvienas duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, saugo visų duomenų tvarkymo operacijų, už kurias yra atsakingas, dokumentus saugo reguliariai atnaujinamus dokumentus, būtinus siekiant atitikti šio reglamento reikalavimus.

2.  Dokumentuose nurodoma bent ši Be to, kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugo dokumentus su šia informacija:

a)  duomenų valdytojo arba bet kurio bendro duomenų valdytojo arba duomenų tvarkytojo, taip pat atstovo, jei toks yra, vardas ir pavardė (pavadinimas) ir kontaktiniai duomenys ryšiams;

b)  duomenų apsaugos pareigūno, jei toks yra, vardas ir pavardė ir kontaktiniai duomenys ryšiams;

c)  duomenų tvarkymo tikslai, įskaitant teisėtus duomenų valdytojo interesus, jei duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies f punktu;

d)  duomenų subjektų kategorijų ir duomenų subjektų asmens duomenų kategorijų aprašymas;

e)  asmens duomenų gavėjai ar jų kategorijos, įskaitant duomenų valdytojus valdytojų, kuriems asmens duomenys atskleidžiami atsižvelgiant į teisėtą jų interesą, jei tokie yra, vardai ir pavardės (pavadinimai) ir kontaktiniai duomenys;

f)  jei taikoma, duomenų perdavimas į trečiąją šalį arba tarptautinei organizacijai, įskaitant tos trečiosios šalies arba tarptautinės organizacijos pavadinimą, ir tais atvejais, kai duomenys perduodami remiantis 44 straipsnio 1 dalies h punktu, tinkamų apsaugos priemonių dokumentai;

g)  bendra informacija apie skirtingų kategorijų duomenų ištrynimo terminus;

h)  22 straipsnio 3 dalyje nurodytų mechanizmų aprašymas.

3.  Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai dokumentus.

4.  1 ir 2 dalyse nurodytos pareigos netaikomos šiems duomenų valdytojams ir duomenų tvarkytojams:

a)  komercinio intereso neturinčiam asmens duomenis tvarkančiam fiziniam asmeniui; arba

b)  įmonei arba organizacijai, kurioje yra mažiau kaip 250 darbuotojų ir kuriai asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų dokumentų kriterijus ir reikalavimus, visų pirma siekiant atsižvelgti į duomenų valdytojo ir duomenų tvarkytojo, taip pat duomenų valdytojo atstovo, jei toks yra, atsakomybę.

6.  Komisija gali nustatyti 1 dalyje nurodytų dokumentų standartines formas. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [122 pakeit.]

29 straipsnis

Bendradarbiavimas su priežiūros institucija

1.  Atliekant savo pareigas pateiktu priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, jei toks yra, taip pat duomenų valdytojo atstovas, jei toks yra, su ja bendradarbiauja, visų pirma pateikdami 53 straipsnio 2 dalies a punkte nurodytą informaciją ir suteikdami tos dalies b punkte nurodytą galimybę.

2.  Priežiūros institucijai naudojantis savo įgaliojimais pagal 53 straipsnio 2 dalį, duomenų valdytojas ir duomenų tvarkytojas atsako priežiūros institucijai per jos nurodytą pagrįstą laikotarpį. Atsakyme į priežiūros institucijos pastabas pateikiamas priemonių, kurių imtasi, aprašymas ir pasiekti rezultatai. [123 pakeit.]

2 SKIRSNIS

DUOMENŲ SAUGUMAS

30 straipsnis

Duomenų tvarkymo saugumas

1.  Duomenų valdytojas ir duomenų tvarkytojas įdiegia tinkamas technines ir organizacines priemones, kad užtikrintų duomenų tvarkymo riziką ir saugotinų asmens duomenų pobūdį atitinkantį saugumo lygį, atsižvelgdami į duomenų apsaugos poveikio vertinimo pagal 33 straipsnį rezultatus ir į naujausias technines galimybes ir tų priemonių įdiegimo sąnaudas.

1a.  Atsižvelgiant į naujausias technines galimybes ir įgyvendinimo išlaidas, tokia saugumo politika apima:

a)  gebėjimą užtikrinti, kad asmens duomenų vientisumas bus patvirtintas;

b)  gebėjimą užtikrinti nuolatinį asmens duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, tinkamumą ir patvarumą;

c)  gebėjimą laiku atkurti galimybę naudotis duomenimis informacinių sistemų fizinio arba techninio incidento, kuris turi poveikio informacinių sistemų ir paslaugų veikimui, vientisumui ir konfidencialumui, atveju;

d)  tvarkant neskelbtinus asmens duomenis pagal 8 ir 9 straipsnius – papildomas saugumo priemones, skirtas užtikrinti supratimą apie pavojus ir gebėjimą imtis prevencinių, korekcinių ir švelninančių veiksmų beveik realiuoju laiku, šalinant rastus pažeidžiamumus arba incidentus, kurie gali kelti pavojaus duomenims;

e)  reguliarų saugumo politikos, procedūrų ir planų tikrinimo, vertinimo ir veiksmingumo vertinimo procesą, siekiant užtikrinti nuolatinį jų veiksmingumą.

2.  Duomenų valdytojas ir duomenų tvarkytojas, įvertinę riziką, imasi 1 dalyje nurodytų priemonių, kad apsaugotų asmens duomenis nuo netyčinio ar neteisėto sunaikinimo arba netyčinio praradimo ir užkirstų kelią bet kokio pobūdžio neteisėtam duomenų tvarkymui, visų pirma asmens duomenų neleistinam atskleidimui, platinimui ar susipažinimui su jais arba jų pakeitimui 1 dalyje nurodytomis priemonėmis bent jau:

a)  užtikrinama, kad su asmens duomenimis galėtų susipažinti tik tam teisę turintys darbuotojai tik tais tikslais, kurie leidžiami pagal įstatymus;

b)  užtikrinama saugomų arba perduodamų asmens duomenų apsauga nuo netyčinio ar neteisėto sunaikinimo, netyčinio praradimo ar pakeitimo bei neleistino ir neteisėto saugojimo, tvarkymo, susipažinimo ar atskleidimo; ir

c)  užtikrinama, kad būtų įgyvendinama saugumo politika asmens duomenų tvarkymo srityje.

3.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 ir 2 dalyse nurodytų techninių ir organizacinių priemonių kriterijus ir sąlygas kriterijų ir sąlygų, įskaitant naujausių techninių galimybių konkrečiuose sektoriuose ir konkrečiais duomenų tvarkymo atvejais apibrėžtis, visų pirma atsižvelgiant į technologijų raidą ir pritaikytosios privatumo apsaugos bei standartizuotosios duomenų apsaugos sprendimus, išskyrus atvejus, kai taikoma 4 dalis.

4.  Prireikus Komisija gali priimti įgyvendinimo aktus ir jais nustatyti, kaip 1 ir 2 dalyse nustatyti reikalavimai taikomi įvairiais atvejais visų pirma siekiant:

a)  užkirsti kelią neleistinam susipažinimui su asmens duomenimis;

b)  užkirsti kelią asmens duomenų neleistinam atskleidimui, skaitymui, kopijavimui, keitimui, ištrynimui ar pašalinimui;

c)  užtikrinti, kad būtų tikrinamas duomenų tvarkymo operacijų teisėtumas.

Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [124 pakeit.]

31 straipsnis

Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

1.  Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas, nepagrįstai nedelsdamas, jei įmanoma per 24 valandas nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, praneša apie jį priežiūros institucijai. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 24 valandas, prie pranešimo pridedamas motyvuotas paaiškinimas.

2.  Pagal 26 straipsnio 2 dalies f punktą Duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas įspėja ir informuoja duomenų valdytoją.

3.  1 dalyje nurodytame pranešime turi būti bent:

a)  aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir skaičių, taip pat atitinkamų duomenų įrašų kategorijas ir skaičių;

b)  pateiktas duomenų apsaugos pareigūno vardas ir pavardė ir kontaktiniai duomenys ryšiams arba kitas asmuo ryšiams, iš kurio galima gauti daugiau informacijos;

c)  rekomenduotos priemonės galimam neigiamam asmens duomenų saugumo pažeidimo poveikiui sušvelninti;

d)  aprašytos asmens duomenų saugumo pažeidimo pasekmės;

e)  aprašytos priemonės, kurias pasiūlė arba kurių ėmėsi duomenų valdytojas asmens duomenų saugumo pažeidimui išaiškinti ir jo poveikiui sušvelninti.

Prireikus informacija gali būti teikiama etapais.

4.  Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant pažeidimo faktus, jo poveikį ir taisomuosius veiksmus, kurių ėmėsi. Remdamasi šiais dokumentais Šių dokumentų priežiūros institucijai turi galėti užtekti, kad galėtų patikrinti, ar laikomasi šio straipsnio ir 30 straipsnio. Dokumentuose pateikiama tik tam tikslui pasiekti būtina informacija.

4a.  Priežiūros institucija veda viešą pažeidimų, apie kuriuos buvo pranešta, rūšių registrą.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 ir 2 dalyse nurodyto duomenų saugumo pažeidimo ir nepagrįsto vėlavimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas ir duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą., kriterijus ir reikalavimus.

6.  Komisija priežiūros institucijai gali nustatyti standartinę tokio pranešimo formą, pranešimo procedūras ir 4 dalyje nurodytų dokumentų formas ir variantus, įskaitant juose pateiktos informacijos ištrynimo terminus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [125 pakeit.]

32 straipsnis

Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

1.  Kai asmens duomenų saugumo pažeidimas gali turėti neigiamo poveikio asmens duomenų apsaugai, duomenų subjekto privatumui, teisei ar teisėtiems interesams, duomenų valdytojas, po to, kai pateikia 31 straipsnyje nurodytą pranešimą, nepagrįstai nedelsdamas apie pažeidimą praneša duomenų subjektui.

2.  1 dalyje nurodytas pranešimas duomenų subjektui yra išsamus ir parašytas aiškia ir paprasta kalba. Jame duomenų subjektui aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 31 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir rekomendacijos, taip pat informacija apie duomenų subjekto teises, įskaitant teisę į nuostolių atlyginimą.

3.  Duomenų subjektui apie asmens duomenų saugumo pažeidimą pranešti nebūtina, jeigu duomenų valdytojas priežiūros institucijai patikimai įrodo, kad įdiegė tinkamas technologines apsaugos priemones ir kad tos priemonės taikytos su asmens duomenų saugumo pažeidimu susijusiems duomenims. Tokiomis technologinėmis apsaugos priemonėmis užtikrinama, kad asmeniui, neturinčiam leidimo su duomenimis susipažinti, jie būtų nesuprantami.

4.  Nepažeisdama duomenų valdytojo pareigos pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi galimą neigiamą pažeidimo poveikį, gali reikalauti, kad duomenų valdytojas praneštų apie asmens duomenų saugumo pažeidimą su juo susijusiam duomenų subjektui, jei jis to dar nepadarė.

5.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl 1 dalyje nurodytų aplinkybių, kuriomis asmens duomenų saugumo pažeidimas gali neigiamai paveikti asmens duomenis, kriterijus ir reikalavimus ir duomenų subjekto privatumą, teises ir teisėtus interesus.

6.  Komisija gali nustatyti 1 dalyje nurodyto pranešimo duomenų subjektui formatą ir tam pranešimui taikomas procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [126 pakeit.]

32a straipsnis

Rizikos analizė

1.  Duomenų valdytojas arba, kai taikoma, duomenų tvarkytojas atlieka numatyto duomenų tvarkymo galimo poveikio duomenų subjektų teisėms ir laisvėms rizikos analizę ir įvertina, ar dėl jo duomenų tvarkymo operacijų galėtų kilti konkreti rizika.

2.  Konkrečią riziką gali kelti šios duomenų tvarkymo operacijos:

a)  daugiau negu 5 000 duomenų subjektų asmens duomenų tvarkymas per bet kokį 12 mėnesių iš eilės laikotarpį;

b)  9 straipsnio 1 dalyje nurodytų ypatingų kategorijų duomenų, vietos nustatymo duomenų arba vaikų ar darbuotojų duomenų, esančių didelės apimties susistemintuose rinkiniuose, tvarkymas;

c)  profiliavimas, kuriuo remiantis taikomos priemonės, dėl kurių asmuo patiria teisinių pasekmių arba kurios daro jam panašiai didelį poveikį;

d)  asmens duomenų tvarkymas, atliekamas vykdant sveikatos priežiūrą, epidemiologinius tyrimus arba psichinių ar infekcinių ligų tyrimus, kai duomenys tvarkomi dideliu mastu siekiant imtis priemonių ar priimti sprendimus dėl konkrečių asmenų;

e)  automatizuotas viešų vietų stebėjimas dideliu mastu;

f)  kitos duomenų tvarkymo operacijos, kurioms atlikti būtina konsultuotis su duomenų apsaugos pareigūnu arba priežiūros institucija pagal 34 straipsnio 2 dalies b punktą.

g)  kai asmens duomenų pažeidimas gali turėti neigiamą poveikį asmens duomenų apsaugai ar duomenų subjekto privatumui, teisėms ar teisėtiems interesams;

h)  duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus;

i)  kai galimybė susipažinti su asmens duomenimis suteikiama daugeliui žmonių ir negalima pagrįstai tikėtis, kad jų skaičius bus apribotas.

3.  Remiantis rizikos analizės rezultatais:

a)  kai vykdomos bet kurios 2 dalies a arba b punkte nurodytos asmens duomenų tvarkymo operacijos, Sąjungoje neįsisteigę duomenų valdytojai, laikydamiesi 25 straipsnyje nurodytų reikalavimų ir išimčių, paskiria atstovą Sąjungoje;

b)  kai vykdomos bet kurios 2 dalies a, b arba h punkte nurodytos asmens duomenų tvarkymo operacijos, duomenų valdytojai, laikydamiesi 35 straipsnyje nurodytų reikalavimų ir išimčių, paskiria duomenų apsaugos pareigūną;

c)  kai vykdomos bet kurios 2 dalies a, b, c, d, e, f, g arba h punkte nurodytos asmens duomenų tvarkymo operacijos, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, laikydamasis 33 straipsnio, atlieka duomenų apsaugos poveikio vertinimą;

d)  kai vykdomos 2 dalies f punkte nurodytos asmens duomenų tvarkymo operacijos, duomenų valdytojas, laikydamasis 34 straipsnio, konsultuojasi su duomenų apsaugos pareigūnu, o jei duomenų apsaugos pareigūnas nepaskirtas – su priežiūros institucija;

4.  Rizikos analizė persvarstoma vėliausiai po metų arba nedelsiant, jei smarkiai keičiasi duomenų tvarkymo operacijų pobūdis, aprėptis ar tikslai. Kai remiantis 3 dalies c punktu duomenų valdytojas neprivalo atlikti duomenų apsaugos poveikio vertinimo, rizikos analizė įforminama dokumentais. [127 pakeit.]

3 SKIRSNIS

DUOMENŲ APSAUGOS VERTINIMAS IR IŠANSKTINIS LEIDIMAS VALDYMAS PER VISĄ JŲ GYVAVIMO CIKLĄ [128 pakeit.]

33 straipsnis

Duomenų apsaugos poveikio vertinimas

1.  Jeigu atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties arba tikslų kyla konkreti rizika duomenų subjektų teisėms ir laisvėms, reikalaujama pagal 32a straipsnio 3 dalies c punktą, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą duomenų subjektų teisėms ir laisvėms, ypač jų teisei į asmens duomenų apsaugą, vertinimą. Panašią riziką keliančių duomenų tvarkymo operacijų sekai išnagrinėti pakanka atlikti vieną vertinimą.

2.  1 dalyje nurodyta konkreti rizika kyla visų pirma atliekant šias duomenų tvarkymo operacijas:

a)  sistemingą ir išsamų su fiziniu asmeniu susijusių asmeninių aspektų vertinimą arba duomenų tvarkymo operacijas, atliekamas siekiant išnagrinėti arba numatyti fizinio asmens ekonominę situaciją, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį, kai tokia operacija grindžiama automatizuotu duomenų tvarkymu ir ja remiantis taikomos priemonės, dėl kurių fizinis asmuo patiria teisinių pasekmių arba kurios daro jam didelį poveikį;

b)  tvarkant informaciją apie lytinį gyvenimą, rasę ir tautinę kilmę arba duomenų tvarkymo operacijas, atliekamas teikiant sveikatos priežiūrą, epidemiologinius tyrimus arba psichinių ar infekcinių ligų tyrimus, kai duomenys tvarkomi dideliu mastu siekiant imtis priemonių ar priimti sprendimus dėl konkrečių fizinių asmenų;

c)  viešų vietų stebėjimą, ypač dideliu mastu naudojant optinius elektroninius prietaisus (stebėjimas vaizdo kameromis);

d)  tvarkant vaikų asmens duomenis, genetinius duomenis ar biometrinius duomenis didelės apimties susistemintuose rinkiniuose;

e)  kitas duomenų tvarkymo operacijas, kurioms atlikti būtina konsultuotis su priežiūros institucija pagal 34 straipsnio 2 dalies b punktą.

3.  Vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, rizikos duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tai rizikai pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų atitinkamų asmenų teises ir teisėtus interesus. atsižvelgiama į asmens duomenų tvarkymą per visą jų gyvavimo ciklą nuo duomenų rinkimo iki tvarkymo ir iki jų ištrynimo. Jame pateikiama bent:

a)  sisteminis numatytų duomenų tvarkymo operacijų aprašymas, duomenų tvarkymo tikslai ir, jei taikoma, teisėti interesai, kurių siekia duomenų valdytojas;

b)  duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)  rizikos duomenų subjektų teisėms ir laisvėms, įskaitant riziką, kad atliekant operaciją diskriminacija įtvirtinama arba didinama, vertinimas

d)  numatytų priemonių tai rizikai pašalinti ir tvarkomų asmens duomenų kiekiui kuo labiau sumažinti aprašymas;

e)  apsaugos priemonių, saugumo priemonių ir mechanizmų, kuriais užtikrinama asmens duomenų apsauga, pvz., pseudonimų suteikimas, ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų atitinkamų asmenų teises ir teisėtus interesus, sąrašas;

f)  bendra informacija apie skirtingų kategorijų duomenų ištrynimo terminus;

g)  paaiškinimas, kokia pritaikytoji ir standartizuotoji duomenų apsauga įgyvendinta pagal 23 straipsnį;

h)  asmens duomenų gavėjų arba gavėjų kategorijų sąrašas;

i)  jei taikoma, numatytų duomenų perdavimų trečiajai šaliai arba tarptautinei organizacijai sąrašas, įskaitant tos trečiosios šalies arba tarptautinės organizacijos nurodymą;

j)  duomenų tvarkymo aplinkybių įvertinimas.

3a.  Jei duomenų valdytojas ar duomenų tvarkytojas paskyrė duomenų apsaugos pareigūną, jis turėtų dalyvauti atliekant poveikio vertinimą.

3b.  Vertinimas dokumentuojamas ir jame pateikiamas reguliarių duomenų apsaugos reikalavimų laikymosi apžvalgų tvarkaraštis pagal 33a straipsnio 1 dalį. Vertinimas atnaujinamas nepagrįstai nedelsiant, jei duomenų apsaugos reikalavimų laikymosi apžvalgos, nurodytos 33a straipsnyje, rezultatai rodo, kad esama laikymosi neatitikimų. Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai vertinimą.

4.  Duomenų valdytojas siekia išsiaiškinti, kokia duomenų subjektų ar jų atstovų nuomonė apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

5.  Jeigu duomenų valdytojas yra valdžios institucija ar įstaiga ir jeigu duomenų tvarkymas grindžiamas teisine pareiga pagal 6 straipsnio 1 dalies c punktą, kuria numatomos su duomenų tvarkymo operacijomis susijusios taisyklės ir procedūros ir kuri įtvirtinta Sąjungos teisės aktais, 1–4 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

6.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų duomenų tvarkymo operacijų, kurias atliekant gali kilti konkreti rizika, kriterijus ir sąlygas, taip pat 3 dalyje nurodyto vertinimo reikalavimus, įskaitant išplėtimo, patikrinimo ir audito sąlygas. Naudodamasi šiuo įgaliojimu, Komisija svarsto labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

7.  Komisija gali nustatyti 3 dalyje nurodyto vertinimo atlikimo, patikrinimo ir audito standartus ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [129 pakeit.]

33a straipsnis

Duomenų apsaugos reikalavimų laikymosi apžvalga

1.  Pagal 33 straipsnio 1 dalį praėjus ne daugiau kaip dvejiems metams nuo poveikio vertinimo atlikimo, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, atlieka reikalavimų laikymosi apžvalgą. Šia reikalavimų laikymosi apžvalga parodoma, kad asmens duomenys tvarkomi atsižvelgiant į poveikio duomenų apsaugai vertinimą.

2.  Reikalavimų laikymosi apžvalga atliekama periodiškai bent kartą per dvejus metus arba nedelsiant, jei pasikeičia konkreti rizika, atsiradusi dėl duomenų tvarkymo operacijų.

3.  Jei reikalavimų laikymosi apžvalgos rezultatai rodo, kad esama laikymosi neatitikimų, į reikalavimų laikymosi apžvalgą įtraukiamos rekomendacijos, kaip visiškai atitikti reikalavimus.

4.  Reikalavimų laikymosi apžvalga ir jos rekomendacijos dokumentuojamos. Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai reikalavimų laikymosi apžvalgą.

5.  Jei duomenų valdytojas ar duomenų tvarkytojas paskyrė duomenų apsaugos pareigūną, jis turėtų dalyvauti atliekant reikalavimų laikymosi apžvalgą. [130 pakeit.]

34 straipsnis

Išankstinis leidimas ir išankstinis konsultavimasis

1.  Duomenų valdytojas arba atitinkamais atvejais duomenų tvarkytojas prieš pradėdamas tvarkyti asmens duomenis, iš priežiūros institucijos gauna leidimą ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu duomenų valdytojas arba duomenų tvarkytojas, norėdamas perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai, priima sutarties sąlygas, kaip nurodyta 42 straipsnio 2 dalies d punkte, arba nenustato tinkamų apsaugos priemonių teisiškai privalomu dokumentu, kaip nurodyta 42 straipsnio 5 dalyje.

2.  Duomenų valdytojas arba duomenų tvarkytojas, veikdamas duomenų valdytojo pavedimu, prieš pradėdamas tvarkyti asmens duomenis, konsultuojasi su duomenų apsaugos pareigūnu arba, jei duomenų apsaugos pareigūnas nepaskirtas, su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu:

a)  duomenų apsaugos poveikio vertinime pagal 33 straipsnį nurodyta, kad atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties ar tikslų gali kilti didelė konkreti rizika;, arba

b)  duomenų apsaugos pareigūnas arba priežiūros institucija mano, kad būtina iš anksto konsultuotis dėl duomenų tvarkymo operacijų, kurias atliekant dėl jų pobūdžio, aprėpties ir (arba) tikslų gali kilti konkreti rizika duomenų subjektų teisėms ir laisvėms ir kurios nustatytos pagal 4 dalį.

3.  Jeigu kompetentinga priežiūros institucija mano, remdamasi savo įgaliojimais nusprendžia, kad numatytas duomenų tvarkymas neatitinka šio reglamento, visų pirma, jei nepakankamai išsiaiškinta arba sumažinta rizika, ji uždraudžia atlikti numatytą duomenų tvarkymą ir pateikia tinkamų pasiūlymų, kokių taisomųjų veiksmų reikia imtis.

4.  Priežiūros institucija Europos duomenų apsaugos valdyba nustato duomenų tvarkymo operacijas, dėl kurių reikia iš anksto konsultuotis pagal 2 dalies b punktą dalį, ir viešai jas paskelbia. Priežiūros institucija šiuos sąrašus pateikia Europos duomenų apsaugos valdybai.

5.  Jeigu 4 dalyje nustatytame sąraše nurodyta duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su duomenų subjektų elgesio stebėjimu arba ją vykdant gali būti daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija, prieš priimdama sąrašą, taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

6.  Duomenų valdytojas arba duomenų tvarkytojas priežiūros institucijos prašymu pateikia priežiūros institucijai jai 33 straipsnyje nurodytą duomenų apsaugos poveikio vertinimą ir priežiūros institucijos prašymu bet kokią kitą informaciją, kuria remdamasi ji galėtų įvertinti, ar duomenų tvarkymas atitinka šį reglamentą, o visų pirma riziką duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

7.  Valstybės narės, rengdamos teisėkūros priemonę, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą priemonę, kuria nustatomas duomenų tvarkymo pobūdis, konsultuojasi su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika.

8.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 2 dalies a punkte nurodytos didelės konkrečios rizikos nustatymo kriterijus ir reikalavimus.

9.  Komisija gali nustatyti 1 ir 2 dalyse nurodyto išankstinio leidimo ir konsultavimosi standartines formas ir procedūras, taip pat informacijos teikimo priežiūros institucijai pagal 6 dalį standartines formas ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [131 pakeit.]

4 SKIRSNIS

DUOMENŲ APSAUGOS PAREIGŪNAS

35 straipsnis

Duomenų apsaugos pareigūno paskyrimas

1.  Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

a)  duomenis tvarko valdžios institucija ar įstaiga; arba

b)  duomenis tvarko įmonė, kurioje yra 250 arba daugiau darbuotojų juridinis asmuo ir per 12 mėnesių iš eilės laikotarpį tvarkoma daugiau kaip 5 000 duomenų subjektų asmens duomenų;, arba

c)  duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus., arba

d)  pagrindinė duomenų valdytojo arba duomenų tvarkytojo veikla yra tvarkyti ypatingų kategorijų duomenis pagal 9 straipsnio 1 dalį, vietos nustatymo duomenis arba vaikų ar darbuotojų duomenis, esančius didelės apimties susistemintuose rinkiniuose.

2.  1 dalies b punkte nurodytu atveju Įmonių grupė gali paskirti pagrindinį atsakingą duomenų apsaugos pareigūną, jeigu užtikrinta, kad su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos darbo vietos.

3.  Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, duomenų apsaugos pareigūnas gali būti skiriamas keliems jai priklausantiems subjektams, atsižvelgiant į tos valdžios institucijos ar įstaigos organizacinę struktūrą.

4.  Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti duomenų apsaugos pareigūną.

5.  Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną paskiria vertindamas profesinę kvalifikaciją ir visų pirma duomenų apsaugos teisės aktų ir praktikos išmanymą, taip pat gebėjimą atlikti 37 straipsnyje nurodytas užduotis. Būtinas dalykinių žinių lygis visų pirma nustatomas atsižvelgiant į atliekamą duomenų tvarkymą ir būtiną duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų apsaugą.

6.  Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad visos kitos tarnybinės duomenų apsaugos pareigūno pareigos atitiktų jo, kaip duomenų apsaugos pareigūno, užduotis ir pareigas ir kad dėl jų nekiltų interesų konfliktas.

7.  Duomenų valdytojas arba duomenų tvarkytojas paskiria duomenų apsaugos pareigūną mažiausiai ketveriems metams, jei tai darbuotojas, arba dvejiems metams, jei tai pasamdytas išorės paslaugų teikėjas. Duomenų apsaugos pareigūno kadencija gali būti atnaujinama. Savo kadencijos laikotarpiu duomenų apsaugos pareigūnas gali būti atleidžiamas iš pareigų tik jei nebeatitinka jo pareigoms keliamų reikalavimų.

8.  Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną gali įdarbinti arba savo užduotis duomenų apsaugos pareigūnas gali atlikti pagal paslaugų teikimo sutartį.

9.  Duomenų valdytojas arba duomenų tvarkytojas pateikia duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis ryšiams priežiūros institucijai ir paskelbia viešai.

10.  Duomenų subjektai turi teisę kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais su jų duomenų tvarkymu ir prašymais, pateiktais naudojantis šiame reglamente nustatytomis teisėmis.

11.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies c punkte nurodytos duomenų valdytojo arba duomenų tvarkytojo pagrindinės veiklos kriterijus ir reikalavimus, taip pat 5 dalyje nurodytų duomenų apsaugos pareigūno profesinės kvalifikacijos kriterijus. [132 pakeit.]

36 straipsnis

Duomenų apsaugos pareigūno statusas

1.  Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnui būtų tinkamai ir laiku pranešama apie visus su asmens duomenų apsauga susijusius klausimus.

2.  Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas savo pareigas ir užduotis atliktų nepriklausomai ir nepriimtų jokių su funkcijų vykdymu susijusių nurodymų. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo vykdomajai vadovybei. Duomenų valdytojas arba duomenų tvarkytojas šiuo tikslu paskiria vykdomosios vadovybės narį, kuris yra atsakingas už šio reglamento nuostatų laikymąsi.

3.  Duomenų valdytojas arba duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti jo savo užduotis ir teikia 37 straipsnyje nurodytoms pareigoms ir užduotims atlikti būtinus visas priemones, įskaitant darbuotojus, patalpas, įrangą ir kitus išteklius, reikalingus 37 straipsnyje nurodytoms pareigoms ir užduotims atlikti duomenų apsaugos pareigūno profesinėms žinioms palaikyti.

4.  Duomenų apsaugos pareigūnai saugo duomenų subjektų tapatybės ir aplinkybių, pagal kurias galima ją nustatyti, slaptumą, nebent duomenų subjektas juos nuo tos pareigos atleidžia. [133 pakeit.]

37 straipsnis

Duomenų apsaugos pareigūno užduotys

Duomenų valdytojas arba duomenų tvarkytojas paveda duomenų apsaugos pareigūnui atlikti bent šias užduotis:

a)  ugdyti sąmoningumą, informuoti duomenų valdytoją arba duomenų tvarkytoją apie jų pareigas pagal šį reglamentą, ypač susijusias su techninėmis ir organizacinėmis priemonėmis ir procedūromis, ir dėl tų pareigų duomenų valdytojui arba duomenų tvarkytojui patarti, taip pat dokumentuoti šią veiklą ir gautus atsakymus.

b)  stebėti su asmens duomenų apsauga susijusios duomenų valdytojo arba duomenų tvarkytojo veiklos nuostatų įgyvendinimą ir taikymą, įskaitant atsakomybės priskyrimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų mokymą ir susijusius auditus;

c)  stebėti šio reglamento įgyvendinimą ir taikymą, visų pirma kiek tai susiję su reikalavimais dėl pritaikytosios duomenų apsaugos, standartizuotosios duomenų apsaugos ir duomenų saugumo, taip pat informacijos teikimo duomenų subjektams ir jų prašymų, pateiktų naudojantis šiame reglamente nustatytomis teisėmis;

d)  užtikrinti, kad būtų saugomi 28 straipsnyje nurodyti dokumentai;

e)  stebėti asmens duomenų saugumo pažeidimų dokumentavimą, pranešimus priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimus pagal 31 ir 32 straipsnius;

f)  stebėti, kaip duomenų valdytojas arba duomenų tvarkytojas atlieka duomenų apsaugos poveikio vertinimą ir teikia prašymus dėl išankstinio leidimo arba išankstinio konsultavimosi, jei to reikia pagal 32a, 33 ir 34 straipsnius;

g)  stebėti, ką į prašymus atsako priežiūros institucija, ir priežiūros institucijos prašymu arba savo iniciatyva su ja bendradarbiauti pagal duomenų apsaugos pareigūno kompetenciją;

h)  atlikti asmens ryšiams funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus savo iniciatyva konsultuotis su priežiūros institucija;

i)  patikrinti, ar laikomasi šio reglamento, pagal 34 straipsnyje nustatytą išankstinio konsultavimosi mechanizmą;

j)  informuoti darbuotojų atstovus apie darbuotojų duomenų tvarkymą.

2.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų duomenų apsaugos pareigūno užduočių, sertifikavimo, statuso, įgaliojimų ir išteklių kriterijus ir reikalavimus. [134 pakeit.]

5 SKIRSNIS

ELGESIO KODEKSAI IR SERTIFIKAVIMAS

38 straipsnis

Elgesio kodeksai

1.  Valstybės narės, priežiūros institucijos ir Komisija skatina parengti etikos kodeksus arba patvirtinti priežiūros institucijos parengtus elgesio kodeksus, kuriais naudojantis būtų lengviau tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus, visų pirma į tokius aspektus:

a)  sąžiningo ir skaidraus duomenų tvarkymo;

aa)  pagarbos vartotojų teisėms;

b)  duomenų rinkimo;

c)  informacijos teikimo visuomenei ir duomenų subjektams;

d)  duomenų subjektų prašymų, pateiktų naudojantis savo teisėmis;

e)  informacijos teikimo vaikams ir jų apsaugos;

f)  duomenų perdavimo į trečiąsias šalis arba tarptautinėms organizacijoms;

g)  stebėjimo, ar duomenų valdytojai, kuriems taikomas kodeksas, jo laikosi, ir užtikrinimo, kad jo būtų laikomasi, mechanizmų;

h)  neteisminio ginčo nagrinėjimo ir kitų ginčo sprendimo procedūrų, pagal kurias sprendžiami su asmens duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nepažeidžiant duomenų subjektų teisių pagal 73 ir 75 straipsnius.

2.  Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams vienoje valstybėje narėje, ketinančios parengti elgesio kodeksus arba iš dalies pakeisti ar papildyti galiojančius elgesio kodeksus, gali juos pateikti tos valstybės narės priežiūros institucijai, kad ši pateiktų savo nuomonę. Priežiūros institucija gali pateikti nepagrįstai nedelsdama pateikia nuomonę dėl to, ar duomenų tvarkymas laikantis elgesio kodekso arba jo pakeitimo projektas projekto atitinka šį reglamentą. Priežiūros institucija klausia duomenų subjektų arba jų atstovų nuomonės dėl šių projektų.

3.  Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams keliose valstybėse narėse, gali pateikti elgesio kodeksų ir galiojančių elgesio kodeksų pakeitimų ar papildymų projektus Komisijai.

4.  Komisija gali priimti įgyvendinimo Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus ir jais nuspręsti, kad elgesio kodeksai ir galiojančių elgesio kodeksų pakeitimai ar papildymai, jai pateikti pagal 3 dalį, atitinka šį reglamentą ir visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą Tais deleguotaisiais aktais duomenų subjektams suteikiamos įgyvendinamos teisės.

5.  Komisija užtikrina, kad kodeksai, kurie sprendimu pagal 4 dalį pripažinti visuotinai galiojančiais, būtų tinkamai paskelbti. [135 pakeit.]

39 straipsnis

Sertifikavimas

1.  Valstybės narės ir Komisija skatina nustatyti – visų pirma Europos lygmeniu – duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad duomenų subjektai galėtų greitai įvertinti duomenų valdytojų ir duomenų tvarkytojų užtikrinamos duomenų apsaugos lygį. Duomenų apsaugos sertifikavimo mechanizmais padedama tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių sektorių ir skirtingų duomenų tvarkymo operacijų ypatumus.

1a.  Bet kuris duomenų valdytojas ar duomenų tvarkytojas gali paprašyti bet kurios Sąjungos priežiūros institucijos už pagrįstą mokestį, atsižvelgiant į administracines išlaidas, patvirtinti, kad asmens duomenys tvarkomi laikantis šio reglamento, ypač 5, 23 ir 30 straipsniuose išdėstytų principų, duomenų valdytojo ir duomenų tvarkytojo pareigų ir duomenų subjekto teisių.

1b.  Sertifikavimas yra savanoriškas, įperkamas ir prieinamas taikant skaidrų ir pernelyg didelės naštos nekeliantį procesą.

1c.  Priežiūros institucijos ir Europos duomenų apsaugos valdyba bendradarbiauja pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kad užtikrintų suderintą duomenų apsaugos sertifikavimo mechanizmą, įskaitant suderintas kainas Sąjungos viduje.

1d.  Sertifikavimo procedūros metu priežiūros institucija gali akredituoti atitinkamą specializaciją turinčius trečiųjų šalių auditorius jos vardu atlikti duomenų valdytojo ar duomenų tvarkytojo auditą. Trečiųjų šalių auditoriai turi pakankamai tinkamą kvalifikaciją turinčių darbuotojų, yra nešališka ir neturi jokių interesų konfliktų, susijusių su jiems pavestų užduočių vykdymu. Priežiūros institucijos atšaukia akreditavimą, jeigu yra pakankamai pagrindo manyti, kad auditorius nevykdo savo užduočių tinkamai. Galutinį sprendimą dėl sertifikavimo priima priežiūros institucija.

1e.  Priežiūros institucijos duomenų valdytojams ir duomenų tvarkytojams, kurie, kaip patvirtino atliktas auditas, tvarko asmens duomenis laikydamiesi šio reglamento, suteikia standartizuotą duomenų apsaugos žymenį pavadinimu „Europos duomenų apsaugos ženklas“.

1f.  „Europos duomenų apsaugos ženklas“ galioja tol, kol sertifikuoto duomenų valdytojo ar duomenų tvarkytojo atliekamos duomenų tvarkymo operacijos lygis visiškai atitinka šio reglamento reikalavimus.

1g.  Nepaisant 1f punkto, sertifikatas galioja ne ilgiau kaip penkerius metus.

1h.  Europos duomenų apsaugos valdyba įsteigia viešą elektroninį visų galiojančių ir negaliojančių valstybių narių suteiktų sertifikatų registrą, kuriuo gali naudotis visuomenė.

1i.  Europos duomenų apsaugos valdyba gali savo iniciatyva sertifikuoti, kad duomenų apsaugą stiprinantis techninis standartas atitinka šį reglamentą.

2.  Komisija įgaliojama Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės ir pasikonsultavus su suinteresuotaisiais subjektais, ypač pramonės ir nevyriausybinėmis organizacijomis, priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje 1a–1h dalyse nurodytų duomenų apsaugos sertifikavimo mechanizmų kriterijus ir reikalavimus, įskaitant išsamesnius auditorių akreditavimo reikalavimus, sertifikatų suteikimo ir atšaukimo sąlygas, taip pat pripažinimo ir populiarinimo Sąjungoje ir trečiosiose šalyse reikalavimus. Tais deleguotaisiais aktais duomenų subjektams suteikiamos įgyvendinamos teisės..

3.  Komisija gali nustatyti techninius sertifikavimo mechanizmų ir ženklų bei žymenų standartus, taip pat sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų skatinimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [136 pakeit.]

V SKYRIUS

ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS ARBA TARPTAUTINĖMS ORGANIZACIJOMS

40 straipsnis

Bendras perdavimo principas

Asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją šalį arba tarptautinei organizacijai, galima perduoti tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, laikydamiesi kitų šio reglamento nuostatų, tenkina šiame skyriuje nustatytas sąlygas, be kita ko, susijusias su tolesniu asmens duomenų perdavimu iš tos trečiosios šalies ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai.

41 straipsnis

Perdavimas remiantis sprendimu dėl tinkamumo

1.  Perduoti duomenis galima, jei Komisija nusprendė, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį. Tokiam perdavimui papildomo specialaus leidimo nereikia.

2.  Vertindama apsaugos lygio tinkamumą, Komisija atsižvelgia į šiuos veiksnius:

a)  teisinė valstybė, susiję galiojantys bendrieji ir atskiriems sektoriams skirti teisės aktai, be kita ko, susiję su visuomenės saugumu, gynyba, nacionaliniu saugumu ir baudžiamąja teise, šių teisės aktų įgyvendinimu, profesinės taisyklės ir saugumo priemonės, kurios taikomos toje šalyje arba tarptautinėje organizacijoje, teisminiai precedentai, taip pat veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami;

b)  ar atitinkamoje trečiojoje šalyje arba tarptautinėje organizacijoje yra ir veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos, kurios užtikrina, kad būtų laikomasi duomenų apsaugos taisyklių, ir turi pakankamai įgaliojimų taikyti sankcijas, taip pat padeda ir pataria duomenų subjektams, kaip naudotis savo teisėmis, ir bendradarbiauja su Sąjungos ir valstybių narių priežiūros institucijomis; ir

c)  atitinkamos trečiosios šalies arba tarptautinės organizacijos prisiimti tarptautiniai įsipareigojimai, ypač visos teisiškai privalomos žmogaus teisių ar tarptautinės konvencijos arba dokumentai, susiję su asmens duomenų apsauga.

3.  Komisijai gali nuspęsti, pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais nuspręsti, kad trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį, kaip apibrėžta 2 dalyje, kad trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį, kaip apibrėžta 2 dalyje. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą Tokiuose deleguotuosiuose aktuose numatoma laikino galiojimo sąlyga, jei jie susiję su duomenų tvarkymo sektoriumi, ir jie atšaukiami pagal 5 dalį, jei tik remiantis šiuo reglamentu nebeužtikrinama tinkamo lygio apsauga.

4.  Įgyvendinimo Deleguotajame akte nustatoma geografinė teritorinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma 2 dalies b punkte minėta priežiūros institucija.

4a.  Kai pagal 3 dalį priimamas deleguotasis aktas, Komisija nuolat stebi tendencijas trečiosiose šalyse ir tarptautinėse organizacijose, galinčias turėti poveikį 2 dalyje išvardytiems veiksniams.

5.  Komisija gali Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais nuspręsti, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija neužtikrina arba nebeužtikrina tinkamo apsaugos lygio, kaip apibrėžta šio straipsnio 2 dalyje, visų pirma tais atvejais, kai susijusiais bendraisiais ir atskiriems sektoriams skirtais teisės aktais, galiojančiais trečiojoje šalyje arba tarptautinėje organizacijoje, neužtikrinamos veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą, o tais atvejais, kai reikia itin skubiai užtikrinti fizinių asmenų teisę į asmens duomenų apsaugą, pagal 87 straipsnio 3 dalyje nurodytą procedūrą.

6.  Jeigu Komisija priima sprendimą pagal 5 dalį, nepažeidžiant 42–44 straipsnių, draudžiama perduoti asmens duomenis į atitinkamą trečiąją šalį arba jos teritoriją, arba su duomenų tvarkymu susijusį sektorių toje trečiojoje šalyje, arba tarptautinei organizacijai. Reikiamu metu Komisija pradeda konsultacijas su trečiąja šalimi arba tarptautine organizacija, kad padėtis, susijusi su sprendimu, priimtu pagal šio straipsnio 5 dalį, būtų ištaisyta.

6a.  Prieš priimdama 3 arba 5 dalyje nurodytą deleguotąjį aktą, Komisija paprašo Europos duomenų apsaugos valdybos pateikti nuomonę dėl apsaugos lygio tinkamumo. Tuo tikslu Komisija pateikia Europos duomenų apsaugos valdybai visą reikiamą informaciją, įskaitant korespondenciją su trečiosios šalies vyriausybe ar jos teritorijos ar tos trečiosios šalies duomenų tvarkymo sektoriaus atstovais arba tarptautine organizacija.

7.  Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų šalių, teritorijų ir su duomenų tvarkymu susijusių sektorių trečiojoje šalyje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo neužtikrina, sąrašą

8.  Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi ir 26 straipsnio 4 dalimi, lieka galioti, kol Komisija jų penkerius metus nuo šio reglamento įsigaliojimo, nebent prieš pasibaigiant tam laikotarpiui Komisija jį iš dalies nepakeis, nepakeis pakeistų, pakeistų naujais sprendimais arba nepanaikins panaikintų. [137 pakeit.]

42 straipsnis

Perdavimas remiantis tinkamomis apsaugos priemonėmis

1.  Jeigu Komisija nėra priėmusi sprendimo pagal 41 straipsnį arba jeigu ji nusprendžia, kad trečioji šalis arba jos teritorija, arba duomenų tvarkymo sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija neužtikrina tinkamo apsaugos lygio, pagal 41 straipsnio 5 dalį, duomenų valdytojas arba duomenų tvarkytojas gali negali perduoti asmens duomenis duomenų į trečiąją šalį arba tarptautinei organizacijai tik tuo atveju, jei, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas nustato su asmens duomenų apsauga susijusias tinkamas apsaugos priemones teisiškai privalomu dokumentu.

2.  1 dalyje nurodytos tinkamos apsaugos priemonės visų pirma nustatomos:

a)  įmonėms privalomomis taisyklėmis pagal 43 straipsnį;, arba

aa)  galiojančiu 39 straipsnio 1e dalį atitinkančiu „Europos duomenų apsaugos ženklu“ duomenų valdytojui ir gavėjui, arba

b)  Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą; arba

c)  standartinėmis duomenų apsaugos sąlygomis, kurias pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą priėmė priežiūros institucija, po to, kai Komisija jas paskelbė visuotinai galiojančiomis pagal 62 straipsnio 1 dalies b punktą;, arba

d)  duomenų valdytojo arba duomenų tvarkytojo ir duomenų gavėjo sutarties sąlygomis, kurias pagal 4 dalį patvirtino priežiūros institucija.

3.  Jeigu duomenys perduodami remiantis standartinėmis duomenų apsaugos sąlygomis, „Europos duomenų apsaugos ženklu“ arba įmonei privalomomis taisyklėmis, kaip nurodyta 2 dalies a, b aa arba c punktuose c punkte, jokio papildomo specialaus leidimo nereikia.

4.  Jeigu duomenys perduodami remiantis sutarties sąlygomis, kaip nurodyta šio straipsnio 2 dalies d punkte, duomenų valdytojas arba duomenų tvarkytojas iš priežiūros institucijos gauna išankstinį leidimą taikyti tas sutarties sąlygas pagal 34 straipsnio 1 dalį. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.  Jeigu su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės nenustatytos teisiškai privalomu dokumentu, duomenų valdytojas arba duomenų tvarkytojas gauna išankstinį leidimą vieną ar kelis kartus perduoti duomenis arba į administracinius susitarimus, kuriais grindžiamas toks perdavimas, įtraukti atitinkamas nuostatas. Tokį leidimą priežiūros institucija suteikia pagal 34 straipsnio 1 dalį. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą. Leidimai, kuriuos priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti dvejus metus nuo šio reglamento įsigaliojimo, kol ta nebent priežiūros institucija jų juos iš dalies nepakeis, nepakeis pakeistų, pakeistų naujais sprendimais arba nepanaikins panaikintų. [138 pakeit.]

43 straipsnis

Perdavimas remiantis įmonei privalomomis taisyklėmis

1.  Priežiūros institucija pagal 58 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą patvirtina įmonei privalomas taisykles, jeigu:

a)  jos yra teisiškai privalomos ir taikomos kiekvienam duomenų valdytojo arba duomenų tvarkytojo įmonių grupės nariui ir išorės subrangovams, kurie patenka į įmonėms privalomų taisyklių taikymo sritį, įskaitant jų darbuotojus, ir jie jų laikosi;

b)  jomis duomenų subjektams aiškiai suteikiamos įgyvendinamos teisės;

c)  jos atitinka 2 dalyje nustatytus reikalavimus.

1a.  Kalbant apie užimtumo duomenis, pažymėtina, kad darbuotojų atstovai informuojami apie 43 straipsnyje minimų įmonėms privalomų taisyklių rengimą ir, laikantis Sąjungos ar valstybės narės teisės aktų ir praktikos, į jį įtraukiami.

2.  Įmonei privalomomis taisyklėmis nustatoma bent:

a)  įmonių grupės ir jos narių ir išorės subrangovų, kurie patenka į įmonėms privalomų taisyklių taikymo sritį, struktūra ir kontaktiniai duomenys ryšiams;

b)  duomenų perdavimai arba perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, susijusius duomenų subjektus ir atitinkamą trečiąją šalį arba šalis;

c)  tai, kad jos yra teisiškai privalomos ir vidaus, ir išorės lygmeniu;

d)  bendrieji duomenų apsaugos principai, visų pirma susiję su tikslų apribojimu, kuo mažesniu duomenų kiekiu, ribotu duomenų laikymo laikotarpiu, duomenų kokybe, pritaikytąja ir standartizuotąja duomenų apsauga, teisiniu duomenų tvarkymo pagrindu, neskelbtinų asmens duomenų tvarkymu; duomenų saugumo užtikrinimo priemonės; ir tolesnio perdavimo organizacijoms, kurios šių veiklos nuostatų laikytis neprivalo, reikalavimai;

e)  duomenų subjektų teisės ir naudojimosi šiomis teisėmis būdai, įskaitant teisę į tai, kad nebūtų taikoma profiliavimu pagrįsta priemonė pagal 20 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai ir kompetentingiems valstybių narių teismams pagal 75 straipsnį, teisę į tai, kad būtų ištaisyta padėtis ir, kai tinkama, teisę reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

f)  tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio įmonių grupės nario padarytus įmonei įmonėms privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės tik tuo atveju, jei įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)  kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams pagal 11 straipsnį;

h)  pagal 35 straipsnį paskirto duomenų apsaugos pareigūno užduotys, įskaitant stebėjimą, ar įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo stebėjimą ir skundų nagrinėjimą;

i)  įmonių grupės mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių;

j)  ataskaitų teikimo ir veiklos nuostatų pakeitimų registravimo, taip pat pranešimo apie tuos pokyčius priežiūros institucijai mechanizmai;

k)  bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant šios dalies i punkte nurodyto priemonių patikrinimo rezultatus.

3.  Komisija įgaliojama Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais išsamiau nustatyti išsamesnius įmonei privalomų taisyklių, kaip apibrėžta šiame straipsnyje, formą ir tvarką, kriterijus ir reikalavimus, visų pirma kriterijus, susijusius su įmonei privalomų taisyklių patvirtinimu, įskaitant skaidrumo užtikrinimą duomenų subjektams, 2 dalies b, d, e ir f punktų taikymu įmonei privalomoms taisyklėms, kurių laikosi duomenų tvarkytojai, ir su kitais būtinais reikalavimais, siekiant užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą.

4.  Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijos keitimosi informacija elektroniniu būdu apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [139 pakeit.]

43a straipsnis

Sąjungos teisės aktais neleidžiamas duomenų perdavimas ar atskleidimas

1.  Nepažeidžiant abipusės pagalbos sutarties arba galiojančių prašymą pateikusios trečiosios šalies ir Sąjungos arba valstybės narės tarptautinių susitarimų, joks trečiosios šalies teismo arba administracinės institucijos sprendimas, kuriuo iš duomenų valdytojo arba duomenų tvarkytojo reikalaujama atskleisti asmens duomenis, nėra laikomas teisėtu arba vykdytinu.

2.  Kai trečiosios šalies teismo arba administracinės institucijos sprendimu iš duomenų valdytojo arba duomenų tvarkytojo reikalaujama atskleisti asmens duomenis, duomenų valdytojas arba duomenų tvarkytojas ir, jei toks yra, duomenų valdytojo atstovas nedelsdamas praneša priežiūros institucijai apie tokį prašymą ir duomenims perduoti arba atskleisti iš jos turi gauti išankstinį leidimą.

3.  Priežiūros institucija įvertina prašymo atskleisti duomenis atitiktį šiam reglamentui, visų pirma kai atskleidimas yra būtinas ir teisiškai reikalingas pagal 44 straipsnio 1 dalies d ir e punktus ir 5 dalį. Jei daromas poveikis kitų valstybių narių duomenų subjektams, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

4.  Priežiūros institucija apie prašymą informuoja kompetentingą nacionalinę valdžios instituciją. Nepažeidžiant 21 straipsnio, duomenų valdytojas arba duomenų tvarkytojas apie tokį prašymą ir priežiūros institucijos leidimą taip pat informuoja duomenų subjektus ir, kai taikoma, praneša duomenų subjektui, ar asmens duomenys buvo pateikti valdžios institucijoms per pastarąjį nepertraukiamą 12 mėnesių laikotarpį, kaip nurodyta 14 straipsnio 1 dalies ha punkte. [140 pakeit.]

44 straipsnis

Nukrypti leidžiančios nuostatos

1.  Jeigu nepriimtas sprendimas dėl tinkamumo pagal 41 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 42 straipsnį, vieną ar kelis kartus perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai galima tik tada, kai:

a)  duomenų subjektui buvo pranešta apie perdavimų, kai nepriimtas sprendimas dėl tinkamumo ir kai nenustatytos apsaugos priemonės, riziką ir jis sutiko, kad būtų numatyti duomenys būtų perduoti;, arba

b)  perduoti duomenis būtina siekiant įvykdyti duomenų subjekto ir duomenų valdytojo sutartį arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu;, arba

c)  perduoti duomenis būtina, kad remiantis duomenų subjekto interesais būtų sudaryta ir įvykdyta duomenų valdytojo ir kito fizinio arba juridinio asmens sutartis;, arba

d)  perduoti duomenis būtina dėl svarbių viešojo intereso pagrindų;, arba

e)  perduoti duomenis būtina siekiant pagrįsti, pareikšti ar ginti teisinius reikalavimus;, arba

f)  perduoti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;, arba

g)  duomenys perduodami iš registro, kuriuo pagal Sąjungos arba valstybės narės teisės aktus naudojamasi teikiant informaciją visuomenei ir su kuriame esančia informacija gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, jeigu kiekvienu konkrečiu atveju laikomasi Sąjungos arba valstybės narės teisės aktais nustatytų susipažinimo su tokiame registre esančia informacija sąlygų;. arba

h)  perduoti duomenis būtina, kad duomenų valdytojas arba duomenų tvarkytojas galėtų siekti teisėtų interesų, jeigu toks perdavimas nėra dažnas arba masinis ir jeigu duomenų valdytojas arba duomenų tvarkytojas įvertino visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų seka susijusias aplinkybes ir remdamasis tuo vertinimu prireikus nustatė su asmens duomenų apsauga susijusias tinkamas apsaugos priemones.

2.  Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi tam tikrų kategorijų duomenys. Jeigu registras yra skirtas tam, kad teisėtų interesų turintys asmenys susipažintų su jame esančia informacija, duomenys perduodami tik tų asmenų prašymu arba jei tie asmenys yra tų duomenų gavėjai.

3.  Jeigu duomenų tvarkymas grindžiamas 1 dalies h punktu, duomenų valdytojas arba duomenų tvarkytojas visų pirma atsižvelgia į duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje šalyje ir paskirties šalyje ir prireikus nustatytas su asmens duomenų apsauga susijusias tinkamas apsaugos priemones.

4.  1 dalies b, ir c ir h punktai netaikomi veiklai, vykdomai valdžios institucijoms naudojantis viešaisiais įgaliojimais.

5.  1 dalies d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teisės aktais arba duomenų valdytojui taikomais valstybės narės teisės aktais.

6.  Duomenų valdytojas arba duomenų tvarkytojas pagal 28 straipsnį dokumentuoja vertinimą ir nustatytas tinkamas apsaugos priemones, nurodytas šio straipsnio 1 dalies h punkte, ir apie perdavimą informuoja priežiūros instituciją.

7.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius svarbius viešojo intereso pagrindus, kaip apibrėžta 1 dalies d punkte, taip pat 1 dalies h punkte nurodytų tinkamų apsaugos priemonių kriterijus ir reikalavimus Europos duomenų apsaugos valdybai pavedama pagal 66 straipsnio 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl duomenų perdavimui pagal 1 dalį taikomų kriterijų ir sąlygų sukonkretinimo. [141 pakeit.]

45 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

1.  Komisija ir priežiūros institucijos imasi reikiamų veiksmų, kuriais siekia:

a)  sukurti veiksmingus bendradarbiavimo su trečiosiomis šalimis ir tarptautinėmis organizacijomis mechanizmus, kad būtų lengviau įgyvendinti siekiant užtikrinti asmens duomenų apsaugos teisės aktus aktų įgyvendinimą; [142 pakeit.]

b)  teikti tarptautinę savitarpio pagalbą trečiosioms šalims ir tarptautinėms organizacijoms įgyvendinant asmens duomenų apsaugos teisės aktus, be kita ko, teikiant pranešimus, perduodant skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės ir užtikrinamos kitos pagrindinės teisės ir laisvės;

c)  susijusias suinteresuotąsias šalis įtraukti į diskusijas ir veiklą, kurios tikslas – stiprinti tarptautinį bendradarbiavimą įgyvendinant asmens duomenų apsaugos teisės aktus;

d)  skatinti dalytis asmens duomenų apsaugos teisės aktais ir praktika ir ją dokumentuoti;

da)  išaiškinti jurisdikcijos konfliktus su trečiosiomis šalimis ir teikti konsultacijas jų klausimu. [143 pakeit.]

2.  Siekdama įgyvendinti 1 dalį, Komisija imasi reikiamų veiksmų, kad gerintų santykius su trečiosiomis šalimis arba tarptautinėmis organizacijomis, visų pirma jų priežiūros institucijomis, jeigu Komisija nusprendė, kad jos užtikrina tinkamą apsaugos lygį, kaip apibrėžta 41 straipsnio 3 dalyje.

45a straipsnis

Komisijos ataskaita

Ne vėliau kaip 91 straipsnio 1 dalyje nurodytą dieną Komisija Europos Parlamentui ir Tarybai pradeda reguliariai teikti 40–45 straipsnių taikymo ataskaitą. Tuo tikslu Komisija gali prašyti valstybių narių ir priežiūros institucijų pateikti informaciją, kurią jos turi pateikti nedelsdamos. Ataskaita skelbiama viešai. [144 pakeit.]

VI SKYRIUS

NEPRIKLAUSOMOS PRIEŽIŪROS INSTITUCIJOS

1 SKIRSNIS

NEPRIKLAUSOMUMAS

46 straipsnis

Priežiūros institucija

1.  Kiekviena valstybė narė nustato, kad viena arba kelios valdžios institucijos stebi, kaip įgyvendinamas šis reglamentas, ir padeda jį nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant jų asmens duomenis ir palengvintas laisvas asmens duomenų judėjimas Sąjungoje. Siekdamos šių tikslų, priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija.

2.  Jeigu valstybėje narėje įsteigtos kelios priežiūros institucijos, ta valstybė narė paskiria vieno bendro informacinio punkto funkciją atliekančią priežiūros instituciją, kad tos institucijos veiksmingai dalyvautų Europos duomenų apsaugos valdybos veikloje, ir nustato mechanizmus, kuriais užtikrina, kad kitos institucijos laikytųsi su 57 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusių taisyklių.

3.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal šį skyrių, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

47 straipsnis

Nepriklausomumas

1.  Atlikdama savo pareigas ir naudodamasi jai suteiktais įgaliojimus, priežiūros institucija veikia visiškai nepriklausomai ir nešališkai, nepaisant šio reglamento VII skyriaus nuostatų dėl bendradarbiavimo ir nuoseklumo. [145 pakeit.]

2.  Priežiūros institucijos nariai, atlikdami savo pareigas, neprašo ir nepriima jokių nurodymų.

3.  Priežiūros institucijos nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu negali dirbti jokio nesuderinamo – mokamo ar nemokamo – darbo.

4.  Pasibaigus kadencijai, priežiūros institucijos nariai, sutikdami eiti kitas pareigas ir gauti atlygį, elgiasi sąžiningai ir diskretiškai.

5.  Kiekviena valstybė narė užtikrina, kad priežiūros institucija turėtų pakankamai žmogiškųjų, techninių ir finansinių išteklių, taip pat patalpas ir infrastruktūrą, būtiną, kad būtų veiksmingai atliekamos pareigos ir naudojamasi įgaliojimais, be kita ko, susijusiais su savitarpio pagalba, bendradarbiavimu ir dalyvavimu Europos duomenų apsaugos valdybos veikloje.

6.  Kiekviena valstybė narė užtikrina, kad priežiūros institucija turėtų savo darbuotojus, kuriuos skiria ir kuriems vadovauja priežiūros institucijos vadovas.

7.  Valstybės narės užtikrina, kad priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui. Valstybės narės užtikrina, kad priežiūros institucija turėtų atskirą metinį biudžetą. Biudžetai skelbiami viešai.

7a.  Kiekviena valstybė narė užtikrina, kad priežiūros institucija biudžeto kontrolės klausimais būtų atskaitinga tik nacionaliniam parlamentui. [146 pakeit.]

48 straipsnis

Bendrieji reikalavimai priežiūros institucijos nariams

1.  Valstybės narės nustato, kad priežiūros institucijos narius turi skirti atitinkamos valstybės narės parlamentas arba vyriausybė.

2.  Nariai renkami iš asmenų, kurių nepriklausomumas yra neabejotinas ir kurie įrodo, kad turi šioms pareigoms būtinos patirties ir gebėjimų, ypač asmens duomenų apsaugos srityje.

3.  Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis 5 dalies.

4.  Kompetentingas nacionalinis teismas gali atleisti narį iš pareigų arba atimti teisę į pensiją arba kitas vietoj jos mokamas išmokas, jeigu jis nebeatitinka jo pareigoms keliamų reikalavimų arba pripažįstamas kaltu padaręs sunkų nusižengimą.

5.  Pasibaigus nario kadencijai arba jam atsistatydinus, jis toliau eina savo pareigas, kol paskiriamas naujas narys.

49 straipsnis

Priežiūros institucijos įsteigimo taisyklės

Kiekviena valstybė narė, laikydamasi šio reglamento ribų, teisės aktais nustato:

a)  priežiūros institucijos įsteigimą ir statusą;

b)  priežiūros institucijos narių pareigoms būtiną kvalifikaciją, patirtį ir gebėjimus;

c)  priežiūros institucijos narių skyrimo taisykles ir procedūras, taip pat taisykles dėl veiksmų arba darbo, nesuderinamo su tarnybinėmis pareigomis;

d)  priežiūros institucijos narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus keletą pirmųjų narių, skiriamų įsigaliojus šiam reglamentui, kurių kadencija gali būti trumpesnė, jeigu siekiant išsaugoti priežiūros institucijos nepriklausomumą nariai turi būti skiriami keliais etapais;

e)  ar priežiūros institucijos narių kadencija gali būti atnaujinama;

f)  su priežiūros institucijos narių ir darbuotojų pareigomis susijusį reglamentavimą ir bendruosius reikalavimus;

g)  priežiūros institucijos narių atleidimo iš pareigų taisykles ir procedūras, įskaitant atvejus, kai jie nebeatitinka jų pareigoms keliamų reikalavimų arba pripažįstami kalti padarę sunkų nusižengimą.

50 straipsnis

Profesinė paslaptis

Priežiūros institucijos nariai ir darbuotojai kadencijos metu ir jai pasibaigus, laikydamiesi nacionalinių teisės aktų ir praktikos, privalo laikytis pareigos saugoti su bet kokia konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas, be to, vykdyti savo pareigas laikydamiesi nepriklausomumo ir skaidrumo principų, kaip nustatyta šiame reglamente. [147 pakeit.]

2 SKIRSNIS

PAREIGOS IR ĮGALIOJIMAI

51 straipsnis

Kompetencija

1.  Kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudojasi valstybėje narėje, nedarant poveikio 73 ir 74 straipsniams, eiti pagal šį reglamentą jai suteiktas pareigas ir naudotis pagal šį reglamentą suteiktais įgaliojimais. Valdžios institucijos duomenų tvarkymo veiklą prižiūri tik tos valstybės narės priežiūros institucija. [148 pakeit.]

2.  Jeigu asmens duomenys tvarkomi duomenų valdytojo arba duomenų tvarkytojo buveinei veikiant Sąjungoje ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės priežiūros institucija yra kompetentinga prižiūrėti duomenų valdytojo arba duomenų tvarkytojo vykdomą duomenų tvarkymo veiklą visose valstybėse narėse, nepažeidžiant šio reglamento VII skyriaus nuostatų. [149 pakeit.]

3.  Priežiūros institucija nėra kompetentinga prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami teisingumo funkcijas.

52 straipsnis

Pareigos

1.  Priežiūros institucija:

a)  stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

b)  nagrinėja skundus, kuriuos pagal 73 straipsnį pateikė bet kuris duomenų subjektas arba tam subjektui atstovaujanti asociacija, tinkamai tiria skundą ir per pagrįstą laikotarpį informuoja duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti su kita priežiūros institucija; [150 pakeit.]

c)  dalijasi informacija ir teikia savitarpio pagalbą kitoms priežiūros institucijoms, taip pat užtikrina, kad šis reglamentas būtų taikomas ir įgyvendinamas nuosekliai;

d)  atlieka tyrimus savo iniciatyva arba pagal skundą, arba pagal gautą konkrečią ir dokumentais pagrįstą informaciją dėl įtariamo neteisėto duomenų tvarkymo, arba kitos priežiūros institucijos prašymu ir per pagrįstą laikotarpį informuoja atitinkamą duomenų subjektą apie tyrimo rezultatą, jei duomenų subjektas skundą pateikė tai priežiūros institucijai; [151 pakeit.]

e)  stebi naujausius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšio technologijų, taip pat komercinės praktikos raidą;

f)  konsultuoja valstybės narės institucijas ir įstaigas dėl teisinių ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

g)  duoda leidimus ir konsultuoja dėl 34 straipsnyje nurodytų duomenų tvarkymo operacijų;

h)  teikia nuomonę dėl elgesio kodeksų projektų pagal 38 straipsnio 2 dalį;

i)  tvirtina įmonei privalomas taisykles pagal 43 straipsnį;

j)  dalyvauja Europos duomenų apsaugos valdybos veikloje;

ja)  sertifikuoti duomenų valdytojus ir tvarkytojus pagal 39 straipsnį. [152 pakeit.]

2.  Kiekviena priežiūros institucija didina visuomenės informuotumą apie su asmens duomenų tvarkymu susijusią riziką, taisykles, apsaugos priemones ir teises, taip pat apie atitinkamas asmens duomenų apsaugos priemones. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys. [153 pakeit.]

2a.  Kiekviena priežiūros institucija kartu su Europos duomenų apsaugos valdyba didina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie riziką, taisykles, apsaugos priemones ir teises, susijusias su asmens duomenų tvarkymu. Tam vedamas sankcijų ir pažeidimų registras. Į registrą turėtų būti įtraukiami kuo išsamesni duomenys apie visus įspėjimus ir sankcijas ir informacija apie pažeidimų ištaisymą. Kiekviena priežiūros institucija duomenų valdytojams ir duomenų tvarkytojams, kurie yra labai mažos bei mažosios ir vidutinės įmonės, jų prašymu pateikia išsamų sąrašą, kuriame pateikiama bendra informacija apie jų įpareigojimus ir atsakomybę pagal šį reglamentą. [154 pakeit.]

3.  Priežiūros institucija duomenų subjekto prašymu jam pataria naudojimosi savo teisėmis, nustatytomis šiame reglamente, klausimais ir prireikus šiuo tikslu bendradarbiauja su priežiūros institucijomis kitose valstybėse narėse.

4.  Priežiūros institucija pateikia 1 dalies b punkte nurodyto skundo pateikimo formą, kurią galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis kitomis ryšio priemonėmis.

5.  Priežiūros institucija savo pareigas duomenų subjektams atlieka nemokamai.

6.  Jeigu prašymai yra akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti pagrįstą mokestį arba nesiimti duomenų subjekto prašomų veiksmų. Toks mokestis neviršija prašomų imtis veiksmų išlaidų. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas. [155 pakeit.]

53 straipsnis

Įgaliojimai

1.  Kiekviena priežiūros institucija pagal šį reglamentą įgaliojama:

a)  pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą nuostatų dėl asmens duomenų tvarkymo pažeidimą ir, kai tinkama, nurodyti duomenų valdytojui arba duomenų tvarkytojui konkrečiomis priemonėmis ištaisyti pažeidimą, siekiant sustiprinti duomenų subjekto apsaugą, arba prireikus nurodyti duomenų valdytojui pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui; [156 pakeit.]

b)  nurodyti duomenų valdytojui arba duomenų tvarkytojui tenkinti duomenų subjekto prašymus užtikrinti šiame reglamente nustatytas teises;

c)  nurodyti duomenų valdytojui ir duomenų tvarkytojui, ir, jei taikoma, atstovui pateikti visą jų pareigų atlikimui svarbią informaciją;

d)  užtikrinti, kad būtų laikomasi nuostatų dėl 34 straipsnyje nurodyto išankstinio konsultavimosi;

e)  įspėti duomenų valdytoją arba duomenų tvarkytoją arba pareikšti jiems pastabą;

f)  nurodyti ištaisyti, ištrinti ar sunaikinti visus duomenis, jei jie buvo tvarkomi pažeidžiant šio reglamento nuostatas, ir pranešti apie tokius veiksmus tretiesiems asmenims, kuriems duomenys buvo atskleisti;

g)  laikinai ar galutinai uždrausti tvarkyti duomenis;

h)  sustabdyti duomenų srautus duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai;

i)  teikti savo nuomonę bet kuriais su asmens duomenų apsauga susijusiais klausimais;

ia)  sertifikuoti duomenų valdytojus ir tvarkytojus pagal 39 straipsnį;

j)  informuoti nacionalinį parlamentą, vyriausybę arba kitas politines institucijas, taip pat visuomenę bet kuriais su asmens duomenų apsauga susijusiais klausimais;

ja)  įdiegti veiksmingus mechanizmus, kuriais būtų skatinama teikti konfidencialius pranešimus apie šio reglamento pažeidimus, atsižvelgiant į Europos duomenų apsaugos valdybos pagal 66 straipsnio 4b dalį pateiktas gaires.

2.  Kiekviena priežiūros institucija, remdamasi įgaliojimu atlikti tyrimą, gali be išankstinio pranešimo iš duomenų valdytojo arba duomenų tvarkytojo pareikalauti suteikti:

a)  galimybę susipažinti su visais asmens duomenimis, visais dokumentais ir visa priežiūros institucijos pareigoms atlikti būtina informacija;

b)  galimybę patekti į bet kurias jo patalpas ir, be kita ko, pasinaudoti bet kuria jo duomenų tvarkymo įranga ir priemonėmis, jeigu yra pagrįstų priežasčių manyti, kad ten vykdoma veikla pažeidžiamas šis reglamentas.

Šios dalies b punktu suteiktais įgaliojimais naudojamasi laikantis Sąjungos ir valstybės narės teisės aktų.

3.  Kiekviena priežiūros institucija turi įgaliojimą atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir būti proceso šalimi, visų pirma pagal 74 straipsnio 4 dalį ir 75 straipsnio 2 dalį.

4.  Kiekviena priežiūros institucija pagal 79 straipsnį turi įgaliojimą skirti sankcijas už administracinius pažeidimus, visų pirma nurodytus 79 straipsnio 4, 5 ir 6 dalyse. Šiais įgaliojimais naudojamasi veiksmingai, proporcingai ir atgrasomai. [156 pakeit.]

54 straipsnis

Veiklos ataskaita

Kiekviena priežiūros institucija bent kas dvejus metus privalo parengti metinę savo veiklos ataskaitą. Ataskaita teikiama atitinkamam nacionaliniam parlamentui ir skelbiama viešai, taip pat teikiama Komisijai ir Europos duomenų apsaugos valdybai. [157 pakeit.]

54a straipsnis

Vadovaujanti institucija

1.  Jeigu asmens duomenys tvarkomi duomenų valdytojo arba duomenų tvarkytojo buveinei veikiant Sąjungoje ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, arba jei tvarkomi kelių valstybių narių gyventojų asmens duomenys, remiantis šio reglamento VII skyriaus nuostatomis, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės vietos priežiūros institucija veikia kaip vadovaujanti institucija, atsakinga už duomenų valdytojo ar duomenų tvarkytojo vykdomos duomenų tvarkymo veiklos priežiūrą visose valstybėse narėse.

2.  Vadovaujanti institucija imasi tinkamų duomenų valdytojo ar duomenų tvarkytojo duomenų vykdomos tvarkymo veiklos priežiūros, už kurią ji atsakinga, priemonių tik pasikonsultavusi su visomis kitomis kompetentingomis priežiūros institucijomis, kaip apibrėžta 51 straipsnio 1 dalyje, kad pasiektų bendrą sutarimą. Tuo tikslu ji pirmiausia pateikia bet kokią aktualią informaciją ir, prieš tvirtindama priemonę, kuria siekiama daryti teisinį poveikį duomenų valdytojui arba duomenų tvarkytojui pagal 51 straipsnio 1 dalį, konsultuojasi su kitomis institucijomis. Vadovaujanti institucija kuo labiau atsižvelgia į dalyvaujančių institucijų nuomones. Vadovaujanti institucija yra vienintelė institucija, kuriai suteikti įgaliojimai priimti sprendimus dėl priemonių, kuriomis siekiama daryti teisinį poveikį, susijusį su duomenų valdytojo ar duomenų tvarkytojo vykdoma duomenų tvarkymo veikla, už kurią ji atsakinga.

3.  Europos duomenų apsaugos valdyba kompetentingos priežiūros institucijos prašymu pateikia nuomonę dėl vadovaujančios institucijos, atsakingos už duomenų tvarkytoją ar duomenų valdytoją, nustatymo, kai:

a)  iš atvejo aplinkybių neaišku, kur yra pagrindinė duomenų valdytojo ar duomenų tvarkytojo buveinė, arba

b)  kompetentingos institucijos nesutaria dėl to, kuri priežiūros institucija veiks kaip vadovaujanti institucija, arba

c)  duomenų valdytojas nėra įsisteigęs Sąjungoje, o įvairių valstybių narių gyventojai patiria į šio reglamento taikymo sritį patenkančių duomenų tvarkymo operacijų padarinius.

3a.  Kai duomenų valdytojas taip pat vykdo duomenų tvarkytojo veiklą, pagrindinės duomenų valdytojo buveinės vietos priežiūros institucija veikia kaip vadovaujanti institucija, atliekanti duomenų tvarkymo veiklos priežiūrą.

4.  Europos duomenų apsaugos valdyba gali priimti sprendimą dėl vadovaujančios institucijos nustatymo. [158 pakeit.]

VII SKYRIUS

BENDRADARBIAVIMAS IR NUOSEKLUMAS

1 skirsnis

Bendradarbiavimas

55 straipsnis

Savitarpio pagalba

1.  Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus dėl išankstinių konsultacijų, patikromis bei tyrimais ir skubiai teikiama informacija apie bylos nagrinėjimo pradžią, taip pat tolesniais veiksmais tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams. 54a straipsnyje apibrėžta vadovaujanti institucija užtikrina veiklos koordinavimą su dalyvaujančiomis priežiūros institucijomis ir veikia kaip vienas bendras informacinis punktas duomenų valdytojui arba duomenų tvarkytojui. [159 pakeit.]

2.  Kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad nedelsdama ir ne vėliau kaip per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, į jį atsakytų. Tokia priemonė visų pirma gali būti reikšmingos informacijos apie tyrimo eigą arba vykdymo priemones, kuriomis siekiama nutraukti arba uždrausti šio reglamento neatitinkančias duomenų tvarkymo operacijas, perdavimas.

3.  Pagalbos prašyme nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Gauta informacija naudojama nagrinėjant tik tą klausimą, dėl kurio jos prašyta.

4.  Priežiūros institucija, kuriai teikiamas pagalbos prašymas, negali atsisakyti jo patenkinti, išskyrus atvejus, kai:

a)  ji nėra kompetentinga jį patenkinti; arba

b)  prašymo patenkinimas būtų nesuderinamas su šio reglamento nuostatomis.

5.  Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie jos prašymo rezultatus arba atitinkamais atvejais jo eigą arba priemones, kurių imtasi siekiant jį patenkinti.

6.  Priežiūros institucijos teikia kitų priežiūros institucijų prašomą informaciją elektroniniu būdu per kuo trumpesnį laiką, naudodamosi standartizuotomis formomis.

7.  Už veiksmus, kurių imamasi siekiant patenkinti savitarpio pagalbos prašymą, iš prašymą pateikusios priežiūros institucijos mokestis neimamas. [160 pakeit.]

8.  Jeigu priežiūros institucija neatsako į kitos priežiūros institucijos prašymą per vieną mėnesį, prašymą pateikusi priežiūros institucija yra kompetentinga priimti laikinąsias priemones savo valstybės narės teritorijoje pagal 51 straipsnio 1 dalį ir pateikia klausimą nagrinėti Europos duomenų apsaugos valdybai pagal 57 straipsnyje nurodytą procedūrą. Ji gali priimti laikinąsias priemones pagal 53 straipsnį savo valstybės narės teritorijoje, jei dėl dar nebaigtos pagalbos teikimo procedūros galutinės priemonės priimti dar negalima. [161 pakeit.]

9.  Priežiūros institucija nurodo tokių laikinųjų priemonių galiojimo laikotarpį. Šis laikotarpis negali būti ilgesnis kaip treji mėnesiai. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai, laikydamasi 57 straipsnyje nurodytos procedūros. [162 pakeit.]

10.  Komisija Europos duomenų apsaugos valdyba gali nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formatą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 6 dalyje nurodytą standartizuotą formą. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [163 pakeit.]

56 straipsnis

Priežiūros institucijų bendros operacijos

1.  Siekdamos sustiprinti bendradarbiavimą ir savitarpio pagalbą, priežiūros institucijos atlieka bendras tyrimo užduotis, taiko bendras vykdymo priemones ir vykdo kitas bendras operacijas, kuriose dalyvauja paskirtieji nariai arba darbuotojai iš kitų valstybių narių priežiūros institucijų.

2.  Tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti atliekant bendras tyrimo užduotis arba prireikus vykdant bendras operacijas. Kompetentinga priežiūros institucija 54a straipsnyje apibrėžta vadovaujanti institucija pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti atliekant atitinkamas bendras tyrimo užduotis arba vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo vykdant tokias operacijas. Vadovaujanti institucija veikia kaip vienas bendras informacinis punktas duomenų valdytojui arba duomenų tvarkytojui. [164 pakeit.]

3.  Kiekviena priežiūros institucija, kaip priimančioji priežiūros institucija, laikydamasi nacionalinės teisės ir komandiruojančiajai priežiūros institucijai leidus, suteikia vykdymo įgaliojimus, be kita ko, susijusius su tyrimo užduotimis, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu leidžiama priimančiosios priežiūros institucijos įstatymais, leidžia komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo vykdymo įgaliojimais pagal komandiruojančiosios priežiūros institucijos teisę. Tokiais vykdymo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir paprastai jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos nacionalinė teisė. Priimančioji priežiūros institucija atsako už jų veiksmus.

4.  Priežiūros institucijos nustato praktinius konkrečių bendradarbiavimo veiksmų aspektus.

5.  Jeigu priežiūros institucija per vieną mėnesį neįvykdo 2 dalyje nustatytos pareigos, kita priežiūros institucija yra kompetentinga priimti laikinąsias priemones savo valstybės narės teritorijoje pagal 51 straipsnio 1 dalį.

6.  Priežiūros institucija nurodo 5 dalyje nurodytų laikinųjų priemonių galiojimo laikotarpį. Šis laikotarpis negali būti ilgesnis kaip treji mėnesiai. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai ir pateikia klausimą nagrinėti pagal 57 straipsnyje nurodytą mechanizmą.

2 SKIRSNIS

NUOSEKLUMAS

57 straipsnis

Nuoseklumo užtikrinimo mechanizmas.

Siekdamos 46 straipsnio 1 dalyje nustatytų tikslų, ir bendro pobūdžio klausimais, ir atskirais atvejais priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija pagal nuoseklumo užtikrinimo mechanizmą, laikydamosi šio skirsnio nuostatų. [165 pakeit.]

58 straipsnis

Europos duomenų apsaugos valdybos nuomonė Bendro pobūdžio klausimų nagrinėjimo nuoseklumas

1.  Prieš priimdama 2 dalyje nurodytą priemonę, priežiūros institucija priemonės projektą pateikia Europos duomenų apsaugos valdybai ir Komisijai.

2.  1 dalyje nurodyta pareiga taikoma priemonei, kuria siekiama daryti teisinį poveikį ir:

a)  kuri yra susijusi su duomenų tvarkymo veikla, vykdoma siekiant siūlyti prekes arba paslaugas duomenų subjektams keliose valstybėse narėse ar stebėti jų elgesį; arba

b)  kuria gali būti daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje; arba

c)  priimti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis, sąrašą pagal 34 straipsnio 5 dalį; arba

d)  nustatyti 42 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas; arba

e)  duoti leidimą taikyti 42 straipsnio 2 dalies d punkte nurodytas sutarties sąlygas; arba

f)  patvirtinti įmonei privalomas taisykles, kaip apibrėžta 43 straipsnyje.

3.  Bet kuri priežiūros institucija arba Europos duomenų apsaugos valdyba gali prašyti, kad bet koks bendro pobūdžio klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą, visų pirma tais atvejais, kai priežiūros institucija nepateikia 2 dalyje nurodyto priemonės projekto ar neįvykdo su savitarpio pagalba susijusių pareigų pagal 55 straipsnį arba su bendromis operacijomis susijusių pareigų pagal 56 straipsnį.

4.  Siekdama užtikrinti tinkamą ir nuoseklų šio reglamento taikymą, Komisija gali prašyti, kad bet koks bendro pobūdžio klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą.

5.  Priežiūros institucijos ir Komisija nepagrįstai nedelsdamos elektroniniu būdu pateikia bet kokią reikšmingą informaciją, įskaitant, atitinkamais atvejais, faktų santrauką, priemonės projektą ir priežastis, dėl kurių reikėjo nustatyti tą priemonę, naudodamosi standartizuota forma.

6.  Europos duomenų apsaugos valdybos pirmininkas nepagrįstai nedelsdamas elektroniniu būdu pateikia Europos duomenų apsaugos valdybos nariams ir Komisijai bet kokią reikšmingą informaciją, kuri jam buvo pateikta, naudodamasis standartizuota forma. Europos duomenų apsaugos valdybos pirmininkas sekretoriatas prireikus pateikia reikšmingos informacijos vertimą.

6a.  Europos duomenų apsaugos valdyba priima nuomonę dėl jai pagal 2 dalį pateiktų klausimų.

7.  Europos duomenų apsaugos valdyba pateikia nuomonę atitinkamu klausimu, jeigu ji taip nusprendė paprasta savo narių balsų dauguma arba jeigu bet kuri priežiūros institucija ar Komisija to paprašo, per vieną savaitę nuo reikšmingos informacijos pateikimo pagal 5 dalį. Nuomonė priimama per vieną mėnesį paprasta Europos duomenų apsaugos valdybos narių balsų dauguma. Europos duomenų apsaugos valdybos pirmininkas, nepagrįstai nedelsdamas, informuoja apie savo nuomonę, atitinkamais atvejais, 1 ir 3 dalyse nurodytą priežiūros instituciją, Komisiją ir pagal 51 straipsnį kompetentingą priežiūros instituciją ir paskelbia ją viešai. gali paprasta balsų dauguma nuspręsti, ar priimti nuomonę bet kuriuo pagal 3 ir 4 dalis jai pateiktu klausimu, atsižvelgdama į šiuos dalykus:

a)  ar klausimas susijęs su naujovėmis, atsižvelgiant į teisinius ir faktinius pokyčius, ypač informacinių technologijų srityje, ir į informacinės visuomenės pažangą, ir

b)  ar Europos duomenų apsaugos valdyba jau yra pateikusi nuomonę tuo pačiu klausimu.

8.  1 dalyje nurodyta priežiūros institucija ir pagal 51 straipsnį kompetentinga priežiūros institucija atsižvelgia į Europos duomenų apsaugos valdybos nuomonę ir per dvi savaites nuo tada, kai Europos duomenų apsaugos valdybos pirmininkas pranešė apie nuomonę, elektroniniu būdu praneša Europos duomenų apsaugos valdybos pirmininkui ir Komisijai – ar nekeičia priemonės projekto, ar jį iš dalies pakeičia, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą priemonės projektą, naudodamasi standartizuota forma valdyba nuomones pagal 6a ir 7 dalis priima paprasta savo narių balsų dauguma. Šios nuomonės skelbiamos viešai. [166 pakeit.]

58a straipsnis

Atskirų atvejų nagrinėjimo nuoseklumas

1.  Prieš imdamasi priemonės, kuria siekiama daryti teisinį poveikį pagal 54a straipsnį, vadovaujanti institucija pasidalija visa svarbia informacija su visomis kitomis kompetentingomis institucijomis ir pateikia joms priemonės projektą. Vadovaujanti institucija nuomonės nepriima, jei kompetentinga institucija per tris savaites pareiškia rimtai prieštaraujanti tos priemonės priėmimui.

2.  Jei kompetentinga institucija nurodo rimtai prieštaraujanti vadovaujančios institucijos priemonės projektui arba jei vadovaujanti institucija nepateikia 1 dalyje nurodyto priemonės projekto ar neįvykdo su savitarpio pagalba susijusių pareigų pagal 55 straipsnį arba su bendromis operacijomis susijusių pareigų pagal 56 straipsnį, klausimą svarsto Europos duomenų apsaugos valdyba.

3.  Vadovaujanti institucija ir (arba) kitos dalyvaujančios kompetentingos institucijos ir Komisija nepagrįstai nedelsdamos elektroniniu būdu naudodamosi standartizuota forma pateikia Europos duomenų apsaugos valdybai bet kokią reikšmingą informaciją, įskaitant, atitinkamais atvejais, faktų santrauką, priemonės projektą ir priežastis, dėl kurių reikėjo nustatyti tą priemonę, dėl jos pareikštus prieštaravimus ir kitų susijusių priežiūros institucijų nuomones.

4.  Europos duomenų apsaugos valdyba apsvarsto klausimą, atsižvelgdama į vadovaujančios institucijos priemonės projekto poveikį duomenų subjektų pagrindinėms teisėms ir laisvėms, ir paprasta savo narių balsų dauguma nusprendžia, ar pateikti nuomonę tuo klausimu, per dvi savaites nuo reikšmingos informacijos pateikimo pagal 3 dalį.

5.  Jei Europos duomenų apsaugos valdyba nusprendžia nuomonę pateikti, ji tai padaro per šešias savaites ir paskelbia nuomonę viešai.

6.  Vadovaujanti institucija kuo labiau atsižvelgia į Europos duomenų apsaugos valdybos nuomonę ir per dvi savaites nuo tada, kai Europos duomenų apsaugos valdybos pirmininkas pranešė apie nuomonę, elektroniniu būdu praneša Europos duomenų apsaugos valdybos pirmininkui ir Komisijai, ar priemonės projekto nekeičia ar jį iš dalies pakeičia, ir pastaruoju atveju pateikia iš dalies pakeistą priemonės projektą, naudodamasi standartizuota forma. Jei vadovaujanti institucija ketina nesivadovauti Europos duomenų apsaugos valdybos nuomone, ji pateikia motyvuotą pagrindimą.

7.  Jeigu Europos duomenų apsaugos valdyba vis tiek nesutinka su 5 dalyje nurodytos priežiūros institucijos priemone, ji dviejų trečdalių balsų dauguma gali per vieną mėnesį patvirtinti priemonę, kuri priežiūros institucijai yra privaloma. [167 pakeit.]

59 straipsnis

Komisijos nuomonė

1.  Per dešimt savaičių nuo tada, kai klausimas pateikiamas pagal 58 straipsnį, arba per šešias savaites 61 straipsnio atveju Komisija gali priimti nuomonę pagal 58 arba 61 straipsnį pateiktu klausimu, kad užtikrintų tinkamą ir nuoseklų šio reglamento taikymą.

2.  Jeigu Komisija priėmė nuomonę pagal 1 dalį, atitinkama priežiūros institucija kuo labiau atsižvelgia į Komisijos nuomonę ir informuoja Komisiją ir Europos duomenų apsaugos valdybą apie savo ketinimą nekeisti priemonės projekto ar jį iš dalies pakeisti.

3.  Kol nepasibaigęs 1 dalyje nurodytas laikotarpis, priežiūros institucija negali priimti priemonės projekto.

4.  Jeigu atitinkama priežiūros institucija ketina neatsižvelgti į Komisijos nuomonę, ji informuoja apie tai Komisiją ir Europos duomenų apsaugos valdybą per 1 dalyje nurodytą laikotarpį ir pateikia paaiškinimą. Tokiu atveju priemonės projektas negali būti priimtas dar vieną mėnesį. [168 pakeit.]

60 straipsnis

Priemonės projekto priėmimo sustabdymas

1.  Jeigu Komisijai kyla rimtų abejonių dėl to, ar priemonės projektu būtų užtikrintas tinkamas šio reglamento taikymas arba jį priėmus šis reglamentas būtų taikomas nenuosekliai, ji per vieną mėnesį nuo 59 straipsnio 4 dalyje nurodyto pranešimo gali priimti motyvuotą sprendimą, kuriuo reikalaujama, kad priežiūros institucija sustabdytų priemonės projekto priėmimą, atsižvelgdama į Europos duomenų apsaugos valdybos nuomonę, pateiktą pagal 58 straipsnio 7 dalį arba 61 straipsnio 2 dalį, jeigu to reikia siekiant:

a)  suderinti skirtingas priežiūros institucijos ir Europos duomenų apsaugos valdybos pozicijas, jei tai vis dar atrodo įmanoma; arba

b)  priimti priemonę pagal 62 straipsnio 1 dalies a punktą.

2.  Komisija nustato tokio sustabdymo trukmę, kuri negali būti ilgesnė kaip 12 mėnesių.

3.  Kol nepasibaigęs 2 dalyje nurodytas laikotarpis, priežiūros institucija negali priimti priemonės projekto. [169 pakeit.]

60a straipsnis

Informacija Europos Parlamentui ir Tarybai

Komisija reguliariai, ne rečiau kaip kas pusę metų, remdamasi Europos duomenų apsaugos valdybos pirmininko pranešimu, informuoja Europos Parlamentą ir Tarybą apie pagal nuoseklumo užtikrinimo mechanizmą nagrinėtus klausimus ir pateikia Komisijos ir Europos duomenų apsaugos valdybos padarytas išvadas dėl šio reglamento vienodo įgyvendinimo ir taikymo užtikrinimo. [170 pakeit.]

61 straipsnis

Skubos tvarka

1.  Jeigu išimtinėmis aplinkybėmis priežiūros institucija mano, jog būtina skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, visų pirma tais atvejais, kai esama pavojaus, kad pasikeitus esamai padėčiai gali būti labai sunku įgyvendinti duomenų subjekto teisę arba siekiama pašalinti didelius trūkumus, arba dėl kitų priežasčių, nukrypdama nuo 58 58a straipsnyje nurodytos procedūros, ji gali priimti konkretų laikotarpį galiojančias laikinąsias priemones. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai. [171 pakeit.]

2.  Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai priimti galutines priemones, ji gali prašyti, kad Europos duomenų apsaugos valdyba skubiai pateiktų savo nuomonę, nurodydama tokios nuomonės prašymo priežastis, be kita ko, susijusias su galutinių priemonių priėmimu skubos tvarka.

3.  Bet kuri priežiūros institucija gali prašyti skubiai pateikti nuomonę, jeigu kompetentinga priežiūros institucija nesiėmė tinkamos priemonės tuo atveju, kai būtina skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, nurodydama tokios nuomonės prašymo priežastis, be kita ko, susijusias su būtinybe skubiai veikti.

4.  Nukrypstant nuo 58 straipsnio 7 dalies, Šio straipsnio 2 ir 3 dalyse nurodyta nuomonė skubiai – per dvi savaites – priimama paprasta Europos duomenų apsaugos valdybos narių balsų dauguma. [172 pakeit.]

62 straipsnis

Įgyvendinimo aktai

1.  Komisija, paprašiusi Europos duomenų apsaugos valdybos nuomonės, gali priimti visuotinai taikomus įgyvendinimo aktus, siekdama:

a)  priimti sprendimus dėl tinkamo šio reglamento taikymo pagal jo tikslus ir reikalavimus, susijusius su klausimais, kuriuos priežiūros institucijos pateikė pagal 58 arba 61 straipsnius, su klausimu, dėl kurio pagal 60 straipsnio 1 dalį priimtas motyvuotas sprendimas, arba klausimu, kai priežiūros institucija nepateikia priemonės projekto ir kai nurodė neketinanti atsižvelgti į nuomonę, kurią Komisija priėmė pagal 59 straipsnį;

b)  per 59 straipsnio 1 dalyje nurodytą terminą nuspręsti, ar paskelbti 58 42 straipsnio 2 dalies d punkte nurodytų standartinių duomenų apsaugos sąlygų projektą visuotinai galiojančiu;

c)  nustatyti šiame skirsnyje nurodyto nuoseklumo užtikrinimo mechanizmo formatą ir procedūras;

d)  nustatyti priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 58 straipsnio 5, 6 ir 8 dalyse nurodytą standartizuotą formą.

Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

2.  Remdamasi tinkamai pagrįstais imperatyviais pagrindais, dėl kurių būtina skubiai veikti siekiant apsaugoti duomenų subjektų interesus 1 dalies a punkte nurodytais atvejais, Komisija pagal 87 straipsnio 3 dalyje nurodytą procedūrą priima nedelsiant taikomus įgyvendinimo aktus. Tie aktai lieka galioti ne ilgiau kaip 12 mėnesių.

3.  Nepriklausomai nuo to, ar priimama priemonė pagal šį skirsnį, Komisija gali remdamasi Sutartimis priimti bet kokią kitą priemonę. [173 pakeit.]

63 straipsnis

Vykdymas

1.  Siekiant šio reglamento tikslų, vienos valstybės narės priežiūros institucijos vykdytina priemonė vykdoma visose atitinkamose valstybėse narėse.

2.  Jeigu priežiūros institucija, pažeisdama 58 straipsnio 1–5 dalis ir 2 dalis, nepateikia priemonės projekto pagal nuoseklumo užtikrinimo mechanizmą arba patvirtina priemonę, nepaisant to, kad pagal 58a straipsnio 1 dalį buvo pareikštas rimtas prieštaravimas, ta priežiūros institucijos priemonė neturi teisinės galios ir nėra vykdytina. [174 pakeit.]

3 SKIRSNIS

EUROPOS DUOMENŲ APSAUGOS VALDYBA

64 straipsnis

Europos duomenų apsaugos valdyba

1.  Įsteigiama Europos duomenų apsaugos valdyba.

2.  Europos duomenų apsaugos valdybą sudaro kiekvienos valstybės narės vienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas.

3.  Jeigu valstybėje narėje už šio reglamento nuostatų taikymo stebėjimą yra atsakinga daugiau kaip viena priežiūros institucija, bendru atstovu paskiriamas vienos iš tų priežiūros institucijų vadovas.

4.  Komisija turi teisę dalyvauti Europos duomenų apsaugos valdybos veikloje ir posėdžiuose ir paskiria atstovą. Europos duomenų apsaugos valdybos pirmininkas nedelsdamas informuoja Komisiją apie visą Europos duomenų apsaugos valdybos veiklą.

65 straipsnis

Nepriklausomumas

1.  Atlikdama savo užduotis pagal 66 ir 67 straipsnius Europos duomenų apsaugos valdyba veikia nepriklausomai.

2.  Neribodama Komisijos galimybės teikti 66 straipsnio 1 dalies b punkte ir 2 dalyje nurodytus prašymus, Europos duomenų apsaugos valdyba neprašo ir nepriima jokių nurodymų.

66 straipsnis

Europos duomenų apsaugos valdybos užduotys

1.  Europos duomenų apsaugos valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Siekdama šio tikslo, Europos duomenų apsaugos valdyba savo iniciatyva, Europos Parlamento, Tarybos arba Komisijos prašymu visų pirma:

a)  pataria Komisijai ES institucijoms visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, įskaitant dėl visų siūlomų šio reglamento pakeitimų;

b)  savo iniciatyva arba vieno iš savo narių iniciatyva, arba Europos Parlamento, Tarybos ar Komisijos prašymu nagrinėja visus klausimus, susijusius su šio reglamento taikymu, ir skelbia priežiūros institucijoms skirtas gaires, rekomendacijas ir geriausią patirtį, siekdama skatinti šį reglamentą taikyti nuosekliai, taip pat ir naudojimosi vykdymo užtikrinimo įgaliojimais srityje;

c)  peržiūri praktinį šios dalies b punkte nurodytų gairių, rekomendacijų ir geriausios patirties taikymą ir reguliariai teikia Komisijai ataskaitas apie jas;

d)  teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą;

da)  teikia nuomonę dėl to, kuri institucija turėtų būti vadovaujanti pagal 54a straipsnio 3 dalį;

e)  skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį arba daugiašalį keitimąsi informacija ir praktika, įskaitant bendrų operacijų ir kitos bendros veiklos koordinavimą, kai Europos duomenų apsaugos valdyba taip nusprendžia vienos ar kelių priežiūros institucijų prašymu;

f)  skatina bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, kai tinkama, trečiųjų šalių arba tarptautinių organizacijų priežiūros institucijų darbuotojų mainus;

g)  skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

ga)  teikia nuomonę Komisijai rengiant šiuo reglamentu grindžiamus deleguotuosius ir įgyvendinimo aktus;

gb)  teikia nuomonę dėl Sąjungos lygmens elgesio kodeksų, parengtų pagal 38 straipsnio 4 dalį;

gc)  teikia nuomonę dėl duomenų apsaugos sertifikavimo mechanizmams, nustatytiems pagal 39 straipsnio 2 dalį, taikomų kriterijų ir reikalavimų;

gd)  veda viešą elektroninį visų galiojančių ir negaliojančių sertifikatų registrą, kaip nurodyta 39 straipsnio 1h dalyje;

ge)  teikia pagalbą nacionalinėms priežiūros institucijoms, šioms paprašius;

gf)  parengia ir viešai paskelbia duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis pagal 34 straipsnį, sąrašą;

gg)  veda sankcijų, kurias kompetentingos priežiūros institucijos pritaikė duomenų valdytojams ar duomenų tvarkytojams, registrą.

2.  Jeigu Europos Parlamentas, Taryba arba Komisija prašo Europos duomenų apsaugos valdybos patarti, ji gali nustatyti terminą, per kurį Europos duomenų apsaugos valdyba tokį patarimą turi pateikti, atsižvelgdama į klausimo skubumą.

3.  Europos duomenų apsaugos valdyba savo nuomones, gaires bei rekomendacijas ir geriausią patirtį teikia Europos Parlamentui, Tarybai ir Komisijai bei 87 straipsnyje nurodytam komitetui ir skelbia jas viešai.

4.  Komisija informuoja Europos duomenų apsaugos valdybą apie veiksmus, kurių ji ėmėsi, atsižvelgdama į Europos duomenų apsaugos valdybos paskelbtas nuomones, gaires bei rekomendacijas ir geriausią patirtį.

4a.  Europos duomenų apsaugos valdyba tam tikrais atvejais konsultuojasi su suinteresuotomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nepažeidžiant 72 straipsnio, Europos duomenų apsaugos valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

4b.  Europos duomenų apsaugos valdybai pavedama pagal 1 dalies b punktą nustatyti gaires, rekomendacijas ir gerąją patirtį dėl informacijos apie įtariamą neteisėtą duomenų tvarkymą pateikimo ir konfidencialumo užtikrinimo bei gautos informacijos šaltinių apsaugos bendrosios tvarkos. [175 pakeit.]

67 straipsnis

Ataskaitos

1.  Europos duomenų apsaugos valdyba reguliariai ir laiku informuoja Europos Parlamentą, Tarybą ir Komisiją apie visą Europos duomenų apsaugos valdybos veiklą. Ji bent kas dvejus metus parengia metinę ataskaitą apie fizinių asmenų apsaugos tvarkant asmens duomenis būklę Sąjungoje ir trečiosiose šalyse.

Šioje ataskaitoje pateikiami praktinio gairių, rekomendacijų ir geriausios patirties taikymo peržiūros pagal 66 straipsnio 1 dalies c punktą rezultatai. [176 pakeit.]

2.  Ataskaita skelbiama viešai ir perduodama Europos Parlamentui, Tarybai ir Komisijai.

68 straipsnis

Darbo tvarka

1.  Europos duomenų apsaugos valdyba priima sprendimus paprasta savo narių balsų dauguma, nebent jos darbo tvarkos taisyklėse būtų nurodyta kitaip. [177 pakeit.]

2.  Europos duomenų apsaugos valdyba priima savo darbo tvarkos taisykles ir pati nustato savo darbo tvarką. Ji visų pirma užtikrina, kad pasibaigus nario kadencijai arba jam atsistatydinus toliau būtų atliekamos pareigos, kad būtų sudaryti konkrečių klausimų arba sektorių pogrupiai ir kad būtų nustatytos su 57 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusios jos procedūros.

69 straipsnis

Pirmininkas

1.  Europos duomenų apsaugos valdyba iš savo narių renka pirmininką ir bent du jo pavaduotojus. Vieno pirmininko pavaduotojo pareigas eina Europos duomenų apsaugos priežiūros pareigūnas, išskyrus atvejus, kai jis išrinktas pirmininku. [178 pakeit.]

2.  Pirmininko ir jo pavaduotojų kadencija yra penkeri metai, ji gali būti atnaujinta.

2a.  Pirmininko pareigos einamos visą darbo dieną. [179 pakeit.]

70 straipsnis

Pirmininko užduotys

1.  Pirmininko užduotys:

a)  šaukti Europos duomenų apsaugos valdybos posėdžius ir rengti jų darbotvarkę;

b)  užtikrinti, kad Europos duomenų apsaugos valdyba laiku atliktų savo užduotis, visų pirma susijusias su 57 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu.

2.  Europos duomenų apsaugos valdyba savo darbo tvarkos taisyklėse nustato, kaip paskirstomos pirmininko ir jo pavaduotojų užduotys.

71 straipsnis

Sekretoriatas

1.  Europos duomenų apsaugos valdyba turi sekretoriatą. To sekretoriato paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno įstaiga.

2.  Sekretoriatas Europos duomenų apsaugos valdybos primininkui vadovaujant teikia jai analitinę, teisinę, administracinę ir logistinę paramą. [180 pakeit.]

3.  Sekretoriatas visų pirma atsako už:

a)  Europos duomenų apsaugos valdybos kasdienę veiklą;

b)  Europos duomenų apsaugos valdybos narių, jos primininko ir Komisijos tarpusavio ryšius, taip pat ryšius su kitomis institucijomis ir visuomene;

c)  elektroninių priemonių naudojimą vidiniams ir išoriniams ryšiams užtikrinti;

d)  reikšmingos informacijos vertimą;

e)  Europos duomenų apsaugos valdybos posėdžių rengimą ir su jais susijusią tolesnę veiklą;

f)  Europos duomenų apsaugos valdybos priimtų nuomonių ir kitų tekstų parengiamąjį darbą, jų projektų rengimą ir paskelbimą.

72 straipsnis

Konfidencialumas

1.  Prireikus Europos duomenų apsaugos valdybos diskusijos yra gali būti konfidencialios, nebent jos darbo tvarkos taisyklėse būtų numatyta kitaip. Europos duomenų apsaugos valdybos posėdžių darbotvarkės skelbiamos viešai. [181 pakeit.]

2.  Europos duomenų apsaugos valdybos nariams, ekspertams ir trečiųjų asmenų atstovams pateikti dokumentai yra konfidencialūs, išskyrus atvejus, kai galimybė su tais dokumentais susipažinti suteikta pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 1049/2001(18) arba Europos duomenų apsaugos valdyba juos viešai paskelbia kitais būdais.

3.  Europos duomenų apsaugos valdybos nariai, ekspertai ir trečiųjų asmenų atstovai privalo laikytis šiame straipsnyje nustatytų konfidencialumo pareigų. Pirmininkas užtikrina, kad ekspertai ir trečiųjų asmenų atstovai būtų informuoti apie jiems taikomus konfidencialumo reikalavimus.

VIII SKYRIUS

TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

73 straipsnis

Teisė pateikti skundą priežiūros institucijai

1.  Neapribojant galimybių imtis bet kurių kitų administracinių arba teisminių teisių gynimo priemonių ir nedarant poveikio nuoseklumo užtikrinimo mechanizmui, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad jo asmens duomenys tvarkomi nesilaikant šio reglamento.

2.  Bet kuri viešajam interesui atstovaujanti įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų asmens duomenų apsauga, ir kuri tinkamai įsteigta pagal valstybės narės teisę, turi teisę vieno ar kelių duomenų subjektų vardu pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos šiame reglamente nustatytos duomenų subjektų teisės.

3.  Net jeigu duomenų subjektas nėra pateikęs skundo, 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad buvo padarytas asmens duomenų saugumo šio reglamento pažeidimas. [182 pakeit.]

74 straipsnis

Teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją

1.  Neapribojant galimybių imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis arba juridinis asmuo turi teisę imtis teisminių teisių gynimo priemonių prieš priežiūros institucijos sprendimus dėl jų.

2.  Neapribojant galimybių imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis teisminių teisių gynimo priemonių, kad įpareigotų priežiūros instituciją imtis veiksmų dėl skundo, jeigu nepriimtas jo teisėms apsaugoti būtinas sprendimas arba jeigu priežiūros institucija per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo pažangą ar jo rezultatus pagal 52 straipsnio 1 dalies b punktą.

3.  Byla priežiūros institucijai keliama valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose.

4.  Nedarant poveikio nuoseklumo užtikrinimo mechanizmui, duomenų subjektas, dėl kurio sprendimą priėmė priežiūros institucija ne toje valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, jis gali prašyti priežiūros institucijos valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, iškelti bylą jo vardu tos kitos valstybės narės kompetentingai priežiūros institucijai.

5.  Valstybės narės vykdo šiame straipsnyje nurodytus galutinius teismų sprendimus. [183 pakeit.]

75 straipsnis

Teisė imtis teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

1.  Neribojant galimybių imtis bet kokių administracinių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai, kaip nurodyta 73 straipsnyje, kiekvienas fizinis asmuo turi teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės, nustatytos šiuo reglamentu, buvo pažeistos jo asmens duomenis tvarkant nesilaikant šio reglamento.

2.  Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas įsisteigęs, teismuose. Tokia byla taip pat gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas yra Sąjungos arba valstybės narės valdžios institucija, veikianti pagal savo viešuosius įgaliojimus. [184 pakeit.]

3.  Jeigu byla dėl tos pačios priemonės, sprendimo arba praktikos nagrinėjama pagal 58 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, teismas gali sustabdyti jame iškeltos bylos nagrinėjimą, išskyrus tuos atvejus, kai klausimą būtina skubiai išnagrinėti, kad būtų apsaugotos duomenų subjekto teisės, ir todėl negalima laukti, kol paaiškės nuoseklumo užtikrinimo mechanizmo procedūros rezultatai.

4.  Valstybės narės užtikrina šiame straipsnyje nurodytų teismų galutinių sprendimų vykdymą.

76 straipsnis

Bendros teismo proceso taisyklės

1.  Bet kuri 73 straipsnio 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę, jei yra įgaliota vieno ar kelių duomenų subjektų vardu, turi teisę naudotis 74, ir 75 ir 77 straipsniuose nurodytomis teisėmis. [185 pakeit.]

2.  Kiekviena priežiūros institucija turi teisę būti proceso šalimi ir pareikšti ieškinį teisme, siekdama užtikrinti šio reglamento nuostatų vykdymą arba nuoseklią asmens duomenų apsaugą Sąjungoje.

3.  Jeigu valstybės narės kompetentingas teismas turi pagrįstų priežasčių manyti, kad kitoje valstybėje narėje nagrinėjama ta pati byla, jis kreipiasi į kompetentingą teismą kitoje valstybėje narėje, kad išsiaiškintų, ar ta pati byla nagrinėjama.

4.  Jeigu kitoje valstybėje narėje lygiagrečiai nagrinėjama byla dėl tos pačios priemonės, sprendimo arba praktikos, teismas gali sustabdyti bylos nagrinėjimą.

5.  Valstybės narės užtikrina, kad ieškiniais teisme, kuriuos galima pareikšti pagal nacionalinę teisę, būtų sudarytos sąlygos greitai priimti priemones, įskaitant laikinąsias, kuriomis siekiama nutraukti bet kokį įtariamą pažeidimą ir užkirsti kelią tolesniam susijusių interesų pažeidimui.

77 straipsnis

Teisė reikalauti atlyginti žalą ir atsakomybė

1.  Bet kuris asmuo, patyręs žalą, įskaitant neturtinę žalą, dėl neteisėtos duomenų tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su šiuo reglamentu, turi teisę reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas atlygintų patirtą žalą. [186 pakeit.]

2.  Jeigu tvarkant duomenis dalyvauja daugiau kaip vienas duomenų valdytojas arba duomenų tvarkytojas, kiekvienas iš tų duomenų valdytojas valdytojų arba duomenų tvarkytojas tvarkytojų yra solidariai atsakingi atsakingas už visą padarytą žalą, nebent jie turėtų atitinkamą raštišką susitarimą, kuriame būtų nustatyta kiekvieno iš jų atsakomybė, kaip nurodyta 24 straipsnyje. [187 pakeit.]

3.  Duomenų valdytojas arba duomenų tvarkytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės, jeigu duomenų valdytojas arba duomenų tvarkytojas įrodo, kad nėra atsakingas už įvykį, dėl kurio patirta žala.

78 straipsnis

Sankcijos

1.  Valstybės narės nustato taisykles dėl sankcijų, taikytinų už šio reglamento nuostatų pažeidimus, ir imasi visų būtinų priemonių, kad būtų užtikrintas jų įgyvendinimas, įskaitant atvejus, kai duomenų valdytojas nesilaikė pareigos paskirti atstovą. Nustatytos sankcijos turi būti veiksmingos, proporcingos ir atgrasomos.

2.  Jeigu duomenų valdytojas paskyrė atstovą, visos sankcijos taikomos atstovui, nedarant poveikio jokioms sankcijoms, kurios gali būti skirtos duomenų valdytojui.

3.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

79 straipsnis

Administracinės sankcijos

1.  Kiekviena priežiūros institucija įgaliojama skirti administracines sankcijas pagal šį straipsnį. Priežiūros institucijos bendradarbiauja tarpusavyje pagal 46 ir 57 straipsnius, kad užtikrintų suderintas sankcijas visoje Sąjungoje.

2.  Administracinės sankcijos kiekvienu konkrečiu atveju yra veiksmingos, proporcingos ir atgrasomos. Administracinės baudos dydis nustatomas tinkamai atsižvelgiant į saugumo pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas padarytas tyčia ar dėl neatsargumo, kokia yra fizinio arba juridinio asmens atsakomybė, taip pat į to asmens ankstesnius pažeidimus, pagal 23 straipsnį įdiegtas technines ir organizacines priemones ir nustatytas procedūras ir į tai, kaip bendradarbiauta su priežiūros institucija siekiant ištaisyti pažeidimą.

2a.  Bet kuriam subjektui, kuris nesilaiko šiame reglamente išdėstytų reikalavimų, priežiūros institucija taiko bent vieną iš šių sankcijų:

a)  raštiškas įspėjimas, jeigu reglamento nesilaikyta pirmą kartą ir netyčia;

b)  reguliarūs periodiškai atliekami duomenų apsaugos auditai;

c)  bauda, kurios suma gali būti iki 100 000 000 EUR arba, įmonės atveju, iki 5 % metinės pasaulinės apyvartos (taikoma didesnė suma).

2b.  Jei duomenų valdytojas ar duomenų tvarkytojas pagal 39 straipsnį turi galiojantį „Europos duomenų apsaugos ženklą“, bauda pagal 2a dalies c punktą skiriama tik tais atvejais, kai reglamento nesilaikoma tyčia ar dėl neatsargumo.

2c.  Skiriant administracinę sankciją atsižvelgiama į šiuos veiksnius:

a)  reikalavimų nesilaikymo pobūdį, sunkumą ir trukmę;

b)  tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo,

c)  tai, kokia yra fizinio arba juridinio asmens atsakomybė, taip pat į to asmens ankstesnius pažeidimus;

d)  kartojamąjį pažeidimo pobūdį;

e)  bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

f)  konkrečias asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas,

g)  duomenų subjektų patirtos žalos, įskaitant neturtinę žalą, lygį;

h)  veiksmus, kurių ėmėsi duomenų valdytojas arba duomenų tvarkytojas, siekdamas sumažinti duomenų subjektų patirtą žalą;

i)  bet kokią finansinę naudą, kurią buvo siekiama gauti arba kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

j)  pagal šiuos straipsnius įgyvendintų techninių ir organizacinių priemonių bei procedūrų mastą:

i)  23 straipsnį „Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga“;

ii)  30 straipsnį „Duomenų tvarkymo saugumas“;

iii)  33 straipsnį „Duomenų apsaugos poveikio vertinimas“;

iv)  33a straipsnį „Duomenų apsaugos reikalavimų laikymosi apžvalga“;

v)  35 straipsnį „Duomenų apsaugos pareigūno paskyrimas“;

k)  atsisakymą bendradarbiauti arba trukdymą pagal 53 straipsnį priežiūros institucijos atliekamoms patikroms, auditams ir kontrolei;

l)  kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis.

3.  Jeigu šio reglamento nesilaikyta pirmą kartą ir netyčia, duodamas raštiškas įspėjimas ir sankcijos neskiriamos, jeigu:

a)  asmens duomenis tvarko komercinio intereso neturintis fizinis asmuo; arba

b)  įmonei arba organizacijai, kurioje yra mažiau kaip 250 darbuotojų, asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

4.  Priežiūros institucija skiria baudą, kurios suma gali būti iki 250 000 EUR, o įmonės atveju – iki 0,5 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

a)  nenustato su duomenų subjektų prašymais susijusių mechanizmų arba skubiai neatsako duomenų subjektui arba atsako netinkamu formatu pagal 12 straipsnio 1 ir 2 dalis;

b)  ima mokestį už informaciją arba atsakymus į duomenų subjektų prašymus, pažeisdamas 12 straipsnio 4 dalį.

5.  Priežiūros institucija skiria baudą, kurios suma gali būti iki 500 000 EUR, o įmonės atveju – iki 1 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

a)  duomenų subjektui nepateikia informacijos arba pateikia ne visą informaciją, arba pateikia informaciją nepakankamai skaidriai pagal 11 straipsnį, 12 straipsnio 3 dalį ir 14 straipsnį;

b)  nesuteikia duomenų subjektui galimybės susipažinti arba neištaiso asmens duomenų pagal 15 ir 16 straipsnius, arba nepateikia reikšmingos informacijos duomenų gavėjui pagal 13 straipsnį;

c)  nepaiso teisės būti pamirštam arba teisės reikalauti ištrinti duomenis arba netaiko mechanizmų, kuriais užtikrintų, kad būtų laikomasi terminų, ir nesiima visų būtinų veiksmų, kad informuotų trečiuosius asmenis, kad duomenų subjektas prašo ištrinti visas nuorodas į asmens duomenis arba jų kopijas ar dublikatus pagal 17 straipsnį;

d)  nepateikia asmens duomenų kopijos elektroniniu formatu arba trukdo duomenų subjektui persiųsti asmens duomenis į kitą programą, pažeisdamas 18 straipsnį;

e)  neapibrėžia arba nepakankamai apibrėžia atitinkamą bendrų duomenų valdytojų atsakomybę pagal 24 straipsnį;

f)  nesaugo arba nepakankamai saugo dokumentus pagal 28 straipsnį, 31 straipsnio 4 dalį ir 44 straipsnio 3 dalį;

g)  tais atvejais, kai tvarkomi specialių kategorijų duomenys, pagal 80, 82 ir 83 straipsnius nesilaiko taisyklių, susijusių su saviraiškos laisve, arba taisyklių dėl duomenų tvarkymo su darbo santykiais susijusiais tikslais, arba nesilaiko duomenų tvarkymo istoriniais, statistiniais ir mokslinių tyrimų tikslais sąlygų.

6.  Priežiūros institucija skiria baudą, kurios suma gali būti iki 1 000 000 EUR, o įmonės atveju – iki 2 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

a)  tvarko asmens duomenis neturėdamas jokio arba pakankamo teisinio pagrindo juos tvarkyti arba nesilaiko su sutikimu susijusių sąlygų pagal 6, 7 ir 8 straipsnius;

b)  tvarko specialių kategorijų duomenis, pažeisdamas 9 ir 81 straipsnius;

c)  neatsižvelgia į duomenų subjekto išreikštą nesutikimą arba nesilaiko reikalavimo pagal 19 straipsnį;

d)  nesilaiko sąlygų dėl profiliavimu pagrįstų priemonių pagal 20 straipsnį;

e)  nepriima vidaus nuostatų arba netaiko tinkamų priemonių, kuriomis užtikrinama, kad būtų laikomasi reikalavimų, ir tai įrodytų pagal 22, 23 ir 30 straipsnius;

f)  nepaskiria atstovo pagal 25 straipsnį;

g)  tvarko asmens duomenis arba nurodo juos tvarkyti, nesilaikydamas pareigų dėl duomenų tvarkymo duomenų valdytojo pavedimu pagal 26 ir 27 straipsnius;

h)  neįspėja ar nepraneša apie asmens duomenų saugumo pažeidimą, arba laiku nepraneša ar neišsamiai praneša apie duomenų saugumo pažeidimą priežiūros institucijai arba duomenų subjektui pagal 31 ir 32 straipsnius;

i)  neatlieka duomenų apsaugos poveikio vertinimo arba tvarko asmens duomenis negavęs priežiūros institucijos išankstinio leidimo arba iš anksto nesikonsultavęs su ja pagal 33 ir 34 straipsnius;

j)  nepaskiria duomenų apsaugos pareigūno arba neužtikrina sąlygų atlikti užduotis pagal 35, 36 ir 37 straipsnius;

k)  netinkamai naudoja ženklus arba žymenis, kaip apibrėžta 39 straipsnyje;

l)  perduoda duomenis arba nurodo juos perduoti į trečiąją šalį arba tarptautinei organizacijai, kai toks perdavimas neleidžiamas nei sprendimu dėl tinkamumo, nei tinkamomis apsaugos priemonėmis, nei nukrypti leidžiančiomis nuostatomis pagal 40–44 straipsnius;

m)  nesilaiko priežiūros institucijos nurodymo arba laikino ar nuolatinio draudimo tvarkyti duomenis arba duomenų srautų sustabdymo pagal 53 straipsnio 1 dalį;

n)  nesilaiko pareigų priežiūros institucijai padėti arba jai atsakyti, arba pateikti reikšmingą informaciją, arba suteikti galimybę patekti į patalpas pagal 28 straipsnio 3 dalį, 29 straipsnį, 34 straipsnio 6 dalį ir 53 straipsnio 2 dalį;

o)  nesilaiko taisyklių dėl profesinės paslapties saugojimo pagal 84 straipsnį;

7.  Komisija įgaliojama pagal Komisijai pagal 86 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus ir jais atnaujinti 4, 5 ir 6 dalyse 2a dalyje nurodytų administracinių baudų absoliučius dydžius, atsižvelgiant į 2 dalyje ir 2c dalyse nurodytus kriterijus ir veiksnius. [188 pakeit.]

IX SKYRIUS

NUOSTATOS, SUSIJUSIOS SU SPECIALIAIS DUOMENŲ TVARKYMO ATVEJAIS

80 straipsnis

Asmens duomenų tvarkymas ir saviraiškos laisvė

1.  Valstybės narės nustato II skyriuje pateiktų bendrųjų principų nuostatų, III skyriuje – duomenų subjektų teisių nuostatų, IV skyriuje – duomenų valdytojų ir duomenų tvarkytojų nuostatų, V skyriuje – asmens duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms nuostatų, VI VII skyriuje – nepriklausomų priežiūros institucijų nuostatų, VII skyriuje – bendradarbiavimo ir nuoseklumo nuostatų ir šiame skyriuje – nuostatų, susijusių su specialiais duomenų tvarkymo atvejais išimtis ir nukrypti leidžiančias nuostatas, kai asmens duomenys tvarkomi tik žurnalistiniais arba meninės ar literatūrinės raiškos tikslais to reikia, kad remiantis Europos Chartija teisė į duomenų apsaugą būtų suderinta su saviraiškos laisvę reglamentuojančiomis taisyklėmis. [189 pakeit.]

2.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priėmė pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

80a straipsnis

Galimybė susipažinti su dokumentais

1.  Valstybinės institucijos arba organizacijos turimuose dokumentuose esantys asmens duomenys šios institucijos arba organizacijos gali būti atskleisti laikantis Sąjungos arba valstybės narės teisės aktų dėl viešos prieigos prie oficialių dokumentų, kuriais yra suderinama teisė į asmens duomenų apsaugą su viešos prieigos prie oficialiųjų dokumentų principu.

2.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus. [190 pakeit.]

81 straipsnis

Asmens sveikatos duomenų tvarkymas

1.  Laikantis šio reglamento ribų ir pagal Remiantis šiame reglamente išdėstytomis taisyklėmis, ypač 9 straipsnio 2 dalies h punktą punktu, asmens sveikatos duomenų tvarkymas turi būti grindžiamas Sąjungos teisės aktais arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos, nuoseklios ir specialios priemonės duomenų subjekto teisėtiems interesams apsaugoti, ir būtinas ir pagrindinėms teisėms apsaugoti, kad duomenų tvarkymas būtų būtinas ir proporcingas, duomenų subjektas galėtų numatyti jo poveikį ir kad jis būtų atliekamas:

a)  teikiant profilaktinės ar darbo medicinos, medicininės diagnostikos, medicininės priežiūros ar gydymo paslaugas arba sveikatos priežiūros valdymui ir jeigu tokius duomenis tvarko sveikatos priežiūros specialistas, kuriam taikoma pareiga saugoti profesinę paslaptį, arba kitas asmuo, kuriam taip pat taikoma lygiavertė konfidencialumo pareiga pagal valstybės narės teisės aktus arba nacionalinių kompetentingų institucijų nustatytas taisykles;, arba

b)  dėl viešojo intereso priežasčių visuomenės sveikatos srityje, kaip antai siekiant apsisaugoti nuo rimtų tarpvalstybinių grėsmių sveikatai arba užtikrinti aukštus kokybės ir saugos standartus, be kita ko, susijusius su medicininiais produktais arba medicininiais prietaisais, ir jei duomenis tvarko konfidencialumo pareigos saistomas asmuo;, arba

c)  dėl kitų viešojo intereso priežasčių tokiose srityse, kaip socialinė apsauga, ypač siekiant užtikrinti, kad sveikatos draudimo sistemoje prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros ir teikiamos sveikatos priežiūros paslaugos būtų kokybiškos ir nereikalautų daug sąnaudų. Toks asmens duomenų, susijusių su sveikata, tvarkymas dėl viešojo intereso priežasčių neturi lemti duomenų tvarkymo kitais tikslais, nebent duomenų subjektas davė sutikimą arba pagal Sąjungos ar valstybės narės teisės aktus.

1a.  Kai 1 dalies a–c punktuose nurodytus tikslus galima pasiekti nenaudojant asmens duomenų, šie duomenys minėtiesiems tikslams nenaudojami, nebent duomenų subjektui davus sutikimą arba pagal Sąjungos ar valstybės narės teisės aktus.

1b.  Jei norint išskirtinai visuomenės sveikatos tyrimų tikslais tvarkyti medicininius duomenis būtinas duomenų subjekto sutikimas, sutikimą galima duoti vienam ar daugiau konkrečių ir panašių tyrimų. Tačiau duomenų subjektas gali bet kuriuo metu atšaukti savo sutikimą.

1c.  Sutikimo dalyvauti mokslinių tyrimų veikloje atliekant klinikinius tyrimus tikslais taikomos atitinkamos Europos Parlamento ir Tarybos direktyvos 2001/20/EB(19) nuostatos.

2.  Asmens sveikatos duomenų tvarkymui, būtinam tvarkymas, būtinas istoriniais, statistiniais arba mokslinių tyrimų tikslais, kaip antai pacientų registrai, kurie sukurti siekiant gerinti diagnozes ir atskirti panašių rūšių ligas, taip pat rengti gydymo tyrimus, leidžiamas tik duomenų subjektui sutikus, ir tokiam tvarkymui taikomos 83 straipsnyje nurodytos sąlygos ir apsaugos priemonės.

2a.  Valstybių narių teisės aktais gali būti numatytos reikalavimo gauti sutikimą 2 dalyje nurodytiems moksliniams tyrimams išimtys, taikomos moksliniams tyrimams, atitinkantiems svarbų viešąjį interesą, jeigu tų mokslinių tyrimų neįmanoma atlikti kitaip. Atitinkami duomenys paverčiami anoniminiais arba, jei to neįmanoma padaryti mokslinių tyrimų tikslais, taikant aukščiausius techninius standartus šie duomenys paverčiami pseudoniminiais duomenimis ir imamasi visų reikiamų priemonių, kad nebūtų galima iš naujo nustatyti duomenų subjektų tapatybės. Tačiau duomenų subjektas pagal 19 straipsnį turi teisę bet kuriuo metu nesutikti.

3.  Komisija įgaliojama Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus ir jais išsamiau nustatyti kitas viešojo intereso priežastis viešąjį interesą visuomenės sveikatos srityje, kaip nurodyta 1 dalies b punkte, taip pat apsaugos priemonių, taikomų asmens duomenis tvarkant 1 dalyje nurodytais tikslais, kriterijus ir reikalavimus ir svarbų viešąjį interesą mokslinių tyrimų srityje, kaip nurodyta 2a dalyje.

3a.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus. [191 pakeit.]

82 straipsnis

Duomenų tvarkymas tvarkymo su darbo santykiais susijusiais tikslais būtiniausi standartais u darbo santykiais susijusiais tikslais

1.  Laikydamosi šio reglamento ribų šiuo reglamentu nustatytų taisyklių ir atsižvelgdamos į proporcingumo principą, valstybės narės gali teisės aktais nuostatomis priimti specialias taisykles, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais, visų pirma (bet ne tik) juos samdant, jiems teikiant paraišką gauti darbo vietą įmonių grupėje, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyviniais susitarimais nustatytų pareigų vykdymą pagal nacionalinės teisės aktus ir praktiką, darbo valdymą, planavimą ir organizavimą, sveikatos priežiūrą ir saugą darbe, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat nutraukti darbo santykius. Valstybės narės gali leisti, kad kolektyvinėse sutartyse būtų sukonkretintos šiame straipsnyje išdėstytos nuostatos.

1a.  Tokių duomenų tvarkymo tikslas turi būti susijęs su priežastimi, dėl kurios jie buvo surinkti, ir likti susijęs su darbo santykiais. Draudžiama juos naudoti profiliavimui ar antriniams tikslams.

1b.  Darbuotojo sutikimas nelaikomas galiojančiu duomenų tvarkymo, atliekamo darbdavio, teisiniu pagrindu, jei sutikimas nebuvo duotas savanoriškai.

1c.  Nepažeidžiant kitų šio reglamento nuostatų, 1 dalyje nurodytos valstybių narių teisės nuostatos apima bent šiuos būtiniausius standartus:

a)  draudžiama tvarkyti darbuotojų asmens duomenis be jų žinios. Nepaisant pirmo sakinio, valstybės narės, nustatydamos duomenų ištrynimo terminus, gali įstatymiškai leisti tokią praktiką tuo atveju, kai iš faktinių pradinių duomenų, kuriuos reikia pagrįsti dokumentais, galima daryti išvadą, kad darbuotojas įvykdė su darbo santykiais susijusį nusikaltimą arba yra kaltas dėl didelio tarnybinio aplaidumo, kai reikia atlikti tyrimus siekiant išsiaiškinti įvykį ir kai tyrimų būdas ir mastas yra būtini ir proporcingi tikslui, kuriam jie skirti, pasiekti. Visada turi būti saugomas darbuotojų privatumas ir asmeninis gyvenimas. Tyrimus atlieka kompetentingos institucijos;

b)  draudžiamas atviras vaizdo elektroninis ir (arba) atviras garso elektroninis sekimas, vykdomas viešai neprieinamose įmonės patalpose, skirtose daugiausia asmeninėms darbuotojų reikmėms, ypač sanitarijos, pertraukų ir miegamosiose patalpose. Slaptai sekti draudžiama bet kokiu atveju;

c)  jei įmonės ar institucijos, kai atliekama medicininė apžiūra ir (arba) tinkamumo testai, tvarko asmens duomenis, jos prieš tai turi paaiškinti kandidatui ar darbuotojui, kam tie duomenys naudojami, ir užtikrinti, kad po to jie bus pateikti drauge su rezultatais ir, gavus prašymą, paaiškinti. Iš principo draudžiama rinkti duomenis genetinių bandymų ir tyrimų tikslais;

d)  ar ir kiek leidžiama naudotis telefonu, elektroniniu paštu, internetu ir kitomis telekomunikacijų paslaugomis asmeniniais tikslais, galima nustatyti pagal kolektyvines sutartis. Jeigu tai nėra reglamentuojama pagal kolektyvinę sutartį, darbuotojas šiuo klausimu susitaria tiesiogiai su darbdaviu. Jeigu leidžiamas asmeninis naudojimas, susikaupusius duomenis leidžiama tvarkyti visų pirma siekiant užtikrinti duomenų saugumą, tinkamą telekomunikacijų tinklų ir paslaugų veikimą ir apskaitos tikslais.

Nepaisant trečio sakinio, valstybės narės, nustačiusios duomenų ištrynimo terminus, gali įstatymiškai leisti tokią praktiką tuo atveju, kai iš faktinių pradinių duomenų, kuriuos reikia pagrįsti dokumentais, galima daryti išvadą, kad darbuotojas įvykdė su darbo santykiais susijusį nusikaltimą arba yra kaltas dėl didelio tarnybinio aplaidumo, kai reikia atlikti tyrimus siekiant išsiaiškinti įvykį ir kai tyrimų būdas ir mastas yra proporcingi tikslui. Visada turi būti saugomas darbuotojų privatumas ir asmeninis gyvenimas. Tyrimus atlieka kompetentingos institucijos;

e)  darbuotojų asmens duomenys, visų pirma neskelbtini duomenys, pvz., politinės pažiūros, priklausymas profesinėms sąjungoms ir veikla jose, jokiu būdu negali būti naudojami siekiant įtraukti darbuotojus į vadinamuosius juoduosius sąrašus, tikrinti juos ir užkirsti jiems kelią ateityje gauti darbą; Draudžiama tvarkyti, naudoti su darbo santykiais susijusiu tikslu, sudaryti ir perduoti vadinamuosius juoduosius darbuotojų sąrašus. Valstybės narės atlieka patikrinimus ir nustato atitinkamas sankcijas pagal 79 straipsnio 6 dalį, siekdamos užtikrinti veiksmingą šios dalies vykdymą.

1d.  Darbuotojų asmens duomenis galima perduoti ir atiduoti tvarkyti teisiškai savarankiškoms įmonių grupės įmonėms ir teisinių ar mokesčių konsultanto profesijų asmenims, jeigu duomenys yra svarbūs įmonės veiklai ir naudojami tikslinėms darbo ar administracinėms procedūroms atlikti ir neprieštarauja duomenų subjekto interesams ir pagrindinėms teisėms, kurias reikia apsaugoti. Jeigu darbuotojo duomenys perduodami į trečiąsias šalis ir (arba) tarptautinei organizacijai, taikomas V skyrius.

2.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį ir 1b dalis, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

3.  Komisija įgaliojama Komisijai pagal 86 straipsnį suteikiami įgaliojimai, paprašius Europos duomenų apsaugos valdybos nuomonės, priimti deleguotuosius aktus ir jais nustatyti išsamesnius apsaugos priemonių tvarkant asmens duomenis 1 dalyje nurodytais tikslais kriterijus ir reikalavimus. [192 pakeit.]

82a straipsnis

Duomenų tvarkymas su socialine apsauga susijusiais tikslais

1.  Valstybės narės, remdamosi šiuo reglamentu nustatytomis taisyklėmis, gali priimti specialias teisėkūros taisykles, kuriomis būtų konkrečiai nurodomos valdžios ir privačių institucijų ir įstaigų atliekamo asmens duomenų tvarkymo sąlygos socialinės apsaugos srityje, jei duomenys tvarkomi siekiant viešojo intereso.

2.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie tokias savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus. [193 pakeit.]

83 straipsnis

Duomenų tvarkymas istoriniais, statistiniais ir mokslinių tyrimų tikslais

1.  Laikantis šio reglamento ribų šiame reglamente išdėstytų taisyklių, asmens duomenys gali būti tvarkomi istoriniais, statistiniais ir mokslinių tyrimų tikslais tik tuo atveju, jeigu:

a)  šių tikslų negalima pasiekti kitu būdu tvarkant duomenis, iš kurių neįmanoma arba jau neįmanoma nustatyti duomenų subjekto tapatybės;

b)  duomenys, pagal kuriuos informaciją galima priskirti duomenų subjektui, kurio tapatybė yra nustatyta arba gali būti nustatyta, taikant aukščiausius techninius standartus laikomi atskirai nuo kitos informacijos, jeigu tokiu būdu galima pasiekti šiuos tikslus ir imamasi visų reikiamų priemonių, kad nebūtų galima iš naujo nustatyti duomenų subjektų tapatybės.

2.  Istorinius, statistinius ar mokslinius tyrimus atliekančios įstaigos gali paskelbti arba kitaip paviešinti asmens duomenis tik tuo atveju, jeigu:

a)  duomenų subjektas davė sutikimą pagal 7 straipsnyje nustatytas sąlygas;

b)  asmens duomenis paskelbti būtina tyrimų išvadoms pateikti arba tyrimams palengvinti, jeigu šie interesai nėra viršesni už duomenų subjekto interesus arba pagrindines teises ar laisves; arba

c)  duomenų subjektas paskelbė duomenis viešai.

3.  Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius asmens duomenų tvarkymo 1 ir 2 dalyse nurodytais tikslais kriterijus ir reikalavimus, taip pat bet kokius būtinus duomenų subjekto teisės gauti informaciją ir susipažinti su duomenimis apribojimus, ir išdėstyti šiomis aplinkybėmis duomenų subjekto teisėms taikomas sąlygas ir apsaugos priemones. [194 pakeit.]

83a straipsnis

Archyvų tarnybos atliekamas asmens duomenų tvarkymas

1.  Baigus pradinį duomenų tvarkymą, dėl kurio buvo rinkti duomenys, asmens duomenis gali tvarkyti archyvų tarnyba, kurios pagrindinė ar privaloma užduotis yra siekiant viešojo intereso rinkti, saugoti, naudoti ir platinti archyvus bei teikti apie juos informaciją, ypač siekiant įgyvendinti asmenų teises ar istoriniais, statistiniais arba mokslinių tyrimų tikslais. Šios užduotys vykdomos laikantis valstybių narių nustatytų taisyklių dėl teisės susipažinti su administraciniais arba archyviniais dokumentais, juos skelbti bei platinti ir laikantis šiame reglamente išdėstytų taisyklių, ypač susijusių su sutikimu ir teise nesutikti.

2.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus. [195 pakeit.]

84 straipsnis

Pareiga saugoti paslaptį

1.  Laikydamosi šio reglamento ribų, valstybės narės gali priimti specialias taisykles ir jomis išdėstyti 53 straipsnio 2 dalyje nustatytus priežiūros institucijų tyrimo įgaliojimus šiame reglamente išdėstytų taisyklių, valstybės narės užtikrina, kad būtų parengtos specialios taisyklės, taikomos 53 straipsnyje nustatytiems priežiūros institucijų įgaliojimams dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal nacionalinės teisės aktus arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį arba kitos lygiavertės pareigos saugoti paslaptį, jeigu tai būtina ir proporcinga, siekiant suderinti teisę į asmens duomenų apsaugą su pareiga saugoti paslaptį. Šios taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma pareiga saugoti paslaptį. [196 pakeit.]

2.  Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie taisykles, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis taisyklėmis susijusius pakeitimus.

85 straipsnis

Bažnyčių ir religinių asociacijų galiojančios duomenų apsaugos taisyklės

1.  Jeigu įsigaliojant šiam reglamentui valstybėje narėje bažnyčios ir religinės asociacijos arba bendruomenės taiko visapusiškas atitinkamas taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės gali būti toliau taikomos, jeigu jos yra suderintos su šio reglamento nuostatomis.

2.  Bažnyčios ir religinės asociacijos, taikančios visapusiškas atitinkamas taisykles pagal 1 dalį, numato įsteigia nepriklausomą priežiūros instituciją pagal šio reglamento VI skyrių gauna nuomonę dėl reikalavimų laikymosi pagal 38 straipsnį. [197 pakeit.]

85a straipsnis

Žmogaus teisių laikymasis

Šis reglamentas nekeičia pareigos gerbti pagrindines teises ir pagrindinius teisės principus, įtvirtintus ES sutarties 6 straipsnyje. [198 pakeit.]

85b straipsnis

Standartinės formos

1.  Komisija gali, atsižvelgdama į specialius įvairių sektorių ir duomenų tvarkymo atvejų ypatumus ir reikalavimus, nustatyti standartines formas:

a)  specialiems metodams įrodomam sutikimui, nurodytam 8 straipsnio 1 dalyje, gauti,

b)  12 straipsnio 2 dalyje nurodytam informavimui, įskaitant elektroninį formatą,

c)  informacijos, minimos 14 straipsnio 1–3 dalyse, teikimui,

d)  prašymui susipažinti su informacija, nurodyta 15 straipsnio 1 dalyje, įskaitant asmens duomenų pateikimą duomenų subjektui, ir leidimui susipažinti su šia informacija,

e)  dokumentams, nurodytiems 28 straipsnio 1 dalyje,

f)  pagal 31 straipsnį priežiūros institucijai teikiamiems pranešimams apie asmens duomenų saugumo pažeidimą ir 31 straipsnio 4 dalyje nurodytiems dokumentams,

g)  34 straipsnyje minimam išankstiniam konsultavimuisi ir priežiūros institucijų informavimui pagal 34 straipsnio 6 dalį.

2.  Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių.

3.  Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą. [199 pakeit.]

X SKYRIUS

DELEGUOTIEJI AKTAI IR ĮGYVENDINIMO AKTAI

86 straipsnis

Naudojimasis suteiktais įgaliojimais

1.  Komisijai suteikiami įgaliojimai priimti deleguotuosius aktus laikantis šiame straipsnyje nurodytų sąlygų.

2.  6 straipsnio 13a straipsnio 5 dalyje, 8 straipsnio 3 dalyje, 9 straipsnio 3 dalyje, 12 straipsnio 5 dalyje, 14 straipsnio 7 dalyje, 15 straipsnio 3 dalyje, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalyje, 22 straipsnio 4 dalyje, 23 straipsnio 3 dalyje, 26 straipsnio 5 dalyje, 28 straipsnio 5 dalyje, 30 straipsnio 3 dalyje, 31 straipsnio 5 dalyje, 32 straipsnio 5 dalyje, 33 straipsnio 6 dalyje, 34 straipsnio 8 dalyje, 35 straipsnio 11 dalyje, 37 straipsnio 2 dalyje, 38 straipsnio 4 dalyje, 39 straipsnio 2 dalyje, 41 straipsnio 3 dalyje, 41 straipsnio 5 dalyje, 43 straipsnio 3 dalyje, 44 straipsnio 7 dalyje, 79 straipsnio 6 7 dalyje, 81 straipsnio 3 dalyje, ir 82 straipsnio 3 dalį ir 83 straipsnio 3 dalyje nurodyti įgaliojimai Komisijai suteikiami neribotam laikotarpiui nuo šio reglamento įsigaliojimo datos. [200 pakeit.]

3.  Europos Parlamentas arba Taryba bet kuriuo metu gali atšaukti suteiktus 6 straipsnio 13a straipsnio 5 dalyje, 8 straipsnio 3 dalyje, 9 straipsnio 3 dalyje, 12 straipsnio 5 dalyje, 14 straipsnio 7 dalyje, 15 straipsnio 3 dalyje, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalyje, 22 straipsnio 4 dalyje, 23 straipsnio 3 dalyje, 26 straipsnio 5 dalyje, 28 straipsnio 5 dalyje, 30 straipsnio 3 dalyje, 31 straipsnio 5 dalyje, 32 straipsnio 5 dalyje, 33 straipsnio 6 dalyje, 34 straipsnio 8 dalyje, 35 straipsnio 11 dalyje, 37 straipsnio 2 dalyje, 39 straipsnio 2 dalyje, 41 straipsnio 3 dalyje, 41 straipsnio 5 dalyje, 43 straipsnio 3 dalyje, 44 straipsnio 7 dalyje, 79 straipsnio 6 7 dalyje, 81 straipsnio 3 dalyje, ir 82 straipsnio 3 dalį ir 83 straipsnio 3 dalyje nurodytus įgaliojimus. Sprendimu dėl atšaukimo panaikinami suteikti tame sprendime nurodyti įgaliojimai. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba jame nurodytą vėlesnę dieną. Jis neturi poveikio jau galiojantiems deleguotiesiems aktams. [201 pakeit.]

4.  Priėmusi deleguotąjį aktą, Komisija apie jį iškart vienu metu praneša Europos Parlamentui ir Tarybai.

5.  Deleguotieji aktai, priimti pagal 6 straipsnio 13a straipsnio 5 dalį, 8 straipsnio 3 dalį, 9 straipsnio 3 dalį, 12 straipsnio 5 dalį, 14 straipsnio 7 dalį, 15 straipsnio 3 dalį, 17 straipsnio 9 dalį, 20 straipsnio 6 dalį, 22 straipsnio 4 dalį, 23 straipsnio 3 dalį, 26 straipsnio 5 dalį, 28 straipsnio 5 dalį, 30 straipsnio 3 dalį, 31 straipsnio 5 dalį, 32 straipsnio 5 dalį, 33 straipsnio 6 dalį, 34 straipsnio 8 dalį, 35 straipsnio 11 dalį, 37 straipsnio 2 dalį, 38 straipsnio 4 dalį, 39 straipsnio 2 dalį, 41 straipsnio 3 dalį, 41 straipsnio 5 dalį, 43 straipsnio 3 dalį, 44 straipsnio 7 dalį, 79 straipsnio 6 7 dalį, 81 straipsnio 3 dalį, ir 82 straipsnio 3 dalį ir 83 straipsnio 3 dalį įsigalioja tik tuo atveju, jeigu per 2 šešis mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie tą aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimo arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba informuoja Komisiją, kad neprieštaraus. Europos Parlamento arba Tarybos iniciatyva tas laikotarpis pratęsiamas dviem šešiems mėnesiams. [202 pakeit.]

87 straipsnis

Komiteto procedūra

1.  Komisijai padeda komitetas. Tas komitetas − tau komitetas, kaip apibrėžta Reglamente (ES) Nr. 182/2011.

2.  Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3.  Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu. [203 pakeit.]

XI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

88 straipsnis

Direktyvos 95/46/EB panaikinimas

1.  Direktyva 95/46/EB panaikinama.

2.  Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. Nuorodos į Direktyvos 95/46/EB 29 straipsniu įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis laikomos nuorodomis į šiuo reglamentu įsteigtą Europos duomenų apsaugos valdybą.

89 straipsnis

Ryšys su Direktyva 2002/58/EB ir jos keitimas

1.  Šiuo reglamentu fiziniams arba juridiniams asmenims nenustatoma papildomų pareigų, susijusių su asmens duomenų tvarkymu teikiant Sąjungoje viešai prieinamas elektroninių ryšių paslaugas viešaisiais ryšių tinklais, jeigu jiems taikomos Direktyvoje 2002/58/EB nustatytos specialios pareigos, kuriomis siekiama to paties tikslo.

2.  Direktyvos 2002/58/EB 1 straipsnio 2 išbraukiama dalis, 4 ir 15 straipsniai išbraukiami. [204 pakeit.]

2a.   Komisija nedelsdama, vėliausiai – iki 91 straipsnio 2 dalyje nurodytos datos, pateikia pasiūlymą persvarstyti teisinę asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių paslaugų srityje sistemą, siekdama suderinti teisės aktus su šiuo reglamentu ir užtikrinti nuoseklias ir vienodas teisės nuostatas dėl pagrindinės teisės į asmens duomenų apsaugą Sąjungoje. [205 pakeit.]

89a straipsnis

Ryšys su Reglamentu (EB) Nr. 45/2001 ir jo dalinis keitimas

1.  Šiame reglamente išdėstytos taisyklės taikomos Sąjungos institucijų, įstaigų, organų ir agentūrų asmens duomenų tvarkymui srityse, kuriose netaikomos papildomos Reglamente (EB) Nr. 45/2001 išdėstytos taisyklės.

2.  Komisija vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos nedelsdama pateikia Sąjungos institucijų, įstaigų, organų ir agentūrų tvarkomiems asmens duomenims taikomos teisinės sistemos persvarstymo pasiūlymą. [206 pakeit.]

90 straipsnis

Vertinimas

Komisija reguliariai teikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitas. Pirmoji ataskaita pateikiama ne vėliau kaip po ketverių metų nuo šio reglamento įsigaliojimo. Vėlesnės ataskaitos teikiamos kas ketverius metus. Prireikus Komisija pateikia tinkamus pasiūlymus ir jais iš dalies pakeičia šį reglamentą ir suderina kitus teisės aktus, visų pirma atsižvelgdama į informacinių technologijų plėtrą ir informacinės visuomenės pažangą. Ataskaitos skelbiamos viešai.

91 straipsnis

Įsigaliojimas ir taikymas

1.  Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2.  Jis taikomas nuo ...(20).

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta

Europos Parlamento vardu Tarybos vardu

Pirmininkas Pirmininkas

Priedas13a straipsnyje nurodytos informacijos pateikimas

1)  Laikantis 6 punkte nurodytų proporcijų, informacija pateikiama tokiu būdu:

2)  Šie žodžiai 1 punkto lentelės antrame stulpelyje („ESMINĖ INFORMACIJA“) nurodytose eilutėse rašomi pusjuodžiu šriftu:

a)  žodis „nerenkama“ pirmoje antro stulpelio eilutėje;

b)  žodis „nesaugoma“ antroje antro stulpelio eilutėje;

c)  žodis „tvarkomi“ trečioje antro stulpelio eilutėje;

d)  žodis „platinami“ ketvirtoje antro stulpelio eilutėje;

e)  žodžiai „parduodami ar nuomojami“ penktoje antro stulpelio eilutėje;

f)  žodis „koduoti“ šeštoje antro stulpelio eilutėje.

3)  Laikantis 6 punkte nurodytų proporcijų, 1 punkto lentelės trečio stulpelio („ĮVYKDYTA“) nurodytos eilutės užpildomos įrašant vieną iš dviejų grafinių formų, laikantis 4 punkte nustatytų sąlygų:

a)

b)

4)  

a)  Jei nerenkama daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės pirmoje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

b)  Jei renkama daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės pirmoje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

c)  Jei nesaugoma daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės antroje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

d)  Jei saugoma daugiau asmens duomenų, nei reikia specialaus tvarkymo tikslais, 1 punkto lentelės antroje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

e)  Jei asmens duomenys netvarkomi kitais tikslais, nei surinkti, 1 punkto lentelės trečioje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

f)  Jei asmens duomenys tvarkomi kitais tikslais, nei surinkti, 1 punkto lentelės trečioje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

g)  Jei asmens duomenys neplatinami trečiosioms šalims, kurios užsiima komercine veikla, 1 punkto lentelės ketvirtoje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

h)  Jei asmens duomenys platinami trečiosioms šalims, kurios užsiima komercine veikla, 1 punkto lentelės ketvirtoje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

i)  Jei asmens duomenys neparduodami ar nenuomojami, 1 punkto lentelės penktoje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

j)  Jei asmens duomenys parduodami ar nuomojami, 1 punkto lentelės penktoje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

k)  Jei nesaugomi nekoduoti asmens duomenys, 1 punkto lentelės šeštoje trečio stulpelio eilutėje įrašoma 3a punkte nurodyta grafinė forma.

l)  Jei saugomi nekoduoti asmens duomenys, 1 punkto lentelės šeštoje trečio stulpelio eilutėje įrašoma 3b punkte nurodyta grafinė forma.

5)  1 punkto grafinių formų standartinės spalvos yra šios „Pantone“ spalvos – juoda „Black Pantone“ Nr. 7547 ir raudona „Red Pantone“ Nr. 485. 3a punkto grafinės formos standartinė spalva yra ši „Pantone“ spalva – žalia „Green Pantone“ Nr. 370. 3b punkto grafinės formos standartinė spalva yra ši „Pantone“ spalva – raudona „Red Pantone“ Nr. 485.

6)  Laikomasi šiame brėžinyje su padalomis nurodytų proporcijų net ir tuomet, kai lentelė sumažinama arba padidinama:

[207 pakeit.]

(1) OL C 229, 2012 7 31, p. 90. (2) OL C 192, 2012 6 30, p. 7. (3) 2014 m. kovo 12 d. Europos Parlamento pozicija. (4) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31). (5) 2003 m. gegužės 6 d. Komisijos rekomendacija dėl labai mažų, mažųjų ir vidutinių įmonių apibrėžimo (OL L 124, 2003 5 20, p. 36). (6) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1). (7) 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos Direktyva) (OL L 178, 2000 7 17, p. 1). (8) 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29). (9) 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70). (10) 2009 m. gegužės 6 d. Europos Parlamento ir Tarybos direktyva 2009/38/EB dėl Europos darbo tarybos steigimo arba Bendrijos mastu veikiančių įmonių ir Bendrijos mastu veikiančių įmonių grupių darbuotojų informavimo bei konsultavimosi su jais tvarkos nustatymo (OL L 122, 2009 5 16, p. 28). (11) 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13). (12) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37). (13) OL L 176, 1999 7 10, p. 36. (14) OL L 53, 2008 2 27, p. 52. (15) OL L 160, 2011 6 18, p. 21. (16) 2004 m. kovo 31 d. Europos Parlamento ir Tarybos direktyva 2004/18/EB dėl viešojo darbų, prekių ir paslaugų pirkimo sutarčių sudarymo tvarkos derinimo (OL L 134, 2004 4 30, p. 114). (17) 2004 m. kovo 31 d. Europos Parlamento ir Tarybos direktyva 2004/17/EB dėl subjektų, vykdančių veiklą vandens, energetikos, transporto ir pašto paslaugų sektoriuose, vykdomų pirkimų tvarkos derinimo (OL L 134, 2004 4 30, p. 1). (18) 2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43). (19) 2001 m. balandžio 4 d. Europos Parlamento ir Tarybos direktyva 2001/20/EB dėl valstybių narių įstatymų ir kitų teisės aktų, susijusių su geros klinikinės praktikos įgyvendinimu atliekant žmonėms skirtų vaistų klinikinius tyrimus, suderinimo (OL L 121, 2001 5 1, p. 34). (20) Dveji metai po šio reglamento įsigaliojimo dienos.