Indekss 
 Iepriekšējais 
 Nākošais 
 Pilns teksts 
Procedūra : 2012/0010(COD)
Dokumenta lietošanas cikls sēdē
Dokumenta lietošanas cikls : A7-0403/2013

Iesniegtie teksti :

A7-0403/2013

Debates :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Balsojumi :

PV 12/03/2014 - 8.12
Balsojumu skaidrojumi

Pieņemtie teksti :

P7_TA(2014)0219

Pieņemtie teksti
PDF 905kWORD 442k
Trešdiena, 2014. gada 12. marts - Strasbūra
Personas datu apstrāde noziedzīgu nodarījumu novēršanai ***I
P7_TA(2014)0219A7-0403/2013
Rezolūcija
 Konsolidētais teksts

Eiropas Parlamenta 2014. gada 12. marta normatīvā rezolūcija par priekšlikumu Eiropas Parlamenta un Padomes direktīvai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Parastā likumdošanas procedūra: pirmais lasījums)

Eiropas Parlaments,

–  ņemot vērā Komisijas priekšlikumu Parlamentam un Padomei (COM(2012)0010),

–  ņemot vērā Līguma par Eiropas Savienības darbību 294. panta 2. punktu un 16. panta 2. punktu, saskaņā ar kuriem Komisija tam ir iesniegusi priekšlikumu (C7-0024/2012),

–  ņemot vērā Līguma par Eiropas Savienības darbību 294. panta 3. punktu,

–  ņemot vērā pamatotos atzinumus, kurus saskaņā ar 2. protokolu par subsidiaritātes principa un proporcionalitātes principa piemērošanu iesniegusi Vācijas Bundesrāte un Zviedrijas Riksdāgs un kuros norādīts, ka leģislatīvā akta projekts neatbilst subsidiaritātes principam,

–  ņemot vērā Eiropas Datu aizsardzības uzraudzītāja 2012. gada 7. marta atzinumu(1),

–  ņemot vērā Eiropas Savienības Pamattiesību aģentūras 2012. gada 1. oktobra atzinumu,

–  ņemot vērā Reglamenta 55. pantu,

–  ņemot vērā Pilsoņu brīvību, tieslietu un iekšlietu komitejas ziņojumu un Juridiskās komitejas atzinumu (A7-0403/2013),

1.  pieņem pirmajā lasījumā turpmāk izklāstīto nostāju;

2.  prasa Komisijai priekšlikumu iesniegt vēlreiz, ja tā ir paredzējusi šo priekšlikumu būtiski grozīt vai aizstāt ar citu tekstu;

3.  uzdod priekšsēdētājam nosūtīt Parlamenta nostāju Padomei un Komisijai, kā arī dalībvalstu parlamentiem.

(1) OV C 192, 30.6.2012., 7. lpp.


Eiropas Parlamenta nostāja, pieņemta pirmajā lasījumā 2014. gada 12. martā, lai pieņemtu Eiropas Parlamenta un Padomes Direktīvu 2014/.../ES par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti
P7_TC1-COD(2012)0010

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Eiropas Datu aizsardzības uzraudzītāja atzinumu(1),

saskaņā ar parasto likumdošanas procedūru(2),

tā kā:

(1)  Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas 8. panta 1. punkts un Līguma par Eiropas Savienības darbību 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. Eiropas Savienības Pamattiesību hartas 8. panta 2. punkts paredz, ka šādi dati ir jāapstrādā godprātīgi, noteiktiem mērķiem un ar attiecīgās personas piekrišanu vai ar citu likumīgu pamatojumu, kas paredzēts tiesību aktos. [Gr. 1]

(2)  Personas datu apstrādes mērķis ir kalpot cilvēkam; noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no fiziskās personas valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un brīvības un jo īpaši tiesības uz personas datu aizsardzību. Tiem būtu jāpalīdz izveidot brīvības, drošības un tiesiskuma telpa.

(3)  Ātrā tehnoloģiju izaugsme un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Datu vākšanas un apmaiņas apjoms ir dramatiski pieaudzis. Tehnoloģijas ļauj kompetentajām iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus.

(4)  Tādēļ vajadzīgā un samērīgā gadījumā ir nepieciešams atvieglot datu brīvu apriti starp kompetentajām iestādēm Savienībā un datu nosūtīšanu trešām valstīm un starptautiskajām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību. Šo pārmaiņu dēļ ir nepieciešams izveidot stigru un saskaņotāku datu aizsardzības regulējumu Savienībā, ko atbalsta ar stigru izpildi. [Gr. 2]

(5)  Eiropas Parlamenta un Padomes Direktīva 95/46/(3) ir piemērojama visām personas datu apstrādes darbībām dalībvalstīs gan publiskajā, gan privātajā sektorā. Tomēr to nepiemēro personas datu apstrādei "tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti", piemēram, darbībām, kas veiktas, tiesu iestādēm un policijai sadarbojoties krimināllietās.

(6)  Padomes Pamatlēmums 2008/977/TI(4), ir piemērojams tiesu iestāžu sadarbībai krimināllietās un policijas sadarbībai. Šā pamatlēmuma piemērošanas joma būtu jāattiecina tikai uz tādu personas datu apstrādi, kurus nosūta starp dalībvalstīm vai kurus dara savstarpēji pieejamus.

(7)  Konsekventas un augsta līmeņa personas datu aizsardzības nodrošināšana personām un personas datu apmaiņas veicināšana starp dalībvalstu kompetentajām iestādēm ir būtiska, lai nodrošinātu efektīvu policijas un tiesu iestāžu sadarbību krimināllietās. Šajā nolūkā personu tiesību un brīvību aizsardzības līmenim attiecībā uz personas datu apstrādi, ko veikušas kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, ir jābūt vienādam visās dalībvalstīs. Visā Savienībā būtu jānodrošina, ka konsekventi un vienoti piemēro noteikumus par fiziskas personas pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus, turklāt nepieciešams piešķirt arī līdzvērtīgas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu dalībvalstīs. [Gr. 3]

(8)  Līguma par Eiropas Savienības darbību 16. panta 2. punktā ir noteikts, ka Eiropas Parlamentam un Padomei būtu jāparedz noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un noteikumi par viņu datu brīvu apriti. [Gr. 4]

(9)  Balstoties uz to, Eiropas Parlamenta un Padomes Regula (ES) Nr. .../2014 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) nosaka vispārīgos noteikumus, lai aizsargātu fiziskas personas attiecībā uz to personas datu apstrādi un nodrošinātu personas datu brīvu apriti Savienībā.

(10)  21. deklarācijā par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši noteikumi par personas datu aizsardzību un par to brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz Līguma par Eiropas Savienības darbību 16. pantu, šo jomu īpašo iezīmju dēļ.

(11)  Tādēļ īpašā direktīvā būtu jāņem vērā šo jomu īpašās iezīmes un jāparedz noteikumi par personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus. [Gr. 5]

(12)  Lai nodrošinātu personām vienāda līmeņa aizsardzību, izmantojot juridiski īstenojamas tiesības, visā Savienībā un novērstu atšķirības, kas traucē personas datu apmaiņu starp kompetentajām iestādēm, šai direktīvai būtu jānosaka saskaņoti noteikumi personas datu aizsardzībai un brīvai apritei policijas un tiesu iestāžu sadarbībā krimināllietās.

(13)  Šī direktīva atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot direktīvā paredzētos noteikumus.

(14)  Šajā direktīvā noteiktajai aizsardzībai saistībā ar personas datu apstrādi būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas.

(15)  Fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un neatkarīgai no izmantotajiem paņēmieniem, jo pretējā gadījumā tas radītu nopietnu likuma apiešanas risku. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs direktīvas piemērošanas jomā neietilpst datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši speciāliem kritērijiem. Šī direktīva nebūtu jāpiemēro personas datu apstrādei tādas darbības gaitā, kas ir ārpus Savienības tiesību aktu darbības jomas, jo īpaši attiecībā uz valsts drošībuvai datiem, kurus apstrādā Savienības iestādes, struktūras, biroji un aģentūras, piemēram, Eiropas Policijas birojs vai Eurojust.Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/200(5)1 un īpaši tiesību akti, kas piemērojami Savienības aģentūrām, struktūrām vai birojiem, būtu jāsaskaņo ar šo direktīvu un jāpiemēro saskaņā ar to. [Gr. 6]

(16)  Aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot, lai identificētu vai atlasītu personu. Aizsardzības principus nebūtu jāpiemēro datiem, ko sniedz anonīmi — tā, ka datu subjekts vairs nav identificējams. Šī direktīva nebūtu jāpiemēro anonīmiem datiem, proti, jebkuriem datiem, ko tieši vai netieši un atsevišķi vai kopā ar saistītiem datiem nevar sasaistīt ar fizisku personu. Ņemot vērā patlaban notiekošo pārmaiņu nozīmi saistībā ar informācijas sabiedrību un metodēm, ko izmanto, lai iegūtu, nosūtītu, apstrādātu, reģistrētu, uzglabātu vai paziņotu ar fiziskām personām saistītos atrašanās vietas datus, ko var izmantot dažādiem mērķiem, tostarp izlūkošanai vai profilu veidošanai, šai direktīvai vajadzētu būt piemērojamai šādu personas datu apstrādei. [Gr. 7]

(16a)  Jebkurai personas datu apstrādei jābūt likumīgai, godprātīgai un caurskatāmai attiecīgajām personām. Jo īpaši konkrētajiem datu apstrādes nolūkiem vajadzētu būt nepārprotamiem un likumīgiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt piemērotiem, atbilstīgiem un ierobežotiem līdz minimumam, kas nepieciešams šo datu apstrādes nolūkiem. Tas jo īpaši prasa nodrošināt, ka vāktie dati un to glabāšanas termiņš ir ierobežots līdz stingram minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams sasniegt citiem līdzekļiem. Būtu jāveic visi saprātīgi iespējami pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. Lai nodrošinātu, ka datus neglabā ilgāk, kā tas ir nepieciešams, pārzinim būtu jānosaka termiņi, kad dati jādzēš vai periodiski jāpārskata. [Gr. 8]

(17)  Personas veselības datiem īpaši būtu jāaptver visi dati, kas norāda uz datu subjekta veselības stāvokli, informācija par personas reģistrāciju ar veselību saistītu pakalpojumu saņemšanai; informāciju par maksājumiem vai tiesībām saņemt veselības aprūpi; numuru, simbolu vai zīmi, kas piešķirta personai, lai to viennozīmīgi identificētu veselības aprūpes nolūkos; jebkuru informāciju par personu, ko vāc ar veselības aprūpi saistītu pakalpojumu sniegšanas laikā; informāciju, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tai skaitā bioloģiskus paraugus; informāciju, kas identificē kādu personu kā veselības aprūpes pakalpojumu sniedzēju personai; vai citu informāciju par, piemēram, slimību, traucējumiem, slimības risku, slimības vēsturi, klīnisko aprūpi vai par aktuālo datu subjekta fizisko vai biomedicīnisko stāvokli, neatkarīgi no tās avota, piemēram, ārsta vai cita veselības aprūpes nozares pārstāvja, slimnīcas, medicīniskas ierīces vai in vitro diagnostikas testa.

(18)  Jebkurai personas datu apstrādei būtu jābūt godprātīgai un likumīgai attiecībā pret personām. Jo īpaši konkrētajiem datu apstrādes nolūkiem būtu jābūt skaidri noteiktiem. [Gr. 9]

(19)  Noziedzīgu nodarījumu novēršanai, izmeklēšanai un saukšanai pie atbildības par tiem ir nepieciešams, lai kompetentās iestādes glabā un apstrādā personas datus, kas savākti saistībā ar konkrētu noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem ārpus šā konteksta, lai iegūtu izpratni par noziedzības parādībām un tendencēm, lai iegūtu informāciju par organizētiem noziedzīgiem tīkliem un konstatētu saikni starp dažādiem atklātajiem nodarījumiem. [Gr. 10]

(20)  Personas dati nebūtu jāapstrādā tādiem nolūkiem, kas nav savienojami ar tiem nolūkiem, kuriem dati ir savākti. Personas datiem vajadzētu būt piemērotiem, atbilstīgiem un nevajadzētu būt pārmērīgiem saistībā ar nolūkiem, kuriem dati tiek apstrādāti. Būtu jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. [Gr. 11]

(20a)  Tas vien, ka divi nolūki ir saistīti ar noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi, nebūt nenozīmē, ka tie ir savstarpēji savienojami. Tomēr ir gadījumi, kad tālākai datu apstrādei neatbilstošiem nolūkiem vajadzētu būt iespējamai, ja tā ir nepieciešama, lai izpildītu uz datu pārzini attiecināmas juridiskas saistības, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, vai lai novērstu tiešus un nopietnus draudus sabiedrības drošībai. Dalībvalstīm tādēļ būtu jādod iespēja pieņemt valsts tiesību aktus, kas paredz šādas atkāpes, ciktāl tās ir patiesi nepieciešamas. Šādos valsts tiesību aktos būtu jāietver atbilstoši aizsardzības pasākumi. [Gr. 12]

(21)  Datu precizitātes princips būtu jāpiemēro, ņemot vērā attiecīgās apstrādes būtību un nolūkus. Jo īpaši tiesvedībā izteikumi, kas satur personas datus, balstās uz personu subjektīvu uztveri un dažos gadījumos tos ne vienmēr var pārbaudīt. Attiecīgi prasībai par precizitāti nebūtu jāattiecas uz izteikuma precizitāti, bet vienīgi uz to, ka ir izdarīts konkrēts izteikums.

(22)  Kompetentajām iestādēm, interpretējot un piemērojot vispārējos personas datu apstrādes principus, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, būtu jāņem vērā nozares īpatnības, tai skaitā sasniedzamie mērķi. [Gr. 13]

(23)  Personas datu apstrādei, kas tiek veikta, policijai un tiesu iestādēm sadarbojoties krimināllietās, ir raksturīgi, ka tiek apstrādi personas dati, kas attiecas uz dažādām datu subjektu kategorijām. Tāpēc ir nepieciešams, cik vien iespējams, skaidri nodalīt dažādu datu subjektu kategoriju personas datus, piemēram, aizdomās turēto, notiesāto, cietušo un trešo personu, piemēram, liecinieku, personu, kam ir attiecīga informāciju vai kontakti, un aizdomās turēto un notiesāto līdzdalībnieku personas datus. Dalībvalstīm būtu jāizstrādā konkrēti noteikumi par šādas kategoriju nošķiršanas sekām, ņemot vērā dažādos mērķus, kam dati tiek vākti, un paredzot īpašus aizsardzības pasākumus personām, kuras netiek turētas aizdomās par noziedzīga nodarījuma veikšanu vai nav notiesātas par noziedzīgu nodarījumu. [Gr. 14]

(24)  Cik vien iespējams, personas dati būtu jānošķir atkarībā no to precizitātes un uzticamības pakāpes. Fakti būtu jānošķir no personiskiem vērtējumiem, lai nodrošinātu gan personu aizsardzību, gan kompetento iestāžu rīcībā esošās informācijas kvalitāti un uzticamību.

(25)  Lai tā būtu likumīga,Lai personas datu apstrādei vajadzētu būt nepieciešamaiapstrāde būtu likumīga, tā būtu jāatļauj tikai tad, ja tā ir nepieciešama, lai izpildītu pārzinim uzliktu tiesisku pienākumu un lai izpildītu likumā noteiktu uzdevumu, ko kompetentā iestāde veic sabiedrības interesēs, vai lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, vai lai novērstu tiešus un nopietnus draudus sabiedrības drošībai pamatojoties uz Savienības vai dalībvalstu tiesību aktu, kurā būtu jāiekļauj skaidri un sīki izstrādāti noteikumi vismaz par mērķiem, personas datiem, konkrētajiem nolūkiem un līdzekļiem, par to, kā nosaka vai atļauj noteikt pārzini, ievērojamām procedūrām un to izvēles tiesību izmantošanu un tvēruma ierobežojumiem, kas piešķirtas kompetentajām iestādēm attiecībā uz apstrādes darbībām. [Gr. 15]

(25a)  Personas dati nebūtu jāapstrādā tādiem nolūkiem, kas nav savienojami ar tiem nolūkiem, kuriem dati ir savākti. Datu tālāku apstrādi nolūkam, kas atbilst šīs direktīvas darbības jomai, taču nav savienojams ar sākotnējo nolūku, kompetentajām iestādēm būtu jāatļauj veikt tikai īpašos gadījumos, ja šāda apstrāde ir nepieciešama, lai izpildītu saskaņā ar Savienības vai dalībvalsts tiesību aktu pārzinim uzliktu tiesisku pienākumu vai lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses vai novērstu tiešus un nopietnus draudus sabiedriskajai drošībai. Tas, ka datus apstrādā tiesībaizsardzības nolūkā, ne vienmēr nozīmē, ka šis nolūks ir savienojams ar sākotnējo nolūku. Savienojamas izmantošanas jēdzienu interpretē sašaurināti. [Gr. 16]

(25b)  Personas datu apstrāde, kas ir pretrunā valstu noteikumiem, kuri pieņemti saskaņā ar šo direktīvu, būtu jāpārtrauc. [Gr. 17]

(26)  Personas dati, kas pēc savas būtības ir īpaši sensitīvi un neaizsargāti saistībā ar pamattiesībām vai privātumu, ir īpaši jāaizsargā. Šādi dati nebūtu jāapstrādā, ja vien apstrādi īpaši neatļauj ar likumuapstrāde nav īpaši nepieciešama, lai sabiedrības interesēs izpildītu uzdevumu saskaņā ar Savienības vai dalībvalsts tiesību aktu,, kurā noteikti piemēroti pasākumi, lai aizsargātu datu subjekta pamattiesības un likumīgās intereses; vai apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai apstrāde attiecas uz datiem, kurus datu subjekts apzināti ir publiskojis. Sensitīvi personas dati būtu jāapstrādā tikai tad, ja tie papildina citus personas datus, kuri jau ir apstrādāti tiesībaizsardzības nolūkiem. Jebkura atkāpe no sensitīvu datu apstrādes aizlieguma būtu interpretējama sašaurināti, un ar to nevajadzētu pieļaut sensitīvu personas datu biežu, masveida un strukturālu apstrādi. [Gr. 18]

(26a)  Ģenētisko datu apstrāde būtu jāatļauj tikai tad, ja pastāv ģenētiskā saikne, kas tiek atklāta kriminālizmeklēšanas vai tiesas procesa laikā. Ģenētiskie dati būtu jāglabā tikai tik ilgi, cik obligāti nepieciešams šādai izmeklēšanai un tiesvedībai, taču dalībvalstis, ievērojot šīs direktīvas nosacījumus, var noteikt ilgāku glabāšanas termiņu. [Gr. 19]

(27)  Katrai fiziskai personai vajadzētu būt tiesībām nebūt par tāda pasākuma subjektu, kas balstās tikai uz daļēju vai pilnīgu profilēšanu ar automatizētas automatizētu apstrādi, ja tasŠāda apstrāde, kas rada negatīvas juridiskās sekas šai personai vai būtiski to ietekmē, būtu jāaizliedz, ja vien tas nav atļauts ar likumu un uz to neattiecas piemēroti pasākumi, lai nodrošinātu datu subjekta pamattiesības un likumīgās intereses, tostarp tiesības saņemt lietderīgu informāciju par profilēšanas procesā izmantoto loģiku. Šāda apstrāde nekādā gadījumā nedrīkstētu ietvert un radīt īpašas datu kategorijas un diskriminēt datu subjektus saistībā ar tām. [Gr. 20]

(28)  Lai īstenotu savas tiesības, informācijai, kura sniedzama datu subjektam, vajadzētu būt viegli pieejamai un viegli saprotamai, tai skaitā būtu jāizmanto skaidra un vienkārša valoda. Šī informācija būtu jāpielāgo datu subjekta vajadzībām, jo sevišķi, ja informācija ir īpaši paredzēta bērnam. [Gr. 21]

(29)  Būtu jāparedz kārtība, kas atvieglotu datu subjektam šajā direktīvā paredzēto tiesību izmantošanu, tai skaitā mehānismi, lai bez maksas pieprasītu piekļuvi datiem, to labošanu un dzēšanu. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un viena mēneša laikā no pieprasījuma saņemšanas. Ja personas datus apstrādā, izmantojot automatizētus līdzekļus, pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumu var izdarīt elektroniski. [Gr. 22]

(30)  Godprātīgas un pārredzamas apstrādes princips nozīmē, ka datu subjektiem vajadzētu būt informētiem jo īpaši par apstrādes darbībām un to nolūkiem, to juridisko pamatu, datu glabāšanas ilgumu, par piekļuves, labošanas vai dzēšanas tiesībām un par tiesībām iesniegt sūdzību. Turklāt datu subjektam vajadzētu būt informētam, ja tiek veikta profilēšana, kā arī par tās paredzētajām sekām. Ja datus vāc no datu subjekta, datu subjekts būtu jāinformē, vai viņam ir pienākums sniegt datus un kādas būs sekas, ja viņš šos datus nesniegs. [Gr. 23]

(31)  Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves brīdī vai, ja datus neiegūst no datu subjekta, datu reģistrēšanas brīdī vai saprātīgā termiņā pēc datu savākšanas, ņemot vērā īpašos apstākļus, kādos dati tiek apstrādāti.

(32)  Jebkurai personai vajadzētu būt tiesībām piekļūt datiem, kas par viņu savākti, un būtu jāvar viegli izmantot šīs tiesības, lai apzinātu un pārbaudītu apstrādes likumību. Tādēļ katram datu subjektam vajadzētu būt tiesībām zināt par apstrādi un saņemt paziņojumu jo īpaši par nolūkiem, kuriem dati tiek apstrādāti, tās juridisko pamatu un apstrādes laikposmu, par to, kuri saņēmēji saņems datus, tai skaitā trešās valstīs, skaidru informāciju par automatizētas apstrādes programmu loģiku un attiecīgā gadījumā par šādas apstrādes būtiskām un paredzamām sekām, kā arī par tiesībām iesniegt sūdzību uzraudzības iestādei un tās kontaktinformāciju. Datu subjektiem būtu jāvar saņemt savu apstrādāto personas datu kopiju. [Gr. 24]

(33)  Būtu jāļauj dalībvalstīm pieņemt tiesību aktus, ar kuriem atliek, vai ierobežo vai nesniedz datu subjektiem informāciju vai piekļuvi saviem personas datiem, ciktāl šāds pilnīgs vai daļējs ierobežojums, ņemot vērā skartās personas pamattiesības un likumīgās intereses, ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, lai novērstu, ka tiek traucēta oficiāla vai tiesas pārbaude, izmeklēšana vai procedūra, lai novērstu, ka tiek ietekmēta noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana, saukšana pie atbildības par tiem vai kriminālsodu izpilde, lai aizsargātu sabiedrības vai valsts drošību vai lai aizsargātu datu subjektu vai citu personu tiesības un brīvības. Veicot īpašu un atsevišķu katra gadījuma pārbaudi, pārzinim būtu jānovērtē, vai jāpiemēro piekļuves tiesību pilnīgs vai daļējs ierobežojums. [Gr. 25]

(34)  Visi atteikumi vai piekļuves ierobežojumi būtu rakstiski jāsniedz datu subjektam, iekļaujot faktiskos vai tiesiskos iemeslus, uz kuriem lēmums balstās.

(34a)  Jānodrošina visu datu subjekta tiesību ierobežojumu atbilstība Eiropas Savienības Pamattiesību hartai un Eiropas Cilvēktiesību konvencijai, kā precizēts Eiropas Savienības Tiesas un Eiropas Cilvēktiesību Tiesas judikatūrā, un jo īpaši jānodrošina tiesību un brīvību būtības ievērošana. [Gr. 26]

(35)  Ja dalībvalstis ir pieņēmušas leģislatīvus pasākumus, ar kuriem pilnībā vai daļēji ierobežo piekļuves tiesības, datu subjektam vajadzētu būt tiesībām pieprasīt, lai kompetentā uzraudzības iestāde pārbauda apstrādes likumību. Datu subjekts būtu jāinformē par šīm tiesībām. Ja piekļuvi īsteno uzraudzības iestāde datu subjekta vārdā, uzraudzības iestādei būtu jāinformē datu subjekts vismaz par to, ka visas nepieciešamās uzraudzības iestādes pārbaudes ir notikušas, un par to rezultātu attiecībā uz šis apstrādes likumību. Uzraudzības iestādei būtu arī jāinformē datu subjekts par tiesībām vērsties tiesā. [Gr. 27]

(36)  Visām personām vajadzētu būt tiesībām, lai neprecīzi vai nelikumīgi apstrādāti p personas dati, kas uz tām attiecas, tiktu laboti, un tiesībām uz datu dzēšanu, ja šādu datu apstrāde neatbilst galvenajiem principiem, kuri noteikti šajā direktīvāšīs direktīvas noteikumiem. Par šādu datu labošanu, papildināšanu vai dzēšanu būtu jāpaziņo saņēmējiem, kuriem ir atklāti šie dati un trešām personām, no kurām tika iegūti neprecīzie dati. Pārziņiem būtu arī jāatturas no turpmākas šo datu izplatīšanas.. Ja personas dati tiek apstrādāti kriminālizmeklēšanas un tiesas procesa gaitā, labojumus, tiesības uz informāciju, piekļuvi, dzēšanu un apstrādes ierobežošanu var īstenot saskaņā ar valsts tiesību aktiem par tiesvedību. [Gr. 28]

(37)  Būtu jāparedz pārziņa vispusīga atbildība par personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Pārzinim jo īpaši būtu jānodrošina un jāspēj pierādīt katras apstrādes darbībudarbības atbilstība noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu. [Gr. 29]

(38)  Datu subjektu tiesību un brīvību aizsardzībai attiecībā uz personas datu apstrādi ir nepieciešams, lai tiktu veikti pienācīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu šīs direktīvas prasību izpildi. Lai nodrošinātu, ka noteikumi, kas pieņemti, pamatojoties uz šo direktīvu, ir ievēroti, pārzinim būtu jāpieņem vadlīnijas un jāīsteno atbilstoši pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.

(39)  Datu subjekta tiesību un brīvību aizsardzība, kā arī pārziņa un apstrādātāja pienākumi un atbildība, prasa skaidri sadalīt pienākumus saskaņā ar šo direktīvu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus, nosacījumus un līdzekļus nosaka kopā ar citiem pārziņiem vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā. Datu subjektam būtu jāparedz tiesības īstenot savas tiesības saskaņā ar šo direktīvu attiecībā uz katru kopīgo pārzini un pret to. [Gr. 30]

(40)  Pārzinim vai apstrādātājam apstrādes darbības būtu jādokumentē, lai uzraudzītu direktīvas ievērošanu. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt šo dokumentāciju pieejamu, lai tā varētu kalpot apstrādes darbību uzraudzības vajadzībām.

(40a)  Visas personas datu apstrādes darbības būtu jāreģistrē, lai pārbaudītu datu apstrādes likumību, veiktu pašuzraudzību un nodrošinātu atbilstīgu datu integritāti un drošību. Pēc pieprasījuma būtu jānodrošina šāda reģistra pieejamība uzraudzības iestādei, lai nodrošinātu pārraudzības atbilstību šīs direktīvas noteikumiem. [Gr. 31]

(40b)  Ja apstrādes darbības var īpaši apdraudēt datu subjektu tiesības un brīvības savas būtības, apmēra vai nolūku dēļ, pārzinim vai apstrādātājam būtu jāveic datu aizsardzības ietekmes novērtējums, kurā jo īpaši būtu jāiekļauj paredzētie pasākumi, drošības pasākumi un mehānismi, kas nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī direktīva. Ietekmes novērtējumiem būtu jāattiecas nevis uz atsevišķiem gadījumiem, bet uz personas datu apstrādes darbību attiecīgajām sistēmām un procesiem. [Gr. 32]

(41)  Lai nodrošinātu datu subjektu tiesību un brīvību efektīvu aizsardzību ar preventīvu pasākumu palīdzību, pārzinim un apstrādātajam noteiktos gadījumos pirms apstrādes būtu jāapspriežas ar uzraudzības iestādi. Turklāt, ja datu aizsardzības ietekmes novērtējumā norādīts, ka apstrādes darbības var radīt augstas pakāpes īpašu apdraudējumu datu subjektu tiesībām un brīvībām, uzraudzības iestādei pirms darbību uzsākšanas būtu jāspēj novērst riskanto apstrādi, kas neatbilst šai direktīvai, un iesniegt priekšlikumus, kā šo situāciju uzlabot. Šādas konsultācijas var vienlīdz notikt vai nu valsts parlamenta pasākuma sagatavošanas gaitā, vai tāda pasākuma sagatavošanas gaitā, kas pamatots uz šādu leģislatīvo pasākumu, kurā noteikts apstrādes raksturs un paredzēti atbilstoši aizsardzības līdzekļi. [Gr. 33]

(41a)  Lai garantētu drošību un novērstu apstrādi, kas ir pretrunā šai direktīvai, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai. Minētajiem pasākumiem, ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, būtu jānodrošina attiecīga drošības pakāpe attiecībā uz apstrādei raksturīgajiem riskiem un aizsargājamo personas datu īpatnībām. Nosakot tehniskos standartus un organizatoriskos pasākumus, kas nodrošina apstrādes drošību, būtu jāveicina tehnoloģiskā neitralitāte. [Gr. 34]

(42)  Ja uz personas datu aizsardzības pārkāpumiem nereaģē pienācīgi un savlaicīgi, tie var attiecīgajai personai radīt būtiskus ekonomiskos zaudējumus un sociālo kaitējumu attiecīgajai personai, tai skaitā reputācijas aizskārumuidentitātes viltojumu. Tādēļ, tiklīdz pārzinis uzzina par šādu pārkāpumu, tam būtu jāpaziņo par pārkāpumu kompetentajai valsts iestādei. Personas, kuru datus vai privātumu var negatīvi ietekmēt šis pārkāpums, būtu bez kavēšanās jāinformē, lai tie varētu veikt nepieciešamos piesardzības pasākumus. Pārkāpumu būtu jāuzskata par tādu, kas var negatīvi ietekmēt datu subjekta personas datus vai privāto dzīvi, ja tā rezultātā iespējama, piemēram, identitātes zādzība vai viltošana, fizisks kaitējums, nopietns pazemojums vai reputācijas aizskārums saistībā ar personas datu apstrādi. Paziņojumā būtu jāiekļauj informācija par pasākumiem, kurus pakalpojuma sniedzējs veicis, reaģējot uz pārkāpumu, un ieteikumi attiecīgajiem abonentiem vai individuālajiem lietotājiem. Paziņošana datu subjektam būtu jāveic pēc iespējas drīzāk un ciešā sadarbībā ar uzraudzības iestādi, ievērojot tās sniegtos norādījumus. [Gr. 35]

(43)  Nosakot sīki izstrādātus noteikumus par formātu un kārtību, kādā jāpaziņo par personas datu aizsardzības pārkāpumiem, būtu pienācīgi jāņem vērā apstākļi, kādos noticis pārkāpums, tostarp tas, vai personas dati ir bijuši aizsargāti ar piemērotiem tehniskiem aizsarglīdzekļiem, ar kuru palīdzību var efektīvi ierobežot ļaunprātīgas izmantošanas iespējamību. Turklāt, izstrādājot šādus noteikumus un kārtību, būtu jāņem vērā kompetento iestāžu likumīgās intereses gadījumos, kad priekšlaicīga izpaušana varētu nevajadzīgi kavēt pārkāpuma apstākļu izmeklēšanu.

(44)  Pārzinim vai apstrādātajam būtu jānosaka persona, kura palīdzētu pārzinim vai apstrādātājam uzraudzīt un uzskatāmi parādīt to noteikumu ievērošanu, kuri pieņemti, pamatojoties uz šo direktīvu. Datu apstrādes amatpersonu var iecelt Ja vairākas kompetentās iestādes vienības kopīgikompetentās iestādes darbojas centrālās iestādes uzraudzībā, vismaz šai centrālajai iestādei būtu jāieceļ šāds datu aizsardzības inspektors. Datu aizsardzības inspektoriem ir jābūt spējīgiem veikt savus pienākumus un uzdevumus neatkarīgi un efektīvi, jo īpaši pieņemot noteikumus, lai nepieļautu interešu konfliktu ar citiem uzdevumiem, ko veic datu aizsardzības inspektors. [Gr. 36]

(45)  Dalībvalstīm būtu jānodrošina, ka nosūtīšana uz trešo valsti tiek veikta tikai, ja šāda īpaša nosūtīšana ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un pārzinis trešā valstī vai starptautiskajā organizācijā ir kompetenta publiskā iestāde šīs direktīvas izpratnē. Nosūtīšana var notikt gadījumos, kad Komisija ir nolēmusi, ka attiecīga trešā valsts vai starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni vai ir noteikti atbilstoši aizsardzības pasākamipasākumi, vai atbilstoši aizsardzības pasākumi ir nodrošināti ar juridiski saistošu instrumentu. Datus, kas nosūtīti kompetentai publiskai iestādei trešās valstīs, nedrīkstētu apstrādāt citos nolūkos, kā vien nolūkos, kuriem tie tika nosūtīti. [Gr. 37]

(45a)  Tālāka datu nosūtīšana no kompetentajām iestādēm trešās valstīs vai starptautiskām organizācijām, kurām dati tikuši nosūtīti, būtu pieļaujama tikai gadījumā, ja šāda tālāka nosūtīšana ir nepieciešama tiem pašiem nolūkiem kā sākotnējā nosūtīšana un ja nākamais saņēmējs arī ir kompetenta publiskā iestāde. Tālāka datu nosūtīšana vispārīgos tiesībaizsardzības nolūkos nebūtu pieļaujama. Kompetentajai iestādei, kas veikusi sākotnējo nosūtīšanu, būtu iepriekš jādod atļauja tālākai nosūtīšanai. [Gr. 38]

(46)  Komisija var nolemt attiecībā uz visu Savienību, ka konkrēta trešā valsts, trešās valsts teritorija vai apstrādes nozare vai starptautiska organizācija nodrošina pietiekamu datu aizsardzības līmeni, tādējādi nodrošinot tiesisko noteiktību un vienotību visā Savienībā attieksmē pret trešām valstīm vai starptautiskām organizācijām, par kurām uzskata, ka tās nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz šīm valstīm var nosūtīt un nav vajadzīgs saņemt nekādu citu atļauju.

(47)  Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai būtu jāņem vērā, kā trešā valstī ir ievērots tiesiskums, tiesu pieejamība, kā arī starptautiskās cilvēktiesību normas un standarti.

(48)  Komisija tāpat būtu jāvar atzīt, ka trešā valsts, trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni. Attiecīgi personas datu nosūtīšana uz šo trešo valsti būtu jāaizliedz, izņemot gadījumus, kad tā balstās uz starptautisku nolīgumu, atbilstošiem aizsardzības pasākumiem vai atkāpi. Būtu jāparedz noteikumi par apspriešanās procesu starp Komisiju un šādu trešo valsti vai starptautisku organizāciju. Tomēr šādam Komisijas lēmumam nebūtu jāskar iespēja veikt nosūtīšanu, balstoties uz atbilstošiem aizsardzības pasākumiem, kas paredzēti juridiski saistošos instrumentos, vai uz atkāpi, kas paredzēta direktīvā. [Gr. 39]

(49)  Nosūtīšana, kas nebalstās uz šādu lēmumu par aizsardzības līmeņa pietiekamību, būtu jāatļauj tikai gadījumā, ja juridiski saistošā instrumentā ir noteikti atbilstoši aizsardzības pasākumi, kuri nodrošina personas datu aizsardzību, vai ja pārzinis vai apstrādātājs ir izvērtējis visas datu nosūtīšanas darbības vai darbību kopuma apstākļus un, pamatojoties uz šo novērtējumu, uzskata, ka pastāv atbilstoši aizsardzības pasākumi personas datu aizsardzībai. Gadījumos, kad nepastāv iemesli, lai atļautu datu nosūtīšanu, būtu jāatļauj atkāpes, ja tās ir nepieciešamas, lai nodrošinātu datu subjekta vai citas personas īpaši svarīgas intereses vai aizsargātu datu subjekta likumīgas intereses, ja to nosaka tās dalībvalsts likums, kura nosūta personas datus, vai ja tās ir nepieciešamas, lai novērstu tiešus un nopietnus draudus sabiedrības drošībai šajā dalībvalstī vai trešā valstī, vai individuālos gadījumos – lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, vai atsevišķos gadījumos – lai pamatotu, īstenotu vai aizstāvētu tiesiskus prasījumus. [Gr. 40]

(49a)  Gadījumos, kad nav pamata atļaut datu nosūtīšanu, būtu jāatļauj atkāpes, ja tās ir nepieciešamas, lai nodrošinātu datu subjekta vai citas personas īpaši svarīgu interešu ievērošanu vai aizsargātu datu subjekta likumīgas intereses, ja to nosaka tās dalībvalsts tiesību akts, kura nosūta personas datus, vai ja tās ir nepieciešamas, lai novērstu tiešus un nopietnus draudus sabiedrības drošībai šajā dalībvalstī vai trešā valstī, vai atsevišķos gadījumos — lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, vai atsevišķos gadījumos — lai pamatotu, īstenotu vai aizstāvētu juridiskas prasības. Minētās atkāpes būtu interpretējamas sašaurināti, un ar tām nevajadzētu pieļaut personas datu biežu, masveida un strukturālu nosūtīšanu un apjomīgu nosūtīšanu, un būtu jānosūta vienīgi dati, kas stingri nepieciešami. Turklāt lēmumu par nosūtīšanu būtu jāpieņem pienācīgi pilnvarotai personai, un minētā nosūtīšana jādokumentē, un, lai pārraudzītu nosūtīšanas likumību, informācijai par šādu nosūtīšanu pēc pieprasījuma vajadzētu būt pieejamai uzraudzības iestādei. [Gr. 41]

(50)  Personas datu pārvietošanās pāri robežām var ievērojami ietekmēt personu spējas izmantot tiesības uz datu aizsardzību, lai aizsargātu sevi pret datu nelikumīgu izmantošanu vai izpaušanu. Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās robežu otrā pusē. Viņu pūliņus kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās pilnvaras prevencijas vai tiesībaizsardzības jomā un tiesisko regulējumu atšķirības. Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām veikt informācijas apmaiņu ar attiecīgajām iestādēm citās valstīs.

(51)  Uzraudzības iestāžu, kuras pilda savas funkcijas pilnīgi neatkarīgi, izveide dalībvalstīs ir būtiska sastāvdaļa personu aizsardzībā attiecībā uz personas datu apstrādi. Uzraudzības iestādēm būtu jāuzrauga noteikumu piemērošana, kuri pieņemti, pamatojoties uz šo direktīvu, un jāpalīdz nodrošināt tās konsekventu piemērošanu visā Savienībā, lai aizsargātu fiziskās personas saistībā ar to personas datu apstrādi. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas vienai ar otru un ar Komisiju. [Gr. 42]

(52)  Uzraudzības iestādei, kas dalībvalstī jau izveidota, pamatojoties uz Regulu (ES) …/2014, dalībvalsts var uzticēt arī tos pienākumus, kas jāveic valsts uzraudzības iestādei, kura ir jāizveido saskaņā ar šo direktīvu.

(53)  Būtu jāļauj dalībvalstīm izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai vai administratīvajai uzbūvei. Katrai uzraudzības iestādei būtu jāpiešķir atbilstoši finanšu un cilvēkresursi, telpas un infrastruktūra, tostarp jānodrošina tehniskās iespējas, pieredze un prasmes, kas nepieciešamas efektīvai uzdevumu izpildei, tostarp arī to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Savienībā. [Gr. 43]

(54)  Nosacījumi, lai kļūtu par uzraudzības iestādes locekli, katrā dalībvalstī būtu jānosaka ar likumu un jo īpaši būtu jānodrošina, ka šos locekļus amatā ieceļ vai nu dalībvalsts parlaments, vai valdība, pamatojoties uz apspriedēm ar Parlamentu, turklāt būtu jāiekļauj noteikumi par locekļu kvalifikāciju un statusu.[Gr. 44]p

(55)  Kaut arī šī direktīva ir piemērojama arī valsts tiesu darbībai, ja tiesa personas datus apstrādā, veicot tiesas spriešanas funkciju, šāda apstrāde nebūtu jāiekļauj uzraudzības iestādes kompetencē, lai saglabātu tiesnešu neatkarību, pildot savus uzdevumus. Tomēr šo izņēmumu būtu jāattiecina tikai uz tiesas spriešanas darbībām tiesas lietā, tas nebūtu jāattiecina uz citām darbībām, kurās tiesneši varētu būt iesaistīti saskaņā ar valsts tiesību aktiem.

(56)  Lai nodrošinātu konsekventu šīs direktīvas piemērošanas uzraudzību un izpildi visā Savienībā, uzraudzības iestādēm katrā dalībvalstī būtu jābūt vieniem un tiem pašiem uzdevumiem un efektīvām pilnvarām, ietverot efektīvas izmeklēšanas pilnvaras, pilnvaras piekļūt visiem personas datiem un jebkurai informācijai, kas nepieciešama visu uzraudzības funkciju veikšanai, pilnvaras piekļūt visām datu pārziņa vai apstrādātāja telpām, tostarp datu apstrādes ierīcēm, un juridiski saistošas iejaukšanās pilnvaras, tiesības pieņemt lēmumus un lemt par sankcijām, jo īpaši fizisku personu sūdzību gadījumos, un tiesības iesaistīties tiesvedībā. [Gr. 45]

(57)  Katrai uzraudzības iestādei būtu jābūt tiesīgai uzklausīt jebkura datu subjekta sūdzību un izmeklēt to. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, pakļaujot to tiesas kontrolei. Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības virzību un iznākumu. Ja lietā ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija.

(58)  Uzraudzības iestādēm būtu vienai otra jāatbalsta savu pienākumu veikšanā un jāsniedz savstarpēja palīdzība, lai nodrošinātu to noteikumu konsekventu piemērošanu un izpildi, kuri pieņemti, pamatojoties uz šo direktīvu. Visām uzraudzības iestādēm jābūt gatavām piedalīties kopīgās darbībās. Uzraudzības iestādei, kurai izteikts pieprasījums, būtu pienākums atbildēt uz pieprasījumu konkrētā termiņā. [Gr. 46]

(59)  Eiropas Datu aizsardzības kolēģijai, kas izveidota ar Regulu (ES) .../20122014, būtu jāpalīdz nodrošināt šīs direktīvas konsekventu piemērošanu visā Savienībā, tostarp sniedzot padomus Komisijai unSavienības iestādēm, veicinot uzraudzības iestāžu sadarbību visā Savienībā, un būtu jāsniedz atzinums Komisijai, izstrādājot deleģētos un īstenošanas aktus atbilstīgi šai direktīvai. [Gr. 47]

(60)  Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē un tiesībām uz tiesas aizsardzību, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo direktīvu ir pārkāptas vai ja uzraudzības iestāde nereaģē uz sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības.

(61)  Jebkurai struktūrai, organizācijai vai asociācijai, kuras mērķis ir datu subjektu tiesību un interešu aizsardzība attiecībā uz viņu datu aizsardzību kas darbojas sabiedrības interesēs un kas ir izveidota saskaņā ar dalībvalsts tiesību aktiem, būtu jābūt tiesībām iesniegt sūdzību vai tiesībām vērsties tiesā datu subjektu vārdā, ja tie to ir atbilstoši pilnvarojuši, vai iesniegt savu sūdzību neatkarīgi no datu subjekta sūdzības, ja tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums. [Gr. 48]

(62)  Katrai fiziskai vai juridiskai personai būtu jābūt tiesībām uz tiesas aizsardzību pret uzraudzības iestādes lēmumiem, kas tos skar. Tiesvedībai pret uzraudzības iestādi būtu jānotiek tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

(63)  Dalībvalstīm būtu jānodrošina, ka tiesa var efektīvi rīkoties un var ātri pieņemt pasākumus, kas izlīdzina vai novērš šīs direktīvas pārkāpumu.

(64)  Jebkurus zaudējumus, tostarp morālu kaitējumu, kurus persona var ciest nelikumīgas apstrādes rezultātā, būtu jākompensē pārzinim vai apstrādātājam, kuru var atbrīvot no atbildības, ja tas pierāda, ka nav atbildīgs par zaudējumiem, īpaši gadījumos, kad tas pierāda datu subjekta vainu vai force majeure gadījumā. [Gr. 49]

(65)  Būtu jāpiemēro sankcijas jebkurai fiziskai vai juridiskai personai – privāto vai publisko tiesību subjektam, kura neievēro šo direktīvu. Dalībvalstīm būtu jānodrošina, ka sankcijas ir efektīvas, samērīgas un atturošas un tām būtu jāveic visi pasākumi, lai tās īstenotu.

(65a)  Personas datu nosūtīšana citām iestādēm vai privātpersonām Savienībā ir aizliegta, izņemot, ja nosūtīšanu veic saskaņā ar likumu un saņēmējs ir reģistrēts dalībvalstī, un datu subjekta konkrētas likumīgas intereses neliedz datus pārsūtīt, un nosūtīšana ir nepieciešama īpašā gadījumā, lai pārzinis, kas nosūta datus, veiktu tam likumīgi uzliktu pienākumu vai novērstu tūlītējus un nopietnus draudus sabiedrības drošībai, vai lai novērstu privātpersonu tiesību būtisku aizskārumu. Pārzinim būtu jāinformē saņēmējs par apstrādes nolūku un uzraudzības iestāde — par nosūtīšanu. Saņēmējs būtu jāinformē arī par apstrādes ierobežojumiem, un būtu jānodrošina to ievērošana. [Gr. 50]

(66)  Lai sasniegtu šīs direktīvas mērķus, proti, aizsargātu fizisku personu pamattiesības un brīvības un, jo īpaši tiesības uz personas datu aizsardzību, un nodrošinātu brīvu apmaiņu ar personas datiem starp kompetentajām iestādēm Savienībā, Komisijai būtu jādeleģē pilnvaras pieņemt tiesību aktus saskaņā ar Līguma par Eiropas Savienības darbību 290. pantu. Deleģētie akti jo īpaši būtu jāpieņem attiecībā uz personas, lai sīkāk precizētu kritērijus un nosacījumus apstrādes darbībām, kurām nepieciešams datu aizsardzības ietekmes novērtējums; kritērijus un prasības attiecībā uz datu aizsardzības pārkāpumu paziņošanu uzraudzības iestādei.un saistībā ar pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts vai tās teritorija vai apstrādes nozare, vai starptautiska organizācija. Ir ļoti svarīgi, lai Komisija sagatavošanās darba ietvaros rīkotu atbilstošas apspriešanās, tostarp arī ekspertu līmenī. Komisijai, sagatavojot un izstrādājot deleģētos aktus, būtu jānodrošina, ka attiecīgie dokumenti vienlaicīgi, savlaicīgi un atbilstoši tiek nosūtīti Eiropas Parlamentam un Padomei. [Gr. 51]

(67)  Lai nodrošinātu vienotus šīs direktīvas īstenošanas nosacījumus, kas attiecas uz pārziņu un apstrādātāju veikto dokumentāciju, apstrādes drošību, jo īpaši attiecībā uz šifrēšanas standartiem, paziņojumiem par personas datu aizsardzības pārkāpumiem uzraudzības iestādei un pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts vai tās teritorija vai apstrādes nozare vai starptautiska organizācija, Komisijai būtu jāpiešķir īstenošanas pilnvaras. Šīs pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes 2011. gada 16. februāra Regulu (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu(6). [Gr. 52]

(68)  Pasākumu pieņemšanai, kuri attiecas uz pārziņu un apstrādātāju veikto dokumentāciju, apstrādes drošību un paziņojumiem par personas datu drošību uzraudzības iestādei un pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts vai trešās valsts teritorija vai apstrādes nozare vai starptautiska organizācija, ja šie akti ir vispārēji, būtu jāizmanto pārbaudes procedūra, ja šie akti ir vispārēji. [Gr. 53]

(69)  Komisijai būtu jāpieņem nekavējoties piemērojami īstenošanas akti, ja tas ir pamatoti nepieciešams steidzamos gadījumos attiecībā uz trešo valsti vai trešās valsts teritoriju vai apstrādes nozari vai starptautisku organizāciju, kas nenodrošina pietiekamu aizsardzības līmeni. [Gr. 54]

(70)  Ņemot vērā to, ka šīs direktīvas mērķus — proti, visās dalībvalstis aizsargāt fizisku personu pamattiesības un pamatbrīvības un jo īpaši tiesības uz viņu personas datu aizsardzību un nodrošināt, ka kompetentās iestādes Savienībā brīvi apmainās ar personas datiem, — nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, un to, ka rīcības mēroga un iedarbības dēļ šos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas ir vajadzīgi minēto mērķu sasniegšanai, Dalībvalstis var paredzēt stingrākus standartus par tiem, kas noteikti šajā direktīvā. [Gr. 55]

(71)  Ar šo direktīvu būtu jāatceļ Pamatlēmums 2008/977/TI.

(72)  Nebūtu jāskar īpaši noteikumi, kuri iekļauti Savienības aktos, kas pieņemti pirms šīs direktīvas pieņemšanas datuma, attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un kas attiecas uz personas datu apstrādi starp dalībvalstīm un dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām šīs direktīvas darbības jomā, kuras izveidotas, pamatojoties uz Līgumiem. Tā kā Pamattiesību hartas 8. pantā un LESD 16. pantā paredzēts, ka Savienībā konsekventi un vienveidīgi būtu jānodrošina pamattiesības uz personas datu aizsardzību, Komisijai divu gadu laikā pēc šīs direktīvas stāšanās spēkā būtu jānovērtē situācija attiecībā uz šīs direktīvas saistību ar aktiem, kas pieņemti pirms šīs direktīvas pieņemšanas datuma, kuri attiecas uz personas datu apstrādi starp dalībvalstīm vai noteiktu dalībvalstu iestāžu piekļuvi informācijas sistēmām, kuras izveidotas, pamatojoties uz Līgumiem, lai novērtētu nepieciešamību pielāgot šos īpašos noteikumus šai direktīvai., un jāiesniedz atbilstoši priekšlikumi, lai nodrošinātu konsekventas un saskaņotas tiesību normas par personas datu apstrādi, ko veic kompetentās iestādes, vai par dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām, kuras izveidotas, pamatojoties uz Līgumiem, kā arī par personas datu apstrādi, ko veic Savienības iestādes, struktūras, biroji un aģentūras, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus šīs direktīvas darbības jomā. [Gr. 56]

(73)  Lai nodrošinātu personas datu visaptverošu un konsekventu aizsardzību Savienībā, starptautiski nolīgumi, ko Savienība vai dalībvalstis noslēgušas pirms šīs direktīvas stāšanās spēkā, būtu jāgroza saskaņā ar šo direktīvu. [Gr. 57]

(74)  Šī direktīva neskar noteikumus par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, kas noteikti Eiropas Parlamenta un Padomes Direktīvā 2011/93/ES(7).

(75)  Saskaņā ar 6.a pantu Protokolā Nr. 21 par Apvienotās Karalistes un Īrijas nostāju saistībā ar brīvības, drošības un tiesiskuma telpu, kas pievienots Līgumam par Eiropas Savienību un Līgumam par Eiropas Savienības darbību, Apvienotai Karalistei un Īrijai nav saistoši šīs direktīvas noteikumi tad, ja Apvienotajai Karalistei un Īrijai nav saistoši noteikumi, ar ko reglamentē tiesu sadarbības veidus krimināltiesību jomā vai policijas iestāžu sadarbības veidus, sakarā ar kuriem ir jāievēro noteikumi, kas paredzēti, pamatojoties uz Līguma par Eiropas Savienības darbību 16. pantu.

(76)  Saskaņā ar 2. pantu un 2.a pantu Protokolā Nr. 22 par Dānijas nostāju, kas pievienots Līgumam par Eiropas Savienību un Līgumam par Eiropas Savienības darbību, šī direktīva Dānijai nav saistoša un nav jāpiemēro. Tā kā šī direktīva pilnveido Šengenas acquis, balstoties uz Līguma par Eiropas Savienību Trešās daļas V sadaļu, Dānija saskaņā ar minētā protokola 4. pantu sešos mēnešos pēc šīs direktīvas pieņemšanas izlemj, vai tā šo direktīvu ieviesīs savos tiesību aktos. [Gr. 58]

(77)  Attiecībā uz Islandi un Norvēģiju – saskaņā ar Nolīgumu, kas noslēgts starp Eiropas Savienības Padomi un Islandes Republiku un Norvēģijas Karalisti par šo valstu asociēšanu Šengenas acquis īstenošanā, pilnveidošanā un piemērošanā(8), šis instruments ir Šengenas acquis noteikumu pilnveidošana.

(78)  Attiecībā uz Šveici – saskaņā ar Nolīgumu starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā(9), šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(79)  Attiecībā uz Lihtenšteinu – ar Protokolu starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā(10), šī direktīva ir Šengenas acquis noteikumu pilnveidošana.

(80)  Šajā direktīvā ir ņemtas vērā pamattiesības un ievēroti principi, kas atzīti hartā, kā noteikts Līgumā, it sevišķi tiesības uz privātās un ģimenes dzīves neaizskaramību, tiesības uz personas datu aizsardzību, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu. Šo tiesību ierobežojumi ir saskaņā ar Hartas 52. panta 1. punktu, jo tie ir nepieciešami vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.

(81)  Saskaņā ar dalībvalstu un Komisijas 2011. gada 28. septembra kopīgo politisko deklarāciju par paskaidrojuma dokumentiem(11) dalībvalstis ir apņēmušās paziņojumam par transponēšanas pasākumiem, ja tas pamatoti, pievienot vienu vai vairākus dokumentus ar skaidrojumu par direktīvas komponentu attiecībām ar dalībvalstu transponēšanas instrumentu attiecīgajām daļām. Likumdevējs uzskata, ka attiecībā uz šo direktīvu šādu dokumentu nosūtīšana ir pamatota.

(82)  Šai direktīvai nevajadzētu dalībvalstīm liegt īstenot datu subjektu tiesības uz informāciju, piekļuvi datiem, datu labošanu, dzēšanu un ierobežošanu attiecībā uz personas datiem, kurus apstrādā kriminālprocesa gaitā, un to iespējamus šo tiesību ierobežojumus valsts noteikumos par kriminālprocesu.

IR PIEŅĒMUŠI ŠO DIREKTĪVU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Priekšmets un mērķi

1.  Šajā direktīvā ir paredzēti noteikumi par personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai un izpildītu kriminālsodus, kā arī šādu personas datu brīvas aprites nosacījumi.

2.  Saskaņā ar šo direktīvu dalībvalstis:

a)  aizsargā fizisku personu pamattiesības un brīvības un jo īpaši tiesības uz viņu personas datu aizsardzību un privātumu; un

b)  nodrošina, ka personas datu brīva aprite starp kompetentajām iestādēm Savienībā nav ierobežota vai aizliegta, pamatojoties uz iemesliem, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.

2.a  Šī direktīva neliedz dalībvalstīm paredzēt stingrākus aizsardzības pasākumus par tiem, kas paredzēti šajā direktīvā. [Gr. 59]

2. pants

Piemērošanas joma

1.  Šo direktīvu piemēro personas datu apstrādei, ko veic kompetentās iestādes 1. panta 1. punktā minētajiem nolūkiem.

2.  Šo direktīvu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

3.  Šī direktīva neattiecas uz personas datu apstrādi:

a)  veicot darbību, kas neietilpst Savienības tiesību piemērošanas jomā, jo īpaši saistībā ar valsts drošību;

b)  ko veic Savienības iestādēs, struktūrās, birojos un aģentūrās. [Gr. 60]

3. pants

Definīcijas

Šajā direktīvā:

1)  "datu subjekts" ir identificēta fiziska persona vai fiziska persona, ko tieši vai netieši var identificēt, izmantojot līdzekļus, ko pārzinis vai jebkura cita fiziska vai juridiska persona varētu pamatoti izmantot, jo īpaši atsaucoties uz identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem šai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, saimnieciskās, kultūras vai sociālās identitātes faktoriem;

2)  "personas dati" ir jebkāda jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu („datu subjekts”); identificējama persona ir persona, kuru var tieši vai netieši identificēt, īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārds un uzvārds, identifikācijas numurs, atrašanās vieta, unikālais identifikators vai viens vai vairāki šai personai raksturīgi fiziskās, fizioloģiskās, ģenētiskās, garīgās, saimnieciskās, kultūras, sociālās vai dzimuma identitātes faktori;

2a)  „pseidonimizēti dati” ir personas dati, kurus nav iespējams saistīt ar konkrētu datu subjektu, neizmantojot papildu informāciju, kamēr šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu datu nesaistīšanu ar konkrētu subjektu;

3)  "apstrāde" ir jebkura ar personas datiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana – izmantojot nosūtīšanu, izplatīšanu vai, citādi darot pieejamus, – saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3a)   “profilēšana” ir jebkāda automatizēta personas datu apstrāde, kas paredzēta, lai izvērtētu konkrētus ar šo fizisko personu saistītus personiskus aspektus vai lai analizētu vai prognozētu jo īpaši fiziskās personas sniegumu darbā, ekonomisko situāciju, atrašanās vietu, veselību, personīgās vēlmes, uzticamību vai uzvedību;

4)  "apstrādes ierobežošana" ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

5)  "kartotēka" ir jebkurš sakārtots personas datu kopums, kurā šie dati ir pieejami saskaņā ar īpašiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

6)  "pārzinis" ir kompetentā publiskā iestāde, kas viena vai kopā ar citiem nosaka personas datu apstrādes nolūkus, nosacījumus un līdzekļus; ja apstrādes nolūkus, nosacījumus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktu, pārzini vai viņa iecelšanas konkrētos kritērijus var noteikt Savienības vai dalībvalsts tiesību akti;

7)  "apstrādātājs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura pārziņa vārdā apstrādā personas datus;

8)  "saņēmējs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kurai tiek izpausti personas dati;

9)  "personas datu aizsardzības pārkāpums" ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

10)  "ģenētiskie dati" ir visi dati, neatkarīgi no datu veida, par fiziskas personas pazīmēm, kas mantotas vai iegūtas agrīnas pirmsnatālās attīstības gaitā;

11)  "biometriskie dati" ir visi dati saistībā ar personas fiziskajām, psiholoģiskajām vai uzvedības pazīmēm, kas ļauj veikt unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

12)  "veselības dati" ir visa veida informācija visi personas dati saistībā ar personas fizisko vai garīgo veselību vai veselības aprūpes pakalpojumu sniegšanu personai;

13)  "bērns" ir persona, kas nav sasniegusi 18 gadu vecumu;

14)  "kompetentās iestādes" ir visas publiskās iestādes, kuru kompetencē ir noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana, saukšana pie atbildības par tiem vai kriminālsodu izpilde;

15)  "uzraudzības iestāde" ir valsts iestāde, ko dalībvalsts izveidojusi saskaņā ar 39. pantu. [Gr. 61]

II NODAĻA

PRINCIPI

4. pants

Personas datu apstrādes principi

Dalībvalstis paredz, ka personas datiem jābūt:

a)  godprātīgi unapstrādātiem likumīgi apstrādātiem, taisnīgi un pārredzamā un pārbaudāmā veidā attiecībā uz datu subjektu;

b)  vāktiem konkrētiem, skaidriem un likumīgiem nolūkiem, un tos nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā;

c)  adekvātiem, atbilstīgiem un ne pārlieku apjomīgiem, ņemot vērā nolūkus, kādosun jāaprobežojas ar minimumu, kas nepieciešams nolūkiem, kādiem tos apstrādā tos apstrādā tikai tad un tikai tik ilgi, kamēr apstrādes nolūkus nav iespējams sasniegt, apstrādājot informāciju, kas neietver personas datus;;

d)  precīziem un vajadzības gadījumā tie jāatjaunina atjauninātiem; jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiek dzēsti vai laboti;

e)  saglabātiem veidā, kas pieļauj datu subjektu identifikāciju ne ilgāk, kā tas nepieciešams nolūkiem, kuriem personas datus apstrādā;

f)  un personas datus apstrādāt ir pārziņa pienākums un atbildība, kurš nodrošina un spēj pierādīt atbilstību noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu;

fa)  apstrādātiem tā, lai efektīvi ļautu datu subjektam īstenot tiesības, kas izklāstītas 10. līdz 17. pantā;

fb)  apstrādātiem veidā, kas aizsargā pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos līdzekļus;

fc)   tikai kompetento iestāžu tādu pienācīgi pilnvarotu darbinieku apstrādātiem, kuriem tie vajadzīgi darba pienākumu veikšanai. [Gr. 62]

4.a pants

Piekļuve datiem, kas sākotnēji apstrādāti nolūkā, kas nav minēts 1. panta 1. punktā

1.  Dalībvalstis paredz, ka kompetentās iestādes var piekļūt personas datiem, kas sākotnēji apstrādāti nolūkā, kas nav minēts 1. panta 1. punktā, tikai tādā gadījumā, ja tām piešķirtas īpašas pilnvaras ar Savienības vai dalībvalstu tiesību aktiem, kuriem jāatbilst 7. panta 1.a punktā noteiktajām prasībām un jānosaka, ka:

a)  piekļuvi atļauj tikai kompetento iestāžu pienācīgi pilnvarotiem darbiniekiem, veicot savus uzdevumus, ja konkrētajā gadījumā ir pietiekams pamats uzskatīt, ka personas datu apstrāde būtiski veicinās noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, vai kriminālsodu izpildi;

b)  piekļuves pieprasījumu jāsagatavo rakstveidā un jānorāda tā juridiskais pamats;

c)  rakstveida pieprasījums jādokumentē; un

d)  tiek īstenoti atbilstīgi aizsardzības pasākumi, lai nodrošinātu pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Šie aizsardzības pasākumi neskar, bet papildina īpašos nosacījumus par piekļuvi personas datiem, piemēram, nosacījumus par tiesas atļauju saskaņā ar dalībvalstu tiesību aktiem.

2.  Personas datiem, kas ir privātpersonu vai citu valsts iestāžu īpašumā, var piekļūt tikai, lai izmeklētu noziedzīgus nodarījumus vai sodītu par to izdarīšanu atbilstoši vajadzībai un proporcionalitātes prasībām, kas jānosaka Savienības vai dalībvalsts tiesību aktos, pilnībā ievērojot 7.a pantu. [Gr. 63]

4.b pants

Datu uzglabāšanas un pārskatīšanas termiņi

1.  Dalībvalstis paredz, ka saskaņā ar šo direktīvu apstrādātos personas datus kompetentās iestādes dzēš, ja tie vairs nav nepieciešami datu apstrādes nolūkiem.

2.  Dalībvalstis paredz, ka kompetentās iestādes ievieš mehānismus, lai nodrošinātu, ka saskaņā ar 4. pantu tiek noteikti termiņi personas datu dzēšanai un datu uzglabāšanas nepieciešamības periodiskai pārskatīšanai, tostarp uzglabāšanas termiņi dažādām personas datu kategorijām. Tiek noteikti procesuāli pasākumi, lai nodrošinātu minēto termiņu vai periodiskās pārskatīšanas intervālu ievērošanu. [Gr. 64]

5. pants

DažāduDažādas datu subjektu kategoriju nošķiršanakategorijas

1.  Dalībvalstis nodrošina, ka, cik iespējams,1. panta 1. punktā minētajiem nolūkiem kompetentās iestādes var apstrādāt tikai šādu datu subjektu kategoriju personas datus un pārzinis skaidri nošķir dažādu datu subjektu kategoriju personas datus, piemēramšādas kategorijas:

a)  personas, attiecībā uz kurām pastāv nopietns pamats ticētpamatots iemesls uzskatīt, ka tās ir izdarījušas vai drīzumā izdarīs noziedzīgu nodarījumu;

b)  personas, kas ir notiesātas par noziedzīgu nodarījumunozieguma izdarīšanu;

c)  noziedzīgā nodarījumā cietušas personas vai personas, attiecībā uz kurām noteikti fakti liek ticēt, ka viņš vai viņa varētu būt noziedzīgā nodarījumā cietušais; un

d)  trešās personas saistībā ar noziedzīgu nodarījumu, piemēram, personas, kuras varētu aicināt sniegt liecības saistībā ar noziedzīgiem nodarījumiem pēcāk notiekošā kriminālprocesā, vai personas, kuras var sniegt informāciju par noziedzīgiem nodarījumiem, vai kontaktpersona vai līdzdalībnieks kādai no a) un b) apakšpunktā minētajām personām; un

e)  personas, kuras neietilpst nevienā no iepriekš minētajām kategorijām.

2.  To datu subjektu personas datus, kas nav minēti 1. punktā, var apstrādāt tikai tādā gadījumā, ja:

a)  tas ir nepieciešams konkrēta noziedzīga nodarījuma izmeklēšanā vai saukšanā pie atbildības par to, lai novērtētu datu saistību ar kādu no 1. punktā minētajām kategorijām; vai

b)  šāda apstrāde ir vajadzīga konkrētiem, preventīviem nolūkiem vai noziegumu analīzes nolūkiem, ja un ciktāl šie nolūki ir likumīgi, skaidri noteikti un konkrēti un ja apstrādi veic tikai tādēļ, lai novērtētu datu saistību ar kādu no 1. punktā minētajām kategorijām. Šos nolūkus regulāri pārskata vismaz reizi sešos mēnešos. Aizliegts datus izmantot jebkādā citā veidā.

3.  Dalībvalstis nodrošina, ka to personas datu tālākai apstrādei, kas attiecas uz 1. punkta c) un d) apakšpunktā minētajiem datu subjektiem, ir piemērojami papildu ierobežojumi un aizsardzības pasākumi saskaņā ar dalībvalsts tiesību aktiem. [Gr. 65]

6. pants

Personas datu precizitātes un uzticamības pakāpes

1.  Dalībvalstis nodrošinaparedz, ka, cik iespējams, dažādāstiek nodrošināta apstrādāto personas datu kategorijas, tiek nošķirtas atkarībā no to precizitātes un uzticamības pakāpesprecizitāte un ticamība.

2.  Dalībvalstis nodrošina, ka, cik iespējams, personas dati, kas balstās uz faktiem, tiek nošķirti no personas datiem, kas balstās uz personiskiem vērtējumiem, saskaņā ar to precizitātes un ticamības pakāpi.

2.a  Dalībvalstis nodrošina, ka personas datus, kas ir neprecīzi, nepilnīgi vai vairs nav aktuāli, nenosūta vai nedara pieejamus. Tādēļ kompetentās iestādes pirms personas datu pārsūtīšanas vai atklāšanas novērtē personas datu kvalitāti. Veicot datu nosūtīšanu, ja iespējams, vienmēr pievieno informāciju, kas ļauj datu saņēmējai dalībvalstij izvērtēt datu precizitātes, pilnības, aktualitātes un ticamības pakāpi. Personas datus, īpaši tādus datus, kas sākotnēji ir bijuši privātpersonu īpašumā, nenosūta bez kompetentas iestādes pieprasījuma.

2.b  Ja konstatē, ka ir pārsūtīti nepareizi dati vai dati ir pārsūtīti nelikumīgi, par to nekavējoties jāinformē datu saņēmējs. Datu saņēmējs šos datus nekavējoties labo saskaņā ar 1. punktu un 15. pantu vai tos dzēš saskaņā ar 16. pantu. [Gr. 66]

7. pants

Apstrādes likumīgums

1.   Dalībvalstis nodrošina, ka personas datu apstrāde ir likumīga tikai, ja un ciktāl šī apstrāde pamatojoties uz Savienības vai dalībvalstu tiesību aktiem, nolūkiem, kas minēti 1. panta 1. punktā un tā ir nepieciešama:

a)  uzdevuma izpildei, ko veic kompetentā iestāde, pamatojoties uz likumu, nolūkiem, kas minēti 1. panta 1. punktā; vai

b)  lai izpildītu uz personas datu pārzini attiecināmas juridiskas saistības; vai

c)  lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai

d)   lai novērstu tūlītējus un nopietnus draudus sabiedrības drošībai.

1.a  Savienības vai dalībvalstu tiesību aktos, ar ko regulē personas datu apstrādi šīs direktīvas darbības jomā, iekļauj skaidrus un sīki izstrādātus noteikumus, kuros nosaka vismaz:

a)  apstrādes mērķus;

b)  apstrādājamos personas datus;

c)  apstrādes īpašos nolūkus un līdzekļus;

d)  datu pārziņa iecelšanas kārtību vai īpašus kritērijus datu pārziņa iecelšanai;

e)  kompetento iestāžu darbinieku kategorijas, kas pienācīgi pilnvarotas apstrādāt personas datus;

f)  procedūru, kas ir jāievēro apstrādes nolūkos;

g)  iegūto personas datu iespējamos izmantošanas veidus;

h)  jebkuru izvēles tiesību, kas piešķirtas kompetentajām iestādēm attiecībā uz apstrādes darbībām, tvēruma ierobežojumus. [Gr. 67]

7.a pants

Tālāka apstrāde neatbilstošiem nolūkiem

1.  Dalībvalstis nodrošina, ka personas datu tālāku apstrādi citam 1. panta 1. punktā minētam nolūkam, kas neatbilst nolūkiem, kuriem dati sākotnēji vākti, var veikt tikai, ja un ciktāl:.

a)  apstrāde ir pilnīgi nepieciešama un samērīga demokrātiskā sabiedrībā un ja tā pieprasīta Savienības vai dalībvalstu tiesību aktos likumīgam, skaidri definētam un konkrētam nolūkam;

b)  apstrādes laiks ir stingri ierobežots, nepārsniedzot konkrētai datu apstrādes darbībai vajadzīgo laiku;

c)  datu tālāka izmantošana citiem nolūkiem ir aizliegta.

Pirms apstrādes dalībvalsts apspriežas ar kompetento valsts uzraudzības iestādi un veic datu aizsardzības ietekmes novērtējumu.

2.  Papildus 7. panta 1.a punktā noteiktajām prasībām dalībvalsts tiesību aktos, ar ko atļauj tālāku apstrādi saskaņā ar 1. punktu, iekļauj skaidrus un sīki izstrādātus noteikumus, ar ko paredz vismaz:

a)  konkrētās apstrādes darbības īpašos nolūkus un līdzekļus;

b)  prasību, ka piekļuvi atļauj tikai kompetento iestāžu pienācīgi pilnvarotiem darbiniekiem tiem uzticēto uzdevumu veikšanai, ja konkrētajā gadījumā ir pietiekams pamats uzskatīt, ka personas datu apstrāde būtiski veicina noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi; un

c)  atbilstīgu aizsardzības pasākumu izveidi, lai nodrošinātu pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi.

Dalībvalstis var pieprasīt, ka attiecībā uz piekļuvi personas datiem piemēro papildu nosacījumus, piemēram, par tiesas atļauju, saskaņā ar to tiesību aktiem.

3.  Dalībvalstis var atļaut turpmāku personas datu apstrādi arī vēsturiskiem, statistiskiem vai zinātniskiem nolūkiem ar nosacījumu, ka tās izveido atbilstīgus aizsardzības pasākumus, piemēram, padara datus anonīmus. [Gr. 68]

8. pants

Īpašu kategoriju personas datu apstrāde

1.  Dalībvalstis aizliedz tādu personas datu apstrādi, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģijureliģisko piederību vai filozofisko pārliecību, seksuālo orientāciju vai dzimumidentitāti, dalību un darbību arodbiedrībās, ģenētiskos un biometrisko datus, kā arī uzar veselību vai seksuālo dzīvi attiecināmusaistītu datu apstrādi.

2.  Šā panta 1. punktu nepiemēro, ja:

a)  apstrāde ir atļauta likumā, kas paredz pienācīgus drošības pasākumuspilnīgi nepieciešama un samērīga, lai kompetentās iestādes 1. panta 1. punktā minētajos nolūkos veiktu uzdevumus, pamatojoties uz Savienības vai dalībvalstu tiesību aktiem, kuros paredzēti īpaši un piemēroti pasākumi, lai aizsargātu datu subjekta likumīgas intereses, tostarp īpašas tiesas atļaujas saņemšana, ja tas pieprasīts dalībvalstu tiesību aktos; vai

b)  apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai

c)  apstrāde attiecas uz datiem, kurus datu subjekts acīmredzami ir publiskojis, ja vien tie ir atbilstīgi un pilnīgi nepieciešami konkrētā gadījuma nolūkam. [Gr. 69]

8.a pants

Ģenētisko datu apstrāde kriminālizmeklēšanas vai tiesvedības nolūkā

1.  Dalībvalstis nodrošina, ka ģenētiskos datus var izmantot tikai, lai noteiktu ģenētisko saikni nolūkā sniegt pierādījumus, novērst draudus sabiedrības drošībai vai novērst konkrēta noziedzīga nodarījuma izdarīšanu. Ģenētiskos datus nedrīkst izmantot, lai noteiktu citas raksturīgās pazīmes, kas var būt ģenētiski saistītas.

2.  Dalībvalstis nodrošina, ka ģenētiskos datus vai informāciju, kas iegūta to analīzes gaitā, var glabāt tikai tik ilgi, cik nepieciešams datu apstrādes nolūkiem, un, ja attiecīgā persona notiesāta par smagu noziedzīgu nodarījumu par personas dzīvību, integritāti vai drošību, ievēro stingrus glabāšanas termiņus, ko nosaka ar dalībvalstu tiesību aktiem.

3.  Dalībvalstis nodrošina, ka ģenētisko datu vai informācijas, kas iegūta to analīzes gaitā, glabāšanas termiņi ir garāki tikai tādā gadījumā, ja ģenētiskos datus nevar saistīt ar personu, jo īpaši, ja ģenētiskie dati iegūti no materiāla nozieguma vietā. [Gr. 70]

9. pants

Pasākumi, kas balstās uz profilēšanu un automatizētu apstrādi

1.  Dalībvalsts nosaka, ka pasākumi, kuri izraisa nelabvēlīgas tiesiskas sekas datu subjektam vai būtiski to ietekmē un kuru pamatā ir tikai daļēji vai pilnībā automatizēta datu apstrāde, kas paredzēta, lai izvērtētu konkrētus ar šo datu subjektu saistītus personiskus aspektus, ir aizliegti, ja vien tie nav atļauti ar likumu, kurā paredzēti arī pasākumi, lai aizsargātu datu subjekta likumīgās intereses.

2.  Personas datu automatizētu apstrādi, kas paredzēta, lai izvērtētu konkrētus ar šo datu subjektu saistītus personiskus aspektus, nebalsta tikai uz īpašu kategoriju personas datiem, kas minēti 8. pantā.

2.a  Personas datu automatizēta apstrāde, kas paredzēta, lai identificētu datu subjektu bez sākotnējām aizdomām, ka datu subjekts varētu būt izdarījis vai izdarīs noziedzīgu nodarījumu, ir likumīga tikai tad, ja un ciktāl tā ir noteikti nepieciešama, lai izmeklētu smagu noziedzīgu nodarījumu vai novērstu skaidru, tiešu un uz faktiskām norādēm balstītu apdraudējumu sabiedrības drošībai, valsts eksistencei vai cilvēku dzīvībai.

2.b  Profilēšana, kuras ietekmē persona tiek tīši vai netīši diskriminēta rases vai etniskās piederības, politisko uzskatu, reliģijas vai pārliecības, dalības arodbiedrībā, dzimuma vai seksuālās orientācijas dēļ vai no kuras izrietošie pasākumi tīši vai netīši rada šādu diskrimināciju, ir aizliegta jebkurā gadījumā. [Gr. 71]

9.a pants

Datu subjektu tiesību pamatprincipi.

1.  Dalībvalstis nodrošina, ka datu aizsardzības pamatā ir skaidras un nepārprotamas datu subjekta tiesības, ko ievēro datu pārzinis. Šīs direktīvas noteikumu mērķis ir stiprināt, precizēt, garantēt un vajadzības gadījumā kodificēt šīs tiesības.

2.  Dalībvalstis nodrošina, ka šīs tiesības cita starpā ietver skaidras un viegli saprotamas informācijas sniegšanu par viņa personas datu apstrādi, tiesības uz piekļuvi datiem un to labošanu un dzēšanu, tiesības iegūt datus, tiesības iesniegt sūdzību kompetentajā datu aizsardzības iestādē un uzsākt tiesvedību, kā arī tiesības uz kompensāciju un tādu zaudējumu segšanu, kas radušies no nelikumīgām apstrādes darbībām. Pamatā šo tiesību īstenošanai ir jābūt bez maksas. Pārzinis atbild uz datu subjekta pieprasījumiem saprātīgā laikposmā. [Gr. 72]

III NODAĻA

DATU SUBJEKTA TIESĪBAS

10. pants

Datu subjekta tiesību izmantošanas kārtība

1.  Dalībvalstis nodrošina, ka pārzinis veic visus saprātīgos pasākumus, lai izveidotu ievēro kodolīgas, caurskatāmas, skaidras un viegli pieejamas personas datu apstrādes un datu subjektu tiesību izmantošanas vadlīnijas.

2.  Dalībvalstis nodrošina, ka pārzinis visu informāciju un paziņojumus datu subjektam saistībā ar personas datu apstrādi sniedz saprotamā veidā, izmantojot skaidru un vienkāršu valodu, jo īpaši, ja informācija ir paredzēta tieši bērnam.

3.  Dalībvalstis nodrošina, ka pārzinis veic visus saprātīgos pasākumus, lai izveidotu ievieš procedūras 11. pantā minētās informācijas sniegšanai un 12. - 17. pantā minētominēta datu subjekta tiesību izmantošanai. Ja personas datus apstrādā automatizētiem līdzekļiem, pārzinis nodrošina līdzekļus, ar kuriem pieprasījumu var izdarīt elektroniski.

4.  Dalībvalstis nodrošina, ka pārzinis bez nepamatotas kavēšanās — katrā ziņā ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas — informē datu subjektu par darbībām, kas veiktas saistībā ar viņa pieprasījumu. Informāciju sniedz rakstveidā. Ja datu subjekts iesniedz pieprasījumu elektroniski, informāciju sniedz elektroniski.

5.  Dalībvalstis nodrošina, ka informācija un darbības, ko pārzinis veic pēc 3. un 4. punktā minētā pieprasījuma saņemšanas, ir bez maksas. Ja pieprasījumi ir kaitnieciski acīmredzami pārmērīgi, jo īpaši to regulāras atkārtošanās, lieluma vai apmēra dēļ, pārzinis var pieprasīt samērīgu samaksu, ņemot vērā administratīvās izmaksas par informācijas sniegšanu vai pieprasītās darbības veikšanu, vai arī pārzinis var neveikt pieprasīto darbību. Šādā gadījumā pārzinim ir pienākums pierādīt, ka pieprasījums ir kaitniecisks acīmredzami pārmērīgs.

5.a  Dalībvalstis var noteikt, ka datu subjekts savas tiesības attiecībā pret pārzini drīkst īstenot tieši vai ar valsts kompetentās uzraudzības iestādes starpniecību. Ja uzraudzības iestāde ir rīkojusies pēc datu subjekta pieprasījuma, šī iestāde informē datu subjektu par veiktajām pārbaudēm. [Gr. 73]

11. pants

Datu subjekta informēšana

1.  Ja tiek vākti datu subjekta personas dati, dalībvalstis nodrošina, ka pārzinis veic piemērotus pasākumus, lai sniegtusniedz datu subjektam vismaz šādu informāciju:

a)  pārziņa un datu aizsardzības inspektora identitāte un kontaktinformācija;

b)  apstrādes juridiskais pamats un nolūki, kam paredzēti personas dati;

c)  termiņš, cik ilgi personas dati tiks glabāti;

d)  tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu, dzēšanu vai personas datu apstrādes ierobežošanu;

e)  tiesības iesniegt sūdzību 39. pantā minētajai uzraudzības iestādei un tās kontaktinformāciju;

f)  personas datu saņēmēji vai datu saņēmēju kategorijas, tai skaitā trešajās valstīs vai starptautiskās organizācijās, un informācija par to, kurš ir pilnvarots piekļūt šiem datiem saskaņā ar šīs trešās valsts vai starptautiskās organizācijas noteikumiem, Komisijas lēmuma par aizsardzības līmeņa pietiekamību esamība vai neesamība, vai 35. pantā vai 36. pantā minētās nosūtīšanas gadījumā – veids, kā saņemt šajā nosūtīšanā izmantoto atbilstīgo aizsardzības pasākumu kopiju;

fa)  ja pārzinis personas datus apstrādā tā, kā minēts 9. panta 1. punktā, informācija par to, ka apstrāde tiek veikta tādam pasākumam, kāds minēts 9. panta 1. punktā, un šādas apstrādes paredzamā ietekme uz datu subjektu, informācija par profilēšanā izmantoto loģiku, un tiesības iegūt cilvēka novērtējumu;

fb)  informācija par drošības pasākumiem, kas īstenoti personas datu aizsardzībai;

g)  jebkura citu papildu informācija, ciktāl papildu informācija ir vajadzīga, lai garantētu godprātīgu apstrādi attiecībā pret datu subjektu, ņemot vērā konkrētos apstākļus, kādos personas datus vāc.

2.  Ja personas datus iegūst no datu subjekta, papildus informācijai, kas minēta 1. punktā, pārzinis informē datu subjektu par to, vai personas datu sniegšana ir brīvprātīga vai obligāta, kā arī par iespējamām sekām, ja šādi dati netiks sniegti.

3.  Pārzinis sniedz informāciju, kas minēta 1. punktā:

a)  personas datu ieguves laikā, ja tos iegūst no datu subjekta; vai

b)  ja personas datus neiegūst no datu subjekta – reģistrēšanas laikā vai saprātīgā termiņā pēc iegūšanas, ņemot vērā konkrētos apstākļus, kādos dati ir apstrādāti.

4.  Dalībvalstis var pieņemt leģislatīvus pasākumus, lai konkrētā gadījumā atliktu vai nesniegtu ierobežotu informāciju datu subjektam, ciktāl šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, ņemot vēra attiecīgās personas pamattiesības un likumīgās intereses:

a)  lai izvairītos, ka tiek traucēta oficiāla vai tiesas pārbaudes, izmeklēšana vai procedūra;

b)  lai netraucētu noziedzīgu nodarījumu novēršanu, atklāšanu, izmeklēšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi;

c)  lai aizsargātu sabiedrības drošību;

d)  lai aizsargātu valsts drošību;

e)  lai aizsargātu citu personu tiesības un brīvības.

5.  Dalībvalstis nodrošina, ka pārzinis katrā konkrētā gadījumā, veicot īpašu un atsevišķu pārbaudi, novērtē, vai, pamatojoties uz kādu no 4. punktā minētajiem iemesliem, ir jāpiemēro daļējs vai pilnīgs ierobežojums. Dalībvalstis var savos tiesību aktos noteikt arī datu apstrādes kategorijas, uz kurām daļēji vai pilnībā attiecas 4. punkta a), b), c) un d) apakšpunktā minētie izņēmumi. [Gr. 74]

12. pants

Datu subjekta piekļuves tiesības

1.  Dalībvalstis nodrošina, ka datu subjektam jebkurā laikā pēc pieprasījuma ir tiesības saņemt no pārziņa apstiprinājumu par to, vai viņa personas dati tiek apstrādāti. Ja šādi personas dati tiek apstrādāti, pārzinis sniedz šādu informāciju:

—  a) paziņojums par apstrādē esošajiem personas datiem un visa pieejamā informācija par datu avotu, un, attiecīgā gadījumā, saprotama informācija par datu automatizētā apstrādē ietverto loģiku;

—  aa) šādas apstrādes nozīme un paredzamās sekas, vismaz saistībā ar 9. pantā minētajiem pasākumiem;

a)  apstrādes nolūki un tās juridiskais pamats;;

b)  attiecīgo personas datu kategorijas;

c)  personas datu saņēmēji vai datu saņēmēju kategorijas, kam personas dati ir izpausti, jo īpaši saņēmēji trešās valstīs;

d)  termiņš, cik ilgi personas dati tiks glabāti;

e)  tiesības pieprasīt pārzinim datu subjekta personas datu labošanu, dzēšanu vai personas datu apstrādes ierobežošanu;

f)  tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

g)  paziņojums par apstrādē esošajiem personas datiem un visa pieejamā informācija par datu avotu.

2.  Dalībvalstis nodrošina, ka datu subjektam ir tiesības saņemt no pārziņa apstrādē esošo personas datu kopiju. Ja datu subjekts pieprasījumu iesniedz elektroniski, informāciju sniedz elektroniski, izņemot, ja datu subjekts pieprasa citādi. [Gr. 75]

13. pants

Piekļuves tiesību ierobežojumi

1.  Dalībvalstis var pieņemt leģislatīvus pasākumus, lai, atkarībā no konkrētā gadījuma, pilnībā vai daļēji ierobežotu datu subjekta piekļuves tiesības, ciktāl un cik ilgi šāds daļējs vai pilnīgs ierobežojums ir pilnīgi nepieciešams un samērīgs demokrātiskā sabiedrībā, ņemot vēra attiecīgās personas pamattiesības un likumīgās intereses:

a)  lai izvairītos, ka tiek traucēta oficiāla vai tiesas pārbaude, izmeklēšana vai procedūra;

b)  lai netraucētu noziedzīgu nodarījumu novēršanu, atklāšanu, izmeklēšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi;

c)  lai aizsargātu sabiedrības drošību;

d)  lai aizsargātu valsts drošību;

e)  lai aizsargātu citu personu tiesības un brīvības.

2.  Dalībvalstis nodrošina, ka pārzinis katrā konkrētā gadījumā, veicot īpašu un atsevišķu pārbaudi, novērtē, vai, pamatojoties uz kādu no 1. punktā minētajiem iemesliem, jāpiemēro daļējs vai pilnīgs ierobežojums. Dalībvalstis var arī likumā noteikt datu apstrādes kategorijas, uz kurām daļēji vai pilnībā attiecas 1. punkta a) līdz d) apakšpunktā minētie izņēmumi.

3.  Gadījumos, kas minēti 1. un 2. punktā, dalībvalstis nodrošina, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem, par atteikuma iemesliem pamatotu paskaidrojumu un par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā. Informāciju par faktiskajiem vai tiesiskajiem iemesliem, kas ir lēmuma pamatā, var nesniegt, ja šādas informācijas sniegšana var apdraudēt vienu no 1. punktā noteiktajiem mērķiem.

4.  Dalībvalstis nodrošina, ka pārzinis dokumentē 2. punktā minēto novērtējumu, kā arī iemeslus, kāpēc netiek sniegta tiek ierobežota informācija par faktiskajiem vai tiesiskajiem iemesliem, kuri ir lēmuma pamatā. Šo informāciju dara pieejamu dalībvalstu kompetentajām iestādēm. [Gr. 76]

14. pants

Piekļuves tiesību izmantošanas kārtība

1.  Dalībvalstis pastāvīgi, jo īpaši 12. un 13. pantā minētajos gadījumos, nodrošina datu subjekta tiesības pieprasīt, lai uzraudzības iestāde pārbauda apstrādes likumību.

2.  Dalībvalstis nodrošina, ka pārzinis informē datu subjektu par tiesībām pieprasīt uzraudzības iestādes iejaukšanos saskaņā ar 1. punktu.

3.  Ja tiek izmantotas 1. punktā minētās tiesības, uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes, un par to rezultātiem attiecībā uz apstrādes likumību. Uzraudzības iestāde arī informē datu subjektu par viņa tiesībām uz tiesas aizsardzību.

3.a  Dalībvalstis var noteikt, ka datu subjekts šīs tiesības attiecībā pret pārzini drīkst īstenot tieši vai ar valsts kompetentās uzraudzības iestādes starpniecību.

3.b  Dalībvalstis nodrošina, ka pārziņa rīcībā ir saprātīgs laiks, lai atbildētu uz datu subjekta pieprasījumu par viņa piekļuves tiesību īstenošanu. [Gr. 77]

15. pants

Tiesības uz datu labošanu

1.  Dalībvalstis nodrošina, ka datu subjektam attiecībā pret pārzini ir tiesības uz savu personas datu labošanu vai papildināšanu, ja tie ir neprecīzi. Datu subjektam ir tiesības uz nepilnīgu personas datu papildināšanu,vai nepilnīgi, jo īpaši, izmantojot papildināšanu vai paziņojumu par labojumiem.

2.  Dalībvalstis nodrošina, ka pārzinis rakstiski ar pamatotu paskaidrojumu informē datu subjektu par atteikumu labot vai papildināt datus, par atteikuma iemesliem un par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā.

2.a  Dalībvalstis nodrošina, ka pārzinis par veiktajiem labojumiem informē katru saņēmēju, kuram dati izpausti, izņemot, ja tas nav iespējams vai ir saistīts ar nesamērīgiem pūliņiem.

2.b  Dalībvalstis nodrošina, ka pārzinis par neprecīzo personas datu labošanu informē trešo personu, no kuras iegūti neprecīzie personas dati.

2.c  Dalībvalstis var noteikt, ka datu subjekts šīs tiesības attiecībā pret pārzini drīkst īstenot arī ar valsts kompetentās uzraudzības iestādes starpniecību. [Gr. 78]

16. pants

Tiesības uz dzēšanu

1.  Dalībvalstis nodrošina datu subjektam attiecībā pret pārzini tiesības panākt savu personas datu dzēšanu, ja apstrāde neatbilst noteikumiem, kas pieņemti saskaņā ar šīs direktīvas 4. panta a) līdz e) apakšpunktu4., 6., 7. un 8. pantu.

2.  Pārzinis atturas arī tālāk izplatīt šādus datus.

3.  Dzēšanas vietā pārzinis iezīmēierobežo personas datus apstrādi, ja:

a)  datu subjekts apstrīd datu precizitāti — uz laiku, kurā pārzinis pārbauda datu precizitāti;

b)  personas dati ir jāsaglabā kā pierādījumi vai lai aizsargātu datu subjekta vai citas personas būtiskas intereses;

c)  datu subjekts iebilst pret datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu.

3.a  Ja personas datu apstrāde ir ierobežota saskaņā ar 3. punktu, pārzinis informē datu subjektu pirms apstrādes ierobežojuma atcelšanas.

4.  Dalībvalstis nodrošina, ka pārzinis rakstiski ar pamatotu paskaidrojumu informē datu subjektu par atteikumu dzēst datus vai apstrādes ierobežošanu, par atteikuma iemesliem un iezīmēšanu par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā.

4.a  Dalībvalstis nodrošina, ka pārzinis paziņo saņēmējiem, kuriem šie dati nosūtīti, jebkuru dzēšanu vai ierobežošanu, kas veikta saskaņā ar 1. punktu, ja vien tas neizrādās neiespējami vai nav saistīts ar nesamērīgiem pūliņiem. Pārzinis informē datu subjektu par attiecīgajām trešām personām.

4.b  Dalībvalstis var noteikt, ka datu subjekts šīs tiesības attiecībā pret pārzini drīkst īstenot tieši vai ar valsts kompetentās uzraudzības iestādes starpniecību. [Gr. 79]

17. pants

Datu subjekta tiesības kriminālizmeklēšanā un kriminālprocesā

Dalībvalstis var noteikt, ka 11. – 16. pantā minētās tiesības uz informāciju, piekļuvi, labošanu, dzēšanu un apstrādes ierobežošanu tiek izmantotas saskaņā ar valsts procesuālajiem tiesību aktiem, ja personas dati ir ietverti juridiskā lēmumā vai reģistrā, ko apstrādā kriminālizmeklēšanas un tiesas procesa gaitā.

IV NODAĻA

PĀRZINIS UN APSTRĀDĀTĀJS

1.IEDAĻA

VISPĀRĪGI PIENĀKUMI

18. pants

Pārziņa pienākumi

1.  Dalībvalstis nosaka, ka pārzinis pieņem vadlīnijas un īsteno piemērotus pasākumus, lai nodrošinātu un par katru apstrādes darbību pārredzami spētu pierādīt, ka personas datu apstrāde notiek atbilstoši noteikumiem, kas pieņemti saskaņā ar šo direktīvu, gan nosakot apstrādes līdzekļus, gan pašas apstrādes laikā.

2.  Pasākumi, kas minēti 1. punktā, jo īpaši ietver:

a)  dokumentācijas glabāšanu, kas minēta 23. pantā;

aa)  datu aizsardzības ietekmes novērtējuma veikšanu saskaņā ar 25.a pantu;

b)  iepriekšējas apspriešanās pienākuma ievērošanu saskaņā ar 26. pantu;

c)  datu drošības prasību īstenošanu, kas minētas 27. pantā;

d)  datu aizsardzības inspektora iecelšanu saskaņā ar 30. pantu;

da)  ja nepieciešams, īpašu aizsardzības pasākumu izstrādi un īstenošanu attiecībā uz tādu personas datu apstrādi, kas saistīti ar bērniem;

3.  Pārzinis īsteno mehānismus, kas nodrošina šā panta 1. punktā minēto pasākumu atbilstības un efektivitātes pārbaudi. Ja tas ir samērīgi, šo pārbaudi veic neatkarīgs iekšējs vai ārējs revidents. [Gr. 80]

19. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.  Ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, pašreizējās tehniskās zināšanas, starptautisko paraugpraksi un datu apstrādes risku pārzinis un apstrādātājs, ja tāds ir, gan nosakot apstrādes mērķus un līdzekļus, gan pašas apstrādes laikā, īsteno piemērotus un samērīgus tehniskus un organizatoriskus pasākumus un procedūras tā, lai apstrāde būtu saskaņā ar šīs regulas prasībām, un nodrošina datu subjektu tiesību aizsardzību, jo īpaši attiecībā uz 4. pantā minētajiem principiem. Integrētā datu aizsardzībā būtībā jāpievērš īpaša uzmanība visam personas datu pārvaldības ciklam, sākot no datu vākšanas un apstrādes un beidzot ar to izdzēšanu, sistemātiski pievēršoties arī vispusīgiem procesuāliem aizsardzības pasākumiem attiecībā uz personas datu precizitāti, konfidencialitāti, integritāti, fizisko drošību un dzēšanu. Ja pārzinis ir veicis datu aizsardzības ietekmes novērtējumu saskaņā ar 25.a pantu, novērtējuma rezultātus ņem vērā, izstrādājot šos pasākumus un procedūras..

2.  Pārzinis īsteno mehānismus, lai nodrošinātunodrošina, ka pēc noklusējuma, tiek apstrādāti tikai tie personas dati, kuri kas ir nepieciešami apstrādes nolūkiemkatram konkrētajam apstrādes nolūkam, un tos īpaši nevāc, neglabā vai neizplata, pārsniedzot minimumu, kas nepieciešams šiem nolūkiem, gan attiecībā uz datu apjomu, gan glabāšanas ilgumu. Jo īpaši šie mehānismi nodrošina, ka pēc noklusējuma personas datus nedara pieejamus nenoteiktam personu skaitam un ka datu subjekti var kontrolēt savu personas datu izplatīšanu. [Gr. 81]

.

20. pants

Kopīgi pārziņi

1.  Dalībvalstis nodrošina, ka, gadījumā ja pārzinis personas datu apstrādes nolūkus, nosacījumus un līdzekļus nosaka kopīgi ar citiem, kopīgie pārziņi, savstarpēji vienojotiesnoslēdzot juridiski saistošu vienošanos, nosaka savus attiecīgos pienākumus, lai nodrošinātu atbilstību noteikumiem, kas pieņemti saskaņā ar šo direktīvu, jo īpaši attiecībā uz procedūrām un mehānismiem datu subjekta tiesību izmantošanai.

2.  Ja vien datu subjekts nav informēts par to, kurš no kopīgiem pārziņiem atbilstīgi 1. panta ir atbildīgs, datu subjekts var īstenot savas tiesības saskaņā ar šo direktīvu attiecībā uz un pret katru no jebkuriem diviem vai vairākiem kopīgiem pārziņiem. [Gr. 82]

21. pants

Apstrādātājs

1.  Dalībvalstis paredz, ka, gadījumos ja apstrādi veic pārziņa vārdā, pārzinis izvēlas apstrādātāju, kas sniedz pietiekamas garantijas par to, ka tas īsteno piemērotus tehniskus un organizatoriskus pasākumus un procedūras tā, lai apstrāde atbilstu noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un nodrošinātu datu subjektu tiesību aizsardzību, jo īpaši attiecībā uz tehniskajiem drošības pasākumiem un organizatoriskiem pasākumiem, ar ko pārvalda veicamo apstrādi, un lai nodrošinātu minēto pasākumu izpildi.

2.  Dalībvalstis paredz, ka apstrādi, kuru veic, iesaistotdatu apstrādātājsapstrādātāju, reglamentē ar līgumu vai tiesību aktu, kurš pārzini saista ar apstrādātāju un paredz konkrētus noteikumus, jo īpaši to, ka apstrādātājs rīkojas tikai saskaņā ar pārziņa norādījumiem, jo īpaši gadījumos, kad izmantoto personas datu nosūtīšana ir aizliegta.:

a)   rīkojas tikai saskaņā ar pārziņa norādījumiem;

b)  nodarbina tikai tādus darbiniekus, kuri apņēmušies ievērot konfidencialitāti vai kuriem likumā ir noteikts pienākums ievērot konfidencialitāti;

c)  īsteno visus nepieciešamos pasākumus saskaņā ar 27. pantu;

d)  piesaista citu apstrādātāju tikai ar pārziņa atļauju un tādēļ savlaicīgi informē pārzini par nodomu piesaistīt citu apstrādātāju, lai pārzinim būtu iespēja iebilst;

e)  ciktāl tas ir iespējams, ņemot vērā apstrādes būtību, vienojoties ar pārzini, pieņem nepieciešamās tehniskās un organizatoriskās prasības, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par datu subjekta tiesību izmantošanu, kā noteikts III nodaļā;

f)  palīdz pārzinim nodrošināt 25.a līdz 29. pantā minēto pienākumu izpildi;

g)  pēc apstrādes visus tās rezultātus nodod pārzinim, neapstrādā personas datus citādi un izdzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta datu glabāšana;

h)  dara pārzinim un uzraudzības iestādei pieejamu visu informāciju, kas nepieciešama, lai pārbaudītu, vai ievēroti šajā pantā paredzētie pienākumi;

i)  ņem vērā principu, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

2a.  Pārzinis un apstrādātājs rakstveidā dokumentē pārziņa norādījumus un apstrādātāja pienākumus, kas minēti 2. punktā.

3.  Ja apstrādātājs apstrādā personas datus citādi, nekā norādījis pārzinis, apstrādātāju uzskata par pārzini attiecībā uz šo apstrādi un viņam ir piemērojami 20. pantā paredzētie noteikumi par kopīgiem pārziņiem. [Gr. 83]

22. pants

Apstrāde pārziņa un apstrādātāja pakļautībā

1.   Dalībvalstis nodrošina, ka apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, var apstrādāt šos datus tikai saskaņā ar pārziņa norādījumiem vai ja to nosaka Savienības vai dalībvalsts tiesību akti.

1.a  Ja apstrādātājs ir noteicošā puse attiecībā uz datu apstrādes nolūkiem, līdzekļiem vai metodēm vai par tādu kļūst vai ja tas nerīkojas tikai atbilstoši pārziņa norādījumiem, to uzskata par kopīgo pārzini saskaņā ar 20. pantu. [Gr. 84]

23. pants

Dokumentācija

1.  Dalībvalstis nodrošina, ka katrs datu pārzinis un apstrādātājs saglabātsaglabā visu apstrādes sistēmu un procedūru dokumentāciju, par kurām tas ir atbildīgs.

2.  Dokumentācijā ietver vismaz šādu informāciju:

a)  pārziņa vai kopīgo pārziņu nosaukumu un kontaktinformāciju;

aa)  juridiski saistošu vienošanos, kurā ietverti kopīgie pārziņi; sarakstu, kurā uzskaitīti apstrādātāji un viņu veiktās darbības;

b)  apstrādes nolūkus;

ba)  norādi par pārziņa vai apstrādātāja organizācijas struktūrām, kurām uzticēta personas datu apstrāde konkrētam nolūkam;

bb)  datu subjektu kategoriju vai kategorijas un ar tām saistīto datu vai datu kategoriju aprakstu;

c)  personas datu saņēmējus vai datu saņēmēju kategorijas;

ca)  ja nepieciešams, informāciju par to, vai pastāv profilēšana, pasākumi, kuru pamatā ir profilēšana, un mehānismi, lai iebilstu pret profilēšanu;

cb)  skaidru informāciju par visas automatizētas apstrādes loģiku;

d)  informāciju par datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, ietverot šīs trešās valsts vai starptautiskās organizācijas identifikāciju, un par datu nosūtīšanas juridisko pamatu; ja nosūtīšanu veic, pamatojoties uz šīs direktīvas 35. vai 36. pantu, sniedz pamatotu skaidrojumu;

da)  termiņus dažādu kategoriju datu dzēšanai;

db)  18. panta 1. punktā minēto pasākumu pārbaužu rezultātus;

dc)  norādi par apstrādes darbības, kurai paredzēti dati, juridisko pamatu.

3.  Pārzinis un apstrādātājs dara šo dokumentāciju pieejamu uzraudzības iestādei pēc tās pieprasījuma. [Gr. 85]

24. pants

Reģistrs

1.  Dalībvalstis nodrošina, ka tiek reģistrēta un saglabāta informācija par vismaz šādām apstrādes darbībām: vākšanu, pārveidošanu, aplūkošanu, izpaušanu, kombinēšanu vai dzēšanu. Ierakstos par aplūkošanu un izpaušanu jo īpaši atklāj šādu darbību nolūkus, datumu un laiku, un, ciktāl iespējams, identificē personu, kura aplūkoja vai izpauda personas datus, kā arī identificē šādu datu saņēmējus..

2.  Reģistru izmanto tikai, lai pārbaudītu datu apstrādes likumību, veiktu pašuzraudzību un nodrošinātu datu integritāti un drošību vai revīzijas nolūkā, ko veic datu aizsardzības inspektors vai datu aizsardzības iestāde.

2.a  Pārzinis un apstrādātājs dara šos ierakstus pieejamus uzraudzības iestādei pēc tās pieprasījuma. [Gr. 86]

25. pants

Sadarbība ar uzraudzības iestādi

1.  Dalībvalstis nodrošina, ka pārzinis un apstrādātājs, pildot savus uzdevumus, pēc pieprasījuma sadarbojas ar uzraudzības iestādi, jo īpaši sniedzot visu informāciju, kas uzraudzības iestādei ir nepieciešama tās uzdevumu veikšanaiminēta 46. panta 2. punkta a) apakšpunktā, un piešķirot piekļuvi, kā noteikts 46. panta 2. punkta b) apakšpunktā..

2.  Ja uzraudzības iestāde izmanto savas pilnvaras saskaņā ar 46. panta 1. punkta a) un b) apakšpunktu, pārzinis un apstrādātājs atbild uzraudzības iestādei saprātīgā termiņā, ko nosaka uzraudzības iestāde. Atbildē ietilpst arī veikto pasākumu apraksts un rezultāti, kas panākti, reaģējot uz uzraudzības iestādes piezīmēm. [Gr. 87]

25.a pants

Datu aizsardzības ietekmes novērtējums

1.  Dalībvalstis nodrošina, ka tad, ja apstrādes darbības var radīt īpašu apdraudējumu datu subjektu tiesībām un brīvībām savas būtības, apmēra vai nolūku dēļ, pārzinis vai apstrādātājs, kas rīkojas pārziņa vārdā, pirms jaunām apstrādes darbībām vai pēc iespējas ātrāk attiecībā uz īstenotajām apstrādes darbībām veic novērtējumu par plānoto apstrādes sistēmu un procedūru ietekmi uz personas datu aizsardzību.

2.  Īpašo apdraudējumu, kas minēts 1. punktā, jo īpaši var izraisīt šādas apstrādes darbības:

a)  personas datu apstrāde plaša mēroga kartotēkās, lai novērstu, atklātu un izmeklētu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem un izpildītu kriminālsodus;

b)  īpašu kategoriju personas datu apstrāde, kā minēts 8. pantā, ar bērniem saistītu personas datu un biometrisko un atrašanās vietas datu apstrāde, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus;

c)  ar fizisko personu saistītu personisku aspektu novērtēšana vai analizēšanas vai paredzēšanas darbības, jo īpaši par fiziskas personas rīcību, kuru pamatā ir automatizēta apstrāde un kuru rezultātā var īstenot pasākumus, kas rada juridiskas sekas personai vai būtiski to ietekmē;

d)  publiski pieejamu zonu uzraudzība, jo īpaši izmantojot optiskas elektroniskas iekārtas (video novērošana); vai

e)  citas apstrādes darbības, kurām saskaņā ar 26. panta 1. punktu ir nepieciešama apspriešanās ar uzraudzības iestādi.

3.  Novērtējumā ietver vismaz:

a)  plānoto apstrādes darbību sistemātisku aprakstu;

b)  novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)  datu subjekta tiesību un brīvību apdraudējuma novērtējumu un pasākumus, kas paredzēti minētā riska mazināšanai un apstrādāto personas datu daudzuma samazināšanai;

d)  aizsardzības pasākumus, drošības pasākumus un mehānismus, kas nodrošina personas datu aizsardzību un uzskatāmi parāda atbilstību noteikumiem, kuri ir pieņemti saskaņā ar šo direktīvu, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un likumīgās intereses;

e)  vispārīgu norādi par dažādu kategoriju datu dzēšanas termiņiem;

f)  attiecīgā gadījumā sarakstu ar informāciju par datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai, ietverot šīs trešās valsts vai starptautiskās organizācijas identifikāciju, un 36. panta 2. punktā minētās nosūtīšanas gadījumā — atbilstošo aizsardzības pasākumu dokumentāciju.

4.  Ja pārzinis vai apstrādātājs ir iecēlis datu aizsardzības inspektoru, pārzinis vai apstrādātājs iesaistās ietekmes novērtēšanā.

5.  Dalībvalstis nodrošina, ka pārzinis apspriežas ar sabiedrību par iecerēto apstrādi, neskarot sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

6.  Neskarot sabiedrības interešu aizsardzību vai apstrādes darbību drošību, novērtējumu dara viegli pieejamu sabiedrībai.

7.  Komisijai pēc tam, kad tā pieprasījusi Eiropas Datu aizsardzības kolēģijas atzinumu, tiek pilnvarota pieņemt deleģētus aktus saskaņā ar 56. pantu, lai sīkāk precizētu kritērijus un nosacījumus attiecībā uz apstrādes darbībām, kas var radīt 1. un 2. punktā minētos īpašos apdraudējumus, un prasības attiecībā uz 3. punktā minēto novērtējumu. [Gr. 88]

26. pants

Iepriekšēja apspriešanās ar uzraudzības iestādi

1.  Lai nodrošinātu paredzētās apstrādes atbilstību noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un jo īpaši, lai mazinātu iespējamos apdraudējumus datu subjektiem, dalībvalstis nodrošina, ka pārzinis vai apstrādātājs pirms tādu personas datu apstrādes, kurus ietvers jaunizveidotā kartotēkā, apspriežas ar valsts uzraudzības iestādi gadījumos, ja:

a)  tiks apstrādāti īpašu kategoriju dati, kas minēti 8. pantā;no datu aizsardzības ietekmes novērtējuma, kas paredzēts 25.a pantā, izriet, ka apstrādes darbības savas būtības, apmēra un/vai nolūku dēļ var radīt augsta līmeņa īpašu apdraudējumu; vai

b)  datu apstrādes veids, jo īpaši izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, rada cita veida īpašu risku attiecībā uz datu subjekta pamattiesībām un brīvībām, jo īpaši attiecībā uz personas datu aizsardzību.uzraudzības iestāde uzskata par nepieciešamu veikt iepriekšēju apspriešanos par konkrētām apstrādes darbībām, kas var īpaši apdraudēt datu subjektu tiesības un brīvības savas būtības, apmēra vai nolūku dēļ.

1.a  Ja uzraudzības iestāde atbilstīgi savām pilnvarām konstatē, ka plānotā apstrāde neatbilst noteikumiem, kas pieņemti saskaņā ar šo direktīvu, jo īpaši, ja apdraudējums nav pietiekami identificēts vai mazināts, tā aizliedz plānoto apstrādi un izsaka atbilstīgus ierosinājumus, lai novērstu šo neatbilstību noteikumiem.

2.  Dalībvalstis var noteiktnosaka, ka uzraudzības iestāde pēc apspriešanās ar Eiropas Datu aizsardzības kolēģiju izveido apstrādes darbību sarakstu, par kurām veic iepriekšēju apspriešanos saskaņā ar 1. punktupunkta b) apakšpunktu.

2.a  Dalībvalstis nodrošina, ka pārzinis vai apstrādātājs iesniedz uzraudzības iestādei 25.a pantā paredzēt datu aizsardzības ietekmes novērtējumu un pēc pieprasījuma jebkuru citu informāciju, kas ļauj uzraudzības iestādei izvērtēt apstrādes atbilstību un jo īpaši datu subjekta personas datu aizsardzības apdraudējumu un attiecīgos aizsardzības pasākumus.

2.b  Ja uzraudzības iestāde uzskata, ka plānotā apstrāde neatbilst noteikumiem, kas pieņemti saskaņā ar šo direktīvu, vai ka apdraudējums nav pietiekami identificēts vai mazināts, tā izsaka atbilstīgus ierosinājumus, lai novērstu šo neatbilstību noteikumiem.

2.c  Lai nodrošinātu, ka plānotā apstrāde notiek saskaņā ar šo direktīvu, un jo īpaši, lai mazinātu iespējamo apdraudējumu datu subjektam, dalībvalstis var apspriesties ar uzraudzības iestādi, kad tās izstrādā leģislatīvu pasākumu, ko pieņem valsts parlaments, vai pasākumu, kas pamatojas uz šādu leģislatīvu pasākumu, un kurā definēta apstrādes būtība. [Gr. 89]

2.IEDAĻA

DATU DROŠĪBA

27. pants

Apstrādes drošība

1.  Dalībvalstis nodrošina, ka, ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus un procedūras, lai nodrošinātu tādu drošības līmeni, kas atbilst ar apstrādi saistītajam riskam un aizsargājamo datu īpatnībām.

2.  Attiecībā uz datu automatizētu apstrādi katra dalībvalsts nodrošina, ka pārzinis vai apstrādātājs pēc risku izvērtēšanas īsteno pasākumus, lai:

a)  liegtu nepiederošām personām pieeju datu apstrādes iekārtām, kuras izmanto personas datu apstrādei (piekļuves kontrole iekārtām);

b)  novērstu datu nesankcionētu nolasīšanu, kopēšanu, grozīšanu vai datu nesēju izņemšanu (datu nesēju kontrole);

c)  liegtu datu neatļautu ievadīšanu datubāzē, kā arī liegtu saglabāto personas datu neatļautu apskati, grozīšanu vai dzēšanu (glabāšanas kontrole);

d)  liegtu izmantot datu apstrādes automatizētas sistēmas nepilnvarotām personām, izmantojot datu komunikācijas iekārtas (lietotāju kontrole);

e)  nodrošinātu, ka personām, kas ir pilnvarotas izmantot datu apstrādes automatizētu sistēmu, ir piekļuve tikai tiem datiem, uz kuriem attiecas viņu piekļuves tiesības (datu piekļuves kontrole);

f)  nodrošinātu, ka ir iespējams pārbaudīt un noteikt, kurām struktūrām dati ir vai var tikt nosūtīti vai izpausti, izmantojot datu komunikācijas iekārtas (komunikācijas kontrole);

g)  nodrošinātu, ka pēc tam ir iespējams pārbaudīt un noteikt, kādi personas dati ir ievadīti datu automatizētas apstrādes sistēmās, kā arī ievadīšanas laiku un ievadītāju (ievades kontrole);

h)  novērstu personas datu nesankcionētu nolasīšanu, kopēšanu, grozīšanu vai dzēšanu personas datu nosūtīšanas laikā vai datu nesēja transportēšanas laikā (transportēšanas kontrole);

i)  nodrošinātu, ka traucējumu gadījumā uzstādītās sistēmas var atjaunot (atgūšana);

j)  nodrošinātu, ka sistēma funkcionē tā, ka par darbības kļūdu parādīšanos tiek ziņots (drošums) un saglabātie dati nevar tikt sabojāti sistēmas darbības traucējumu dēļ (integritāte);

ja)  nodrošināt, ja tiek apstrādāti sensitīvi personas dati saskaņā ar 8. pantu, papildu drošības pasākumu ieviešanu, lai nodrošinātu izpratni par riskiem un spēju gandrīz reālā laikā veikt preventīvus, koriģējošus un mazinošus pasākumus saistībā ar konstatētajiem neaizsargātiem aspektiem vai negadījumiem, kas varētu datus apdraudēt.

2.a  Dalībvalstis nodrošina, ka par datu apstrādātāju var iecelt tikai tādas personas, kas garantē, ka tās īsteno šā panta 1. punktā prasītos tehniskos un organizatoriskos pasākumus un ievēro 21. panta 2. punkta a) apakšpunkta norādījumus. Kompetentā iestāde šai sakarā veic apstrādātāja uzraudzību.

3.  Komisija nepieciešamības gadījumā var pieņemt īstenošanas aktus, lai precizētu 1. un 2. minētos noteikumus dažādās situācijās, jo īpaši šifrēšanas standartus. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā. [Gr. 90]

28. pants

Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei

1.  Dalībvalstis nodrošina, ka personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja tas iespējams, ne vēlāk kā 24 stundās no brīža, kad tas kļuvis zināms,stundu laikā paziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu. Pārzinis pēc pieprasījuma sniedz uzraudzības iestādei pamatotu paskaidrojumu gadījumos, kad paziņošana nav notikusi 24 stundu laikājebkuras kavēšanās gadījumā.

2.  Apstrādātājs pēc tam, kad viņam ir kļuvis zināms parTiklīdz ir konstatēts personas datu aizsardzības pārkāpumu, nekavējoties pārkāpums, apstrādātājs bez nepamatotas kavēšanās brīdina un informē pārzini.

3.  Paziņojumā, kas minēts 1. punktā, ietver vismaz šādu informāciju:

a)  apraksta personas datu aizsardzības pārkāpuma būtību, tostarp skarto datu subjektu kategorijas un skaitu un skarto datu ierakstu kategorijas un skaitu;

b)  paziņo 30. pantā minētā datu aizsardzības inspektora vai cita kontaktpunkta, kur var iegūt papildu informāciju, identitāti un kontaktinformāciju;

c)  iesaka pasākumus personas datu aizsardzības pārkāpuma iespējamās nelabvēlīgās ietekmes mazināšanai;

d)  apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

e)  apraksta pārziņa ierosinātos vai veiktos pasākumus, lai risinātu personas datu aizsardzības pārkāpumu un mazinātu tā sekas;

Ja nav iespējams bez nepamatotas kavēšanās nodrošināt visu informāciju, pārzinis var pabeigt paziņojumu otrajā posmā.

4.  Dalībvalstis nodrošina, ka pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot pārkāpumu izdarīšanas apstākļus, to sekas un veiktās koriģējošās darbības. Dokumentācijai jāļauj jābūt pietiekamai, lai ļautu uzraudzības iestādei pārbaudīt šā panta ievērošanu. Dokumentācijā ietver tikai šim nolūkam nepieciešamo informāciju.

4.a  Uzraudzības iestāde uztur publisku reģistru, kurā reģistrēti visi paziņoto pārkāpumu veidi.

5.  Komisijai pēc atzinuma pieprasīšanas Eiropas Datu aizsardzības kolēģijai piešķir tiesības pilnvaras pieņemt deleģētos aktus saskaņā ar 56. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz 1. un 2. punktā minētā personas datu aizsardzības pārkāpuma konstatēšanu un jo īpaši apstākļus, kuros pārzinim un apstrādātājam ir pienākums ziņot par personas datu aizsardzības pārkāpumu.

6.  Komisija var noteikt šāda paziņojuma uzraudzības iestādei standarta formu, procedūras, kas piemērojamas pienākumam paziņot, un formu un kārtību dokumentācijai, kas minēta 4. punktā, ietverot arī termiņus, kuros dzēš tajā ietverto informāciju. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā. [Gr. 91]

29. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.  Dalībvalstis nodrošina, ka, gadījumā, ja personas datu aizsardzības pārkāpums var nelabvēlīgi ietekmēt datu subjekta personas datu, privātuma, tiesību vai likumīgo interešu aizsardzību, pārzinis pēc tam, kad ir paziņojis par pārkāpumu saskaņā ar 28. pantu, bez nepamatotas kavēšanās informē datu subjektu par personas datu aizsardzības pārkāpumu.

2.  PaziņojumāŠā panta 1. punktā minētais paziņojums datu subjektam, kas minēts 1. punktā,ir saprotams un sagatavots skaidrā un vienkāršā valodā. Tajā apraksta personas datu aizsardzības pārkāpuma būtību un ietver vismaz 28. panta 3. punkta b) un c) un d) apakšpunktā minēto informāciju un ieteikumus, kā arī informāciju par datu subjekta tiesībām, tostarp uz tiesībaizsardzības līdzekļu izmantošanu.

3.  Datu subjekts nav jāinformē par personas datu aizsardzības pārkāpumu, ja pārzinis uzraudzības iestādei ir uzskatāmi pierādījis, ka tas ir īstenojis atbilstīgus tehniskus aizsardzības pasākumus un šie pasākumi tikuši piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums. Ar šādiem tehniskiem aizsardzības pasākumiem datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem.

3.a  Neskarot pārziņa pienākumu informēt datu subjektu par personas datu aizsardzības pārkāpumu, ja pārzinis vēl nav informējis datu subjektu par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi pārkāpuma iespējamo nelabvēlīgo ietekmi, var pieprasīt pārzinim informēt datu subjektu

4.  Paziņojumu datu subjektam var atlikt, ierobežot vai nesniegt, pamatojoties uz iemesliem, kas minēti 11. panta 4. punktā. [Gr. 92]

3.IEDAĻA

DATU AIZSARDZĪBAS INSPEKTORS

30. pants

Datu aizsardzības inspektora iecelšana

1.  Dalībvalstis nodrošina, ka pārzinis vai apstrādātājs ieceļ datu aizsardzības inspektoru.

2.  Datu aizsardzības inspektoru ieceļ, pamatojoties uz tā profesionālo kvalifikāciju, jo īpaši pamatojoties uz eksperta līmeņa zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt uzdevumus, kas minēti 32. pantā. Nepieciešamo eksperta zināšanu līmeni nosaka, jo īpaši ņemot vērā datu apstrādi, kas tiek veikta, un aizsardzību, kas nepieciešama pārziņa vai apstrādātāja apstrādātajiem personas datiem.

2.a  Dalībvalstis paredz, ka pārzinis vai apstrādātājs nodrošina, lai visi pārējie datu aizsardzības inspektora profesionālie pienākumi būtu savienojami ar viņa uzdevumiem un pienākumiem datu aizsardzības inspektora statusā un neradītu interešu konfliktu.

2.b  Datu aizsardzības inspektoru ieceļ vismaz uz četriem gadiem. Datu aizsardzības inspektoru var atkārtoti iecelt uz turpmākiem pilnvaru termiņiem. Datu aizsardzības inspektoru pirms viņa pilnvaru termiņa beigām var atcelt tikai tad, ja viņš vai viņa vairs neatbilst savu uzdevumu izpildes nosacījumiem.

2.c  Dalībvalstis nodrošina datu subjekta tiesības sazināties ar datu aizsardzības inspektoru saistībā ar visiem jautājumiem, kas attiecas uz datu subjekta personas datu apstrādi.

3.  Datu aizsardzības inspektoru var iecelt vairākām vienībām, ņemot vērā kompetentās iestādes organizatorisko uzbūvi.

3.a  Dalībvalstis nodrošina, ka pārzinis vai apstrādātājs dara zināmu uzraudzības iestādei un sabiedrībai datu aizsardzības inspektora vārdu, uzvārdu un kontaktinformāciju. [Gr. 93]

31. pants

Datu aizsardzības inspektora statuss

1.  Dalībvalstis paredz, ka pārzinis vai apstrādātājs nodrošina, ka datu aizsardzības inspektors tiek pienācīgi un laicīgi iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

2.  Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības inspektoram ir nepieciešamie līdzekļi, lai pildītu 32. pantā minētos pienākumus un uzdevumus efektīvi un neatkarīgi un lai viņš nesaņemtu nekādus norādījumus attiecībā uz savu funkciju veikšanu.

2.a  Datu pārzinis vai apstrādātājs atbalsta datu aizsardzības inspektoru viņa uzdevumu veikšanā un nodrošina visus līdzekļus, tostarp darbiniekus, telpas, aprīkojumu, pastāvīgu profesionālās kvalifikācijas celšanu un citus resursus, kas vajadzīgi, lai veiktu 32. pantā minētos pienākumus un uzdevumus un lai uzturētu viņa profesionālās zināšanas. [Gr. 94]

32. pants

Datu aizsardzības inspektora uzdevumi

Dalībvalstis nodrošina, ka pārzinis un apstrādātājs uztic datu aizsardzības inspektoram vismaz šādus uzdevumus:

a)  palielināt izpratni, informēt un konsultēt pārzini vai apstrādātāju par viņu pienākumiem saskaņā ar noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu, jo īpaši attiecībā uz tehniskiem un organizatoriskiem pasākumiem un procedūrām, un dokumentēt šīs darbības un saņemtās atbildes;

b)  uzraudzīt vadlīniju īstenošanu un piemērošanu saistībā ar personas datu aizsardzību, ietverot arī pienākumu sadali, apstrādes darbībās iesaistīto darbinieku mācības un ar to saistītas revīzijas.

c)  uzraudzīt noteikumu, kas pieņemti, pamatojoties uz šo direktīvu, īstenošanu un piemērošanu, jo īpaši attiecībā uz prasībām saistībā ar integrētu datu aizsardzību, datu aizsardzību pēc noklusējuma un datu drošību, un saistībā ar datu subjektu informēšanu un datu subjektu pieprasījumiem, izmantojot viņu tiesības saskaņā ar noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu;

d)  nodrošināt, ka tiek saglabāta 23. pantā minētā dokumentācija;

e)  uzraudzīt dokumentāciju, paziņojumus un informēšanu par personas datu aizsardzības pārkāpumiem saskaņā ar 28. un 29. pantu;

f)  uzraudzīt, kā pārzinis vai apstrādātājs piemēro datu aizsardzības ietekmes novērtējumu, un pieteikumu par iepriekšēju apspriešanos ar uzraudzības iestādi, ja tas ir nepieciešams saskaņā ar 26. panta 1. punktu;

g)  uzraudzīt atbildes uz uzraudzības iestādes pieprasījumiem un datu aizsardzības inspektora kompetences ietvaros sadarboties ar uzraudzības iestādi pēc tās pieprasījuma vai pēc paša iniciatīvas;

h)  būt par uzraudzības iestādes kontaktpunktu ar apstrādi saistītos jautājumos un attiecīgos gadījumos konsultēties ar uzraudzības iestādi, pēc datu aizsardzības inspektora paša iniciatīvas. [Gr. 95]

V NODAĻA

PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

33. pants

Personas datu nosūtīšanas vispārīgie principi

1.  Dalībvalstis nodrošina, ka personas datu nosūtīšanu, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, ietverot arī personas datu tālāku nosūtīšanu citai trešai valstij vai citai starptautiskai organizācijai, kompetentās iestādes var veikt tikai tad, ja:

a)  konkrētā nosūtīšana ir nepieciešama, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus; un

aa)  datus nosūta pārzinim trešā valstī vai starptautiskā organizācijā, kas ir publiska iestāde, kura ir kompetenta 1. panta 1. punktā noteiktajiem nolūkiem; un

ab)  šīs nodaļas nosacījumus ievēro pārzinis un apstrādātājs, tostarp attiecībā uz personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas citai trešai valstij vai citai starptautiskai organizācijai; un

b)  pārzinis un apstrādātājs izpilda šajā nodaļā paredzētos nosacījumuscitus noteikumus, kas pieņemti saskaņā ar šo direktīvu; un.

ba)  netiek apdraudēts ar šo direktīvu nodrošinātais personas datu subjektu aizsardzības līmenis Savienībā; un

bb)  Komisija, ievērojot 34. pantā minētos nosacījumus un procedūru, ir nolēmusi, ka attiecīgā trešā valsts vai starptautiskā organizācija nodrošina atbilstīgu aizsardzības līmeni; vai

bc)  juridiski saistošā aktā, kā noteikts 35. pantā, ir nodrošināti atbilstoši personas datu aizsardzības pasākumi.

2.  Dalībvalstis nodrošina, ka nosūtīšana tālāk, kas minēta šā panta 1. punktā, var notikt tikai tad, ja papildus minētajā punktā iekļautajiem nosacījumiem:

a)  tālāka nosūtīšana nepieciešama tam pašam konkrētajam nolūkam, kāds bija sākotnējai nosūtīšanai; un

b)  kompetentā iestāde, kas veikusi sākotnējo nosūtīšanu, dod atļauju tālākai nosūtīšanai. [Gr. 96]

34. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.  Dalībvalsts nodrošina, ka personas datu nosūtīšana trešai valstij vai starptautiskai organizācijai var notikt, ja Komisija saskaņā ar Regulas (ES) …./2012 41. pantu vai saskaņā ar šā panta 3. punktu ir lēmusi, ka trešā valsts vai teritorija vai apstrādes nozare attiecīgajā trešajā valstī vai starptautiskajā organizācijā nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda cita īpaša atļauja.

2.  Ja nav pieņemts lēmums, pamatojoties uz Regulas (ES) …./2012 41. pantu,Novērtējot aizsardzības līmeņa pietiekamību, Komisija novērtē aizsardzības līmeņa pietiekamību, ņemot vērā šādus elementusapsver šādus faktorus:

a)  tiesiskuma princips, spēkā esošie attiecīgie tiesību akti – gan vispārīgie, gan nozaru – ietverot arī tos, kas attiecas uz sabiedrības drošību, aizsardzību, valsts drošību un krimināltiesībām, kā arī šo tiesību aktu īstenošana un drošības pasākumi, kurus ievēro šajā valstī vai starptautiskajā organizācijā, tiesu prakses precedenti, kā arī tiesību efektivitāte un īstenojamība, ietverot efektīvus datu subjektu tiesībaizsardzības līdzekļus gan administratīvā kārtā, gan tiesā un jo īpaši attiecībā uz tiem datu subjektiem, kas dzīvo Savienībā un kuru datus nosūta;

b)  vai attiecīgajā trešā valstī vai starptautiskajā organizācijā pastāv un efektīvi darbojas viena vai vairākas uzraudzības iestādes, kas atbildīgas par datu aizsardzības noteikumu, tostarp pietiekamu sankcionēšanas pilnvaru, ievērošanas nodrošināšanu, par datu subjekta atbalstīšanu un konsultēšanu saistībā ar tiesību izmantošanu un par sadarbību ar Savienības un dalībvalstu uzraudzības iestādēm; un

c)  kādas starptautiskās saistības uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, jo īpaši jebkādas juridiski saistošas konvencijas vai dokumenti par personas datu aizsardzību.

3.  KomisijaKomisijai pēc atzinuma pieprasīšanas Eiropas Datu aizsardzības kolēģijai piešķir pilnvaras pieņemt deleģētos aktus saskaņā ar 56. pantu, lai šīs direktīvas darbības jomā var nolemtnolemtu, ka trešā valsts, trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni 2. punkta izpratnē. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā.

4.  ĪstenošanasDeleģētajā aktā norāda tā ģeogrāfisko un nozaru piemērošanas jomu un attiecīgā gadījumā norāda uzraudzības iestādi, kas minēta 2. punkta b) apakšpunktā.

4.a  Komisija pastāvīgi uzrauga notikumus, kas varētu ietekmēt 2. punktā minēto faktoru nodrošināšanu trešās valstīs un starptautiskās organizācijās, attiecībā uz kurām pieņemts deleģētais akts saskaņā ar 3. punktu.

5.  Komisija Komisijai piešķir pilnvaras pieņemt deleģētos aktus saskaņā ar 56. pantu, lai šīs direktīvas piemērošanas jomā var nolemt, ka trešā valsts vai trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni 2. punkta nozīmē, jo īpaši gadījumos, kad attiecīgie trešā valstī vai starptautiskā organizācijā spēkā esošie tiesību akti – gan vispārīgie, gan nozaru – negarantē efektīvas un īstenojamas tiesības, ietverot efektīvus datu subjektu tiesībaizsardzības līdzekļus gan administratīvā kārtā, gan tiesā un jo īpaši attiecībā uz tiem datu subjektiem, kuru datus nosūta. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 57. panta 2. punktā, vai saskaņā ar procedūru, kas minēta 57. panta 3. punktā, ja tas ir ārkārtīgi steidzami saistībā ar personas tiesībām uz personas datu aizsardzību.

6.  Dalībvalstis nodrošina, ka, gadījumā ja Komisija pieņem lēmumu saskaņā ar 5. punktu, personas datu nosūtīšana uz attiecīgo trešo valsti, trešās valsts teritoriju vai apstrādes nozari vai starptautisko organizāciju ir aizliegta, neskarot nosūtīšanu saskaņā ar 35. panta 1. punktu un 36. pantu. Atbilstīgā laikā Komisija sāk sarunas ar trešo valsti vai starptautisko organizāciju ar nolūku labot situāciju, kas izriet no lēmuma, kas pieņemts saskaņā ar šā panta 5. punktu.

7.  Komisija Eiropas Savienības Oficiālajā Vēstnesī publicē sarakstu ar tām trešām valstīm, trešo valstu teritorijām un apstrādes nozarēm vai starptautiskām organizācijām, par kurām ir pieņemts lēmums par aizsardzības līmeņa pietiekamību vai nepietiekamību.

8.  Komisija uzrauga 3. un 5. punktā minēto īstenošanasdeleģēto aktu piemērošanu. [Gr. 97]

35. pants

Nosūtīšana, pamatojoties uz atbilstošiem aizsardzības pasākumiem

1.  Ja Komisija nav pieņēmusi lēmumu saskaņā ar 34. pantu, dalībvalstis nodrošina, ka vai ja tā nolemj, ka trešā valsts, vai trešās valsts teritorija vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni saskaņā ar 34. panta 5. punktu, pārzinis vai apstrādātājs nedrīkst nosūtīt personas datus uz trešo valsti, vai trešās valsts teritoriju vai starptautisku organizāciju, ja vien pārzinis vai apstrādātājs juridiski saistošā aktā nav nodrošinājis atbilstošus personas datu nosūtīšana saņēmējam trešā valstī vai starptautiskā organizācijā var notikt, jaaizsardzības pasākumus.:

a)  juridiski saistošā aktā ir nodrošināti atbilstoši personas datu aizsardzības pasākumi; vai

b)  pārzinis vai apstrādātājs ir izvērtējis visus apstākļus saistībā ar datu nosūtīšanu un secinājis, ka pastāv atbilstoši personas datu aizsardzības pasākumi.

2.  Lēmumu par nosūtīšanu, pamatojoties uz 1. punkta b) apakšpunktu, pieņem pienācīgi pilnvarots darbinieks. Šo nosūtīšanu dokumentē un dokumentāciju pēc pieprasījuma dara pieejamu uzraudzības iestādei.2. Pirms nosūtīšanas ir jāsaņem uzraudzības iestādes atļauja tās veikšanai. [Gr. 98]

36. pants

Atkāpes

1.  Ja Komisija saskaņā ar 34. panta 5. punktu nolemj, ka nav nodrošināts pietiekams aizsardzības līmenis, personas datus nedrīkst nosūtīt uz attiecīgo trešo valsti vai attiecīgo starptautisko organizāciju, ja katrā konkrētajā gadījumā datu subjekta likumīgās intereses novērst šādu nosūtīšanu ir svarīgākas par valsts interesēm nosūtīt šādus datus.

2.  Atkāpjoties no 34. un 35. panta, dalībvalstis nodrošina, ka personas datu nosūtīšana saņēmējam trešā valstī vai starptautiskā organizācijā var notikt tikai, ja:

a)  nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses; vai

b)  nosūtīšana ir nepieciešama, lai aizsargātu datu subjektu likumīgās intereses, gadījumos, kad tas ir noteikts nosūtošās dalībvalsts tiesību aktos; vai

c)  datu nosūtīšana ir būtiska, lai novērstu tiešus un nopietnus draudus sabiedrības drošībai dalībvalstī vai trešā valstī; vai

d)  nosūtīšana ir nepieciešama individuālos gadījumos, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus; vai

e)  nosūtīšana ir nepieciešama individuālos gadījumos, lai pamatotu, īstenotu vai aizstāvētu tiesiskus prasījumus saistībā ar noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu, saukšanu pie atbildības par tiem vai kriminālsodu izpildi.

2.a  Šā panta 2. punktā noteiktās apstrādes juridiskajam pamatam jābūt Savienības tiesību aktiem vai tās dalībvalsts tiesību aktiem, kas piemērojami pārzinim; šajā dalībvalsts tiesību aktā ir jāievēro sabiedrības intereses vai jāparedz citu personu tiesību un brīvību aizsardzība, jāievēro tiesību būtība attiecībā uz personas datu aizsardzību un jāpanāk samērīgums ar likumīgo mērķi, kuru paredzēts sasniegt.

2.b  Jebkura personas datu nosūtīšana, par kuru pieņem lēmumu, pamatojoties uz atkāpēm, ir pietiekami pamatota un ierobežota līdz stingri nepieciešamam apjomam, un bieža datu masveida nosūtīšana ir aizliegta.

2.c  Lēmumu par nosūtīšanu, pamatojoties uz 2. punktu, pieņem pienācīgi pilnvarots darbinieks. Šīs datu nosūtīšanas jādokumentē, un dokumentācija pēc pieprasījuma jādara pieejama uzraudzības iestādei, tostarp nosūtīšanas datums un laiks, informācija par saņēmējiestādi, nosūtīšanas pamatojums un nosūtītie dati. [Gr. 99]

37. pants

Īpaši nosacījumi personas datu nosūtīšanai

Dalībvalstis nodrošina, ka pārzinis informē personas datu saņēmēju par apstrādes ierobežojumiem un veic visus saprātīgos pasākumus, lai nodrošinātu, ka šie ierobežojumi tiek ievēroti. Pārzinis informē personas datu saņēmēju arī par visiem datu atjauninājumiem, labojumiem vai dzēšanu, savukārt saņēmējs sniedz atbilstīgu paziņojumu, ja dati nosūtīti tālāk. [Gr. 100]

38. pants

Starptautiskā sadarbība personas datu aizsardzības jomā

1.  Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un dalībvalstis veic atbilstošus pasākumus, lai:

a)  izstrādātu efektīvus starptautiskās sadarbības mehānismus, kas nodrošina personas datu aizsardzības tiesību aktu izpildi; [Gr. 101]

b)  sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņojumus, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošus personas datu aizsardzības pasākumus un citas pamattiesības un brīvības;

c)  iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir uzlabot starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)  veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu;

da)  sniegtu paskaidrojumus un konsultācijas par tādiem konfliktiem ar trešām valstīm, kas saistīti ar jurisdikciju. [Gr. 102]

2.  Nolūkos, kas minēti 1. punktā, Komisija īsteno atbilstošus pasākumus, lai veicinātu attiecības ar trešām valstīm vai ar starptautiskām organizācijām un jo īpaši to uzraudzības iestādēm, ja Komisija ir pieņēmusi lēmumu, ka tās nodrošina pietiekamu aizsardzības līmeni 34. panta 3. punkta nozīmē.

38.a pants

Komisijas ziņojums

Komisija regulāri iesniedz Eiropas Parlamentam un Padomei ziņojumu par 33. līdz 38. panta piemērošanu. Pirmo ziņojumu iesniedz ne vēlāk kā četrus gadus pēc šīs direktīvas stāšanās spēkā. Šim nolūkam Komisija no dalībvalstīm un uzraudzības iestādēm drīkst pieprasīt informāciju, kas sniedzama bez nepamatotas kavēšanās. Ziņojums ir publiski pieejams. [Gr. 103]

VI NODAĻA

NEATKARĪGA UZRAUDZĪBAS IESTĀDE

1.IEDAĻA

NEATKARĪBA

39. pants

Uzraudzības iestāde

1.  Katra dalībvalsts nosaka vienu vai vairākas publiskas iestādes, kuras ir atbildīgas par to noteikumu uzraudzīšanu, kuri pieņemti, pamatojoties uz šo direktīvu, un par tās konsekventas piemērošanas veicināšanu visā Savienībā, lai aizsargātu fizisku personu pamattiesības un brīvības saistībā ar personas datu apstrādi un veicinātu personas datu brīvu apriti Savienībā. Šajā nolūkā uzraudzības iestādes sadarbojas viena ar otru un ar Komisiju.

2.  Dalībvalstis var noteikt, ka uzraudzības iestāde, kas dalībvalstī izveidota, pamatojoties uz Regulu (ES) ..../2014, veic uzraudzības iestādes uzdevumus, kuru ir jāizveido saskaņā ar šā panta 1. punktu.

3.  Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, šī dalībvalsts norīko to uzraudzības iestādi, kas darbojas kā vienotais kontaktpunkts efektīvai šo iestāžu dalībai Eiropas Datu aizsardzības kolēģijā.

40. pants

Neatkarība

1.  Dalībvalstis nodrošina, ka uzraudzības iestāde, pildot tai uzticētos pienākumus un īstenojot savas pilnvaras, rīkojas pilnīgi neatkarīgi, neskarot šīs direktīvas VII nodaļas noteikumus par sadarbību. [Gr. 104]

2.  Katra dalībvalsts nodrošina, ka uzraudzības iestāde, veicot savus pienākumus, ne no viena nelūdz un nepieņem norādījumus, kā arī saglabā pilnīgu neatkarību un objektivitāti. [Gr. 105]

3.  Uzraudzības iestādes locekļi atturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4.  Uzraudzības iestādes locekļi pēc pilnvaru laika beigām izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.

5.  Katra dalībvalsts nodrošina, ka uzraudzības iestādei ir piešķirti atbilstoši cilvēkresursi, tehniskie un finanšu resursi, telpas un infrastruktūra, kas nepieciešami efektīvai uzdevumu izpildei un pilnvaru īstenošanai, tostarp arī to uzdevumu izpildei, ko veic saistībā ar savstarpējo palīdzību, sadarbību un aktīvu dalību Eiropas Datu aizsardzības kolēģijā.

6.  Katra dalībvalsts nodrošina, ka uzraudzības iestādei ir savs personāls, ko amatā ieceļ uzraudzības iestādes vadītājs un kas ir pakļauts tikai viņa vadībai.

7.  Dalībvalstis nodrošina, ka uzraudzības iestāde ir pakļauta finanšu kontrolei, kas neietekmē tas neatkarību. Dalībvalstis nodrošina, ka uzraudzības iestādei ir atsevišķs gada budžets. Budžetu dara zināmu atklātībai.

41. pants

Vispārīgi noteikumi par uzraudzības iestādes locekļiem

1.  Dalībvalstis nodrošina, ka uzraudzības iestādes locekļus amatā ieceļ vai nu attiecīgās dalībvalsts parlaments vai valdība.

2.  Locekļus izvēlas no personu loka, kuru neatkarība nav apšaubāma un kuri uzskatāmi pierāda, ka tiem piemīt nepieciešamā pieredze un prasmes, lai pildītu savus pienākumus.

3.  Locekļu pienākumi beidzas, beidzoties pilnvaru laikam, atkāpjoties no amata vai atlaišanas gadījumā, ievērojot 5. punktu.

4.  Kompetentā valsts tiesa var atlaist locekli no amata vai atņemt tam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst savu pienākumu izpildes nosacījumiem vai ir vainīgs smaga amatpārkāpuma izdarīšanā.

5.  Beidzoties amata pilnvaru laikam vai atkāpjoties no amata, loceklis turpina pildīt savus pienākumus, kamēr amatā nav iecelts jauns loceklis.

42. pants

Noteikumi uzraudzības iestādes izveidei

Katra dalībvalsts ar likumu nosaka:

a)  uzraudzības iestādes izveidi un statusu saskaņā ar 39. un 40. pantu;

b)  uzraudzības iestādes locekļu kvalifikāciju, pieredzi un prasmes, kas nepieciešamas pienākumu veikšanai;

c)  noteikumus un procedūras uzraudzības iestādes locekļu iecelšanai amatā, kā arī noteikumus par rīcību vai darbu, kas nav savienojams ar amata pienākumiem;

d)  uzraudzības iestādes locekļu amata pilnvaru laiku, kas nav mazāks par četriem gadiem, izņemot pirmo amata pilnvaru laiku pēc šīs direktīvas stāšanās spēkā, kas daļēji var būt uz īsāku laiku;

e)  vai uzraudzības iestādes locekļus var atkārtoti iecelt amatā;

f)  noteikumus un vienotus nosacījumus attiecībā uz uzraudzības iestādes locekļu un personāla pienākumiem;

g)  noteikumus un procedūras par uzraudzības iestādes locekļu pienākumu izbeigšanos arī gadījumā, ja tie vairs neatbilst savu pienākumu izpildes nosacījumiem vai ir vainīgi smaga amatpārkāpuma izdarīšanā.

43. pants

Dienesta noslēpums

Dalībvalstis nodrošina, ka, esot amatā un arī pēc pilnvaru laika beigām un atbilstoši valsts tiesību aktiem un praksei, uzraudzības iestādes locekļi un personāls ievēro pienākumu glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus, un vienlaikus pilda savus pienākumus neatkarīgi un pārredzami, kā noteikts šajā direktīvā. [Gr. 106]

2.IEDAĻA

PIENĀKUMI UN PILNVARAS

44. pants

Kompetence

1.  Dalībvalstis nodrošina, ka katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt pienākumus un īsteno pilnvaras, kas tai piešķirtas ar šo direktīvu. [Gr. 107]

2.  Dalībvalstis nodrošina, ka uzraudzības iestāde nav kompetenta uzraudzīt apstrādes darbības, ko veic tiesa, pildot tiesas spriešanas funkciju.

45. pants

Pienākumi

1.  Dalībvalstis nodrošina, ka uzraudzības iestāde:

a)  uzrauga un nodrošina, pamatojoties uz šo direktīvu pieņemto noteikumu piemērošanu, un tās īstenošanas pasākumus;

b)  izskata datu subjekta vai viņu pārstāvošās asociācijas, kura ir pienācīgi pilnvarota, sūdzības saskaņā ar 50. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē datu subjektu vai asociāciju par lietas virzību un sūdzības rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

c)  pārbauda datu apstrādes likumību saskaņā ar 14. pantu un saprātīgā termiņā informē datu subjektu par pārbaudes rezultātiem vai iemesliem, kādēļ pārbaude netika veikta;

d)  sniedz palīdzību citām uzraudzības iestādēm un nodrošina, pamatojoties uz šo direktīvu pieņemto noteikumu, konsekventu piemērošanu;

e)  veic izmeklēšanu, pārbaudes un revīziju vai nu pati pēc savas iniciatīvas, vai pamatojoties uz sūdzību vai citas uzraudzības iestādes pieprasījumu un saprātīgā termiņā informē attiecīgo datu subjektu, ja tas ir iesniedzis sūdzību, par izmeklēšanas rezultātiem;

f)  uzrauga nozīmīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikāciju tehnoloģiju attīstību;

g)  konsultē dalībvalsts iestādes un struktūras par leģislatīviem un administratīviem pasākumiem saistībā ar personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi;

h)  konsultē par apstrādes darbībām saskaņā ar 26. pantu;

i)  piedalās Eiropas Datu aizsardzības kolēģijas darbībās.

2.  Katra uzraudzības iestāde uzlabo sabiedrības informētību par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi. Īpašu uzmanību pievērš darbībām, kas īpaši attiecas uz bērniem.

3.  Uzraudzības iestāde pēc pieprasījuma konsultē datu subjektu par tiesību izmantošanu, kuras izriet no noteikumiem, kas pieņemti saskaņā ar šo direktīvu, un attiecīgā gadījumā šajā sakarā sadarbojas ar uzraudzības iestādēm citās dalībvalstīs.

4.  Attiecībā uz sūdzībām, kas minētas 1. punkta b) apakšpunktā, uzraudzības iestāde nodrošina elektroniski aizpildāmu sūdzības iesniegšanas veidlapu, neizslēdzot arī citus saziņas līdzekļus.

5.  Dalībvalstis nodrošina, ka attiecībā uz datu subjektu uzraudzības iestāde savus pienākumus veic bez maksas.

6.  Ja pieprasījumi ir kaitnieciskiacīmredzami pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var pieprasīt saprātīgu samaksu vai neveikt datu subjekta pieprasīto darbību. Šāda samaksa nepārsniedz pieprasītās darbības veikšanas izmaksas. Uzraudzības iestādei ir pienākums pierādīt, ka pieprasījums ir kaitniecisksacīmredzami pārmērīgs. [Gr. 108]

46. pants

Pilnvaras

1.   Dalībvalstis nodrošina, ka katrai iestādei ir piešķirtas pilnvaras:

a)  izmeklēšanas pilnvaras, piemēram pilnvaras piekļūt datiem, kuri ir apstrādes darbību priekšmets, un pilnvaras vākt visu informāciju, kas ir nepieciešama tās uzraudzības pienākumu veikšanaipaziņot pārzinim vai apstrādātājam par iespējamu to noteikumu pārkāpumu, ar ko regulē personas datu apstrādi, un, ja nepieciešams, uzdot pārzinim vai apstrādātājam novērst šo pārkāpumu īpašā veidā datu subjekta aizsardzības uzlabošanai;

b)  efektīvas iejaukšanās pilnvaras, piemēram, pilnvaras sniegt atzinumus pirms datu apstrādes darbību veikšanas un pilnvaras nodrošināt šo atzinumu atbilstīgu publiskošanu, pilnvaras ierobežot piekļuvi datiem, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, brīdināt vai izteikt aizrādījumu pārzinim vai pilnvaras nodot jautājumu izskatīšanai valsts parlamentam vai citām politiskām institūcijāmuzdot pārzinim ievērot datu subjekta prasības īstenot viņa tiesības saskaņā ar šo direktīvu, tostarp tiesības, kas paredzētas 12.–17. pantā, ja šādu pieprasījumu izpilde atteikta, pārkāpjot minētos noteikumus;

c)  pilnvaras iesaistīties juridiskās procedūrās, ja pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi, vai darīt zināmus šos pārkāpumus tiesu iestādēmuzdot pārzinim vai apstrādātājam sniegt informāciju saskaņā ar 10. panta 1. un 2. punktu un 11., 28. un 29. pantu;

d)  nodrošināt, ka tiek ievēroti 26. pantā minētie atzinumi par iepriekšēju apspriešanos;

e)  izteikt brīdinājumu vai aizrādījumu pārzinim vai apstrādātājam;

f)  uzdot labot, dzēst vai iznīcināt visus datus, ja tie ir apstrādāti, pārkāpjot saskaņā ar šo direktīvu pieņemtos noteikumus, un paziņot par to trešām personām, kurām dati izpausti;

g)  noteikt pagaidu vai galīgu apstrādes aizliegumu;

h)  apturēt datu plūsmas pie saņēmēja trešā valstī vai pie starptautiskas organizācijas;

i)  informēt par attiecīgo jautājumu valstu parlamentus, valdību vai citas valsts iestādes, kā arī sabiedrību.

2.  Katrai uzraudzības iestādei ir pilnvaras veikt izmeklēšanu un panākt no pārziņa vai apstrādātāja:

a)  piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās uzraudzības pienākumu veikšanai;

b)  piekļuvi visām tā telpām, tostarp visām datu apstrādes iekārtām un līdzekļiem, saskaņā ar valsts tiesību aktiem, ja ir pietiekams pamats uzskatīt, ka šajās telpās tiek veikta darbība, pārkāpjot noteikumus, kas pieņemti saskaņā ar šo direktīvu, neskarot prasību par tiesas atļaujas nepieciešamību, ja tas pieprasīts valsts tiesību aktos.

3.  Neskarot 43. pantu, dalībvalstis nodrošina, ka attiecībā uz uzraudzības iestāžu pieprasījumiem netiek noteiktas papildu slepenības prasības.

4.  Dalībvalstis var noteikt, ka, lai piekļūtu klasificētai informācijai, jāveic papildu drošības pārbaude saskaņā ar dalībvalsts tiesību aktiem tādā līmenī, kas pielīdzināms „ES KONFIDENCIĀLI”, vai augstākā līmenī. Ja nav jāveic papildu drošības pārbaude saskaņā ar attiecīgās uzraudzības iestādes dalībvalsts tiesību aktiem, šie noteikumi jāatzīst visām parējām dalībvalstīm.

5.  Katrai uzraudzības iestādei ir tiesības to noteikumu pārkāpumus, kas pieņemti saskaņā ar šo direktīvu, darīt zināmus tiesu iestādēm un iesaistīties tiesvedībā, un celt prasību kompetentā tiesā saskaņā ar 53. panta 2. punktu.

6.  Katrai uzraudzības iestādei ir tiesības piemērot sankcijas par administratīviem pārkāpumiem. [Gr. 109]

46.a pants

Ziņošana par pārkāpumiem

1.  Dalībvalstis nodrošina, ka uzraudzības iestādes ņem vērā Eiropas datu aizsardzības kolēģijas izdotos norādījumus saskaņā ar Regulas (ES) ..../2013 66. panta 4.b punktu un izveido efektīvus mehānismus, lai iedrošinātu konfidenciāli ziņot par šīs direktīvas pārkāpumiem.

2.  Dalībvalstis nodrošina, ka kompetentās iestādes izveido efektīvus mehānismus, lai iedrošinātu konfidenciāli ziņot par šīs direktīvas pārkāpumiem. [Gr. 110]

47. pants

Darbības pārskats

Dalībvalstis nodrošina, ka katra uzraudzības iestāde vismaz vienu reizi divos gados sagatavo ikgadēju ziņojumu par savu darbību. Ziņojumu dara pieejamu sabiedrībai, attiecīgajam valsts parlamentam, Komisijai un Eiropas Datu uzraudzības kolēģijai. Tajā iekļauj informāciju par to, cik lielā mērā kompetentās iestādes savā jurisdikcijā ir piekļuvušas datiem, kas ir privātpersonu īpašumā, lai izmeklētu noziedzīgus nodarījumus vai veiktu kriminālvajāšanu. [Gr. 111]

VII NODAĻA

Sadarbība

48. pants

Savstarpēja palīdzība

1.  Dalībvalstis nodrošina, ka uzraudzības iestādes sniedz savstarpēju palīdzību, lai konsekventā veidā īstenotu un piemērotu noteikumus, pamatojoties uz šo direktīvu, un nosaka pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība attiecas jo īpaši uz informācijas pieprasījumiem un uzraudzības pasākumiem, piemēram, pieprasījumiem veikt iepriekšējas apspriešanās, pārbaudes vai izmeklēšanas.

2.  Dalībvalstis nodrošina, ka uzraudzības iestāde veic visus atbilstošos pasākumus, kas nepieciešami, lai atbildētu uz citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgās informācijas nosūtīšanu vai izpildes pasākumus, lai nekavējoties un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas panāktu tādu apstrādes darbību izbeigšanu vai aizliegumu, kas ir pretrunā šai direktīvai.

2.a  Palīdzības pieprasījumā norāda visu nepieciešamo informāciju, ietverot pieprasījuma nolūku un pamatojumu. Informāciju, ar ko apmainās, izmanto tikai saistībā ar to jautājumu, kuram tā pieprasīta.

2.b  Uzraudzības iestāde, kurai lūdz palīdzību, nevar atteikties izpildīt pieprasījumu, izņemot, ja:

a)  tā nav pilnvarota izskatīt pieprasījumu; vai

b)  pieprasījuma izpilde būtu pretrunā noteikumiem, kas pieņemti saskaņā ar šo direktīvu.

3.  Uzraudzības iestāde, kurai pieprasījumus adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem, vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasošās iestādes pieprasījumu.

3.a  Uzraudzības iestāde sniedz otras uzraudzības iestādes pieprasīto informāciju elektroniskā veidā un visīsākajā iespējamā termiņā, izmantojot standartizētu formātu.

3.b  Par darbībām, kas veiktas pēc savstarpējās palīdzības pieprasījuma, neprasa nekādu samaksu. [Gr. 112]

48.a pants

Kopīgas darbības

1.  Dalībvalstis nodrošina, ka, lai stiprinātu sadarbību un savstarpējo palīdzību, uzraudzības iestādes var veikt kopīgus izpildes pasākumus un citas kopīgas darbības, kuru laikā izraudzīti pārstāvji vai darbinieki no citu dalībvalstu uzraudzības iestādēm piedalās darbībās dalībvalsts teritorijā.

2.  Dalībvalstis nodrošina, ka tad, ja apstrādes darbības var ietekmēt datu subjektus citā dalībvalstī vai dalībvalstīs, kopīgās darbībās var uzaicināt piedalīties kompetento uzraudzības iestādi. Kompetentā uzraudzības iestāde var aicināt uzraudzības iestādi katrā no šīm dalībvalstīm piedalīties attiecīgajā darbībā, un, ja tiek aicināta kompetentā uzraudzības iestāde, tā bez kavēšanās atbild uzraudzības iestādes pieprasījumam piedalīties darbībās.

3.  Dalībvalstis nosaka īpašo sadarbības darbību praktiskos aspektus. [Gr. 113]

49. pants

Eiropas Datu aizsardzības kolēģijas uzdevumi

1.  Eiropas Datu aizsardzības kolēģija, ko izveido ar Regulu (ES) …./20122014, īsteno šādus uzdevumus attiecībā uz apstrādes darbībām, kas ir šīs direktīvas piemērošanas jomā:

a)  sniedz padomus KomisijaiSavienības iestādēm par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs direktīvas grozījumiem, kas tiek ierosināti;

b)  pēc Komisijas, Eiropas Parlamenta vai Padomes pieprasījuma vai pēc pašas kolēģijas vai viena no tās locekļu iniciatīvas pārbauda jautājumus, kas attiecas uz to noteikumu piemērošanu, kuri pieņemti, pamatojoties uz šo direktīvu, un izdod vadlīnijas, ieteikumus un norādījumus par paraugpraksi, kas adresēti uzraudzības iestādēm, lai veicinātu šo noteikumu konsekventu piemērošanu, tostarp par izpildes pilnvaru izmantošanu;

c)  pārskata b) apakšpunkta minēto vadlīniju, ieteikumu un paraugprakses īstenošanu un regulāri par to ziņo Komisijai;

d)  sniedz atzinumu Komisijai par aizsardzības līmeni trešās valstīs un starptautiskās organizācijās;

e)  veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un praksi starp uzraudzības iestādēm, tostarp kopīgo operāciju un citu kopīgo darbību koordinēšanu, ja tā pēc vienas vai vairāku uzraudzības iestāžu pieprasījuma pieņem attiecīgu lēmumu;

f)  veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm, kā arī, ja tas ir atbilstoši, ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

g)  veicina zināšanu un dokumentācijas apmaiņu ar datu aizsardzības uzraudzības iestādēm visā pasaulē, tai skaitā par datu aizsardzības tiesību aktiem un praksi;

ga)  sniedz atzinumu Komisijai šajā direktīvā paredzēto deleģēto un īstenošanas aktu sagatavošanas gaitā.

2.  Ja Eiropas Parlaments, Padome vai Komisija lūdz Eiropas Datu aizsardzības kolēģijas padomu, tā var noteikt termiņu, kādā Eiropas Datu aizsardzības kolēģijai šāds padoms ir jāsniedz, ņemot vērā jautājuma steidzamību.

3.  Eiropas Datu aizsardzības kolēģija savus atzinumus, vadlīnijas, ieteikumus un paraugprakses nosūta Komisijai un 57. panta 1. punktā norādītajai komitejai un publisko tos.

4.  Komisija informē Eiropas Datu aizsardzības kolēģiju par darbību, kas veikta, ņemot vērā, Eiropas Datu aizsardzības kolēģijas sagatavotos atzinumus, vadlīnijas, ieteikumus un paraugpraksi. [Gr. 114]

VIII NODAĻA

TIESISKĀS AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

50. pants

Tiesības iesniegt sūdzību uzraudzības iestādē

1.  Neskarot citus administratīvus vai tiesiskus aizsardzības līdzekļus, dalībvalstis nodrošina, ka katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādei jebkurā dalībvalstī, ja tas uzskata, ka viņa personas datu apstrāde neatbilst noteikumiem, kas pieņemti saskaņā ar šo direktīvu.

2.  Dalībvalstis nodrošina, ka jebkurai struktūrai, organizācijai vai asociācijai, kuras mērķis ir aizsargāt datu subjektu tiesības un intereses saistībā ar to datu aizsardzību un kura rīkojas sabiedrības interesēs un kura ir atbilstoši izveidota saskaņā ar dalībvalsts tiesību aktiem, ir tiesības iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē viena vai vairāku datu subjektu vārdā, ja tā uzskata, ka datu subjektu tiesības, pamatojoties uz šo direktīvu, ir pārkāptas personas datu apstrādes rezultātā. Datu subjektam (subjektiem) šī organizācija vai asociācija ir atbilstoši jāpilnvaro. [Gr. 115]

3.  Dalībvalstis nodrošina, ka 2. punktā minētajai struktūrai, organizācijai vai asociācijai ir tiesības neatkarīgi no datu subjekta sūdzības iesniegt sūdzību dalībvalsts uzraudzības iestādē, ja tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums.

51. pants

Tiesības vērsties tiesā pret uzraudzības iestādi

1.  Dalībvalstis nodrošina, ka katrai fiziskai vai juridiskai personai ir tiesības vērsties tiesā pret uzraudzības iestādes lēmumiem, kas uz to attiecas.

2.  Dalībvalstis nodrošina, ka katram datu subjektam ir tiesības vērsties tiesā, lai liktu uzraudzības iestādei reaģēt uz sūdzību, ja nav pieņemts lēmums, kas nepieciešams viņa tiesību aizsardzībai, vai ja uzraudzības iestāde trīs mēnešu laikā neinformē datu subjektu par lietas virzību vai sūdzības rezultātiem saskaņā ar 45. panta 1. punkta b) apakšpunktu.

3.  Dalībvalstis nodrošina, ka tiesvedība pret uzraudzības iestādi tiek uzsākta tās dalībvalsts tiesās, kurā atrodas uzraudzības iestāde.

3.a  Dalībvalstis nodrošina, ka tiks izpildīti šajā pantā minētie tiesu galīgie nolēmumi. [Gr. 116]

52. pants

Tiesības vērsties tiesā pret pārzini vai apstrādātāju

1.   Neskarot pieejamos administratīvos aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, dalībvalstis fiziskām personām nodrošina tiesības vērsties tiesā, ja tās uzskata, ka to tiesības, kas paredzētas noteikumos, kuri pieņemti, pamatojoties uz šo direktīvu, ir aizskartas personas datu apstrādes rezultātā, kura neatbilst šiem noteikumiem.

1.a  Dalībvalstis nodrošina, ka tiks izpildīti šajā pantā minētie tiesu galīgie nolēmumi. [Gr. 117]

53. pants

Kopējie tiesvedības noteikumi

1.  Dalībvalstis nodrošina, ka visām 50. panta 2. punkta minētajām struktūrām, organizācijām vai asociācijām ir tiesības izmantot 51., un 52. un 54. pantā minētās tiesības viena vai vairāku datu subjektu vārdāpilnvarojumu. [Gr. 118]

2.  Dalībvalstis nodrošina, ka katrai uzraudzības iestādei ir tiesības iesaistīties juridiskās procedūrās un vērsties tiesā, lai īstenotu noteikumus, kas pieņemti, pamatojoties uz šo direktīvu vai nodrošinātu personas datu aizsardzības konsekvenci Savienībā. [Gr. 119]

3.  Dalībvalstis nodrošina, ka tiesvedība, ko var veikt, pamatojoties uz valsts tiesību aktiem, ļauj ātri pieņemt pasākumus, tai skaitā pagaidu pasākumus, lai izbeigtu potenciālu pārkāpumu un novērstu turpmāku attiecīgo interešu aizskaršanu.

54. pants

Atbildība un tiesības uz kompensāciju

1.  Dalībvalstis paredz to, ka jebkurai personai, kurai nodarīts kaitējums, tostarp morāls kaitējums, nelikumīgas datu apstrādes vai tādu darbību rezultātā, kuras neatbilst noteikumiem, kas pieņemti, pamatojoties uz šo direktīvu, ir tiesības saņemtpieprasīt no pārziņa kompensāciju par nodarīto kaitējumu. [Gr. 120]

2.  Ja apstrādē ir iesaistīts vairāk nekā viens pārzinis vai apstrādātājs, visi pārziņi vai apstrādātāji par nodarīto kaitējumu atbild solidāri.

3.  Pārzini vai apstrādātāju var pilnībā vai daļēji atbrīvot no šīs atbildības, ja pārzinis vai apstrādātājs pierāda, ka nav atbildīgs par notikumu, kas radījis šo kaitējumu.

55. pants

Sankcijas

Dalībvalstis paredz noteikumus par sankcijām, kas piemērojamas par noteikumu pārkāpumiem, kuri pieņemti, pamatojoties uz šo direktīvu, un veic visus vajadzīgos pasākumus, lai nodrošinātu to īstenošanu. Paredzētajām sankcijām ir jābūt efektīvām, samērīgām un atturošām.

VIIIA NODAĻA

PERSONAS DATU NOSŪTĪŠANA CITĀM PERSONĀM

55.a pants

Personas datu nosūtīšana citām iestādēm vai privātpersonām Savienībā

1.  Dalībvalstis nodrošina, ka pārzinis nenosūta vai nedod norādījumu apstrādātājam nosūtīt personas datus fiziskai vai juridiskai personai, uz kuru neattiecas saskaņā ar šo direktīvu pieņemtie noteikumi, izņemot, ja:

a)  nosūtīšanu veic saskaņā ar Savienības vai dalībvalsts tiesību aktiem; un

b)  saņēmējs atrodas Eiropas Savienības dalībvalstī; un

c)  nekādas datu subjekta konkrētas likumīgas intereses neliedz datus pārsūtīt; un

d)  nosūtīšana īpašos gadījumos ir nepieciešama, lai pārzinis, kas nosūta personas datus:

i)  pildītu tam likumīgi uzliktu pienākumu; vai

ii)  novērstu tūlītējus un nopietnus draudus sabiedrības drošībai; vai

iii)  novērstu personu tiesību būtisku aizskārumu.

2.  Pārzinis informē saņēmēju par nolūku, kuram izņēmuma kārtā personas datus atļauts apstrādāt.

3.  Pārzinis par šādiem datu nosūtīšanas gadījumiem informē uzraudzības iestādi.

4.  Pārzinis informē saņēmēju par apstrādes ierobežojumiem un nodrošina šo ierobežojumu ievērošanu. [Gr. 121]

IX NODAĻA

DELEĢĒTIE AKTI UN ĪSTENOŠANAS AKTI

56. pants

Deleģēšanas īstenošana

1.  Pilnvaras pieņemt deleģētusdeleģētos aktus Komisijai piešķir, ievērojot šajā pantā izklāstītos nosacījumus.

2.  DirektīvasPilnvaras pieņemt 25.a panta 7. punktā, 28. panta 5. punktā minētās pilnvaras ir deleģētas, 34. panta 3. punktā un 34. panta 5. punktā minētos deleģētos aktus Komisijai piešķir uz nenoteiktu laiku, sākot ar no šīs direktīvas spēkā stāšanās datumudatuma.

3.  Eiropas Parlaments vai Padome var jebkurā laikā atsaukt 25.a panta 7. punktā, 28. panta 5. punktā , 34. panta 3. punktā un 34. panta 5. punktā minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu izbeidzas lēmumā norādītās tiesības pieņemt deleģētos aktusizbeidz tajā norādīto pilnvaru deleģēšanu. Lēmums stājas spēkā nākamajā dienā pēc lēmuma publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar jau spēkā esošos deleģētos aktus.

4.  Tiklīdz Komisija pieņem deleģēto aktu, tā paziņoKomisija par to paziņo vienlaikus Eiropas Parlamentam un Padomei.

5.  Saskaņā ar 25.a panta 7. punktu, 28. panta 5. punktu, 34. panta 3. punktu un 34. panta 5. punktu pieņemts deleģētais akts stājas spēkā tikai tad, ja divu mēnešu laikā pēc Eiropas Parlamenta un Padomes informēšanas par šo aktuivos mēnešos no dienas, kad minētais akts paziņots Eiropas Parlamentam un Padomei, ne Eiropas Parlaments, ne Padome pret to nav izteikuši iebildumus nav izteikuši iebildumus, vai ja pirms minētā termiņalaikposma beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju, ka tie par savu nodomu neizteikt iebildumus neizteiks. Šo termiņu pagarina par 2 mēnešiem pēc Eiropas Parlamenta vai Padomes iniciatīvas šo laikposmu pagarina par sešiem mēnešiem. [Gr. 122]

56.a pants

Deleģēto aktu pieņemšanas termiņš

Komisija pieņem deleģētos aktus saskaņā ar 25.a panta 7. punktu un 28. panta 5. punktu līdz [seši mēneši pirms 62. panta 1. punktā noteiktā datuma]. Komisija var pagarināt šajā punktā minēto termiņu par sešiem mēnešiem. [Gr. 123]

57. pants

Komiteju procedūra

1.  Komisijai palīdz komiteja. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 izpratnē.

2.  Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

3.  Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 8. pantu saistībā ar tās 5. pantu. [Gr. 124]

X NODAĻA

NOBEIGUMA NOTEIKUMI

58. pants

Atcelšana

1.  Padomes Pamatlēmums 2008/977/TI ir atcelts.

2.  Atsauces uz atcelto pamatlēmumu, kas minēts 1. punkta, uzskata par atsaucēm uz šo direktīvu.

59. pants

Saistība ar iepriekš pieņemtiem Savienības aktiem par policijas un tiesu iestāžu sadarbību krimināllietās

Netiek skarti īpašie noteikumi par personas datu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, kuri iekļauti Savienības aktos, kas pieņemti pirms šīs direktīvas pieņemšanas datuma, kuri attiecas uz personas datu apstrādi starp dalībvalstīm un dalībvalstu noteikto iestāžu piekļuvi informācijas sistēmām šīs direktīvas piemērošanas jomā, kuras izveidotas, pamatojoties uz Līgumiem.

60. pants

Saistība ar iepriekš noslēgtiem starptautiskiem nolīgumiem par policijas un tiesu iestāžu sadarbību krimināllietās

Starptautiski nolīgumus, ko dalībvalstis noslēgušas pirms šīs direktīvas stāšanās spēkā, ja nepieciešams, groza piecus gadus pēc šīs direktīvas stāšanās spēkā.

61. pants

Izvērtēšana

1.  Komisija pēc atzinuma pieprasīšanas Eiropas Datu aizsardzības kolēģijai izvērtē šīs direktīvas piemērošanu un īstenošanu. Ciešā sadarbībā ar dalībvalstīm tā nodrošina koordināciju un iekļauj pieteiktas un nepieteiktas vizītes. Procesa laikā tiek informēts Eiropas Parlaments un Padome, un tiem ir nodrošināta piekļuve attiecīgajiem dokumentiem..

2.  Komisija trīs gadusdivu gadu laikā pēc šīs direktīvas stāšanās spēka spēkā pārskata citus Eiropas Savienības pieņemtos aktus, kas attiecas uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, jo īpaši tos Savienības aktus, kas minēti 59. pantā, lai izvērtētu nepieciešamību pielāgot tos šai direktīvai un, ja nepieciešams, iesniedz vajadzīgos priekšlikumus šos aktu grozīšanai, lai nodrošinātu konsekventu pieeju to personas datu aizsardzībai, uz kuriem attiecasun iesniedz atbilstošus priekšlikumus, lai nodrošinātu konsekventas un vienotas tiesību normas, kas attiecas uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus šīs direktīvas piemērošanas jomajomā.

2.a  Komisija divu gadu laikā pēc šīs direktīvas stāšanās spēkā iesniedz atbilstošus priekšlikumus, lai pārskatītu tiesisko regulējumu, kas attiecas uz personas datu apstrādi, ko Savienības iestādes, struktūras, biroji un aģentūras veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, nolūkā nodrošināt konsekventas un vienotas tiesību normas, kas attiecas uz personas datu aizsardzības pamattiesībām Savienībā.

3.  Komisija regulāri iesniedz Eiropas Parlamentam un Padomei ziņojumus, kuros saskaņā ar 1. punktu izvērtē un pārskata šo direktīvu. Pirmo ziņojumu iesniedz ne vēlāk kā četrus gadus pēc šīs direktīvas stāšanās spēkā. Turpmākos ziņojumus iesniedz reizi četros gados. Komisija, ja nepieciešams, iesniedz atbilstošus priekšlikumus, ar mērķi grozīt šo direktīvu un pielāgot citus tiesību aktus. Ziņojums ir publiski pieejams. [Gr. 125]

62. pants

Īstenošana

1.  Dalībvalstis ne vēlāk kā ... (12) pieņem un publicē normatīvos un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Dalībvalstis tūlīt dara Komisijai zināmus minēto noteikumu tekstus.

Tās piemēro minētos noteikumus no ...*.

Kad dalībvalstis pieņem minētos noteikumus, tajos ietver atsauci uz šo direktīvu vai arī šādu atsauci pievieno to oficiālajai publikācijai. Dalībvalstis nosaka paņēmienus, kā izdarāma šāda atsauce.

2.  Dalībvalstis dara zināmus Komisijai tiesību aktu svarīgāko noteikumu tekstu, ko tās pieņem jomā, uz ko attiecas šī direktīva.

63. pants

Stāšanās spēkā un piemērošana

Šī direktīva stājas spēkā nākamajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

64. pants

Adresāti

Šī direktīva ir adresēta dalībvalstīm.

...,

Eiropas Parlamenta vārdā Padomes vārdā

priekšsēdētājs priekšsēdētājs

(1) OV C 192, 30.6.2012., 7. lpp.
(2) Eiropas Parlamenta 2014. gada 12. marta nostāja.
(3)Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.).
(4)Padomes Pamatlēmums 2008/977/TI (2008. gada 27. novembris) par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (OV L 350, 30.12.2008., 60. lpp.).
(5) Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regula (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).
(6)Eiropas Parlamenta un Padomes 2011. gada 16. februāra Regula (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).
(7)Eiropas Parlamenta un Padomes Direktīva 2011/92/ES (2011. gada 13. decembris) par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, un ar kuru aizstāj Padomes Pamatlēmumu 2004/68/TI (OV L 335, 17.12.2011., 1. lpp.).
(8)OV L 176, 10.7.1999., 36. lpp.
(9)OV L 53, 27.2.2008., 52. lpp.
(10)OV L 160, 18.6.2011., 21. lpp..
(11) OV C 369, 17.12.2011., 14. lpp.
(12) Divi gadi pēc šīs direktīvas stāšanās spēkā.

Juridisks paziņojums - Privātuma politika