AIŠKINAMASIS MEMORANDUMAS

1. PASIŪLYMO APLINKYBĖS

Šiame aiškinamajame memorandume išsamiai išdėstytas pasiūlymas dėl naujojo asmens duomenų apsaugos ES teisinio reglamentavimo pagrindų, kaip nurodyta Komunikate COM(2012) 9 final[1]. Siūlomus naujojo teisinio reglamentavimo pagrindus sudaro du teisės aktų pasiūlymai:

– Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) ir

– Europos Parlamento ir Tarybos direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo[2].

Šis dokumentas – pasiūlymo dėl Bendrojo duomenų apsaugos reglamento aiškinamasis memorandumas.

Svarbiausias galiojantis asmens duomenų apsaugą reglamentuojantis ES teisės aktas, Direktyva 95/46/EB[3], buvo priimta 1995 m. siekiant dviejų tikslų: apsaugoti pagrindinę teisę į duomenų apsaugą ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių. Jis buvo papildytas Pamatiniu sprendimu 2008/977/TVR – pagrindine Sąjungos asmens duomenų apsaugos priemone policijos bendradarbiavimo ir teisminio bendradarbiavimo baudžiamosiose bylose srityje[4].

Dėl sparčios technologinės plėtros kilo naujų asmens duomenų apsaugos sunkumų. Stipriai išaugo keitimosi duomenimis ir jų rinkimo mastas. Technologijos leidžia privačioms įmonėms ir valdžios institucijoms vykdant savo veiklą precedento neturinčiu mastu naudotis asmens duomenimis. Asmenys vis dažniau viešina ir asmeninę informaciją, su kuria galima susipažinti pasauliniame tinkle. Technologijos pakeitė ekonominį ir socialinį gyvenimą.

Pasitikėjimo internetine aplinka stiprinimas yra ekonomikos augimo pagrindas. Nepasitikintys vartotojai vengia pirkti internetu ir naudotis naujomis paslaugomis. Dėl to galėtų sulėtėti inovatyvaus naudojimosi naujomis technologijomis tendencijos. Todėl Europos skaitmeninėje darbotvarkėje[5], o bendrais bruožais – strategijoje „Europa 2020“[6] pagrindinis vaidmuo skiriamas asmens duomenų apsaugai.

Sutarties dėl Europos Sąjungos veikimo (SESV) 16 straipsnio 1 dalyje, kuri įtraukta Lisabonos sutartimi, nustatytas principas, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą. Be to, Lisabonos sutartimi SESV 16 straipsnio 2 dalyje numatytas specialus asmens duomenų apsaugos taisyklių priėmimo teisinis pagrindas. ES pagrindinių teisių chartijos 8 straipsnyje asmens duomenų apsauga įtvirtinta kaip pagrindinė teisė.

Europos Vadovų Taryba paprašė Komisijos įvertinti duomenų apsaugą reglamentuojančių ES priemonių veikimą ir pateikti, jei būtina, papildomų teisėkūros ir kitų iniciatyvų[7]. Savo rezoliucijoje dėl Stokholmo programos Europos Parlamentas[8] palankiai įvertino išsamią duomenų apsaugos sistemą ES ir, be kitų dalykų, paragino persvarstyti Tarybos pamatinį sprendimą. Stokholmo programos įgyvendinimo veiksmų plane[9] Komisija pabrėžė poreikį užtikrinti, kad pagrindinė teisė į duomenų apsaugą būtų nuosekliai taikoma įgyvendinant visų sričių ES politiką.

Komunikate „Visapusiškas požiūris į asmens duomenų apsaugą Europos Sąjungoje“[10] Komisija padarė išvadą, kad ES reikia visapusiškesnės ir nuoseklesnės politikos užtikrinant pagrindinę teisę į asmens duomenų apsaugą.

Dabartinių reglamentavimo pagrindų tikslai ir principai tebegalioja, tačiau jie neužkirto kelio skirtingam asmens duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ir plačiai paplitusiai viešajai nuomonei, kad ypač internete duomenų apsaugai kyla rimtų grėsmių[11]. Todėl atėjo laikas parengti tvirtesnius ir nuoseklesnius ES asmens duomenų apsaugos reglamentavimo pagrindus, kurie būtų griežtai įgyvendinami ir skaitmeninei ekonomikai padėtų įsitvirtinti vidaus rinkoje, asmenims leistų kontroliuoti savo asmens duomenis ir teisiniu bei praktiniu požiūriu sustiprintų ūkinės veiklos vykdytojų ir valdžios institucijų pasitikėjimą.

2. KONSULTACIJŲ SU SUINTERESUOTOSIOMIS ŠALIMIS IR POVEIKIO VERTINIMO REZULTATAI

Ši iniciatyva teikiama po išsamių konsultacijų su visomis pagrindinėmis suinteresuotosiomis šalimis dėl galiojančių teisinio asmens duomenų apsaugos reglamentavimo pagrindų peržiūros, kurios truko ilgiau nei dvejus metus. 2009 m. gegužės mėn. vykstant konsultacijoms surengta aukšto lygio konferencija[12]. Viešosios konsultacijos vyko dviem etapais:

– Nuo 2009 m. liepos 9 d. iki gruodžio 31 d. vyko konsultacijos dėl pagrindinės teisės į asmens duomenų apsaugą teisinio reglamentavimo pagrindų. Komisija gavo 168 atsakymus: 127 iš fizinių asmenų, verslo organizacijų ir asociacijų ir 12 iš valdžios institucijų[13].

– Nuo 2010 m. lapkričio 4 d. iki 2011 m. sausio 15 d. vyko konsultacijos dėl Komisijos visapusiško požiūrio į asmens duomenų apsaugą Europos Sąjungoje. Komisija gavo 305 atsakymus: 54 iš piliečių, 31 iš valdžios institucijų ir 220 iš privačių organizacijų, visų pirma verslo asociacijų ir nevyriausybinių organizacijų[14].

Be to, vyko tikslinės konsultacijos su pagrindinėmis suinteresuotosiomis šalimis, 2010 m. birželio ir liepos mėn. buvo surengti susitikimai su valstybių narių institucijomis ir privačiojo sektoriaus suinteresuotosiomis šalimis, taip pat privatumo, duomenų apsaugos ir vartotojų teisių apsaugos organizacijomis[15]. 2010 m. lapkričio mėn. Europos Komisijos pirmininko pavaduotoja V. Reding surengė apskritojo stalo diskusiją apie duomenų apsaugos reformą. 2011 m. sausio 28 d. (Duomenų apsaugos diena) Europos Komisija ir Europos Vadovų Taryba kartu surengė aukšto lygio konferenciją, kurioje aptarė su ES teisinio reglamentavimo pagrindų reforma susijusius klausimus ir būtinybę parengti bendrus pasaulinius duomenų apsaugos standartus[16]. Tarybai pirmininkavusios Vengrija ir Lenkija atitinkamai 2011 m. birželio 16–17 d. ir 2011 m. rugsėjo 21 d. surengė dvi konferencijas duomenų apsaugos klausimais.

2011 m. vyko konkretiems klausimams skirti praktiniai užsiėmimai ir seminarai. Sausio mėn. ENISA[17] surengė praktinį seminarą, skirtą pranešimams apie duomenų saugumo pažeidimus Europoje[18]. Vasario mėn. Komisijos iniciatyva įvyko praktinis seminaras su valstybių narių institucijomis, kuriame aptarti duomenų apsaugos klausimai policijos bendradarbiavimo ir teisminio bendradarbiavimo baudžiamosiose bylose ir pamatinio sprendimo įgyvendinimo klausimai, o Pagrindinių teisių agentūra surengė konsultacinį susitikimą su suinteresuotosiomis šalimis „Duomenų apsauga ir privatumas“. 2011 m. liepos 13 d. įvyko nacionalinių duomenų apsaugos institucijų diskusija pagrindiniais reformos klausimais. 2010 m. lapkričio-gruodžio mėn. surengus Eurobarometro apklausą konsultuotasi su ES piliečiais[19]. Be to, parengta keletas tyrimų[20]. 29 straipsnio darbo grupė[21] pateikė kelias nuomones ir naudingos informacijos Komisijai[22]. Europos duomenų apsaugos priežiūros pareigūnas taip pat parengė išsamią nuomonę 2010 m. lapkričio mėn. Komisijos komunikate iškeltais klausimais[23].

2011 m. liepos 6 d. rezoliucija Europos Parlamentas patvirtino pranešimą, kuriame pritarta Komisijos nuostatai pertvarkyti duomenų apsaugos reglamentavimo pagrindus[24]. 2011 m. vasario 24 d. Europos Sąjungos Taryba priėmė išvadas, kuriose aiškiai pritarė Komisijos ketinimui pertvarkyti duomenų apsaugos reglamentavimo pagrindus ir sutiko su daugeliu Komisijos nuomonės aspektų. Europos ekonomikos ir socialinių reikalų komitetas taip pat pritarė Komisijos siekiui užtikrinti nuoseklesnį ES duomenų apsaugos taisyklių taikymą[25] visose valstybėse narėse ir tuo tikslu tinkamai peržiūrėti Direktyvą 95/46/EB[26].

Per konsultacijas dėl bendros koncepcijos didžioji dauguma suinteresuotųjų šalių sutiko, kad bendrieji principai tebegalioja, tačiau reikia keisti dabartinio reglamentavimo pagrindus, kad jie padėtų geriau reaguoti į sparčios naujųjų technologijų (ypač interneto) plėtros keliamus sunkumus ir augančią globalizaciją, kartu išlaikant teisinio reglamentavimo pagrindų neutralumą technologijų atžvilgiu. Visų pirma ūkinės veiklos vykdytojai, reikalaujantys sustiprinti teisinį tikrumą ir suderinti asmens duomenų apsaugos taisykles, stipriai kritikavo šiuo metu skirtingai Sąjungoje užtikrinamą asmens duomenų apsaugą. Jų nuomone, sudėtingos tarptautinio asmens duomenų perdavimo taisyklės yra didelė jų veiklos kliūtis, nes jiems nuolat tenka asmens duomenis perduoti iš ES į kitas pasaulio šalis.

Laikydamasi geresnio reglamentavimo politikos, Komisija atliko politikos alternatyvų poveikio vertinimą. Poveikio vertinimas grįstas trimis politikos tikslais – gerinti duomenų apsaugos vidaus rinkos aspektą, skatinti asmenis veiksmingiau naudotis teisėmis į duomenų apsaugą ir sukurti visapusiškus ir nuoseklius reglamentavimo pagrindus visoms Sąjungos kompetencijos sritims, įskaitant policijos bendradarbiavimą ir teisminį bendradarbiavimą baudžiamosiose bylose. Vertintos trys politikos galimybės, reikalaujančios skirtingo veiksmų masto: pirmoji galimybė – minimaliai keisti teisės aktus ir vadovautis aiškinamaisiais pranešimais, taip pat taikyti politikos rėmimo priemones, kaip antai finansavimo programas ir technines priemones; antroji galimybė – priimti kiekvieną analizėje iškeltą klausimą reglamentuojančias teisės nuostatas, o trečioji galimybė – centralizuoti duomenų apsaugą ES priimant tikslias ir išsamias taisykles visiems sektoriams ir įsteigti ES agentūrą, atsakingą už šių nuostatų priežiūrą ir vykdymą.

Pagal nusistovėjusią Komisijos metodologiją kartu su priežiūros grupe, sudaryta iš įvairių tarnybų atstovų, vertinta, kiek kiekviena politikos galimybe bus veiksmingai pasiekti politikos tikslai, taip pat koks jos ekonominis poveikis suinteresuotosioms šalims (ir ES institucijų biudžetui), socialinis poveikis ir poveikis pagrindinėms teisėms. Poveikis aplinkai nenustatytas. Išnagrinėjus bendrą poveikį išrinkta tinkamiausia politikos galimybė, kuri grindžiama antrąja galimybe ir kai kuriais kitų abiejų galimybių elementais. Ji sudaro šio pasiūlymo pagrindą. Remiantis poveikio vertinimu, įgyvendinus šią galimybę, be kita ko, labai sustiprėtų duomenų valdytojų ir piliečių teisinis tikrumas, sumažėtų administracinė našta, Sąjungoje būtų nuosekliai taikomi duomenų apsaugos teisės aktai, gyventojams būtų užtikrinta veiksminga galimybė ES naudotis teisėmis į asmens duomenų apsaugą ir būtų garantuota veiksminga duomenų apsaugos priežiūra ir įgyvendinimas. Be to, tikimasi, kad įgyvendinus tinkamiausią politikos galimybę bus lengviau pasiekti Komisijos tikslą supaprastinti administracines procedūras ir sumažinti administracinę naštą, taip pat Europos skaitmeninės darbotvarkės, Stokholmo veiksmų plano ir strategijos „Europa 2020“ tikslus.

Poveikio vertinimo valdybos nuomonė dėl poveikio vertinimo projekto priimta 2011 m. rugsėjo 9 d. Remiantis valdybos nuomone padarytos tokios poveikio vertinimo pataisos:

– patikslinti dabartinio teisinio reglamentavimo pagrindų tikslai (kiek jie pasiekti ir kiek nepasiekti) ir numatomos pertvarkos tikslai;

– skirsnis „Problemos apibūdinimas“ papildytas įrodymais ir išsamesniais paaiškinimais (patikslinimais);

– įtrauktas skirsnis „Proporcingumas“;

– iš esmės peržiūrėti ir pataisyti visi skaičiavimai ir apytikriai įverčiai, susiję su administracine našta pasirinkus pagrindinį scenarijų ir tinkamiausią galimybę, taip pat patikslintas pranešimo sąnaudų ir bendrų skirtingo reglamentavimo sąnaudų santykis (įskaitant 10 priedą);

– tiksliau apibrėžtas poveikis labai mažoms, mažosioms ir vidutinėms įmonėms, ypač kiek tai susiję su duomenų apsaugos pareigūnais ir duomenų apsaugos poveikio vertinimu.

Poveikio vertinimas ir jo santrauka skelbiami kartu su pasiūlymais.

3. TEISINIAI PASIŪLYMO ASPEKTAI 3.1. Teisinis pagrindas

Šis pasiūlymas grindžiamas SESV 16 straipsniu – nauju Lisabonos sutartimi sukurtu teisiniu pagrindu, kuriuo remiamasi priimant duomenų apsaugos taisykles. Vadovaujantis šia nuostata galima priimti taisykles, kuriomis užtikrinama asmenų apsauga valstybėms narėms tvarkant asmens duomenis, kai atliekama Sąjungos teisės reglamentuojama veikla. Be to, pagal šią nuostatą galima priimti taisykles, kuriomis reglamentuojamas laisvas asmens duomenų judėjimas, įskaitant valstybių narių arba privačių subjektų tvarkomus asmens duomenis.

Reglamentas laikomas tinkamiausia teisine asmens duomenų apsaugos Sąjungoje reglamentavimo priemone. Kaip nustatyta SESV 288 straipsnyje, reglamentas taikomas tiesiogiai, todėl jis padės suvienodinti teisės taikymą ir sustiprins teisinį tikrumą, nes bus numatytos suderintos pagrindinės taisyklės, sustiprinta asmenų pagrindinių teisių apsauga ir pagerintas vidaus rinkos veikimas.

Iš dalies keičiant Direktyvą 2002/58/EB, SESV 114 straipsnio 1 dalimi būtina remtis tik ta apimtimi, kuria toje direktyvoje nustatyta abonentų, kurie yra juridiniai asmenys, teisėtų interesų apsauga.

3.2. Subsidiarumas ir proporcingumas

Vadovaujantis subsidiarumo principu (SESV 5 straipsnis 3 dalis), veiksmų Sąjungos lygmeniu reikėtų imtis tik tuomet ir tiek, kiek numatytų tikslų valstybės narės negali deramai pasiekti ir todėl dėl pasiūlytų veiksmų masto ar poveikio jų geriau siekti Sąjungos lygiu. Atsižvelgiant į pirmiau išdėstytas problemas, subsidiarumo analizė patvirtina būtinybę imtis ES lygmens veiksmų dėl toliau nurodytų priežasčių:

– Pagrindinių teisių chartijos 8 straipsnyje įtvirtinta teisė į asmens duomenų apsaugą, todėl reikia užtikrinti, kad duomenų apsauga būtų vienoda visoje Sąjungoje. Neturint bendrų ES taisyklių galėtų kilti pavojus, kad valstybėse narėse bus užtikrinama nevienoda apsauga ir dėl skirtingų standartų bus ribojamas asmens duomenų judėjimas tarp valstybių narių.

– Sparčiai auga asmens duomenų perdavimo į kitas valstybes nares ir į trečiąsias šalis mastas. Be to, kyla praktinių sunkumų dėl duomenų apsaugos teisės aktų vykdymo ir poreikio valstybėms narėms bei jų institucijoms bendradarbiauti; juos reikia spręsti ES lygmeniu siekiant užtikrinti vienodą Sąjungos teisės taikymą. Todėl ES turi geriausias galimybes veiksmingai ir nuosekliai užtikrinti vienodą asmenų apsaugą, kai jų asmens duomenys perduodami į trečiąsias šalis.

– Dabartinėmis aplinkybėmis vienos valstybės narės negali sumažinti problemų, visų pirma kylančių dėl nacionalinės teisės aktų skirtumų. Taigi, yra konkretus poreikis nustatyti suderintus ir nuoseklius reglamentavimo pagrindus, kurie leistų sklandžiai perduoti asmens duomenis tarp ES valstybių narių, kartu užtikrinant veiksmingą visų fizinių asmenų apsaugą visoje ES.

– Dėl problemų, kurios būdingos ne vienai ar kelioms valstybėms narėms, pobūdžio ir masto siūlomi ES teisėkūros veiksmai bus veiksmingesni nei panašūs valstybių narių veiksmai.

Vadovaujantis proporcingumo principu, visi veiksmai turi būti tikslingi ir neviršyti to, kas būtina siekiant užsibrėžtų tikslų. Šiuo principu vadovautasi rengiant šį pasiūlymą: tiek nustatant ir vertinant politikos galimybes, tiek rengiant pasiūlymo projektą.

3.3. Pagrindinių teisių aspektų santrauka

Teisė į asmens duomenų apsaugą įtvirtinta Chartijos 8 straipsnyje, SESV 16 straipsnyje ir EŽTK 8 straipsnyje. Kaip pažymėjo ES Teisingumo Teismas[27], teisė į asmens duomenų apsaugą nėra absoliuti ir turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį[28]. Duomenų apsauga glaudžiai susijusi su Chartijos 7 straipsniu saugoma teise į privatų ir šeimos gyvenimą. Tai atsispindi iš Direktyvos 95/46/EB 1 straipsnio 1 dalies, kurioje numatyta, kad valstybės narės užtikrina fizinių asmenų pagrindinių teisių ir laisvių, o ypač jų teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis.

Galimas poveikis ir kitoms Chartijoje įtvirtintoms pagrindinėms teisėms, kaip antai saviraiškos laivei (Chartijos 11 straipsnis), laisvei užsiimti verslu (16 straipsnis), teisei į nuosavybę, o ypač intelektinės nuosavybės apsaugai (17 straipsnio 2 dalis), bet kokios diskriminacijos, be kita ko, dėl rasės, tautinės kilmės, genetinių bruožų, religijos ar tikėjimo, politinių ar kitokių pažiūrų, negalios ar seksualinės orientacijos draudimui (21 straipsnis), vaiko teisėms (24 straipsnis), teisei į aukštą sveikatos apsaugos lygį (35 straipsnis), teisei susipažinti su dokumentais (42 straipsnis) ir teisei į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą (47 straipsnis).

3.4. Išsamus pasiūlymo paaiškinimas 3.4.1. 1 SKYRIUS. BENDROSIOS NUOSTATOS

1 straipsnyje apibrėžtas reglamento dalykas ir, taip pat kaip Direktyvos 95/46/EB 1 straipsnyje, nustatyti du jo tikslai.

2 straipsnyje nustatyta dalykinė reglamento taikymo sritis.

3 straipsnyje nustatyta teritorinė reglamento taikymo sritis.

4 straipsnyje pateiktos reglamento terminų apibrėžtys. Vienos apibrėžtys perimtos iš Direktyvos 95/46/EB, kitos – pakeistos, papildytos arba naujos („asmens duomenų saugumo pažeidimo“ apibrėžtis, kuri grindžiama E. privatumo direktyvos 2002/58/EB[29], iš dalies pakeistos Direktyva 2009/136/EB[30], 2 straipsnio h punktu, terminai „genetiniai duomenys“, „biometriniai duomenys“, „sveikatos duomenys“, „pagrindinė buveinė“, „atstovas“, „įmonė“, „įmonių grupė“, „įmonei privalomos taisyklės“, „vaikas“, kaip apibrėžta Jungtinių Tautų vaiko teisių konvencijoje[31], ir „priežiūros institucija“).

Į sutikimo sąvokos apibrėžtį įtrauktas žodis „aiškus“, kad nebūtų painiojama su „vienareikšmiu“ sutikimu ir būtų vartojama viena pastovi sutikimo sąvokos apibrėžtis. Taip bus užtikrinta, kad duomenų subjektas žinos, kad jis duoda sutikimą ir su kuo jis sutinka.

3.4.2. II SKYRIUS. PRINCIPAI

5 straipsnyje nustatyti asmens duomenų tvarkymo principai, atitinkantys nustatytuosius Direktyvos 95/46/EB 6 straipsnyje. Papildomai įtraukti visų pirma tokie nauji principai: skaidrumo, duomenų kiekio mažinimo ir plačios duomenų valdytojo atsakomybės.

6 straipsnyje, kuris grindžiamas Direktyvos 95/46/EB 7 straipsniu, nustatyti teisėto tvarkymo kriterijai, kurie išdėstomi konkrečiau, kiek tai susiję su interesų suderinimo kriterijumi ir teisinių pareigų vykdymu bei viešuoju interesu.

7 straipsnyje apibrėžta, kokiomis sąlygomis sutikimas laikomas galiojančiu teisėto duomenų tvarkymo teisiniu pagrindu.

8 straipsnyje nustatytos kitos vaikų asmens duomenų tvarkymo teisėtumo sąlygos, kai vaikams tiesiogiai siūlomos informacinės visuomenės paslaugos.

Remiantis Direktyvos 95/46/EB 8 straipsniu, 9 straipsnyje numatytas bendras draudimas tvarkyti tam tikrų kategorijų asmens duomenis ir šios bendrosios taisyklės išimtys.

10 straipsnyje nustatyta, kad duomenų valdytojas neprivalo gauti papildomos informacijos, kad nustatytų duomenų subjektą, vien siekdamas laikytis kurios nors šio reglamento nuostatos.

3.4.3. III SKYRIUS. DUOMENŲ SUBJEKTO TEISĖS 3.4.3.1. 1 skirsnis. Skaidrumas ir sąlygos

11 straipsnyje įtvirtinta duomenų valdytojų pareiga suteikti skaidrią ir lengvai prieinamą bei suprantamą informaciją, kaip numatyta visų pirma Madrido rezoliucijoje dėl asmens duomenų ir privatumo tarptautinių standartų[32].

12 straipsniu duomenų valdytojas įpareigojamas numatyti duomenų subjekto teisių įgyvendinimo procedūras ir mechanizmą, įskaitant galimybes teikti elektroninius prašymus, reikalavimą per nustatytą terminą atsakyti į duomenų subjekto prašymus ir motyvuoti neigiamus atsakymus.

13 straipsnyje duomenų gavėjų teisės, grindžiamos Direktyvos 95/46/EB 12 straipsnio c punktu, numatomos visiems duomenų gavėjams, įskaitant bendrus duomenų valdytojus ir duomenų tvarkytojus.

3.4.3.2. 2 skirsnis. Informacija ir teisė susipažinti su duomenimis

14 straipsnyje išsamiai išdėstomos Direktyvos 95/46/EB 10 ir 11 straipsniais grindžiamos duomenų valdytojo pareigos informuoti duomenų subjektą ir suteikti duomenų subjektui papildomos informacijos, be kita ko, apie saugojimo laikotarpį, teisę pateikti skundą, duomenų perdavimą į užsienį ir duomenų šaltinį. Perimtos galimos Direktyvos 95/46/EB išimtys, pvz., tokia pareiga netaikoma, jei duomenų įrašymas arba atskleidimas aiškiai numatytas įstatyme. Tai galėtų būti taikoma, pavyzdžiui, konkurencijos, mokesčių ar muitų institucijų arba kompetentingų socialinės apsaugos tarnybų procedūroms.

15 straipsnyje numatyta Direktyvos 95/46/E 12 straipsnio a punktu grindžiama duomenų subjekto teisė susipažinti su savo asmens duomenimis, kuri papildyta naujais elementais, kaip antai duomenų subjekto teisė sužinoti saugojimo laikotarpį, teisė reikalauti ištaisyti ir ištrinti duomenis, taip pat teisė pateikti skundą.

3.4.3.3. 3 skirsnis. Duomenų ištaisymas ir ištrynimas

16 straipsnyje nustatyta Direktyvos 95/46/E 12 straipsnio b punktu grindžiama duomenų subjekto teisė reikalauti ištaisyti duomenis.

17 straipsnyje numatyta duomenų subjekto teisė būti pamirštam ir teisė reikalauti ištrinti duomenis. Jame plėtojama ir išsamiai išdėstoma Direktyvos 95/46/EB 12 straipsnio b punkte įtvirtinta teisė reikalauti ištrinti duomenis ir nustatomos teisės būti pamirštam sąlygos, įskaitant asmens duomenis viešai paskelbusio duomenų valdytojo pareigą informuoti trečiuosius asmenis apie duomenų subjekto prašymą ištrinti visas nuorodas į tuos duomenis, jų kopijas ar dublikatus. Be to, jame nustatyta teisė į duomenų tvarkymo apribojimą tam tikrais atvejais, taip išvengiama dviprasmiško termino „blokavimas“.

18 straipsnyje įtvirtinta duomenų subjekto teisė į duomenų perkeliamumą, t. y. teisė duomenis persiųsti iš vienos elektroninės tvarkymo sistemos į kitą, duomenų valdytojui netrukdant. Kaip šios teisės įgyvendinimo prielaida ir siekiant gerinti fizinių asmenų teisę susipažinti su savo asmens duomenimis, jame nustatyta teisė tuos duomenis iš duomenų valdytojo gauti susistemintu ir dažnai naudojamu elektroniniu formatu.

3.4.3.4. 4 skirsnis. Teisė nesutikti ir profiliavimas

19 straipsnyje nustatyta duomenų subjekto teisė nesutikti. Ji grindžiama Direktyvos 95/46/EB 14 straipsniu su tam tikrais pakeitimais, be kita ko susijusiais su įrodinėjimo našta ir jų taikymu tiesioginei rinkodarai.

20 straipsnyje reglamentuojama duomenų subjekto teisė į tai, kad nebūtų taikoma profiliavimu pagrįsta priemonė. Ji – su tam tikrais pakeitimais ir papildomomis apsaugos priemonėmis – grindžiama Direktyvos 95/46 15 straipsnio 1 dalimi, kurioje reglamentuojami automatizuoti individualūs sprendimai, be to, atsižvelgiama į Europos Tarybos rekomendaciją dėl profiliavimo[33].

3.4.3.5. 5 skirsnis. Apribojimai

21 straipsnyje tiksliau apibrėžiama Sąjungos ar valstybių narių teisė išlaikyti arba numatyti 5 straipsnyje įtvirtintų principų ir 11–20 straipsniuose bei 32 straipsnyje nustatytų duomenų subjekto teisių apribojimus. Ši nuostata grindžiama Direktyvos 95/46/EB 13 straipsniu ir reikalavimais, kylančiais iš Pagrindinių teisių chartijos ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos, kaip jas aiškina ES Teisingumo Teismas ir Europos žmogaus teisių teismas.

3.4.4. IV SKYRIUS. DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS 3.4.4.1. 1 skirsnis. Bendrosios pareigos

22 straipsnyje atsižvelgiama į diskusiją apie atskaitomybės principą ir išsamiai apibrėžiama duomenų valdytojo pareiga laikytis šio reglamento ir tą įrodyti, be kita ko, tuo tikslu numatant atitinkamas vidaus nuostatas ir mechanizmus.

23 straipsnyje nustatytos duomenų valdytojo pareigos, kylančios iš pritaikytosios ir standartizuotosios duomenų apsaugos principų.

24 straipsnyje tiksliai apibrėžiama bendrų duomenų valdytojų atsakomybė, kiek tai susiję su jų vidaus santykiais, ir duomenų subjekto atžvilgiu.

25 straipsnyje nustatyta Sąjungos teritorijoje neįsisteigusių duomenų valdytojų pareiga esant tam tikroms sąlygoms paskirti atstovą Sąjungoje, kai jų duomenų tvarkymo veiklai taikomas reglamentas.

26 straipsnyje, kuris iš dalies grindžiamas Direktyvos 95/46/EB 17 straipsnio 2 dalimi, patikslintas duomenų tvarkytojo statusas ir jo pareigos, be to, numatyta naujų aspektų, pavyzdžiui, kad duomenų tvarkytojas, kuris duomenis tvarko viršydamas duomenų valdytojo nurodymus, laikytinas bendru duomenų valdytoju.

27 straipsnis, kuriuo reglamentuojamas duomenų valdytojui ir duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas, grindžiamas Direktyvos 95/46/EB 16 straipsniu.

28 straipsnyje nustatyta duomenų valdytojų ir duomenų tvarkytojų pareiga saugoti duomenų tvarkymo operacijų, už kurias jie atsakingi, dokumentus, o ne bendra pareiga pranešti priežiūros institucijai, kaip reikalauta pagal Direktyvos 95/46/EB 18 straipsnio 1 dalį ir 19 straipsnį.

29 straipsnyje tiksliai apibrėžta duomenų valdytojo ir duomenų tvarkytojo pareiga bendradarbiauti su priežiūros institucija.

3.4.4.2. 2 skirsnis. Duomenų saugumas

30 straipsnyje nustatyta Direktyvos 95/46/EB 17 straipsnio 1 dalimi grindžiama duomenų valdytojo ir duomenų tvarkytojo pareiga įdiegti tinkamas duomenų tvarkymo saugumo priemones, kuri dabar taikoma ir duomenų tvarkytojams, neatsižvelgiant į tai, ar su duomenų valdytoju sudaryta sutartis.

Remiantis E. privatumo direktyvos 2002/58/EB 4 straipsnio 3 dalimi, kurioje reglamentuojamas pranešimas apie asmens duomenų saugumo pažeidimus, 31 ir 32 straipsniuose įtvirtinta pareiga pranešti apie asmens duomenų saugumo pažeidimus.

3.4.4.3. 3 skirsnis. Duomenų apsaugos poveikio vertinimas ir išankstinis leidimas

33 straipsnyje nustatyta duomenų valdytojų ir duomenų tvarkytojų pareiga prieš pradedant rizikingas duomenų tvarkymo operacijas atlikti duomenų apsaugos poveikio vertinimą.

34 straipsnyje reglamentuojami atvejai, kai prieš pradedant tvarkyti duomenis privaloma gauti priežiūros institucijos leidimą ir su ja konsultuotis. Jis grindžiamas Direktyvos 95/46/EB 20 straipsnyje įtvirtintu išankstinės patikros principu.

3.4.4.4. 4 skirsnis. Duomenų apsaugos pareigūnas

35 straipsnyje nustatyta, kad viešajame sektoriuje privaloma paskirti duomenų apsaugos pareigūną, o privačiajame sektoriuje – didelėse įmonėse arba tais atvejais, kai pagrindinė duomenų valdytojo ar tvarkytojo veikla yra duomenų tvarkymo operacijos, kurias būtina reguliariai ir sistemingai stebėti. Ši nuostata grindžiama Direktyvos 95/46/EB 18 straipsnio 2 dalimi, kurioje numatyta, kad valstybės narės tokį reikalavimą gali nustatyti vietoj bendros pareigos pranešti.

36 straipsnyje apibrėžiamas duomenų apsaugos pareigūno statusas.

37 straipsnyje nustatytos pagrindinės duomenų apsaugos pareigūno užduotys.

3.4.4.5. 5 skirsnis. Elgesio kodeksas ir sertifikavimas

Remiantis Direktyvos 95/46/EB 27 straipsnio 1 dalyje įtvirtinta koncepcija, 38 straipsnyje reglamentuojami elgesio kodeksai, tiksliai apibrėžiamas kodeksų turinys bei procedūros, o Komisijai suteikiami įgaliojimai spręsti dėl visuotino elgesio kodekso galiojimo.

39 straipsniu numatyta galimybė nustatyti sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis.

3.4.5. V SKYRIUS. ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS AR TARPTAUTINĖMS ORGANIZACIJOMS

40 straipsnyje nustatytas bendrasis principas, kad tame skyriuje įtvirtintas pareigas privaloma vykdyti, kai asmens duomenys perduodami į trečiąsias šalis arba tarptautinėms organizacijoms, įskaitant tolesnį perdavimą.

41 straipsnyje, kuris grindžiamas Direktyvos 95/46/EB 25 straipsniu, numatyti Komisijos sprendimo dėl tinkamumo priėmimo kriterijai, sąlygos ir tvarka. Vertindama apsaugos tinkamumo lygį, Komisija, be kita ko, atsižvelgia į tokius kriterijus kaip teisinės valstybės principas, teisminės teisių gynimo priemonės ir nepriklausoma priežiūra. Šiame straipsnyje dabar aiškiai patvirtinta Komisijos galimybė vertinti trečiosios šalies teritorijoje arba su duomenų tvarkymu susijusiame jos sektoriuje užtikrinamą apsaugos lygį.

42 straipsnyje nustatytas reikalavimas tais atvejais, kai duomenys į trečiąsias šalis perduodami Komisijai nepriėmus sprendimo dėl tinkamumo, numatyti tinkamas apsaugos priemones, visų pirma standartines duomenų apsaugos sąlygas, įmonei privalomas taisykles ir sutarties sąlygas. Galimybė remtis Komisijos standartinėmis duomenų apsaugos sąlygomis grindžiama Direktyvos 95/46/EB 26 straipsnio 4 dalimi. Nauja yra tai, kad tokias standartines duomenų apsaugos sąlygas dabar gali priimti priežiūros institucija, o Komisija – patvirtinti jų visuotiną galiojimą. Teisės akte dabar konkrečiai nurodomos įmonei privalomos taisyklės. Galimybė nustatyti sutarties sąlygas suteikia duomenų valdytojui arba tvarkytojui tam tikro lankstumo, tačiau jas turi patvirtinti priežiūros institucija.

43 straipsnyje, kuris grindžiamas dabartine praktika ir priežiūros institucijų reikalavimais, išsamiai išdėstytos duomenų perdavimo remiantis įmonei privalomomis taisyklėmis sąlygos.

44 straipsnyje, kuris grindžiamas galiojančiomis Direktyvos 95/46/EB 26 straipsnio nuostatomis, nustatytos ir patikslintos duomenų perdavimo išimtys. Jos visų pirma taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant apsaugoti svarbų viešąjį interesą, pavyzdžiui, tarptautinio duomenų keitimosi tarp konkurencijos, mokesčių ar muitų institucijų arba kompetentingų socialinės apsaugos ar žuvininkystės tarnybų atvejais. Be to, tam tikromis siaurai apibrėžtomis sąlygomis duomenų perdavimas gali būti pateisinamas teisėtu duomenų valdytojo arba tvarkytojo interesu, tačiau tik prieš tai įvertinus ir dokumentavus tos duomenų perdavimo operacijos aplinkybes.

45 straipsnyje aiškiai nustatytas tarptautinio Komisijos ir trečiųjų šalių, ypač tų, kurių užtikrinamas apsaugos lygis laikomas tinkamu, priežiūros institucijų bendradarbiavimo asmens duomenų apsaugos tikslais mechanizmas, atsižvelgiant į 2007 m. birželio 12 d. Ekonominio bendradarbiavimo ir plėtros organizacijos (EBPO) rekomendaciją dėl tarptautinio bendradarbiavimo įgyvendinant privatumo apsaugos teisės aktus.

3.4.6. VI SKYRIUS. NEPRIKLAUSOMOS PRIEŽIŪROS INSTITUCIJOS 3.4.6.1. 1 skirsnis. Nepriklausomumas

Remiantis Direktyvos 95/46/EB 28 straipsnio 1 dalimi, 46 straipsnyje nustatyta valstybių narių pareiga įsteigti priežiūros institucijas ir išplėstos priežiūros institucijų funkcijos įtraukiant bendradarbiavimą su kitomis priežiūros institucijomis ir Komisija.

47 straipsnyje tiksliai apibrėžtos priežiūros institucijų nepriklausomumo sąlygos, remiantis Europos Sąjungos Teisingumo Teismo praktika[34] ir atsižvelgiant į Reglamento (EB) Nr. 45/2001[35] 44 straipsnį.

Remiantis atitinkama teismo praktika[36] ir atsižvelgiant į Reglamento (EB) Nr. 45/2001 42 straipsnio 2–6 dalis, 48 straipsnyje nustatyti bendrieji reikalavimai priežiūros institucijų nariams.

49 straipsnyje nustatyta, kokie priežiūros institucijos įsteigimo aspektai turi būti numatyti valstybių narių teisėje.

50 straipsnyje, kuris grindžiamas Direktyvos 95/46/EB 28 straipsnio 7 dalimi, reglamentuojama priežiūros institucijos narių ir darbuotojų profesinė paslaptis.

3.4.6.2. 2 skirsnis. Pareigos ir įgaliojimai

51 straipsnyje apibrėžta priežiūros institucijų kompetencija. Bendroji kompetencija priežiūros institucijos valstybės narės teritorijoje, grindžiama Direktyvos 95/46/EB 28 straipsnio 6 dalimi, papildyta nauja – atsakingos institucijos – kompetencija tais atvejais, kai duomenų valdytojas arba tvarkytojas įsisteigęs keliose valstybėse narėse; tuo siekiama užtikrinti vienodą taikymą (vieno langelio principas). Atlikdami teisingumo funkciją, teismai nėra stebimi priežiūros institucijos, tačiau jiems taikomos materialinės duomenų apsaugos teisės normos.

52 straipsnyje nustatytos priežiūros institucijos pareigos, be kita ko, nagrinėti ir tirti skundus, ir gerinti visuomenės informuotumą apie riziką, taisykles, apsaugos priemones ir teises.

53 straipsnyje, kuris iš dalies grindžiamas Direktyvos 95/46/EB 28 straipsnio 3 dalimi ir Reglamento (EB) Nr. 45/2001 47 straipsniu, numatyti ir išplėsti priežiūros institucijos įgaliojimai, įskaitant teisę už administracinius pažeidimus skirti sankcijas.

Remiantis Direktyvos 95/46/EB 28 straipsnio 5 dalimi, 54 straipsnyje įtvirtinta priežiūros institucijos pareiga rengti metines veiklos ataskaitas.

3.4.7. VII SKYRIUS. BENDRADARBIAVIMAS IR NUOSEKLUMAS 3.4.7.1. 1 skirsnis. Bendradarbiavimas

Remiantis Direktyvos 95/46/EB 28 straipsnio 6 dalies antra pastraipa, 55 straipsnyje aiškiai nustatytos privalomos savitarpio pagalbos taisyklės, įskaitant pasekmes, kylančias, kai nepaisoma kitos priežiūros institucijos prašymo.

Remiantis Tarybos sprendimo 2008/615/TVR[37] 17 straipsniu, 56 straipsnyje numatytos bendrų operacijų taisyklės, įskaitant priežiūros institucijų teisę dalyvauti tokiose operacijose.

3.4.7.2. 2 skirsnis. Nuoseklumas

57 straipsnyje numatytas nuoseklumo užtikrinimo mechanizmas, kuriuo siekiama, kad duomenų tvarkymo operacijoms, į kurias gali būti įtraukti duomenų subjektai iš kelių valstybių narių, teisė būtų taikoma vienodai.

58 straipsnyje nustatyta Europos duomenų apsaugos valdybos nuomonės priėmimo tvarka ir sąlygos.

59 straipsniu reglamentuojamos Komisijos nuomonės su nuoseklumo užtikrinimo mechanizmu susijusiais klausimais, kurios gali patvirtinti Europos duomenų apsaugos valdybos nuomonę arba skirtis, ir priežiūros institucijos priemonės projektas. Kai klausimą pagal 58 straipsnio 3 dalį iškelia Europos duomenų apsaugos valdyba, tikėtina, kad Komisija pasinaudos diskrecijos teise ir prireikus pateiks savo nuomonę.

60 straipsniu reglamentuojami Komisijos sprendimai, kuriais reikalaujama, kad kompetentinga institucija sustabdytų priemonės projekto priėmimą, kai būtina užtikrinti tinkamą šio reglamento taikymą.

61 straipsnyje numatyta galimybė skubos tvarka taikyti laikinąsias priemones.

62 straipsnyje nustatyti reikalavimai Komisijos įgyvendinimo aktams, priimtiems pagal nuoseklumo užtikrinimo mechanizmą.

63 straipsnyje įtvirtinta pareiga priežiūros institucijos priemones vykdyti visose valstybėse narėse ir numatyta, kad atitinkama priemonė teisinę galią įgyja ir tampa vykdytina, tik jeigu taikomas nuoseklumo užtikrinimo mechanizmas.

3.4.7.3. 3 skirsnis. Europos duomenų apsaugos valdyba

64 straipsniu įsteigiama Europos duomenų apsaugos valdyba, kurią sudaro visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas. Europos duomenų apsaugos valdyba pakeičia pagal Direktyvos 95/46/EB 29 straipsnį įsteigtą darbo grupę asmenų apsaugai tvarkant asmens duomenis. Šiame straipsnyje patikslinama, kad Komisija nėra Europos duomenų apsaugos valdybos narė, tačiau turi teisę dalyvauti jos veikloje ir dalyvauti jos posėdžiuose.

65 straipsnyje pabrėžiamas ir apibrėžiamas Europos duomenų apsaugos valdybos nepriklausomumas.

Remiantis Direktyvos 95/46/EB 30 straipsnio 1 dalimi, 66 straipsnyje nustatytos ir papildytos Europos duomenų apsaugos valdybos užduotys, kurios atspindi išaugusį Europos duomenų apsaugos valdybos veiklos Sąjungoje ir už jos ribų mastą. Kad skubos atvejais būtų galima reaguoti, Komisijai suteikiama galimybė nustatyti terminą nuomonei pateikti.

Remiantis Direktyvos 95/46/EB 30 straipsnio 6 dalimi, 67 straipsnyje nustatyta Europos duomenų apsaugos valdybos pareiga teikti metines veiklos ataskaitas.

68 straipsnyje nustatyta Europos duomenų apsaugos valdybos sprendimų priėmimo tvarka, taip pat pareiga priimti darbo tvarkos taisykles, kuriose, be kita ko, būtų nustatyta darbo tvarka.

69 straipsnyje įtvirtintos pirmininkavimo Europos duomenų apsaugos valdybai ir pirmininko pavadavimo nuostatos.

70 straipsnyje nustatytos pirmininko užduotys.

71 straipsnyje numatyta, kad Europos duomenų apsaugos valdybos sekretoriato paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno tarnyba, ir apibrėžiamos sekretoriato užduotys.

72 straipsnyje nustatytos konfidencialumo taisyklės.

3.4.8. VIII SKYRIUS. TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

Remiantis Direktyvos 95/46/EB 28 straipsnio 4 dalimi, 73 straipsnyje įtvirtinta duomenų subjektų teisė pateikti skundą priežiūros institucijai. Be to, jame nurodytos įstaigos, organizacijos ar asociacijos, kurios duomenų subjekto vardu gali pateikti skundą arba – asmens duomenų saugumo pažeidimo atveju – net ir duomenų subjektui skundo nepateiktus.

74 straipsnyje reglamentuojama teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją. Šis straipsnis grindžiamas Direktyvos 95/46/EB 28 straipsnio 3 dalies bendrąja nuostata. Jame aiškiai nustatyta teisminė teisių gynimo priemonė, siekiant priežiūros instituciją priversti veikti, kai gautas skundas, ir nurodyta valstybės narės, kurioje priežiūros institucija įsisteigusi, teismų kompetencija. Be to, šiame straipsnyje numatyta, kad valstybės narės, kurioje duomenų subjektas gyvena, priežiūros institucija duomenų subjekto vardu gali kreiptis į kitos valstybės narės, kurioje įsisteigusi kompetentinga priežiūros institucija, teismus.

Remiantis Direktyvos 95/46/EB 22 straipsniu, 75 straipsnyje reglamentuojama teisė imtis teisių gynimo priemonių prieš duomenų valdytoją arba tvarkytoją, ir numatyta galimybė pasirinktinai kreiptis arba į valstybės narės, kurioje įsisteigęs atsakovas, arba kurioje gyvena duomenų subjektas, teismą. Kai tas pats klausimas sprendžiamas pagal nuoseklumo užtikrinimo mechanizmą, teismas gali sustabdyti bylos nagrinėjimą, išskyrus skubos atvejais.

76 straipsnyje nustatytos bendros teismo proceso taisyklės, įskaitant įstaigų, organizacijų arba asociacijų teises atstovauti duomenų subjektams teisme, priežiūros institucijų teisę būti proceso šalimi, teismų informavimą apie kitoje valstybėje narėje tuo pačiu metu vykstančius procesus ir teismų galimybę tokiais atvejais sustabdyti bylos nagrinėjimą[38]. Valstybės narės įpareigotos užtikrinti spartų teismo procesą[39].

77 straipsnyje nustatyta teisė reikalauti atlyginti žalą ir atsakomybė. Ši teisė, kuri grindžiama Direktyvos 65/46/EB 23 straipsniu, išplėsta numatant galimybę reikalauti duomenų tvarkytojo padarytos žalos atlyginimo. Be to, tiksliau apibrėžta bendrų duomenų valdytojų ir bendrų duomenų tvarkytojų atsakomybė.

78 straipsniu valstybės narės įpareigojamos nustatyti sankcijas už reglamento pažeidimus reglamentuojančias taisykles ir užtikrinti jų įgyvendinimą.

79 straipsnyje įtvirtinta priežiūros institucijų pareiga taikyti sankcijas už šioje nuostatoje išvardytus administracinius pažeidimus ir tinkamai išnagrinėjus kiekvieno atvejo aplinkybes skirti tam tikro nustatyto dydžio neviršijančias baudas.

3.4.9. IX SKYRIUS. NUOSTATOS, SUSIJUSIOS SU SPECIALIAIS DUOMENŲ TVARKYMO ATVEJAIS

80 straipsniu valstybės narės įpareigojamos nustatyti specialiųjų reglamento normų išimtis ir nukrypti leidžiančias nuostatas, kai būtina suderinti teisę į asmens duomenų apsaugą ir teisę į saviraiškos laisvę. Jis grindžiamas Direktyvos 95/46/EB 9 straipsniu, kaip jį aiškina ES Teisingumo Teismas[40].

81 straipsniu valstybės narės įpareigojamos, be specialių kategorijų duomenų tvarkymo sąlygų, užtikrinti ir specialias duomenų tvarkymo sveikatos priežiūros tikslais apsaugos priemones.

82 straipsniu valstybėms narėms suteikta galimybė priimti specialius teisės aktus, kuriais reglamentuojamas asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais.

83 straipsnyje nustatytos specialios asmens duomenų tvarkymo sąlygos istoriniais, statiniais ir mokslinių tyrimų tikslais.

84 straipsniu valstybėms narėms suteikta galimybė priimti specialias taisykles, kuriomis reglamentuojama priežiūros institucijų teisė gauti asmens duomenis ir patekti į patalpas, kai duomenų valdytojas įpareigotas saugoti paslaptį.

85 straipsniu leidžiama, atsižvelgiant į Sutarties dėl Europos Sąjungos veikimo 17 straipsnį, toliau taikyti galiojančias išsamias bažnyčių duomenų apsaugos taisykles, jeigu jos dera su šiuo reglamentu.

3.4.10. X SKYRIUS. DELEGUOTIEJI AKTAI IR ĮGYVENDINIMO AKTAI

86 straipsnyje numatytos standartinės įgaliojimų perdavimo pagal SESV 290 straipsnį nuostatos. Taip teisės aktų leidėjui suteikiama galimybė įgalioti Komisiją priimti visuotinai taikomus įstatymo galios neturinčius teisės aktus, kuriais papildomos ar iš dalies keičiamos neesminės įstatymo galią turinčio teisės akto nuostatos (kvaziteisėkūros aktai).

87 straipsnyje įtvirtinta nuostata dėl komiteto procedūros, pagal kurią Komisijai perduodami įgyvendinimo įgaliojimai, kai, remiantis SESV 291 straipsniu, teisiškai privalomi Sąjungos aktai turi būti įgyvendinti vienodomis sąlygomis. Taikoma nagrinėjimo procedūra.

3.4.11. XI SKYRIUS. BAIGIAMOSIOS NUOSTATOS

88 straipsniu panaikinama Direktyva 95/46/EB.

89 straipsnyje apibrėžiamas santykis su E. privatumo direktyva 2002/58/EB ir ji iš dalies keičiama.

90 straipsnyje nustatyta Komisijos pareiga vertinti reglamentą ir teikti atitinkamus pranešimus.

91 straipsnyje nustatyta reglamento įsigaliojimo data, o jo taikymo pradžiai – pereinamasis laikotarpis.

4.           POVEIKIS BIUDŽETUI

Konkretus pasiūlymo poveikis biudžetui susijęs su Europos duomenų apsaugos priežiūros pareigūnui paskirtomis užduotimis, išdėstytas prie šio pasiūlymo pridėtose finansinėse teisės aktų pasiūlymų pažymose. Todėl reikia perprogramuoti Finansinės perspektyvos 5 išlaidų kategoriją.

Pasiūlymas neturi poveikio veiklos išlaidoms.

Prie šio reglamento pasiūlymo pridėtose finansinėse teisės aktų pasiūlymų pažymose nurodytas tiek reglamento, tiek Direktyvos dėl policijos ir teismo duomenų apsaugos poveikis biudžetui.

2012/011 (COD)

Pasiūlymas

EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS

dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas)

(Tekstas svarbus EEE)

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 16 straipsnio 2 dalį ir 114 straipsnio 1 dalį,

atsižvelgdami į Europos Komisijos pasiūlymą,

teisės akto projektą perdavus nacionaliniams parlamentams,

atsižvelgdami į Europos ekonomikos ir socialinių reikalų komiteto nuomonę[41],

pasikonsultavę su Europos duomenų apsaugos priežiūros pareigūnu[42],

taikydami įprastą teisėkūros procedūrą,

kadangi:

(1) fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje ir Sutarties 16 straipsnio 1 dalyje nustatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

(2) duomenų tvarkymo paskirtis – tarnauti žmogui; asmenų apsaugos principais ir taisyklėmis, taikomais tvarkant jų asmens duomenis, turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Tai turėtų padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą, skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką, siekti jų integracijos vidaus rinkoje ir žmonių gerovės;

(3) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo[43] siekiama suderinti fizinių asmenų pagrindinių teisių ir laisvių apsaugą atliekant duomenų tvarkymo operacijas ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių;

(4) dėl ekonominės ir socialinės integracijos, kuri yra vidaus rinkos veikimo rezultatas, labai išaugo judėjimas tarp valstybių narių. Sąjungoje padidėjo keitimosi duomenimis tarp ūkio ir socialinio sektoriaus, taip pat viešojo ir privačiojo sektoriaus subjektų mastas. Sąjungos teisė įpareigoja valstybių narių institucijas bendradarbiauti ir keistis asmens duomenimis, kad šios galėtų vykdyti savo pareigas arba kitos valstybės narės institucijos prašymu atlikti užduotis;

(5) dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Stipriai išaugo keitimosi duomenimis ir jų rinkimo mastas. Technologijos leidžia privačioms įmonėms ir valdžios institucijoms vykdant savo veiklą precedento neturinčiu mastu naudotis asmens duomenimis. Asmenys vis dažniau viešina asmeninę informaciją, su kuria galima susipažinti pasauliniame tinkle. Technologijos pakeitė ekonominį ir socialinį gyvenimą todėl reikia palengvinti laisvą duomenų judėjimą Sąjungoje ir jų perdavimą į trečiąsias šalis bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį;

(6) dėl šių pokyčių Sąjungoje reikia nustatyti tvirtus ir nuoseklesnius duomenų apsaugos reglamentavimo pagrindus, kurie būtų griežtai įgyvendinami, kad išaugtų pasitikėjimas, kuris skaitmeninei ekonomikai padėtų įsitvirtinti vidaus rinkoje. Asmenims turėtų būti suteikta galimybė kontroliuoti savo asmens duomenis, be to, teisiniu ir praktiniu požiūriu turėtų būti sustiprintas ūkinės veiklos vykdytojų ir valdžios institucijų pasitikėjimas;

(7) Direktyvos 95/46/EB tikslai ir principai tebegalioja, tačiau ji neužkirto kelio skirtingam asmens duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ir plačiai paplitusiai viešajai nuomonei, kad ypač internete asmenų apsaugai kyla rimtų grėsmių. Dėl skirtingo asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje. Todėl šie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungoje, iškreipti konkurenciją ar trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę. Skirtingo lygio apsaugą lėmė nevienodas Direktyvos 95/46/EB įgyvendinimas ir taikymas;

(8) siekiant užtikrinti vienodą aukšto lygio asmenų apsaugą ir pašalinti asmens duomenų judėjimo kliūtis, visose valstybėse narėse turėtų būti suteikiama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, reglamentuojančių fizinių asmenų pagrindinių teisių ir laisvių apsaugą tvarkant asmens duomenis, taikymas;

(9) siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir patikslinti duomenų subjektų teises ir asmens duomenis tvarkančių ir su jų tvarkymu susijusius sprendimus priimančių subjektų pareigas, bet ir nustatyti lygiaverčius priežiūros įgaliojimus valstybėse narėse ir užtikrinti, kad būtų laikomasi asmens duomenų apsaugos taisyklių, o pažeidėjams taikomos lygiavertės sankcijos;

(10) Sutarties 16 straipsnio 2 dalimi Europos Parlamentas ir Taryba įgaliojami nustatyti asmenų apsaugos tvarkant asmens duomenis ir laisvo asmens duomenų judėjimo taisykles;

(11) siekiant užtikrinti vienodą asmenų apsaugą visoje Sąjungoje ir pašalinti skirtumus, kurie kliudo asmens duomenų judėjimui vidaus rinkoje, būtina priimti reglamentą, kuris ūkinės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, suteiktų teisinio tikrumo ir skaidrumo, asmenims – visose valstybėse narėse vienodas teisiškai įgyvendinamas teises, duomenų valdytojams ir duomenų tvarkytojams – nustatytų vienodas pareigas bei atsakomybę, užtikrintų nuoseklią asmens duomenų tvarkymo priežiūrą ir visose valstybėse narėse lygiavertes sankcijas, taip pat veiksmingą atskirų valstybių narių priežiūros institucijų bendradarbiavimą. Kad būtų atsižvelgta į ypatingą labai mažų, mažųjų ir vidutinių įmonių padėtį, šiame reglamente numatyta tam tikrų nukrypti leidžiančių nuostatų. Be to, Sąjungos institucijos ir įstaigos, valstybės narės ir jų priežiūros institucijos raginamos taikant šį reglamentą atsižvelgti į specialius labai mažų, mažųjų ir vidutinių įmonių poreikius. Labai mažų, mažųjų ir vidutinių įmonių apibrėžtis turėtų būti grindžiama 2003 m. gegužės 6 d. Komisijos rekomendacija dėl labai mažų, mažųjų ir vidutinių įmonių sampratos;

(12) šiuo reglamentu fiziniams asmenims užtikrinama apsauga tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Kiek tai susiję su juridinių asmenų ir ypač juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymu, teisė remtis šiuo reglamentu nesuteikiama. Tai taikytina ir tais atvejais, kai juridinio asmens pavadinime yra vieno ar daugiau fizinių asmenų vardai;

(13) asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir nepriklausyti nuo taikomų metodų; priešingu atveju iškiltų rimta teisės aktų apėjimo grėsmė. Asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

(14) šiuo reglamentu nereguliuojami nei pagrindinių teisių ir laisvių apsaugos ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, judėjimo klausimai, nei asmens duomenų tvarkymas, kai duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros, kurioms taikomas Reglamentas (EB) Nr. 45/2001[44], arba valstybės narės, atlikdamos su Sąjungos bendra užsienio ir saugumo politika susijusią veiklą;

(15) šis reglamentas neturėtų būti taikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko išimtinai asmeniniais arba šeiminiais tikslais, pavyzdžiui, korespondencijai ir adresų saugojimui, ir nesiekdamas pelno, t. y. nesusiedamas su profesine ar komercine veikla. Išimtis neturėtų būti taikoma duomenų valdytojams ar tvarkytojams, kurie tokiai su asmeniniais ar šeiminiais tikslais susijusiai veiklai teikia asmens duomenų tvarkymo priemones;

(16) fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu. Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymui tokiais tikslais. Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, jų tvarkymas turėtų būti reglamentuojamas kitu specialiu Sąjungos teisės aktu (Direktyva XX/YYY);

(17) šis reglamentas neturėtų daryti poveikio Direktyvos 2000/31/EB, visų pirma jos 12–15 straipsniuose įtvirtintų tarpininkavimo paslaugų teikėjų atsakomybės nuostatų, taikymui;

(18) taikant šio reglamento nuostatas galima atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą;

(19) bet koks asmens duomenų tvarkymas, atliekamas duomenų valdytojo ar tvarkytojo buveinei veikiant Sąjungoje, turėtų vykti pagal šio reglamento nuostatas, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama Sąjungos teritorijoje. Buveinė per stabilias struktūras turi vykdyti veiksmingą ir realią veiklą. Teisinė tokios struktūros forma, neatsižvelgiant į tai, ar tai filialas ar patronuojamoji bendrovė, turinti juridinio asmens statusą, šiuo požiūriu nėra svarbus veiksnys;

(20) kad asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal šį reglamentą, šis reglamentas turėtų būti taikomas Sąjungoje gyvenančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas, tvarkymui, kai duomenų tvarkymas susijęs su prekių ar paslaugų siūlymu tokiems duomenų subjektams arba tokių duomenų subjektų elgesio stebėjimu;

(21) siekiant nustatyti, ar duomenų tvarkymas gali būti laikomas duomenų subjektų elgesio stebėjimu, reikėtų įvertinti, ar asmenys internete atsekti taikant duomenų tvarkymo metodus, kuriais asmeniui priskiriamas tam tikras profilis, ypač siekiant sužinoti jo sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį ir įpročius;

(22) kai pagal viešąją tarptautinę teisę taikoma valstybės narės teisė, pavyzdžiui, valstybių narių diplomatinėse atstovybėse ar kosulinėse įstaigose, šis reglamentas taip pat turėtų būti taikomas Sąjungos teritorijoje neįsisteigusiems duomenų valdytojams;

(23) apsaugos principai turėtų būti taikomi bet kokiai informacijai apie asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Sprendžiant, ar galima nustatyti asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei nustatyti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo. Apsaugos principai neturėtų būti taikomi duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė nebegali būti nustatyta;

(24) naudodamiesi interneto paslaugomis, asmenys gali būti susieti su savo įrenginių, programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui interneto protokolo adresais arba slapukų identifikatoriais. Taip gali likti pėdsakų, kurie kartu su unikaliu identifikatoriumi ir kita serverio gauta informacija gali būti panaudoti asmenų profiliams kurti ir jiems identifikuoti. Todėl asmens identifikavimo numeris, vietos nustatymo duomenys, interneto identifikatoriai ar kiti specifiniai požymiai patys savaime nebūtinai visomis aplinkybėmis turi būti laikomi asmens duomenimis;

(25) sutikimas turi būti išreikštas aiškiai ir tinkamu būdu, leidžiančiu savanoriškai ir konkrečiai tinkamai informuotam duomenų subjektui išreikšti valią pareiškimu arba vienareikšmiais veiksmais, ir užtikrinančiu, kad asmenys suvokia sutinkantys, kad būtų tvarkomi jų asmens duomenys, pavyzdžiui, pažymėdami langelį interneto svetainėje arba kitaip pareikšdami ar atlikdami kitus veiksmus, šiomis aplinkybėmis aiškiai parodančius duomenų subjekto sutikimą su ketinimu tvarkyti jų asmens duomenis. Todėl tylėjimas arba neveikimas neturėtų būti laikomas sutikimu. Sutikimas turėtų apimti visas duomenų tvarkymo operacijas, atliekamas tuo pačiu tikslu ar tais pačiais tikslais. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

(26) prie asmens sveikatos duomenų turėtų būti priskirta visa informacija apie duomenų subjekto sveikatos būklę, informacija apie asmens registraciją sveikatos priežiūros paslaugoms gauti, informacija apie apmokėjimą ar asmens teisę į sveikatos priežiūrą, asmens numeris, simbolis ar žymė, pagal kurią būtų galima nustatyti asmens tapatybę sveikatos priežiūros tikslais, visa informacija apie asmenį, kuri buvo surinkta jam teikiant sveikatos priežiūros paslaugas, informacija, gauta atliekant kūno dalies ar medžiagos tyrimus, įskaitant biologinius ėminius, asmeniui sveikatos priežiūros paslaugas teikiančio paslaugų teikėjo tapatybė ar kita informacija, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba faktinę duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pvz., ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos prietaiso ar in vitro diagnostinio tyrimo;

(27) pagrindinė duomenų valdytojo buveinė Sąjungos teritorijoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią veiklą, priimdama sprendimus dėl duomenų tvarkymo tikslų, sąlygų ir būdų. Vertinant šį kriterijų nėra svarbu, ar asmens duomenys faktiškai buvo tvarkomi toje vietoje; asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo operacijos savaime nepagrindžia pagrindinės buveinės egzistavimo ir todėl nėra esminis pagrindinės buveinės nustatymo kriterijus. Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungos teritorijoje;

(28) įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės santykių, finansinių įnašų, įmonės veiklą reglamentuojančių taisyklių arba įgaliojimo nustatyti asmens duomenų apsaugos taisykles;

(29) vaikams turėtų būti užtikrinta ypatinga jų asmens duomenų apsauga, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusią riziką, pasekmes, apsaugos priemones ir savo teises. Siekiant nustatyti, koks asmuo laikomas vaiku, šiame reglamente turėtų būti vadovaujamasi JT Vaiko teisių konvencijoje nustatytos apibrėžties;

(30) asmens duomenys turėtų būti tvarkomi teisėtai, sąžiningai ir skaidriai suinteresuotųjų asmenų atžvilgiu. Visų pirma turėtų būti aiškūs, teisėti ir duomenų rinkimo metu nustatyti konkretūs tikslai, kuriais tvarkomi duomenys. Duomenys turėtų būti adekvatūs, susiję ir jų apimtis neviršyti tikslų, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad būtų surinkta ne per daug duomenų, o duomenų saugojimo laikotarpis būtų tik minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei duomenų tvarkymo tikslų negalima pasiekti kitomis priemonėmis. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus;

(31) kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo asmens sutikimą arba kitu teisėtu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos ar valstybės narės teisės akte;

(32) kai duomenys tvarkomi gavus duomenų subjekto sutikimą, pareiga įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija, turėtų tekti duomenų valdytojui. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvokia, kad sutinka ir dėl ko;

(33) siekiant užtikrinti, kad sutikimas būtų savanoriškas, reikėtų tiksliai apibrėžti, kad sutikimas nėra laikomas galiojančiu teisiniu pagrindu, kai asmuo faktiškai neturi laisvo pasirinkimo ir todėl negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamos žalos;

(34) sutikimas neturėtų būti laikomas galiojančiu asmens duomenų tvarkymo teisiniu pagrindu, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas. Tai yra visų pirma tuomet, kai duomenų subjektas yra priklausomas nuo duomenų valdytojo, pavyzdžiui, kai palaikant darbo santykius darbuotojo asmens duomenis tvarko darbdavys. Kai duomenų valdytojas yra valdžios institucija, disbalansas atsirastų tik atliekant tokias specialias tvarkymo operacijas, kurių atveju valdžios institucija, remdamasi savo viešaisiais įgaliojimais, gali nustatyti pareigą ir sutikimas negali būti laikomas savanorišku, atsižvelgiant į duomenų subjekto interesus;

(35) duomenų tvarkymas turėtų būti teisėtas, kai juos būtina tvarkyti siekiant vykdyti sutartį arba ketinant ją sudaryti;

(36) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią pareigą arba kai duomenis būtina tvarkyti viešojo intereso užduočiai įvykdyti ar vykdant valdžios įgaliojimus, duomenų tvarkymo teisinis pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje ir atitikti Europos Sąjungos pagrindinių teisių chartijos reikalavimus, jei teisės arba laisvės suvaržomos. Be to, Sąjungos arba nacionalinėje teisėje turi būti nustatyta, ar duomenų valdytojas, vykdantis viešojo intereso užduotį arba valdžios įgaliojimus, turėtų būti viešojo administravimo institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba privatinės teisės reglamentuojamas fizinis ar juridinis asmuo, kaip antai profesinė asociacija;

(37) asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai duomenis tvarkyti būtina norint apsaugoti gyvybinį duomenų subjekto interesą;

(38) teisėti duomenų valdytojo interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni. Juos reikėtų kruopščiai pasverti visų pirma tuomet, kai duomenų subjektas yra vaikas, nes vaikams reikalinga ypatinga apsauga. Duomenų subjektui turėtų būti suteikta teisė dėl priežasčių, susijusių su jo konkrečia padėtimi, nesutikti, kad duomenys būtų tvarkomi, ir dėl to nepatirti išlaidų. Siekiant užtikrinti skaidrumą, duomenų valdytojas turėtų būti įpareigotas aiškiai informuoti duomenų subjektą apie teisėtus interesus, kurių siekia, ir jo teisę su tuo nesutikti, be to, jis turėtų būti įpareigotas šiuos teisėtus interesus dokumentuoti. Atsižvelgiant į tai, kad teisinį duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, šis pateisinimo pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas;

(39) duomenų tvarkymas, atliekamas valstybės institucijų, kompiuterinių incidentų tarnybų (angl. Computer Emergency Response Teams, CERT), kompiuterių saugumo incidentų tyrimo tarnybų (angl. Computer Emergency Response Teams, CSIRT), elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų, laikomas teisėtu atitinkamo duomenų valdytojo interesu tiek, kiek to reikia siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar perduodamų duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia arba kurios prieinamos per tuos tinklus ir sistemas, saugumą. Toks teisėtas interesas galėtų būti, pavyzdžiui, kelio užkirtimas neteisėtai prieigai prie elektroninių ryšių tinklų, kenkimo programų kodų platinimui, elektroninės paslaugų trikdymo atakoms (angl. denial of service) ir kompiuterių bei elektroninių ryšių sistemų sugadinimui;

(40) asmens duomenų tvarkymas kitais tikslais turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas dera su tikslais, kuriais iš pradžių duomenys buvo rinkti, visų pirma, kai duomenis tvarkyti būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais. Kai kitas tikslas su pradiniu duomenų rinkimo tikslu nedera, duomenų valdytojas turėtų gauti duomenų subjekto sutikimą duomenis tvarkyti tuo kitu tikslu arba duomenų tvarkymą pagrįsti kitu teisėtu pagrindu, visų pirma įtvirtintu Sąjungos teisėje arba duomenų valdytojui taikytinos valstybės narės teisėje. Visais atvejais turėtų būti užtikrinta, kad bus taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas bus informuotas apie tuos kitus duomenų tvarkymo tikslus;

(41) reikia užtikrinti ypatingą asmens duomenų, visų pirma tų, kurie dėl savo pobūdžio yra neskelbtini ir dėl kurių gali būti pažeistos pagrindinės teisės arba privatumas, apsaugą; tokie duomenys neturėtų būti tvarkomi, nebent duomenų subjektas su tuo aiškiai sutiko. Tačiau būtinųjų poreikių atveju reikėtų aiškiai nustatyti šio draudimo išimtis, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kovojantys už pagrindinių laisvių įgyvendinimą;

(42) be to, netaikyti draudimo tvarkyti ypatingų kategorijų duomenis turėtų būti leidžiama, jei tai numatyta įstatyme ir taikomos tinkamos asmens duomenų ir kitų pagrindinių teisių apsaugos priemonės, kai galima pateisinti viešojo intereso pagrindais, visų pirma kai tai susiję su sveikatos klausimais, įskaitant visuomenės sveikatos ir socialinės apsaugos užtikrinimą ir sveikatos priežiūros paslaugų administravimą, ypač siekiant, kad sveikatos draudimo sistemoje taikomos prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros būtų kokybiškos ir nereikalautų daug sąnaudų, arba kai duomenys tvarkomi istoriniais, statistiniais ir mokslinių tyrimų tikslais;

(43) be to, siekiant oficialiai pripažintų religinių bendruomenių tikslų, išdėstytų konstitucinėje teisėje arba tarptautinėje viešojoje teisėje, valdžios institucijos asmens duomenis tvarko viešojo intereso pagrindais;

(44) tais atvejais, kai, vykstant rinkimams, demokratinės sistemos veikimui tam tikroje valstybėje narėje užtikrinti būtina, kad politinės partijos surinktų duomenis apie asmenų politines pažiūras, gali būti leista tvarkyti tokius duomenis ginant viešąjį interesą su sąlyga, kad yra nustatytos tinkamos apsaugos priemonės;

(45) jeigu duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, jis neturėtų būti įpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos. Kai pateikiamas prašymas susipažinti su duomenimis, duomenų valdytojas turėtų turėti teisę pareikalauti iš duomenų subjekto papildomos informacijos, kuri jam padėtų rasti prašomus asmens duomenis;

(46) skaidrumo principas reiškia, kad visa visuomenei arba duomenų subjektui skirta informacija turėtų būti lengvai prieinama ir suprantama, t. y. suformuluota aiškiai ir paprastai. Tai ypač svarbu tokiais atvejais, kaip antai interneto reklama, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu. Kai duomenų tvarkymas orientuotas būtent į vaikus, dėl būtinybės vaikams užtikrinti ypatingą apsaugą visa informacija ir pranešimai turi būti suformuluoti vaikui lengvai suprantama, aiškia ir paprasta kalba;

(47) siekiant palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, turėtų būti nustatytos naudojimosi jomis sąlygos, įskaitant visų pirma prašymo nemokamai suteikti teisę susipažinti su duomenimis, reikalauti juos ištaisyti ir ištrinti, taip pat naudojimosi teise nesutikti tvarką. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti per nustatytą terminą ir, jei duomenų subjekto prašymo netenkina, nurodyti priežastis;

(48) pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui turėtų būti pranešta visų pirma apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, kaip ilgai bus saugomi duomenys, apie teisę susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti ir apie teisę pateikti skundą. Kai duomenys renkami iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuotas, ar jis privalo pateikti duomenis, taip pat apie tokių duomenų nepateikimo pasekmes;

(49) informacija apie duomenų subjekto asmens duomenų tvarkymą turėtų būti suteikta duomenis renkant arba – kai duomenys renkami ne iš duomenų subjekto – per pagrįstą laikotarpį, priklausomai nuo konkretaus atvejo aplinkybių. Kai duomenis galima teisėtai atskleisti kitam duomenų gavėjui, duomenų subjektas apie tai turėtų būti informuojamas pirmo duomenų atskleidimo jų gavėjui metu;

(50) tačiau šią pareigą nebūtina nustatyti tais atvejais, kai duomenų subjektas jau buvo informuotas arba kai duomenų įrašymas ar atskleidimas įtvirtintas įstatyme, arba kai pateikti informaciją duomenų subjektui neįmanoma arba reikalautų neproporcingai didelių pastangų. Pastarasis atvejis būtų, pavyzdžiui, duomenis tvarkant istoriniais, statistiniais arba mokslinių tyrimų tikslais; tokioje situacijoje galima atsižvelgti į duomenų subjektų skaičių, duomenų senumą ir bet kurias priimtas kompensacines priemones;

(51) bet kuris asmuo turėtų turėti teisę susipažinti su apie jį surinktais duomenimis ir galimybę šia teise lengvai pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas, pavyzdžiui, apie tai, kokiais tikslais duomenys tvarkomi, kaip ilgai jie bus laikomi, kas yra duomenų gavėjas, pagal kokią logiką duomenys tvarkomi ir kokios galėtų būti tokio duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Ši teisė neturėtų varžyti kitų asmenų teisių ir laisvių, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją;

(52) duomenų valdytojas turėtų naudotis visomis pagrįstomis priemonėmis, kad patikrintų prašančio leisti susipažinti su duomenimis duomenų subjekto tapatybę, ypač kai tai susiję su interneto paslaugomis ir interneto identifikatoriais. Duomenų valdytojas neturėtų saugoti asmens duomenų vien tam, kad galėtų atsakyti į galimus prašymus;

(53) kiekvienas asmuo turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti užmirštam, kai tokių duomenų saugojimas neatitinka šio reglamento reikalavimų. Pirmiausia, duomenų subjektai turėtų turėti teisę reikalauti, kad jų duomenys būtų ištrinti ir toliau nebetvarkomi, kai duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektai atšaukė savo sutikimą dėl duomenų tvarkymo ar nesutinka, kad jų asmens duomenys būtų tvarkomi, arba kai jų asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento nuostatų. Ši teisė ypatingai svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas, nevisiškai suvokdamas su duomenų tvarkymu susijusią riziką, o vėliau panoro, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Tačiau turėtų būti leidžiama toliau saugoti duomenis, jei to reikia istoriniais, statistiniais ir mokslinių tyrimų tikslais, siekiant apginti viešąjį interesą visuomenės sveikatos srityje ar norint pasinaudoti teise į saviraiškos laisvę, kai tai numatyta pagal įstatymą arba yra pagrindas duomenų tvarkymą riboti, o ne juos ištrinti;

(54) siekiant sustiprinti teisę būti užmirštam internetinėje aplinkoje, teisė reikalauti ištrinti duomenis turėtų būti išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, būtų įpareigotas informuoti tokius duomenis tvarkančius trečiuosius asmenis apie duomenų subjekto prašymą ištrinti visas nuorodas į tuos duomenis, jų kopijas ar dublikatus. Dėl duomenų, už kurių paskelbimą duomenų valdytojas yra atsakingas, jis turėtų imtis visų pagrįstų veiksmų, įskaitant technines priemones, kad tokią informaciją perduotų tretiesiems asmenims. Kai asmens duomenis paskelbė tretieji asmenys, duomenų valdytojas turėtų būti laikomas atsakingu už jų paskelbimą, jei jis davė tokį leidimą;

(55) kai asmens duomenys tvarkomi elektroninėmis priemonėmis ir susistemintu bei dažnai naudojamu elektroniniu formatu, duomenų subjektai turėtų turėti teisę savo duomenų kopiją gauti taip pat dažnai naudojamu elektroniniu formatu, kad galėtų geriau kontroliuoti savo asmens duomenis ir pasinaudoti savo teise su jais susipažinti. Be to, duomenų subjektui taip pat turėtų būti leidžiama savo pateiktus duomenis persiųsti iš vienos automatizuotos programos, pavyzdžiui, socialinio tinklo, į kitą. Tai turėtų būti taikoma tais atvejais, kai duomenų subjektas duomenis automatizuotai duomenų tvarkymo sistemai pateikė savo sutikimu arba vykdydamas sutartį;

(56) kai asmens duomenys gali būti teisėtai tvarkomi, kad būtų apsaugoti gyvybiniai duomenų subjekto interesai arba ginant viešąjį interesą, vykdant valdžios įgaliojimus ar užtikrinant teisėtus duomenų valdytojo interesus, kiekvienas duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių jo duomenų tvarkymu. Pareiga įrodyti, kad teisėti duomenų valdytojo interesai viršesni už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

(57) jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turėtų galėti nemokamai, paprastai ir veiksmingai pasinaudoti teise nesutikti su tokiu duomenų tvarkymu;

(58) kiekvienas fizinis asmuo turėtų turėti teisę, kad jam nebūtų taikoma priemonė, pagrįsta profiliavimu duomenis tvarkant automatizuotai. Tačiau tokia priemonė turėtų būti leidžiama, kai ji aiškiai numatyta įstatyme, įgyvendinta sudarant arba vykdant sutartį arba kai buvo gautas duomenų subjekto sutikimas. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, pavyzdžiui, duomenų subjekto informavimas arba teisė reikalauti žmogaus įsikišimo, o tokia priemonė neturėtų būti taikoma vaikui;

(59) Sąjungos arba valstybės narės teisėje gali būti nustatyti ribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, susipažinti su duomenimis, teisė reikalauti ištaisyti ir ištrinti duomenis ar teisė į duomenų perkeliamumą, profiliavimu grindžiamos priemonės, taip pat duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų pareigos, jeigu toks ribojimas reikalingas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, įskaitant žmonių gyvybių apsaugą reaguojant į gaivalines ar žmogaus sukeltas nelaimes, nusikalstamos veikos arba reglamentuojamų profesijų etikos taisyklių pažeidimų prevenciją, tyrimą ir traukimą baudžiamojon atsakomybėn už juos, taip pat siekiant apginti kitus Sąjungos ar valstybių narių viešuosius interesus, visų pirma, svarbius ekonominius arba finansinius Sąjungos ar valstybių narių interesus, arba užtikrinti duomenų subjekto arba kitų asmenų teisių ir laisvių apsaugą. Šie apribojimai turėtų atitikti Europos Sąjungos pagrindinių teisių chartijos ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos reikalavimus;

(60) turėtų būti nustatyta visapusiška duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo pavedimu vykdomą asmens duomenų tvarkymą. Visų pirma, duomenų valdytojas turėtų užtikrinti, kad kiekviena duomenų tvarkymo operacija atitinka šį reglamentą, ir privalėti tą įrodyti;

(61) dėl duomenų subjektų teisių ir laisvių apsaugos tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad ir kuriant duomenų tvarkymo sistemas, ir duomenis tvarkant, būtų laikomasi reglamento reikalavimų. Siekdamas užtikrinti ir įrodyti šio reglamento nuostatų laikymąsi, duomenų valdytojas turėtų priimti vidaus nuostatas ir įdiegti tinkamas priemones, kuriomis visų pirma paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų;

(62) siekiant užtikrinti duomenų subjektų teises ir laisves ir nustatyti duomenų valdytojų ir duomenų tvarkytojų atsakomybę, šiame reglamente reikia aiškiai paskirstyti atsakomybę – taip pat ir priežiūros institucijų stebėjimo ir priemonių atžvilgiu – be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus, sąlygas ir būdus arba kai duomenų tvarkymo operacija atlikta duomenų valdytojo pavedimu;

(63) kai Sąjungoje gyvenančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų kontrolierius, kurio duomenų tvarkymo veikla susijusi su prekių ir paslaugų siūlymu tokiems duomenų subjektams arba jų elgesio stebėjimu, duomenų valdytojas turėtų paskirti atstovą, nebent duomenų valdytojas yra įsikūręs trečiojoje šalyje, kuri užtikrina tinkamą apsaugos lygį, arba duomenų valdytojas yra mažoji ar vidutinė įmonė, valdžios institucija ar įstaiga, arba duomenų valdytojas prekes ir paslaugas tokiems duomenų subjektams siūlo tik retkarčiais. Atstovas turėtų veikti duomenų valdytojo vardu, o į jį galėtų kreiptis priežiūros institucijos;

(64) siekiant nustatyti, ar duomenų valdytojas prekes ir paslaugas Sąjungoje gyvenantiems duomenų subjektams siūlo tik retkarčiais, reikėtų įvertinti, ar iš visos duomenų valdytojo veiklos matyti, kad prekių ir paslaugų siūlymas tokiems duomenų subjektams tik papildo pagrindinę jo veiklą;

(65) kad įrodytų, jog laikosi šio reglamento, duomenų valdytojas arba tvarkytojas turėtų dokumentuoti kiekvieną duomenų tvarkymo operaciją. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir paprašius pateikti turimus dokumentus, kad pagal juos būtų galima patikrinti tvarkymo operacijas;

(66) siekiant užtikrinti saugumą ir užkirsti kelią šio reglamento nuostatų neatitinkančiam duomenų tvarkymui, duomenų valdytojas arba tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusią riziką ir įgyvendinti jas mažinančias priemones. Šiomis priemonėmis turėtų būti užtikrintas saugumo lygis, kuris atsižvelgiant į technologijų lygį ir jų įdiegimo išlaidas, turėtų būti adekvatus tvarkymo keliamai rizikai ir saugotinų asmens duomenų pobūdžiui. Nustatydama techninius standartus ir organizacines priemones duomenų tvarkymo saugumui užtikrinti, Komisija turėtų skatinti technologinį neutralumą, sąveikumą ir inovacijas, o prireikus bendradarbiauti su trečiosiomis šalimis;

(67) dėl asmens duomenų saugumo pažeidimo, jei jis tinkamai ir laiku neišaiškintas, asmuo gali patirti didelių ekonominių nuostolių arba socialinę žalą, įskaitant tapatybės klastojimą. Todėl, kai tik duomenų valdytojas sužino, kad padarytas toks pažeidimas, jis apie pažeidimą turėtų nepagrįstai nedelsdamas, jei įmanoma, per 24 valandas pranešti priežiūros institucijai. Kai to neįmanoma padaryti per 24 valandas, pranešant reikėtų nurodyti vėlavimo priežastis. Fiziniai asmenys, kurių asmens duomenims ar privatumui pažeidimas galėjo turėti neigiamą poveikį, turėtų būti nepagrįstai nedelsiant informuojami, kad galėtų imtis būtinų atsargumo priemonių. Pažeidimas turėtų būti laikomas turinčiu neigiamą poveikį asmens duomenims ar duomenų subjekto privatumui, jeigu dėl jo, pavyzdžiui, galėtų būti pavogta ar suklastota tapatybė, padaryta fizinė žala, patirtas didelis pažeminimas ar pakenkta reputacijai. Pranešime turėtų būti aprašytas asmens duomenų saugumo pažeidimo pobūdis ir fiziniams asmenims nurodytos rekomendacijos, kaip sušvelninti galimą neigiamą poveikį. Duomenų subjektams apie tai turėtų būti pranešta kuo greičiau, glaudžiai bendradarbiaujant su priežiūros institucija ir laikantis jos ar kitos atitinkamos institucijos (pvz., teisėsaugos institucijų) pateiktų nurodymų. Kad duomenų subjektai galėtų sumažinti tiesioginį žalos pavojų, reikėtų, pavyzdžiui, jiems nedelsiant apie tai pranešti, o ilgesnį pranešimo terminą būtų galima pateisinti būtinybe įgyvendinti tinkamas priemones, nukreiptas prieš tęstinius arba panašius duomenų saugumo pažeidimus;

(68) siekiant nustatyti, ar apie asmens duomenų saugumo pažeidimą priežiūros institucijai ir duomenų subjektui pranešta nepagrįstai nedelsiant, reikėtų patikrinti, ar duomenų valdytojas įgyvendino ir taikė tinkamas technologijų apsaugos ir organizacines priemones, kad galėtų iš karto nustatyti, ar buvo padarytas asmens duomenų saugumo pažeidimas, ir nedelsdamas iki žalos padarymo asmeniniams ir ekonominiams interesams apie tai informuoti priežiūros instituciją ir duomenų subjektą, kartu atsižvelgdamas visų pirma į asmens duomenų saugumo pažeidimo pobūdį ir sunkumą, jo pasekmes ir padarinius duomenų subjektui;

(69) nustatant išsamias pranešimo apie asmens duomenų saugumo pažeidimą formos ir tvarkos taisykles, turėtų būti tinkamai atsižvelgiama į pažeidimo aplinkybes, įskaitant tai, ar asmens duomenys buvo apsaugoti tinkamomis techninėmis priemonėmis, veiksmingai ribojančiomis tapatybės klastojimo arba kitokio neteisėto naudojimo galimybę. Be to, nustatant tokias taisykles ir tvarką reikėtų atsižvelgti į teisėtus teisėsaugos institucijų interesus tais atvejais, kai ankstyvas informacijos apie incidentą paskelbimas galėtų bereikalingai sutrukdyti pažeidimo aplinkybių tyrimą;

(70) Direktyvoje 95/46/EB nustatyta bendra pareiga priežiūros institucijoms pranešti apie asmens duomenų tvarkymą. Ši pareiga susijusi su administracine ir finansine našta, tačiau ji ne visada padėdavo gerinti asmens duomenų apsaugą. Todėl tokią bendrą visuotinę pareigą pranešti reikėtų panaikinti ir ją pakeisti veiksmingomis procedūromis ir mechanizmu, kurie būtų labiau orientuoti į duomenų tvarkymo operacijas, dėl kurių pobūdžio, apimties ir tikslų galėtų kilti konkretus pavojus duomenų subjektų teisėms ir laisvėms. Tokiais atvejais duomenų valdytojas ar tvarkytojas prieš pradėdamas tvarkyti duomenis turėtų atlikti duomenų apsaugos poveikio įvertinimą, kuris visų pirma apimtų numatomas priemones, apsaugos priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodomas šio reglamento nuostatų laikymasis;

(71) tai pirmiausia turėtų būti taikoma naujiems sukurtiems didelės apimties duomenų rinkiniams, kuriais siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurie gali turėti poveikio dideliam skaičiui duomenų subjektų;

(72) tam tikromis aplinkybėmis gali būti tikslinga ir ekonomiška atlikti platesnio masto duomenų apsaugos poveikio įvertinimą, o ne jį susieti su vienu konkrečiu projektu, pavyzdžiui, kai valdžios institucijos ar įstaigos siekia sukurti bendrą programą ar duomenų tvarkymo platformą arba kai keli duomenų valdytojai ketina tam tikroje pramonės šakoje, jos sektoriuje arba plačiai paplitusioje horizontalioje veikloje pradėti taikyti bendrą programą ar duomenų tvarkymo aplinką;

(73) duomenų apsaugos poveikio įvertinimą turėtų atlikti valdžios institucija arba įstaiga, jei toks įvertinimas dar nebuvo atliktas priimant nacionalinį įstatymą, kurio pagrindu valdžios institucija ar įstaiga atlieka savo funkcijas ir kuriuo reglamentuojama konkreti duomenų tvarkymo operacija ar jų seka;

(74) kai iš duomenų apsaugos poveikio įvertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su didele konkrečia rizika duomenų subjektų teisėms ir laisvėms, kaip antai rizika, kad naudojant konkrečias naujas technologijas fiziniams asmenims bus užkirstas kelias pasinaudoti savo teisėmis, prieš pradedant operacijas reikėtų su priežiūros institucija konsultuotis dėl su rizika susijusio duomenų tvarkymo, kuris galėtų pažeisti šio reglamento reikalavimus, ir pateikti pasiūlymus, kaip tokią padėtį ištaisyti. Konsultuotis reikėtų ir rengiant nacionalinio parlamento teisėkūros priemonę arba ja pagrįstą priemonę, kuria apibrėžiamas duomenų tvarkymo pobūdis ir nustatomos tinkamos apsaugos priemonės;

(75) Kai duomenys tvarkomi viešajame sektoriuje arba kai duomenis privačiajame sektoriuje tvarko didelė įmonė arba jos pagrindinė veikla, nepaisant įmonės dydžio, apima duomenų tvarkymo operacijas, kurias reikia reguliariai ir sistemingai stebėti, prižiūrėti, kaip įmonė laikosi šio reglamento, duomenų valdytojui ar tvarkytojui turėtų padėti dar vienas asmuo. Tokie duomenų apsaugos pareigūnai, nepriklausomai nuo to, ar jie yra duomenų valdytojo darbuotojai, savo pareigas ir užduotis turėtų atlikti visiškai nepriklausomai;

(76) asociacijos ar kitos įstaigos, atstovaujančios tam tikrų kategorijų duomenų valdytojams, turėtų būti skatinamos pagal šio reglamento reikalavimus parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus;

(77) siekiant didesnio skaidrumo ir geresnio šio reglamento laikymosi, reikėtų skatinti įvesti sertifikavimo mechanizmus, duomenų apsaugos ženklus ir žymenis, kurie leistų duomenų subjektams greitai įvertinti konkretaus produkto ar paslaugos duomenų apsaugos lygį;

(78) asmens duomenų judėjimas iš vienos valstybės į kitą reikalingas tarptautinės prekybos plėtrai ir tarptautiniam bendradarbiavimui. Šiems srautams padidėjus, kilo naujų sunkumų ir naujų reikalavimų asmens duomenų apsaugai. Tačiau kai asmens duomenys perduodami iš Sąjungos į trečiąsias šalis arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis. Bet kuriuo atveju duomenys trečiosioms šalims gali būti perduodami tik besąlygiškai laikantis šio reglamento nuostatų;

(79) šis reglamentas nedaro poveikio Sąjungos ir trečiųjų šalių sudarytiems tarptautiniams susitarimams, kuriais reglamentuojamas asmens duomenų perdavimas, įskaitant tinkamas duomenų subjektų apsaugos priemones;

(80) Komisija gali nuspręsti, sprendimui galiojant visoje Sąjungoje, kad tam tikros trečiosios šalys arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį, ir taip garantuoti teisinį tikrumą ir vienodą teisės taikymą visoje Sąjungoje, kiek tai susiję su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kurios laikomos užtikrinančiomis tokį apsaugos lygį. Šiais atvejais asmens duomenys į šias šalis gali būti perduodami be papildomo leidimo;

(81) paisydama pagrindinių vertybių, kuriomis grindžiama Sąjunga, visų pirma žmogaus teisių apsaugos, Komisija, vertindama trečiąją šalį, turėtų atsižvelgti į tai, kaip joje laikomasi teisinės valstybės principų, teisės kreiptis į teismą, taip pat tarptautinių žmogaus teisių normų ir standartų;

(82) Komisija taip pat gali pripažinti, kad trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija neužtikrina tinkamo duomenų apsaugos lygio. Todėl asmens duomenų perdavimas į tą trečiąją šalį turėtų būti draudžiamas. Tokiu atveju turėtų būti numatyta galimybė Komisijai konsultuotis su tokiomis trečiosiomis šalimis arba tarptautinėmis organizacijomis;

(83) jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje šalyje kompensuoti. Tokios apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos patvirtintomis sutarties sąlygomis ar kitomis tinkamomis ir proporcingomis priemonėmis, pateisinamomis atsižvelgiant į visas duomenų perdavimo operacijos ar operacijų sekos aplinkybes ir patvirtintomis priežiūros institucijos;

(84) galimybė duomenų valdytojui ar tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis ar jas papildyti kitomis sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ir laisvių;

(85) įmonių grupė turėtų galėti remtis patvirtintomis įmonei privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos tai pačiai įmonių grupei priklausančioms organizacijoms, jei tokiose įmonės taisyklėse įtvirtinti svarbiausi principai ir įgyvendinamos teisės, kuriomis užtikrinamos tinkamos asmens duomenų perdavimo ar perdavimo kategorijų apsaugos priemonės;

(86) turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs sutikimą, kai perduoti būtina dėl sutarties ar teismui pareikšto ieškinio, kai tai reikalinga dėl Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso pagrindų, arba kai duomenys perduodami iš įstatymu įsteigto registro, kuris skirtas naudotis visuomenei ar teisėtų interesų turintiems asmenims. Pastaruoju atveju neturėtų būti perduodama registre sukauptų duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai;

(87) šios išimtys pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant apsaugoti svarbų viešąjį interesą, pavyzdžiui, tarptautinio duomenų keitimosi tarp konkurencijos, mokesčių, muitų ar finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos tarnybų arba institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas, atvejais;

(88) duomenų perdavimas, kurio negalima laikyti dažnu ar masiniu, taip pat turėtų būti galimas, kai duomenų valdytojas ar tvarkytojas siekia teisėtų interesų, jeigu jis įvertino visas su duomenų perdavimu susijusias aplinkybes. Duomenis tvarkant istoriniais, statistiniais ir mokslinių tyrimų tikslais, turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius dėl išaugusios žinių apimties;

(89) visada, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje šalyje, duomenų valdytojas arba tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinama, kad jie Sąjungoje ir toliau galės naudotis jų duomenų tvarkymui Sąjungoje taikomomis pagrindinėmis teisėmis ir apsaugos priemonėmis, kai tik tie duomenys bus perduoti;

(90) kai kurios trečiosios šalys priėmė įstatymus ir kitus teisės aktus, kuriais tiesiogiai reguliuojama valstybių narių jurisdikcijai priklausančių fizinių ir juridinių asmenų veikla. Ekstrateritoriniu šių įstatymų ir kitų teisės aktų taikymu galėtų būti pažeista tarptautinė teisė ir trikdoma šiuo reglamentu Sąjungoje garantuojama fizinių asmenų apsauga.. Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias šalis taikomos šio reglamento sąlygos. Taip gali būti, pavyzdžiui, jeigu atskleisti duomenis būtina ginant svarbų Sąjungos ar duomenų valdytojui taikytinos valstybės narės teisėje pripažintą viešąjį interesą. Svarbaus viešojo intereso buvimo sąlygas Komisija turėtų tiksliau nustatyti deleguotajame akte;

(91) kai asmens duomenys perduodami į užsienį, fiziniams asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, o visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo. Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybinių sienų. Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai. Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis ir kartu atlikti tyrimus;

(92) visiškai nepriklausomai savo funkcijas vykdančių priežiūros institucijų įsteigimas valstybėse narėse yra esminė fizinių asmenų apsaugos tvarkant jų asmens duomenis dalis. Valstybės narės gali įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą;

(93) jeigu valstybė narė įsteigia kelias priežiūros institucijas, ji įstatymu turėtų nustatyti tvarką, kuria būtų užtikrintas veiksmingas tų priežiūros institucijų dalyvavimas nuoseklumo užtikrinimo mechanizme. Pirmiausia, ta valstybė narė turėtų paskirti priežiūros instituciją, kuri atliktų vieno bendro informacinio punkto funkciją, kad tos institucijos veiksmingai dalyvautų mechanizme, būtų užtikrintas greitas ir sklandus bendradarbiavimas su kitomis priežiūros institucijomis, Europos duomenų apsaugos valdyba ir Komisija;

(94) kiekvienai priežiūros institucijai turėtų būti suteikta pakankamai finansinių ir žmogiškųjų išteklių, taip pat patalpos ir infrastruktūra, kurie joms būtini siekiant veiksmingai vykdyti užduotis, įskaitant su savitarpio pagalba ir bendradarbiavimu su kitomis priežiūros institucijomis visoje Sąjungoje susijusias užduotis;

(95) kiekvienoje valstybėje narėje teisės aktais turėtų būti nustatyti bendrieji reikalavimai priežiūros institucijos nariams, visų pirma turėtų būti numatyta, kad šiuos narius turėtų skirti valstybės narės parlamentas arba vyriausybė, taip pat turėtų būti įtrauktos taisyklės dėl narių tinkamumo ir šių narių statuso;

(96) priežiūros institucijos turėtų stebėti, kaip taikomos šio reglamento nuostatos, ir padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir palengvintas asmens duomenų judėjimas vidaus rinkoje. Siekdamos šio tikslo, priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su Komisija;

(97) jeigu asmens duomenys tvarkomi daugiau nei vienoje valstybėje narėje, o duomenų valdytojo arba tvarkytojo buveinė vykdo veiklą Sąjungoje, viena priežiūros institucija turėtų būti kompetentinga stebėti duomenų valdytojo arba tvarkytojo veiklą visoje Sąjungoje ir priimti atitinkamus sprendimus, kad būtų vienodžiau taikoma teisė, būtų užtikrintas teisinis tikrumas ir tokiems duomenų valdytojams ir duomenų tvarkytojams sumažėtų administracinė našta;

(98) kompetentinga institucija, atliekanti tokios centrinės institucijos funkciją, turėtų būti valstybės narės, kurioje yra pagrindinė duomenų valdytojo arba tvarkytojo buveinė, priežiūros institucija;

(99) šis reglamentas taip pat taikomas nacionalinių teismų veiklai, tačiau priežiūros institucijų kompetencija neturėtų apimti asmens duomenų tvarkymo, kurį jie vykdo atlikdami teisingumo funkcijas, siekiant apsaugoti teisėjų nepriklausomumą jiems atliekant savo teismines užduotis. Vis dėlto ši išimtis turėtų būti griežtai taikoma tik faktinei teisminei veiklai teismo bylose ir netaikoma kitai veiklai, kurią teisėjai gali vykdyti pagal nacionalinę teisę;

(100) siekiant užtikrinti nuoseklią šio reglamento taikymo stebėseną ir vykdymą visoje Sąjungoje, kiekvienos valstybės narės priežiūros institucijos turėtų atlikti tas pačias pareigas ir veiksmingai naudotis tais pačiais įgaliojimais, įskaitant įgaliojimus vykdyti tyrimą ir teisiškai privalomas intervencijas, priimti sprendimus ir skirti sankcijas, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir būti proceso šalimi. Priežiūros institucijų tyrimo įgaliojimai, kai reikia patekti į patalpas, turėtų būti įgyvendinami laikantis Sąjungos ir nacionalinės teisės nuostatų. Pirmiausia tai taikoma reikalavimui iš anksto gauti teismo leidimą;

(101) kiekviena priežiūros institucija turėtų nagrinėti skundus, kuriuos pateikė bet kuris duomenų subjektas, ir juos tirti. Tyrimas gavus skundą turėtų būti vykdomas, paliekant galimybę jį peržiūrėti teismine tvarka, tiek, kiek tai tikslinga konkrečiu atveju. Priežiūros institucija per pagrįstą laikotarpį turėtų informuoti duomenų subjektą apie skundo tyrimo eigą ir rezultatą. Jeigu reikia papildo tyrimo arba jį koordinuoti su kita priežiūros institucija, duomenų subjektas taip pat turėtų būti apie tai informuojamas;

(102) priežiūros institucijų vykdoma visuomenės informavimo veikla turėtų apimti specialias priemones duomenų valdytojams ir duomenų tvarkytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, ir duomenų subjektams;

(103) priežiūros institucijos turėtų viena kitai padėti atlikti savo pareigas ir teikti savitarpio pagalbą, kad šis reglamentas būtų nuosekliai taikomas ir vykdomas vidaus rinkoje;

(104) kiekviena priežiūros institucija turėtų turėti teisę dalyvauti bendrose priežiūros institucijų operacijose. Prašomoji priežiūros institucija turėtų būti įpareigota į prašymą atsakyti per nustatytą terminą;

(105) kad šis reglamentas būtų nuosekliai taikomas visoje Sąjungoje, reikėtų sukurti nuoseklumo užtikrinimo mechanizmą, pagal kurį priežiūros institucijos bendradarbiautų tarpusavyje ir su Komisija. Šis mechanizmas pirmiausia taikomas, kai priežiūros institucija ketina imtis tam tikros priemonės dėl duomenų tvarkymo operacijų, kurios yra susijusios su prekių ir paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su tokių duomenų subjektų stebėjimu, arba kurios gali iš esmės paveikti laisvą asmens duomenų judėjimą. Be to, jis turėtų būti taikomas, kai kuri nors priežiūros institucija arba Komisija prašo tam tikrą klausimą nagrinėti pagal nuoseklumo užtikrinimo mechanizmą. Šis mechanizmas neturėtų prieštarauti priemonėms, kurių Komisija gali imtis vykdydama savo įgaliojimus pagal Sutartis;

(106) taikant nuoseklumo užtikrinimo mechanizmą Europos duomenų apsaugos valdyba turėtų savo nuomonę pateikti per nustatytą terminą, jeigu taip nusprendė paprasta jos narių dauguma arba to prašo kita priežiūros institucija arba Komisija;

(107) siekdama užtikrinti šio reglamento laikymąsi, Komisija gali šiuo klausimu priimti nuomonę arba sprendimą, kuriuo priežiūros institucija įpareigojama sustabdyti priemonės projekto priėmimą;

(108) tam tikrais atvejais gali kilti būtinybė skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, ypač kai kyla pavojus, kad gali būti labai apsunkintos duomenų subjekto galimybės naudotis savo teise. Todėl taikydama nuoseklumo užtikrinimo mechanizmą priežiūros institucija turėtų galėti priimti nustatytą laikotarpį galiojančias laikinąsias priemones;

(109) atitinkamas sprendimas įgyja teisinę galią ir gali būti vykdomas priežiūros institucijos, tik jeigu buvo taikytas šis mechanizmas. Kitais tarpvalstybinės svarbos atvejais atitinkamos priežiūros institucijos gali teikti tarpusavio pagalbą ir atlikti bendrus tyrimus dvišaliu arba daugiašaliu pagrindu, nesinaudodamos nuoseklumo užtikrinimo mechanizmu;

(110) Sąjungos lygmeniu turėtų būti įsteigta Europos duomenų apsaugos valdyba. Ji turėtų pakeisti pagal Direktyvą 95/46/EB įsteigtą darbo grupę asmenų apsaugai tvarkant asmens duomenis. Ją turėtų sudaryti visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas. Jos veikloje turėtų dalyvauti Komisija. Europos duomenų apsaugos valdyba turėtų padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, be kita ko, patarti Komisijai ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje. Atlikdama savo užduotis Europos duomenų apsaugos valdyba turėtų veikti nepriklausomai;

(111) kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje ir turėti teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės pagal šį reglamentą pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo arba nesiima veiksmų, kai tai būtina duomenų subjekto teisėms apsaugoti;

(112) bet kokia įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ir kuri įsteigta pagal valstybės narės teisę, turėtų turėti teisę pateikti skundą priežiūros institucijai arba pasinaudoti teisminėmis teisių gynimo priemonėmis duomenų subjektų vardu, jeigu jų yra tinkamai įgaliota, arba pati pateikti skundą duomenų subjektui skundo nepateikus, jeigu mano, kad buvo pažeistas asmens duomenų saugumas;

(113) kiekvienas fizinis arba juridinis asmuo turėtų turėti teisę imtis teisminių teisių gynimo priemonių prieš jų atžvilgiu priimtus priežiūros institucijos sprendimus. Ieškinys priežiūros institucijai turėtų būti pareiškiamas valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose;

(114) siekiant sustiprinti duomenų subjekto teisminę apsaugą tais atvejais, kai kompetentinga priežiūros institucija įsisteigusi kitoje valstybėje narėje nei duomenų subjektas gyvena, duomenų subjektas gali prašyti bet kurios įstaigos, organizacijos ar asociacijos, siekiančios apginti duomenų subjektų teises ir interesus, susijusius su jų duomenų apsauga, ieškinį tai priežiūros institucijai jo vardu pareikšti kompetentingame kitos valstybės narės teisme;

(115) tais atvejais, kai kitoje valstybėje narėje įsisteigusi kompetentinga priežiūros institucija nesiima veiksmų arba ėmėsi nepakankamų priemonių dėl skundo, duomenų subjektas gali prašyti valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, priežiūros institucijos pareikšti ieškinį tai priežiūros institucijai kompetentingame kitos valstybės narės teisme. Prašomoji priežiūros institucija gali priimti sprendimą, kurį galima peržiūrėti teismine tvarka, ar tinkama šį prašymą tenkinti;

(116) kai ieškinys pareiškiamas duomenų valdytojui ar tvarkytojui, ieškovas turėtų turėti galimybę kreiptis į valstybės narės, kurioje duomenų valdytojas ar tvarkytojas įsisteigęs arba kurioje duomenų subjektas gyvena, teismus, nebent duomenų valdytojas yra valdžios institucija, vykdanti savo viešuosius įgaliojimus;

(117) kai yra požymių, kad vienu metu ta pati byla nagrinėjama skirtingų valstybių narių teismuose, teismai turėtų būti įpareigoti susiekti. Teismai turėtų turėti galimybę sustabdyti bylos nagrinėjimą, kai ta pati byla nagrinėjama kitoje valstybėje narėje. Valstybės narės turėtų užtikrinti veiksmingas galimybes pareikšti ieškinius, kurie leistų greitai imtis priemonių šio reglamento pažeidimui ištaisyti arba užkirsti jam kelią;

(118) bet kokią žalą, kurią asmuo gali patirti dėl neteisėto duomenų tvarkymo, turėtų atlyginti duomenų valdytojas arba tvarkytojas, kurie gali būti atleisti nuo atsakomybės, jeigu įrodo, kad nėra atsakingi už žalą, visų pirma, kai nustatyta duomenų subjekto kaltė arba nenugalimos jėgos atveju;

(119) viešosios teisės arba privatinės teisės reglamentuojamam asmeniui, nesilaikančiam šio reglamento, turėtų būti skiriamos sankcijos. Valstybės narės turėtų užtikrinti, kad sankcijos būtų veiksmingos, proporcingos ir atgrasomos, ir privalo imtis visų priemonių sankcijoms vykdyti;

(120) siekiant sustiprinti administracinių sankcijų už šio reglamento pažeidimus poveikį ir jas suvienodinti, kiekvienai priežiūros institucijai turėtų būti suteikti įgaliojimai skirti sankcijas už administracinius pažeidimus. Šiame reglamente turėtų būti nurodyti tie pažeidimai ir nustatyti didžiausi už juos skiriamų administracinių baudų dydžiai; baudos kiekvienu konkrečiu atveju turėtų būti proporcingos atvejo aplinkybėms ir skiriamos atsižvelgiant visų pirma į pažeidimo pobūdį, sunkumą ir trukmę. Nuoseklumo užtikrinimo mechanizmas taip pat gali būti naudojamas siekiant pašalinti administracinių sankcijų taikymo skirtumus;

(121) asmens duomenų tvarkymui vien tik žurnalistiniais arba meninės ar literatūrinės raiškos tikslais turėtų būti taikomos tam tikrų reglamento reikalavimų išimtys, kad teisė į duomenų apsaugą būtų suderinta su saviraiškos laisvę reglamentuojančiomis taisyklėmis, ypač teise gauti nešališką informaciją, garantuojama Europos Sąjungos pagrindinių teisių chartijos 11 straipsniu. Tai visų pirma turėtų būti taikoma asmens duomenų tvarkymui audiovizualinėje srityje ir žinių bei spaudos archyvuose. Todėl valstybės narės turėtų priimti teisės nuostatas, kuriomis būtų nustatytos išimtys ir nukrypti leidžiančios nuostatos, reikalingos šioms pagrindinės teisėms suderinti. Tokias išimtis ir nukrypti leidžiančias nuostatas valstybės narės turėtų priimti bendrųjų principų, duomenų subjekto teisių, duomenų valdytojų ir duomenų tvarkytojų, duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms, nepriklausomų priežiūros institucijų, bendradarbiavimo ir nuoseklaus teisės taikymu atžvilgiu. Tačiau tai neturėtų suteikti valstybėms narėms pagrindo nustatyti kitų šio reglamento nuostatų išimtis. Kad būtų atsižvelgta į teisės į saviraiškos laisvę svarbą demokratinėje visuomenėje, su šia laisve susijusias sąvokas, kaip antai žurnalistika, būtina aiškinti plačiai. Todėl šio reglamento išimčių ir nukrypti leidžiančių nuostatų tikslais valstybės narės turėtų veiklą priskirti „žurnalistinei“, jeigu jos tikslas – paskelbti informaciją, nuomones ar idėjas visuomenei, nepriklausomai nuo pasirinkto perdavimo būdo. Tokia veikla turėtų būti siejama ne vien su žiniasklaidos bendrovėmis; ji gali būti vykdoma pelno ir ne pelno tikslais;

(122) su sveikata susijusių asmens duomenų, kaip specialios kategorijos duomenų, kuriai taikytina aukšto lygio apsauga, tvarkymą dažnai galima pateisinti įvairiais teisėtais asmenims ir visuomenei apskritai naudingais pagrindais, ypač kai reikia užtikrinti sveikatos priežiūros užsienyje tęstinumą. Todėl šiame reglamente turėtų būti nustatytos asmens sveikatos duomenų tvarkymo sąlygos, jeigu bus taikomos specialios ir tinkamos apsaugos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti. Tai apima fizinių asmenų teisę susipažinti su jų asmens sveikatos duomenimis, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos;

(123) dėl viešojo intereso priežasčių visuomenės sveikatos srityje tvarkyti asmens sveikatos duomenis gali prireikti ir be duomenų subjekto sutikimo. Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama taip, kai ji apibrėžta 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe, ir apimti visus elementus, susijusius su sveikata, kaip antai sveikatos būklė, įskaitant sergamumą ir neįgalumą, veiksniai, darantys poveikį šiai sveikatos būklei, sveikatos priežiūros poreikiai, sveikatos priežiūrai skirti ištekliai, sveikatos priežiūros paslaugų teikimas ir jų visuotinis prieinamumas, sveikatos priežiūros išlaidos ir jos finansavimas, taip pat mirtingumo priežastys. Su sveikata susijusių asmens duomenų tvarkymas dėl viešojo intereso neturėtų lemti, kad asmens duomenis kitais tikslais tvarkytų tretieji asmenys, kaip antai darbdaviai, draudimo bendrovės ir bankai;

(124) bendrieji fizinių asmenų apsaugos tvarkant asmens duomenis principai taip pat turėtų būti taikomi ir su darbo santykiais susijusiais tikslais. Todėl siekiant reglamentuoti darbuotojų asmens duomenų tvarkymą su darbo santykiais susijusiais tikslais, valstybės narės, neperžengdamos šio reglamento ribų, turėtų galėti priimti įstatymus, kuriuose būtų įtvirtintos specialios asmens duomenų tvarkymo užimtumo sektoriuje taisyklės;

(125) kad asmens duomenų tvarkymas istoriniais, statistiniais arba mokslinių tyrimų tikslais būtų teisėtas, taip pat reikėtų paisyti kitų tos srities teisės aktų, pavyzdžiui, dėl klinikinių tyrimų;

(126) moksliniai tyrimai šio reglamento tikslais turėtų apimti fundamentinius tyrimus, taikomuosius tyrimus ir privačių asmenų finansuojamus tyrimus; jie taip pat turi būti orientuoti į Sutarties dėl Sąjungos veikimo 179 straipsnio 1 dalyje nustatytą tikslą sukurti Europos mokslinių tyrimų erdvę;

(127) kiek tai susiję su priežiūros institucijų įgaliojimais reikalauti, kad duomenų valdytojai ar tvarkytojai leistų susipažinti su asmens duomenimis ir įsileistų į savo patalpas, valstybės narės, neperžengdamos šio reglamento ribų, gali priimti įstatymą, kuriame įtvirtintų specialias profesinės paslapties ar kitų lygiaverčių pareigų saugoti paslaptį taisykles, jeigu to reikia teisei į asmens duomenų apsaugą ir pareigai saugoti profesinę paslaptį suderinti;

(128) kaip nustatyta Sutarties dėl Europos Sąjungos veikimo 17 straipsnyje, šiuo reglamentu paisoma pagal nacionalinę teisę nustatyto valstybių narių bažnyčių ir religinių asociacijų ar bendruomenių statuso ir jo nepažeidžia. Jeigu įsigaliojant šiam reglamentui bažnyčia valstybėje narėje taiko išsamias taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės turėtų būti taikomos toliau, jeigu jos dera su šio reglamento nuostatomis. Tokios bažnyčios ir religinės asociacijos turėtų būti įpareigotos įsteigti visiškai nepriklausomą priežiūros instituciją;

(129) siekiant įgyvendinti šio reglamento tikslus, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti aktus. Visų pirma, deleguotieji aktai turėtų būti priimti dėl duomenų tvarkymo teisėtumo; vaiko sutikimo kriterijų ir sąlygų nustatymo; ypatingų kategorijų duomenų tvarkymo; akivaizdžiai neproporcingų prašymų ir mokesčio už duomenų subjekto naudojimąsi teisėmis kriterijų ir sąlygų nustatymo; duomenų subjekto informavimo ir teisės susipažinti su duomenimis kriterijų ir reikalavimų; teisės būti pamirštam ir teisės reikalauti ištrinti duomenis; profiliavimu pagrįstų priemonių; duomenų valdytojo atsakomybės ir pritaikytosios bei standartizuotosios duomenų apsaugos kriterijų ir reikalavimų; duomenų tvarkytojo; dokumentavimo ir duomenų tvarkymo kriterijų ir reikalavimų; asmens duomenų saugumo pažeidimo ir pranešimo apie jį priežiūros institucijoms kriterijų bei reikalavimų ir aplinkybių, kuriomis tikėtina, kad asmens duomenų saugumo pažeidimas turės neigiamo poveikio duomenų subjektui; duomenų tvarkymo operacijų, kurioms reikalingas duomenų apsaugos poveikio įvertinimas, kriterijų ir sąlygų; didelės konkrečios rizikos, dėl kurios būtina iš anksto konsultuotis, nustatymo kriterijų ir reikalavimų; duomenų apsaugos pareigūno paskyrimo ir užduočių; elgesio kodeksų; sertifikavimo mechanizmų kriterijų ir reikalavimų; duomenų perdavimo remiantis įmonei privalomomis taisyklėmis kriterijų ir reikalavimų; duomenų perdavimo išimčių; administracinių sankcijų; duomenų tvarkymo sveikatos priežiūros tikslais; duomenų tvarkymo su darbo santykiais susijusiais tikslais ir duomenų tvarkymo istoriniais, statistiniais ir mokslinių tyrimų tikslais. Itin svarbu, kad atlikdama parengiamuosius darbus Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus, Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduoti Europos Parlamentui ir Tarybai;

(130) siekiant užtikrinti vienodas šio reglamento taikymo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai dėl: standartinės vaiko asmens duomenų tvarkymo formos nustatymo; standartinių naudojimosi duomenų subjekto teisėmis procedūrų ir formų; standartinių duomenų subjekto informavimo formų; standartinių naudojimosi teise susipažinti su duomenimis formų ir procedūrų; teisės į duomenų perkeliamumą; standartinių duomenų valdytojo atsakomybės už pritaikytąją bei standartizuotąją duomenų apsaugą ir dokumentų formų; duomenų tvarkymo saugumo specialių reikalavimų; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai ir duomenų subjektui standartinės formos ir tvarkos; duomenų apsaugos poveikio įvertinimo standartų ir tvarkos; išankstinio leidimo ir išankstinio konsultavimosi formos ir tvarkos; techninių standartų ir sertifikavimo mechanizmų; duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija, tinkamumo įvertinimo; duomenų atskleidimo pažeidžiant Sąjungos teisę; savitarpio pagalbos; bendrų operacijų ir sprendimų pagal nuoseklumo užtikrinimo mechanizmą. Tais įgaliojimais turėtų būti naudojamasi laikantis 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai[45]. Komisija turėtų svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas konkrečias priemones;

(131) nagrinėjimo procedūra turėtų būti taikoma standartinių vaiko sutikimo formų priėmimui; standartinėms naudojimosi duomenų subjekto teisėmis procedūroms ir formoms; standartinėms pranešimo duomenų subjektui formoms; standartinėms naudojimosi teise susipažinti su duomenimis formoms ir procedūroms; standartinėms duomenų valdytojo atsakomybės už pritaikytąją bei standartizuotąją duomenų apsaugą ir dokumentų formoms; specialiems duomenų tvarkymo saugumo reikalavimams; pranešimo apie asmens duomenų pažeidimą priežiūros institucijai ir duomenų subjektui standartinei formai ir tvarkai; duomenų apsaugos poveikio įvertinimo standartams ir tvarkai; išankstinio leidimo ir išankstinio konsultavimosi formoms ir tvarkai; techniniams standartams ir sertifikavimo mechanizmams; duomenų apsaugos lygio, kurį užtikrina trečioji šalis arba teritorija, arba su duomenų tvarkymu susijęs sektorius trečiojoje šalyje, arba tarptautinė organizacija tinkamumo įvertinimui; duomenų atskleidimui pažeidžiant Sąjungos teisę; savitarpio pagalbai; bendroms operacijoms ir sprendimams pagal nuoseklumo užtikrinimo mechanizmą, jeigu tie aktai yra bendro pobūdžio;

(132) Komisija turėtų priimti nedelsiant taikomus įgyvendinimo aktus, jeigu tinkamai pagrįstais atvejais, susijusiais su tinkamo apsaugos lygio neužtikrinančia trečiąja šalimi arba teritorija, arba su sektoriumi, kurio duomenys tvarkomi, toje trečiojoje šalyje, arba tarptautine organizacija ir susijusiais su priežiūros institucijai pagal nuoseklumo užtikrinimo mechanizmą praneštais klausimais, to reikia dėl imperatyvių skubos pagrindų;

(133) kadangi šio reglamento tikslo, t. y. užtikrinti vienodą fizinių asmenų apsaugos lygį ir laisvą duomenų judėjimą Sąjungoje, valstybės narės negali tinkamai pasiekti pačios ir dėl veiksmų masto arba poveikio jų geriau siekti Sąjungos lygiu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Laikantis tame straipsnyje nustatyto proporcingumo principo šiuo reglamentu neviršijama to, kas būtina nurodytam tikslui pasiekti;

(134) Direktyva 95/46/EB turėtų būti panaikinta šiuo reglamentu. Tačiau pagal Direktyvą 95/46/EB Komisijos priimti sprendimai ir priežiūros institucijų suteikti leidimai turėtų toliau galioti;

(135) šis reglamentas turėtų būti taikomas visiems su pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis susijusiems klausimams, kuriems negalioja Direktyvoje 2002/58/EB nustatytos specialios pareigos, kuriomis siekiama tų pačių tikslų, įskaitant duomenų valdytojo pareigas ir fizinių asmenų teises. Siekiant aiškiai apibrėžti šio reglamento ir Direktyvos 2002/58/EB santykį, pastaroji direktyva turėtų būti atitinkamai pakeista;

(136) Islandijos ir Norvegijos atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos tiek, kiek jis taikomas šio acquis įgyvendinime dalyvaujančių institucijų atliekamam asmens duomenų tvarkymui, kaip apibrėžta Europos Sąjungos Tarybos ir Islandijos Respublikos bei Norvegijos Karalystės sudarytame susitarime dėl šių dviejų valstybių asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis[46];

(137) Šveicarijos atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos tiek, kiek jis taikomas šio acquis įgyvendinime dalyvaujančių institucijų atliekamam asmens duomenų tvarkymui, kaip apibrėžta Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos sudarytame susitarime dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis[47];

(138) Lichtenšteino atžvilgiu šiuo reglamentu plėtojamos Šengeno acquis nuostatos tiek, kiek jis taikomas šio acquis įgyvendinime dalyvaujančių institucijų atliekamam asmens duomenų tvarkymui, kaip apibrėžta Europos Sąjungos, Europos bendrijos, Šveicarijos Konfederacijos ir Lichtenšteino Kunigaikštystės pasirašytame protokole dėl Lichtenšteino Kunigaikštystės prisijungimo prie Europos Sąjungos, Europos bendrijos ir Šveicarijos Konfederacijos susitarimo dėl Šveicarijos Konfederacijos asociacijos įgyvendinant, taikant ir plėtojant Šengeno acquis[48];

(139) atsižvelgiant į tai, kad, kaip pabrėžė Europos Sąjungos Teisingumo Teismas, teisė į asmens duomenų apsaugą nėra absoliuti ir turi būti vertinama pagal jos visuomeninę paskirtį ir remiantis proporcingumo principu derėti su kitomis pagrindinėmis teisėmis, šiuo reglamentu paisoma visų Europos Sąjungos pagrindinių teisių chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir principų, ypač teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, kalbų ir religijų įvairovės,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis Dalykas ir tikslai

1.           Šiuo reglamentu nustatomos fizinių asmenų apsaugos tvarkant asmens duomenis ir laisvo asmens duomenų judėjimo taisyklės.

2.           Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3.           Laisvas asmens duomenų judėjimas Sąjungoje negali būti varžomas ar draudžiamas remiantis su asmenų apsauga tvarkant asmens duomenis susijusiais pagrindais.

2 straipsnis Dalykinė taikymo sritis

1.           Šis reglamentas taikomas visiškai arba iš dalies automatizuotomis priemonėmis tvarkomiems asmens duomenims, ir neautomatizuotomis priemonėmis tvarkomiems asmens duomenims, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį.

2.           Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)      vykdoma Sąjungos teisės nereglamentuojama veikla, visų pirma susijusi su nacionaliniu saugumu;

b)      duomenis tvarko Sąjungos institucijos, įstaigos, organai ir agentūros;

c)      valstybės narės atlieka Europos Sąjungos sutarties 2 skyriuje reglamentuojamą veiklą;

d)      duomenis išimtinai asmeniniais arba šeimos tikslais nesiekdamas pelno tvarko fizinis asmuo;

e)      duomenis tvarko kompetentingos institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymo tikslais.

3.           Šis reglamentas neturi įtakos Direktyvos 2000/31/EB, visų pirma jos 12–15 straipsniuose įtvirtintų tarpininkavimo paslaugų teikėjų atsakomybės nuostatų, taikymui.

3 straipsnis Teritorinė taikymo sritis

1.           Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba tvarkytojo buveinė.

2.           Šis reglamentas taikomas asmens duomenų tvarkymui, kai Sąjungoje gyvenančių duomenų subjektų duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ir duomenų tvarkymas susijęs su:

a)      prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje arba

b)      jų elgesio stebėjimu.

3.           Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas ten, kur pagal viešąją tarptautinę teisę taikoma valstybės narės nacionalinė teisė.

4 straipsnis Apibrėžtys

Šiame reglamente:

(1) duomenų subjektas – konkretus fizinis asmuo, kurį tiesiogiai arba netiesiogiai galima nustatyti priemonėmis, kuriomis, tikėtina, galėtų naudotis duomenų valdytojas arba kitas fizinis ar juridinis asmuo, visų pirma pagal asmens identifikavimo numerį, vietos nustatymo duomenis, interneto identifikatorių arba vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

(2) asmens duomenys – bet kokia informacija apie duomenų subjektą;

(3) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar jų rinkiniu atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, ištrynimas ar sunaikinimas;

(4) susistemintas rinkinys – bet kuris susistemintas pagal specifinius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

(5) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kitas organas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus, sąlygas ir būdus; jeigu tvarkymo tikslai, sąlygos ir būdai nustatyti Sąjungos arba valstybės narės teisės aktais, duomenų valdytojas arba specialūs jo skyrimo kriterijai taip pat gali būti nustatyti Sąjungos arba valstybės narės teisės aktais;

(6) duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuris duomenų valdytojo pavedimu tvarko asmens duomenis;

(7) duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar bet kuris kitas organas, kuriam atskleidžiami asmens duomenys;

(8) duomenų subjekto sutikimas – savanoriškas konkretus ir aiškus tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję duomenys;

(9) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduoti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų gaunama prieiga;

(10) genetiniai duomenys – visi bet kokios rūšies duomenys, susiję su embrioniniu laikotarpiu paveldėtomis ar įgytomis fizinio asmens savybėmis;

(11) biometriniai duomenys – bet kokie duomenys apie asmens fizinius, fiziologinius arba elgesio ypatumus, pagal kuriuos galimas unikalus jo atpažinimas, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys;

(12) sveikatos duomenys – visa informacija, susijusi su fizine ar psichine asmens sveikata arba su asmeniui teikiamomis sveikatos priežiūros paslaugomis;

(13) pagrindinė buveinė – duomenų valdytojo atveju yra jo buveinės vieta Sąjungos teritorijoje, kurioje priimami pagrindiniai sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų; jei sprendimai dėl asmens duomenų tvarkymo tikslų, sąlygų ir būdų Sąjungos teritorijoje nepriimami, pagrindine buveine laikoma vieta, kurioje duomenų valdytojo buveinei veikiant Sąjungoje atliekamos pagrindinės duomenų tvarkymo operacijos. Duomenų tvarkytojo pagrindinė buveinė – jo centrinės administracijos vieta Sąjungos teritorijoje;

(14) atstovas – bet koks Sąjungos teritorijoje įsisteigęs, duomenų valdytojo aiškiai paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su duomenų valdytojo pareigomis pagal šį reglamentą, veikia duomenų valdytojo vardu ir į kurį gali kreiptis bet kokia Sąjungos priežiūros institucija ir kitos įstaigos;

(15) įmonė – bet kuris bet kokios teisinės formos ekonomine veikla užsiimantis subjektas, visų pirma reguliaria ekonomine veikla užsiimantys fiziniai ir juridiniai asmenys, ūkinės bendrijos ar susivienijimai;

(16) įmonių grupė – valdančioji įmonė ir jos valdomos įmonės;

(17) įmonei privalomos taisyklės – asmens duomenų apsaugos nuostatos, kurių Sąjungos valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba tvarkytojas laikosi vieną ar daugiau kartų perduodamas asmens duomenis vienos ar daugiau trečiųjų šalių duomenų valdytojui arba tvarkytojui, priklausančiam tai pačiai įmonių grupei;

(18) vaikas – bet kuris jaunesnis nei 18 metų asmuo;

(19) priežiūros institucija – valstybės narės pagal 46 straipsnį įsteigta valdžios institucija.

II SKYRIUS PRINCIPAI

5 straipsnis Asmens duomenų tvarkymo principai          

Asmens duomenys turi būti:

a)      duomenų subjekto atžvilgiu tvarkomi teisėtai, sąžiningai ir skaidriai;

b)      renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais, o toliau tvarkomi su šiais tikslais suderintais būdais;

c)      adekvatūs, susiję ir minimalios apimties, būtinos tikslams, kuriais jie tvarkomi, pasiekti; jie tvarkomi tik tiek ir tol, kol tikslų negalima pasiekti tvarkant asmens duomenų neapimančios informacijos;

d)      tikslūs ir nuolat atnaujinami; būtina imtis visų pagrįstų priemonių, kad atsižvelgiant į duomenų tvarkymo tikslus netikslūs asmens duomenys būtų nedelsiant ištrinti arba ištaisyti;

e)      laikomi tokiu pavidalu, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys tvarkomi; asmens duomenis galima saugoti ilgesnį laikotarpį, jeigu duomenys bus tvarkomi išimtinai istoriniais, statistiniais arba mokslinių tyrimų tikslais, laikantis 83 straipsnyje nustatytų taisyklių ir sąlygų, ir jeigu periodiškai atliekama peržiūra siekiant nustatyti, ar juos būtina toliau saugoti;

f)       tvarkomi duomenų valdytojo atsakomybe, kuris užtikrina ir įrodo, kad kiekviena duomenų tvarkymo operacija atitinka šio reglamento nuostatas.

6 straipsnis Tvarkymo teisėtumas

1.           Asmens duomenų tvarkymas teisėtas, tik jeigu ir tiek, kiek taikoma bent viena iš šių sąlygų:

a)      duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)      tvarkyti duomenis reikia siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu;

c)      tvarkyti duomenis reikia siekiant, kad duomenų valdytojas įvykdytų savo teisinę pareigą;

d)      tvarkyti duomenis reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus;

e)      tvarkyti duomenis reikia siekiant įvykdyti duomenų valdytojui pavestą viešojo intereso užduotį arba įgyvendinti valdžios įgaliojimus;

f)       tvarkyti duomenis reikia siekiant teisėtų duomenų valdytojo interesų, išskyrus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, kuriems turi būti taikoma asmens duomenų apsauga, už juos viršesni, ypač kai duomenų subjektas yra vaikas. Tai netaikoma duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo funkcijas.

2.           Asmens duomenų tvarkymas, reikalingas istoriniais, statistiniais arba mokslinių tyrimų tikslais, yra teisėtas, jeigu laikomasi 83 straipsnyje nurodytų sąlygų ir apsaugos priemonių.

3.           1 dalies c–e punktuose nurodytas asmenų tvarkymo pagrindas turi būti įtvirtintas:

a)      Sąjungos teisėje arba

b)       duomenų valdytojui taikytinos valstybės narės teisėje.

Valstybės narės teisės aktais turi būti siekiama ginti viešąjį interesą arba jie reikalingi, kad būtų apsaugotos kitų teisės ir laisvės, laikomasi esminių teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo.

4.           Kai tolesnio duomenų tvarkymo tikslas neatitinka tikslo, kuriuo buvo rinkti asmens duomenys, duomenų tvarkymas turi būti grindžiamas bent vienu iš 1 dalies a–e punktuose nurodytų teisinių pagrindų. Tai ypač taikytina bet kokiems sutarties nuostatų ir bendrųjų sutarties sudarymo sąlygų pakeitimams.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnes 1 dalies f punkte nurodytas sąlygas, taikomas įvairiems sektoriams ir duomenų tvarkymo atvejams, be kita ko, susijusiems su vaiko asmens duomenų tvarkymu.

7 straipsnis Sutikimo sąlygos

1.           Pareiga įrodyti, kad duomenų subjektas sutiko su jo asmens duomenų tvarkymu nustatytiems tikslams, tenka duomenų valdytojui.

2.           Jeigu duomenų subjekto sutikimas turi būti išreikštas rašytiniu pareiškimu, susijusiu ir su kitu klausimu, reikalavimas duoti sutikimą turi būti pateiktas aiškiai atskyrus nuo to kito klausimo.

3.           Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.

4.           Sutikimas nelaikomas galiojančiu duomenų tvarkymo teisiniu pagrindu, kai yra didelis duomenų subjekto ir duomenų valdytojo padėties disbalansas.

8 straipsnis Vaiko asmens duomenų tvarkymas

1.           Šio reglamento tikslais jaunesnio nei 13 metų vaiko, kuriam tiesiogiai siūlomos informacinės visuomenės paslaugos, asmens duomenų tvarkymas yra teisėtas, tik jeigu ir tiek, kiek sutikimą davė arba tvarkyti duomenis leido vaiko tėvai arba globėjas. Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda tinkamas pastangas, kad gautų įrodomą sutikimą.

2.           1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai su vaiku sudaromos sutarties galiojimo, sudarymo arba pasekmių normoms.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų įrodomo sutikimo gavimo būdų kriterijus ir reikalavimus. Naudodamasi šiuo įgaliojimu, Komisija svarsto labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

4.           Komisija gali nustatyti specialių 1 dalyje nurodyto įrodomo sutikimo gavimo būdų standartines formas. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

9 straipsnis Ypatingų kategorijų asmens duomenų tvarkymas

1.           Draudžiama tvarkyti asmens duomenis, kurie atskleidžia rasinę arba tautinę kilmę, politines pažiūras, religiją ar tikėjimą, priklausymą profesinėms sąjungoms, taip pat genetinius duomenis arba duomenis apie sveikatą ar lytinį gyvenimą, arba teistumą ar su juo susijusias saugumo priemones.

2.           1 dalis netaikoma tais atvejais, kai:

a)      duomenų subjektas sutiko, kad tokie asmens duomenys būtų tvarkomi laikantis 7 ir 8 straipsniuose nustatytų sąlygų, išskyrus, kai Sąjungos arba valstybės narės teisės aktuose numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti; arba

b)      tvarkyti duomenis būtina, kad duomenų valdytojas galėtų įvykdyti pareigas ir naudotis specialiomis teisėmis darbo teisės srityje, kiek tai leidžiama Sąjungos arba nacionalinės teisės aktais, kuriuose numatytos atitinkamos apsaugos priemonės; arba

c)      tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo; arba

d)      duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydami teisėtą veiklą ir taikydami tinkamas apsaugos priemones, ir su sąlyga, kad taip tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su šia organizacija dėl jos siekiamų tikslų, duomenys ir kad duomenys neperduodami už organizacijos ribų be duomenų subjektų sutikimo; arba

e)      tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai; arba

f)       tvarkyti duomenis būtina siekiant pagrįsti, pareikšti arba apginti teisinius reikalavimus; arba

g)      tvarkyti duomenis būtina, kad, remiantis Sąjungos arba valstybės narės teisės aktais, kuriuose numatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės, būtų galima atlikti viešojo intereso užduotį; arba

h)      tvarkyti sveikatos duomenis būtina sveikatos priežiūros tikslais ir su sąlyga, kad laikomasi 81 straipsnyje nustatytų sąlygų ir apsaugos priemonių; arba

i)       tvarkyti duomenis būtina istoriniais, statistiniais arba mokslinių tyrimų tikslais su sąlyga, kad laikomasi 83 straipsnyje nustatytų sąlygų ir apsaugos priemonių; arba

j)       duomenys apie teistumą ar su juo susijusias saugumo priemones tvarkomi arba prižiūrint valdžios institucijai, arba kai tvarkyti duomenis reikia, kad būtų įvykdyta teisinė ar įstatyme nustatyta duomenų valdytojo pareiga arba būtų atlikta svarbiu viešuoju interesu pagrįsta užduotis, ir tiek, kiek tai leidžiama Sąjungos arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos apsaugos priemonės. Išsamus teistumo duomenų registras vedamas tik prižiūrint valdžios institucijai.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodyto ypatingų kategorijų asmens duomenų tvarkymo kriterijus, sąlygas ir tinkamas apsaugos priemones ir 2 dalyje numatytas išimtis.

10 straipsnis Duomenų tvarkymas, kai asmens tapatybės nustatyti negalima

Jeigu duomenų valdytojas pagal tvarkomus duomenis negali nustatyti fizinio asmens tapatybės, jis neįpareigojamas gauti papildomos informacijos duomenų subjektui nustatyti vien tam, kam būtų laikomasi kurios nors šio reglamento nuostatos.

III SKYRIUS DUOMENŲ SUBJEKTO TEISĖS

1 SKIRSNIS SKAIDRUMAS IR SĄLYGOS ‑{}‑

11 straipsnis Skaidrus informavimas ir pranešimas

1.           Duomenų valdytojas numato skaidrias ir lengvai suprantamas asmens duomenų tvarkymo ir duomenų subjektų naudojimosi teisėmis nuostatas.

2.           Visą informaciją ir pranešimus, susijusius su asmens duomenų tvarkymu, duomenų valdytojas duomenų subjektui pateikia suprantama forma, aiškia ir paprasta duomenų subjektui pritaikyta kalba, ypač kai informacija skirta vaikui.

12 straipsnis Naudojimosi duomenų subjekto teisėmis tvarka ir mechanizmai

1.           Duomenų valdytojas nustato 14 straipsnyje nurodytos informacijos suteikimo ir naudojimosi 13 straipsnyje ir 15–19 straipsniuose nurodytomis duomenų subjektų teisėmis tvarką. Duomenų valdytojas visų pirma numato mechanizmus, kuriais palengvinamos galimybės prašyti taikyti 13 straipsnyje ir 15–19 straipsniuose nurodytas priemones. Kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų valdytojas taip pat užtikrina galimybes prašymus pateikti elektroniniu būdu.

2.           Duomenų valdytojas nepagrįstai nedelsdamas, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą, ar imtasi priemonių pagal 13 straipsnį ir 15–19 straipsnius, ir pateikia prašomą informaciją. Šis terminas gali būti pratęstas dar vienu mėnesiu, jeigu savo teisėmis naudojasi keli duomenų subjektai ir jiems būtina bendradarbiauti, kiek to pagrįstai reikia, kad būtų išvengta bereikalingų ir neproporcingų duomenų valdytojo pastangų. Ši informacija pateikiama raštu. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama elektroniniu būdu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

3.           Duomenų valdytojas informuoja duomenų subjektą apie atsisakymą imtis priemonių dėl duomenų subjekto prašymo, nurodo atsisakymo priežastis ir galimybes pateikti skundą priežiūros institucijai bei teisę imtis teisminių teisių gynimo priemonių.

4.           1 dalyje nurodyta informacija ir priemonės, kurių imtasi dėl prašymų, yra nemokamos. Jeigu prašymai akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali imti mokestį už prašomos informacijos suteikimą arba priemonių vykdymą, arba gali nevykdyti prašomų priemonių. Tokiu atveju duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 4 dalyje nurodytų akivaizdžiai neproporcingų prašymų kriterijus bei sąlygas ir mokestį.

6.           Komisija gali nustatyti 2 dalyje nurodyto pranešimo, be kita ko ir elektroniniu būdu, standartines formas ir standartines procedūras. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

13 straipsnis Teisės duomenų gavėjų atžvilgiu

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti duomenys, duomenų valdytojas praneša apie bet kokį duomenų ištaisymą arba ištrynimą pagal 16 ir 17 straipsnius, nebent tai padaryti būtų neįmanoma arba pareikalautų neproporcingų pastangų.

2 SKIRSNIS INFORMAVIMAS IR TEISĖ SUSIPAŽINTI SU DUOMENIMIS

14 straipsnis Duomenų subjektui teikiama informacija

1.           Kai renkami duomenų subjekto asmens duomenys, duomenų valdytojas duomenų subjektui pateikia bent tokią informaciją:

a)      duomenų valdytojo ir prireikus jo atstovo ir duomenų apsaugos pareigūno vardą ir pavardę (pavadinimą) ir duomenis ryšiams;

b)      tikslus, kuriais ketinama tvarkyti asmens duomenis, įskaitant sutarčių nuostatas ir bendrąsias sutarčių sudarymo sąlygas, kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies b punktu, ir teisėtus duomenų valdytojo interesus, kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies f punktu;

c)      asmens duomenų saugojimo laikotarpį;

d)      galiojančią duomenų subjekto teisę prašyti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, ir juos ištaisytų arba ištrintų, arba teisę nesutikti, kad tokie asmens duomenys būtų tvarkomi;

e)      teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

f)       asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

g)      kai taikoma, apie duomenų valdytojo ketinimą duomenis perduoti į trečiąją šalį arba tarptautinei organizacijai ir Komisijos sprendimu dėl tinkamumo pagrįstą informaciją apie tos trečiosios šalies ar tarptautinės organizacijos užtikrinamą apsaugos lygį;

h)      bet kokią papildomą informaciją, kad būtų užtikrintas sąžiningas duomenų subjekto duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų rinkimo aplinkybes.

2.           Kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir apie tai, ar asmens duomenys turi būti teikiami privaloma tvarka ar savanoriškai, taip pat nurodo galimas tokių duomenų nepateikimo pasekmes.

3.           Kai asmens duomenys renkami ne iš duomenų subjekto, duomenų valdytojas, be 1 dalyje nurodytos informacijos, duomenų subjektui praneša ir asmens duomenų šaltinį.

4.           Duomenų valdytojas 1, 2 ir 3 dalyse nurodytą informaciją pateikia:

a)      tuo metu, kai iš duomenų subjekto gaunami asmens duomenys, arba

b)      jeigu asmens duomenys renkami ne iš duomenų subjekto – tuo metu, kai asmens duomenys įrašomi, arba per pagrįstą laikotarpį po jų surinkimo, atsižvelgiant į konkrečias duomenų rinkimo ar kitokio tvarkymo aplinkybes, arba – jeigu ketinama duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

5.           Šio straipsnio 1–4 dalys netaikomos, jeigu:

a)      duomenų subjektas jau turi 1, 2 ir 3 dalyse nurodytą informaciją; arba

b)      duomenys renkami ne iš duomenų subjekto ir pateikti tokią informaciją neįmanoma arba pareikalautų neproporcingų pastangų; arba

c)      duomenys renkami ne iš duomenų subjekto ir duomenų įrašymas ar atskleidimas aiškiai nustatytas teisės akte; arba

d)      duomenys renkami ne iš duomenų subjekto ir tokios informacijos pateikimu, remiantis Sąjungos ar valstybės narės teise, būtų varžomos kitų teisės ir laisvės, kaip apibrėžta 21 straipsnyje.

6.           5 dalies b punkte nurodytu atveju duomenų valdytojas numato tinkamas priemones teisėtiems duomenų subjekto interesams apsaugoti.

7.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies f punkte nurodytų duomenų gavėjų kategorijų kriterijus, 1 dalies g punkte nurodyto galimo informacijos suteikimo reikalavimus, 1 dalies h punkte nurodytos reikalingos informacijos suteikimo konkretiems sektoriams ir konkrečiais atvejais kriterijus ir 5 dalies b punkte įtvirtintoms išimtims taikomas sąlygas ir apsaugos priemones. Naudodamasi šiuo įgaliojimu, Komisija imasi tinkamų labai mažoms, mažosioms ir vidutinėms įmonėms skirtų priemonių.

8.           Komisija gali nustatyti 1–3 dalyse nurodytos informacijos pateikimo standartines formas, prireikus atsižvelgdama į įvairių sektorių ypatumus bei poreikius ir duomenų tvarkymo atvejus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

15 straipsnis Duomenų subjekto teisė susipažinti su duomenimis

1.           Duomenų subjektas turi teisę pateikęs prašymą bet kuriuo metu iš duomenų valdytojo gauti patvirtinimą, ar tvarkomi jo asmens duomenys. Jeigu tokie asmens duomenys tvarkomi, duomenų valdytojas pateikia informaciją apie:

a)      duomenų tvarkymo tikslus;

b)      atitinkamų asmens duomenų kategorijas;

c)      duomenų gavėjus, kuriems ketinama atskleisti asmens duomenis arba kuriems asmens duomenys buvo atskleisti, arba tokių gavėjų kategorijas, visų pirma duomenų gavėjus trečiosiose šalyse;

d)      asmens duomenų saugojimo laikotarpį;

e)      tai, kad duomenų subjektas turi teisę prašyti duomenų valdytojo ištaisyti arba ištrinti su juo susijusius asmens duomenis arba nesutikti, kad tokie asmens duomenys būtų tvarkomi;

f)       teisę pateikti skundą priežiūros institucijai ir priežiūros institucijos duomenis ryšiams;

g)      tai, kokie asmens duomenys yra tvarkomi ir visą turimą informaciją apie jų šaltinius;

h)      tokio duomenų tvarkymo reikšmę ir numatomas pasekmes bent tuo atveju, kai taikomos 20 straipsnyje nurodytos priemonės.

2.           Duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją, kokie asmens duomenys yra tvarkomi. Jeigu duomenų subjektas prašymą pateikia elektroniniu būdu, informacija jam taip pat pateikiama elektroniniu būdu, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies g punkte nurodytos informacijos apie asmens duomenų turinį pateikimo kriterijus ir reikalavimus.

4.           Komisija gali nustatyti prašymų susipažinti su 1 punkte nurodyta informacija ir jos pateikimo standartines formas ir procedūras, be kita ko, susijusias su duomenų subjekto tapatybės patikrinimu ir informacijos apie asmens duomenis pateikimu duomenų subjektui, atsižvelgiant į konkrečius įvairių sektorių ir duomenų tvarkymo atvejų ypatumus ir reikalavimus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

3 SKIRSNIS

DUOMENŲ IŠTAISYMAS IR IŠTRYNIMAS

16 straipsnis Teisė reikalauti ištaisyti duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištaisytų netikslius jo asmens duomenis. Duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, parengiant klaidų ištaisymą.

17 straipsnis Teisė būti pamirštam ir teisė reikalauti ištrinti duomenis

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištrintų jo asmens duomenis ir tokių duomenų daugiau neplatintų, ypač asmens duomenų, kuriuos duomenų subjektas pateikė, kai buvo vaikas, jeigu tai galima pateisinti dėl kurios nors iš šių priežasčių:

a)      duomenys nebereikalingi, kad būtų pasiekti tikslai, kuriems jie buvo renkami arba kitaip tvarkomi;

b)      duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą grindžiamas duomenų tvarkymas, arba kai yra pasibaigęs saugojimo laikotarpis, dėl kurio duotas sutikimas, ir jeigu nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)      duomenų subjektas pagal 19 straipsnį nesutinka, kad asmens duomenys būtų tvarkomi;

d)      duomenų tvarkymas neatitinka šio reglamento dėl kitų priežasčių.

2.           Jeigu 1 dalyje nurodytas duomenų valdytojas viešai paskelbė asmens duomenis, jis imasi visų pagrįstų veiksmų, įskaitant technines priemones, dėl duomenų, už kurių paskelbimą yra atsakingas, kad informuotų tokius duomenis tvarkančius trečiuosius asmenis, jog duomenų subjektas prašo ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus. Jeigu duomenų valdytojas leido trečiajam asmeniui paskelbti asmens duomenis, už tą paskelbimą atsakingu laikomas duomenų valdytojas.

3.           Duomenų valdytojas nedelsdamas ištrina asmens duomenis, išskyrus atvejus, kai asmens duomenis būtina išsaugoti:

a)      siekiant pasinaudoti teise į saviraiškos laisvę pagal 80 straipsnį;

b)      dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 81 straipsnį;

c)      istoriniais, statistiniais ir mokslinių tyrimų tikslais pagal 83 straipsnį;

d)      siekiant laikytis Sąjungos ar valstybės narės teisės aktais nustatytos duomenų valdytojui taikomos teisinės pareigos saugoti asmens duomenis; valstybių narių teisės aktais siekiama ginti viešąjį interesą, laikomasi esminių teisės į asmens duomenų apsaugą nuostatų ir proporcingai siekiama teisėto tikslo;

e)      4 dalyje nurodytais atvejais.

4.           Duomenų valdytojas asmens duomenų neištrina, o apriboja jų tvarkymą, jeigu:

a)      duomenų subjektas užginčija jų tikslumą; šiuo atveju duomenų tvarkymas apribojamas laikotarpiui, per kurį duomenų valdytojas gali patikrinti duomenų tikslumą;

b)      duomenų valdytojui nebereikia asmens duomenų savo užduočiai atlikti, tačiau jie turi būti saugomi įrodinėjimo tikslais;

c)      duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

d)      duomenų subjektas prašo persiųsti asmens duomenis į kitą automatizuotą duomenų tvarkymo sistemą pagal 18 straipsnio 2 dalį.

5.           4 dalyje nurodyti asmens duomenys gali būti tvarkomi, išskyrus jų saugojimą, tik įrodinėjimo tikslais arba gavus duomenų subjekto sutikimą, arba siekiant užtikrinti kito fizinio ar juridinio asmens teisių apsaugą arba ginti viešąjį interesą.

6.           Jeigu asmens duomenų tvarkymas apribojamas pagal 4 dalį, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

7.           Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad būtų nustatytu laiku ištrinami asmens duomenys ir (arba) periodiškai peržiūrima būtinybė juos saugoti.

8.           Jei asmens duomenys ištrinami, duomenų valdytojas tokių asmens duomenų negali tvarkyti jokiais kitais būdais.

9.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius (-es):

a)      1 dalies taikymo konkretiems sektoriams ir konkrečiais duomenų tvarkymo atvejais kriterijus ir reikalavimus;

b)      kitas nuorodų į asmens duomenis, jų kopijų ar dublikatų ištrynimo iš viešai prieinamų ryšio paslaugų priemonių sąlygas, kaip nurodyta 2 dalyje;

c)      4 dalyje nurodyto asmens duomenų tvarkymo apribojimo kriterijus ir sąlygas;

18 straipsnis Teisė į duomenų perkeliamumą

1.           Jeigu asmens duomenys tvarkomi elektroniniu būdu ir taikant susistemintą bei dažnai naudojamą formatą, duomenų subjektas turi teisę iš duomenų valdytojo gauti tvarkomų duomenų kopiją elektroniniu ir susistemintu bei dažnai naudojamu formatu, kad duomenų subjektas galėtų ja toliau naudotis.

2.           Jeigu duomenų subjektas pateikė asmens duomenis ir duomenų tvarkymas grindžiamas sutikimu arba sutartimi, duomenų subjektas turi teisę dažnai naudojamu elektroniniu formatu persiųsti tuos asmens duomenis ir bet kokią kitą informaciją, kurią jis pateikė ir kuri yra saugoma automatizuotoje duomenų tvarkymo sistemoje, į kitą automatizuotą duomenų tvarkymo sistemą, duomenų valdytojui, iš kurio tie asmens duomenys yra gauti, netrukdant.

3.           Komisija gali nustatyti 1 dalyje nurodytą elektroninį formatą ir asmens duomenų persiuntimo pagal 2 dalį techninius standartus, būdus ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

4 SKIRSNIS

TEISĖ NESUTIKTI IR PROFILIAVIMAS

19 straipsnis Teisė nesutikti

1.           Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies d, e ir f punktais, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus arba pagrindines teises ir laisves.

2.           Jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę nesutikti, kad jo asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, nemokėdamas jokio mokesčio. Ši teisė aiškiai nurodoma duomenų subjektui suprantamu būdu ir aiškiai atskiriama nuo kitos informacijos.

3.           Jeigu išreiškiamas nesutikimas pagal 1 ir 2 dalį, duomenų valdytojas nebenaudoja ar kitaip netvarko atitinkamų asmens duomenų.

20 straipsnis Profiliavimu pagrįstos priemonės

1.           Kiekvienas fizinis asmuo turi teisę į tai, kad jam nebūtų taikoma priemonė, dėl kurios jis patirtų teisinių pasekmių arba kuri darytų jam didelį poveikį ir kuri pagrįsta tik automatizuotu duomenų tvarkymu, siekiant įvertinti tam tikrus su tuo fiziniu asmeniu susijusius asmeninius aspektus arba visų pirma išnagrinėti arba numatyti fizinio asmens darbo rezultatus, ekonominę situaciją, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį.

2. Laikantis kitų šio reglamento nuostatų, asmeniui 1 dalyje nurodyto pobūdžio priemonė gali būti taikoma tik tuo atveju, jeigu:

a)      duomenys tvarkomi sudarant arba vykdant sutartį, kai patenkintas duomenų subjekto prašymas sudaryti ar vykdyti sutartį arba kai nustatytos tinkamos priemonės teisėtiems duomenų subjekto interesams apsaugoti, kaip antai teisė reikalauti žmogaus įsikišimo; arba

b)      duomenų tvarkymas aiškiai leidžiamas Sąjungos ar valstybės narės teisės aktais, kuriais taip pat nustatomos priemonės teisėtiems duomenų subjekto interesams apsaugoti; arba

c)      duomenų tvarkymas pagrįstas duomenų subjekto sutikimu laikantis 7 straipsnyje nustatytų sąlygų ir taikant tinkamas apsaugos priemones.

3. Automatizuotas asmens duomenų tvarkymas, siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, negali būti grindžiamas tik 9 straipsnyje nurodytais ypatingų kategorijų asmens duomenimis.

4.           2 dalyje nurodytais atvejais duomenų valdytojas, teikdamas informaciją pagal 14 straipsnį, pateikia informaciją ir apie tai, ar duomenys yra tvarkomi 1 dalyje nurodyto pobūdžio priemonės tikslais ir kokios numatomos tokio duomenų tvarkymo pasekmės duomenų subjektui.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius priemonių, tinkamų 2 dalyje nurodytiems duomenų subjekto teisėtiems interesams apsaugoti, kriterijus ir sąlygas.

5 SKIRSNIS APRIBOJIMAI

21 straipsnis Apribojimai

1.           Sąjunga ar valstybės narės gali teisėkūros priemonėmis apriboti 5 straipsnio a–e punktuose ir 11–20 straipsniuose ir 32 straipsnyje nustatytas pareigas ir teises, kai toks apribojimas demokratinėje visuomenėje būtinas ir proporcingas siekiant užtikrinti:

a)      visuomenės saugumą;

b)      nusikalstamų veikų prevenciją, tyrimą, nustatymą ir traukimą baudžiamojon atsakomybėn už jas;

c)      kitus svarbius Sąjungos ar valstybės narės viešuosius interesus, visų pirma svarbų ekonominį ar finansinį Sąjungos ar valstybės narės interesą, įskaitant pinigų, biudžeto bei mokesčių klausimus ir rinkos stabilumo bei vientisumo apsaugą;

d)      reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir traukimą atsakomybėn už juos;

e)      stebėjimo, tikrinimo ar reguliavimo funkciją, kuri, net ir laikinai, yra susijusi su naudojimusi valdžios įgaliojimais šios dalies a, b, c ir d punktuose nurodytais atvejais;

f)       duomenų subjekto apsaugą arba kitų asmenų teises ir laisves.

2.           1 dalyje nurodytoje teisėkūros priemonėje visų pirma įtvirtinamos specialiosios nuostatos, susijusios bent su numatomais duomenų tvarkymo tikslais ir duomenų valdytojo apibrėžtimi.

IV SKYRIUS

DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS

1 SKIRSNIS BENDROSIOS PAREIGOS

22 straipsnis Duomenų valdytojo atsakomybė

1.           Duomenų valdytojas priima veiklos nuostatas ir taiko tinkamas priemones, kuriomis užtikrina, kad asmens duomenys būtų tvarkomi laikantis šio reglamento, ir gali tai įrodyti.

2.           1 dalyje nurodytos priemonės – tai visų pirma:

a)      dokumentų saugojimas pagal 28 straipsnį;

b)      30 straipsnyje nustatytų duomenų saugumo reikalavimų vykdymas;

c)      duomenų apsaugos poveikio vertinimo atlikimas pagal 33 straipsnį;

d)      priežiūros institucijos išankstinio leidimo arba išankstinio konsultavimosi su ja reikalavimų laikymasis pagal 34 straipsnio 1 ir 2 dalis;

e)      duomenų apsaugos pareigūno paskyrimas pagal 35 straipsnio 1 dalį.

3.           Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad 1 ir 2 dalyse nurodytų priemonių veiksmingumas būtų tikrinamas. Šį patikrinimą atlieka nepriklausomi vidaus ar išorės auditoriai, jei toks patikrinimas yra proporcingas.

4.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų tinkamų priemonių kriterijus ir reikalavimus, kurie nenurodyti 2 dalyje, 3 dalyje nurodytų patikrinimo ir audito mechanizmų sąlygas ir 3 dalyje nurodyto proporcingumo kriterijaus nuostatas, ir svarstyti labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

23 straipsnis Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1.           Atsižvelgdamas į naujausias technines galimybes ir įdiegimo sąnaudas, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo būdus, tiek juos tvarkydamas, įdiegia tinkamas technines bei organizacines priemones ir nustato procedūras, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.           Duomenų valdytojas įdiegia mechanizmus, kuriais užtikrina, kad paprastai būtų tvarkomi tik konkrečiam duomenų tvarkymo tikslui pasiekti būtini asmens duomenys ir kad visų pirma nebūtų renkama ar saugojama daugiau duomenų nei būtina tiems tikslams pasiekti, taip pat tie duomenys nebūtų renkami ar saugojami ilgiau nei būtina tiems tikslams pasiekti. Visų pirma tais mechanizmais užtikrinama, kad paprastai su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų tinkamų priemonių ir mechanizmų kriterijus ir reikalavimus, visų pirma įvairiems sektoriams, produktams ir paslaugoms taikomus pritaikytosios duomenų apsaugos reikalavimus.

4.           Komisija gali nustatyti 1 ir 2 dalyse nustatytų reikalavimų techninius standartus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

24 straipsnis  Bendri duomenų valdytojai

Jeigu duomenų valdytojas asmens duomenų tvarkymo tikslus, sąlygas ir būdus nustato kartu su kitais duomenų valdytojais, tokie bendri duomenų valdytojai tarpusavio susitarimu nustato savo atitinkamą atsakomybę už šiame reglamente nustatytų pareigų, visų pirma susijusių su duomenų subjekto naudojimosi savo teisėmis procedūromis ir mechanizmais, laikymąsi.

25 straipsnis Sąjungoje neįsisteigusių duomenų valdytojų atstovai

1.           3 straipsnio 2 dalyje nurodytu atveju duomenų valdytojas paskiria atstovą Sąjungoje.

2.           Ši pareiga netaikoma:

a)      trečiojoje šalyje įsisteigusiam duomenų valdytojui, jei Komisija nusprendė, kad ta trečioji šalis užtikrina tinkamą apsaugos lygį pagal 41 straipsnį; arba

b)      įmonei, kurioje yra mažiau kaip 250 darbuotojų; arba

c)      valdžios institucijai ar įstaigai; arba

d)      duomenų valdytojui, kuris tik retkarčiais siūlo prekes ar paslaugas Sąjungoje gyvenantiems duomenų subjektams.

3.           Atstovas yra įsisteigęs vienoje iš tų valstybių narių, kuriose gyvena duomenų subjektai, kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo tikslais arba kurių elgesys yra stebimas.

4.           Atstovą duomenų valdytojas skiria nedarydamas poveikio teisiniams veiksmams, kurių gali būti imtasi prieš patį duomenų valdytoją.

26 straipsnis Duomenų tvarkytojas

1.           Jeigu duomenų valdytojo pavedimu turi būti atlikta duomenų tvarkymo operacija, duomenų valdytojas pasirenka duomenų tvarkytoją, kuris suteikia pakankamą garantiją, jog bus įdiegtos tinkamos techninės ir organizacinės priemonės ir nustatytos procedūros, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, visų pirma įdiegiant techninio saugumo ir organizacines priemones, susijusias su planuojamu duomenų tvarkymu, ir užtikrina, kad tų priemonių būtų laikomasi.

2.           Kaip duomenų tvarkytojas tvarko duomenis, reglamentuojama sutartimi arba teisės aktu, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui ir kuriuose visų pirma nurodoma, kad duomenų tvarkytojas:

a)      veikia tik pagal duomenų valdytojo nurodymus, visų pirma jei naudojamų asmens duomenų perdavimas yra draudžiamas;

b)      įdarbina tik tuos darbuotojus, kurie įsipareigoja laikytis konfidencialumo arba kuriems taikoma įstatymu nustatyta konfidencialumo pareiga;

c)      imasi visų būtinų priemonių pagal 30 straipsnį;

d)      pasitelkia kitą duomenų tvarkytoją tik gavęs išankstinį duomenų valdytojo leidimą;

e)      jei įmanoma, atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų valdytojui pritarus parengia būtinus techninius ir organizacinius reikalavimus, kad būtų įvykdyta duomenų valdytojo pareiga atsakyti į prašymus, pateiktus naudojantis III skyriuje nustatytomis duomenų subjekto teisėmis;

f)       padeda duomenų valdytojui užtikrinti 30–34 straipsniuose nustatytų pareigų laikymąsi;

g)      baigęs tvarkyti duomenis, perduoda visus rezultatus duomenų valdytojui ir kitaip asmens duomenų netvarko;

h)      pateikia duomenų valdytojui ir priežiūros institucijai visą būtiną informaciją šiame straipsnyje nustatytų pareigų laikymuisi kontroliuoti.

3.           Duomenų valdytojas ir duomenų tvarkytojas dokumentuoja duomenų valdytojo nurodymus ir 2 dalyje nurodytas duomenų tvarkytojo pareigas.

4.           Jeigu duomenų tvarkytojas tvarko asmens duomenis kitaip nei nurodė duomenų valdytojas, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas laikomas duomenų valdytoju ir jam taikomos 24 straipsnyje nustatytos taisyklės dėl bendrų duomenų valdytojų.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius su duomenų tvarkytoju susijusios atsakomybės, pareigų ir užduočių kriterijus ir reikalavimus pagal 1 dalį, taip pat sąlygas, kuriomis galima palengvinti asmens duomenų tvarkymą įmonių grupėms, visų pirma kontrolės ir ataskaitų rengimo tikslais.

27 straipsnis Duomenų valdytojui ir duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali jų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymą juos tvarkyti, nebent tai daryti reikalaujama Sąjungos ar valstybės narės teisės aktais.

28 straipsnis Dokumentai

1.           Kiekvienas duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, saugo visų duomenų tvarkymo operacijų, už kurias yra atsakingas, dokumentus.

2.           Dokumentuose nurodoma bent ši informacija:

a)      duomenų valdytojo arba bet kurio bendro duomenų valdytojo arba duomenų tvarkytojo, taip pat atstovo, jei toks yra, vardas ir pavardė (pavadinimas) ir duomenys ryšiams;

b)      duomenų apsaugos pareigūno, jei toks yra, vardas ir pavardė ir duomenys ryšiams;

c)      duomenų tvarkymo tikslai, įskaitant teisėtus duomenų valdytojo interesus, jei duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies f punktu;

d)      duomenų subjektų kategorijų ir duomenų subjektų asmens duomenų kategorijų aprašymas;

e)      asmens duomenų gavėjai ar jų kategorijos, įskaitant duomenų valdytojus, kuriems asmens duomenys atskleidžiami atsižvelgiant į teisėtą jų interesą;

f)       jei taikoma, duomenų perdavimas į trečiąją šalį arba tarptautinei organizacijai, įskaitant tos trečiosios šalies arba tarptautinės organizacijos pavadinimą, ir tais atvejais, kai duomenys perduodami remiantis 44 straipsnio 1 dalies h punktu, tinkamų apsaugos priemonių dokumentai;

g)      bendra informacija apie skirtingų kategorijų duomenų ištrynimo terminus;

h)      22 straipsnio 3 dalyje nurodytų mechanizmų aprašymas.

3.           Priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, pateikia jai dokumentus.

4.           1 ir 2 dalyse nurodytos pareigos netaikomos šiems duomenų valdytojams ir duomenų tvarkytojams:

a)      komercinio intereso neturinčiam asmens duomenis tvarkančiam fiziniam asmeniui; arba

b)      įmonei arba organizacijai, kurioje yra mažiau kaip 250 darbuotojų ir kuriai asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų dokumentų kriterijus ir reikalavimus, visų pirma siekiant atsižvelgti į duomenų valdytojo ir duomenų tvarkytojo, taip pat duomenų valdytojo atstovo, jei toks yra, atsakomybę.

6.           Komisija gali nustatyti 1 dalyje nurodytų dokumentų standartines formas. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

29 straipsnis Bendradarbiavimas su priežiūros institucija

1.           Atliekant savo pareigas pateiktu priežiūros institucijos prašymu duomenų valdytojas ir duomenų tvarkytojas, taip pat duomenų valdytojo atstovas, jei toks yra, su ja bendradarbiauja, visų pirma pateikdami 53 straipsnio 2 dalies a punkte nurodytą informaciją ir suteikdami tos dalies b punkte nurodytą galimybę.

2.           Priežiūros institucijai naudojantis savo įgaliojimais pagal 53 straipsnio 2 dalį, duomenų valdytojas ir duomenų tvarkytojas atsako priežiūros institucijai per jos nurodytą pagrįstą laikotarpį. Atsakyme į priežiūros institucijos pastabas pateikiamas priemonių, kurių imtasi, aprašymas ir pasiekti rezultatai.

2 SKIRSNIS DUOMENŲ SAUGUMAS

30 straipsnis Duomenų tvarkymo saugumas

1.           Duomenų valdytojas ir duomenų tvarkytojas įdiegia tinkamas technines ir organizacines priemones, kad užtikrintų duomenų tvarkymo riziką ir saugotinų asmens duomenų pobūdį atitinkantį saugumo lygį, atsižvelgdami į naujausias technines galimybes ir tų priemonių įdiegimo sąnaudas.

2.           Duomenų valdytojas ir duomenų tvarkytojas, įvertinę riziką, imasi 1 dalyje nurodytų priemonių, kad apsaugotų asmens duomenis nuo netyčinio ar neteisėto sunaikinimo arba netyčinio praradimo ir užkirstų kelią bet kokio pobūdžio neteisėtam duomenų tvarkymui, visų pirma asmens duomenų neleistinam atskleidimui, platinimui ar susipažinimui su jais arba jų pakeitimui.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų techninių ir organizacinių priemonių kriterijus ir sąlygas, įskaitant naujausių techninių galimybių konkrečiuose sektoriuose ir konkrečiais duomenų tvarkymo atvejais apibrėžtis, visų pirma atsižvelgiant į technologijų raidą ir pritaikytosios privatumo apsaugos bei standartizuotosios duomenų apsaugos sprendimus, išskyrus atvejus, kai taikoma 4 dalis.

4.           Prireikus Komisija gali priimti įgyvendinimo aktus ir jais nustatyti, kaip 1 ir 2 dalyse nustatyti reikalavimai taikomi įvairiais atvejais visų pirma siekiant:

a)      užkirsti kelią neleistinam susipažinimui su asmens duomenimis;

b)      užkirsti kelią asmens duomenų neleistinam atskleidimui, skaitymui, kopijavimui, keitimui, ištrynimui ar pašalinimui;

c)      užtikrinti, kad būtų tikrinamas duomenų tvarkymo operacijų teisėtumas.

Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

31 straipsnis Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

1.           Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas, nepagrįstai nedelsdamas, jei įmanoma per 24 valandas nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, praneša apie jį priežiūros institucijai. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 24 valandas, prie pranešimo pridedamas motyvuotas paaiškinimas.

2.           Pagal 26 straipsnio 2 dalies f punktą duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nedelsdamas įspėja ir informuoja duomenų valdytoją.

3.           1 dalyje nurodytame pranešime turi būti bent:

a)      aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir skaičių, taip pat atitinkamų duomenų įrašų kategorijas ir skaičių;

b)      pateiktas duomenų apsaugos pareigūno vardas ir pavardė ir duomenys ryšiams arba kitas asmuo ryšiams, iš kurio galima gauti daugiau informacijos;

c)      rekomenduotos priemonės galimam neigiamam asmens duomenų saugumo pažeidimo poveikiui sušvelninti;

d)      aprašytos asmens duomenų saugumo pažeidimo pasekmės;

e)      aprašytos priemonės, kurias pasiūlė arba kurių ėmėsi duomenų valdytojas asmens duomenų saugumo pažeidimui išaiškinti.

4.           Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant pažeidimo faktus, jo poveikį ir taisomuosius veiksmus, kurių ėmėsi. Remdamasi šiais dokumentais priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio. Dokumentuose pateikiama tik tam tikslui pasiekti būtina informacija.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodyto duomenų saugumo pažeidimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas ir duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą, kriterijus ir reikalavimus.

6.           Komisija priežiūros institucijai gali nustatyti standartinę tokio pranešimo formą, pranešimo procedūras ir 4 dalyje nurodytų dokumentų formas ir variantus, įskaitant juose pateiktos informacijos ištrynimo terminus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

32 straipsnis Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui

1.           Kai asmens duomenų saugumo pažeidimas gali turėti neigiamo poveikio asmens duomenų apsaugai ar duomenų subjekto privatumui, duomenų valdytojas, po to, kai pateikia 31 straipsnyje nurodytą pranešimą, nepagrįstai nedelsdamas apie pažeidimą praneša duomenų subjektui.

2.           1 dalyje nurodytame pranešime duomenų subjektui aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 31 straipsnio 3 dalies b ir c punktuose nurodyta informacija ir rekomendacijos.

3.           Duomenų subjektui apie asmens duomenų saugumo pažeidimą pranešti nebūtina, jeigu duomenų valdytojas priežiūros institucijai patikimai įrodo, kad įdiegė tinkamas technologines apsaugos priemones ir kad tos priemonės taikytos su asmens duomenų saugumo pažeidimu susijusiems duomenims. Tokiomis technologinėmis apsaugos priemonėmis užtikrinama, kad asmeniui, neturinčiam leidimo su duomenimis susipažinti, jie būtų nesuprantami.

4.           Nepažeisdama duomenų valdytojo pareigos pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, priežiūros institucija, išnagrinėjusi galimą neigiamą pažeidimo poveikį, gali reikalauti, kad duomenų valdytojas praneštų apie asmens duomenų saugumo pažeidimą su juo susijusiam duomenų subjektui, jei jis to dar nepadarė.

5.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų aplinkybių, kuriomis asmens duomenų saugumo pažeidimas gali neigiamai paveikti asmens duomenis, kriterijus ir reikalavimus.

6.           Komisija gali nustatyti 1 dalyje nurodyto pranešimo duomenų subjektui formatą ir tam pranešimui taikomas procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

3 SKIRSNIS DUOMENŲ APSAUGOS VERTINIMAS IR IŠANSKTINIS LEIDIMAS

33 straipsnis Duomenų apsaugos poveikio vertinimas

1.           Jeigu atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties arba tikslų kyla konkreti rizika duomenų subjektų teisėms ir laisvėms, duomenų valdytojas arba duomenų tvarkytojas, veikiantis duomenų valdytojo pavedimu, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.

2.           1 dalyje nurodyta konkreti rizika kyla visų pirma atliekant šias duomenų tvarkymo operacijas:

a)      sistemingą ir išsamų su fiziniu asmeniu susijusių asmeninių aspektų vertinimą arba duomenų tvarkymo operacijas, atliekamas siekiant išnagrinėti arba numatyti fizinio asmens ekonominę situaciją, buvimo vietą, sveikatos būklę, asmeninius pomėgius, patikimumą arba elgesį, kai tokia operacija grindžiama automatizuotu duomenų tvarkymu ir ja remiantis taikomos priemonės, dėl kurių fizinis asmuo patiria teisinių pasekmių arba kurios daro jam didelį poveikį;

b)      tvarkant informaciją apie lytinį gyvenimą, rasę ir tautinę kilmę arba duomenų tvarkymo operacijas, atliekamas teikiant sveikatos priežiūrą, epidemiologinius tyrimus arba psichinių ar infekcinių ligų tyrimus, kai duomenys tvarkomi dideliu mastu siekiant imtis priemonių ar priimti sprendimus dėl konkrečių fizinių asmenų;

c)      viešų vietų stebėjimą, ypač dideliu mastu naudojant optinius elektroninius prietaisus (stebėjimas vaizdo kameromis);

d)      tvarkant vaikų asmens duomenis, genetinius duomenis ar biometrinius duomenis didelės apimties susistemintuose rinkiniuose;

e)      kitas duomenų tvarkymo operacijas, kurioms atlikti būtina konsultuotis su priežiūros institucija pagal 34 straipsnio 2 dalies b punktą.

3.           Vertinime pateikiamas bent bendras numatytų duomenų tvarkymo operacijų aprašymas, rizikos duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tai rizikai pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų atitinkamų asmenų teises ir teisėtus interesus.

4.           Duomenų valdytojas siekia išsiaiškinti, kokia duomenų subjektų ar jų atstovų nuomonė apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

5.           Jeigu duomenų valdytojas yra valdžios institucija ar įstaiga ir jeigu duomenų tvarkymas grindžiamas teisine pareiga pagal 6 straipsnio 1 dalies c punktą, kuria numatomos su duomenų tvarkymo operacijomis susijusios taisyklės ir procedūros ir kuri įtvirtinta Sąjungos teisės aktais, 1–4 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

6.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 ir 2 dalyse nurodytų duomenų tvarkymo operacijų, kurias atliekant gali kilti konkreti rizika, kriterijus ir sąlygas, taip pat 3 dalyje nurodyto vertinimo reikalavimus, įskaitant išplėtimo, patikrinimo ir audito sąlygas. Naudodamasi šiuo įgaliojimu, Komisija svarsto labai mažoms, mažosioms ir vidutinėms įmonėms skirtas specialias priemones.

7.           Komisija gali nustatyti 3 dalyje nurodyto vertinimo atlikimo, patikrinimo ir audito standartus ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

34 straipsnis Išankstinis leidimas ir išankstinis konsultavimasis

1.           Duomenų valdytojas arba atitinkamais atvejais duomenų tvarkytojas prieš pradėdamas tvarkyti asmens duomenis, iš priežiūros institucijos gauna leidimą ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu duomenų valdytojas arba duomenų tvarkytojas, norėdamas perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai, priima sutarties sąlygas, kaip nurodyta 42 straipsnio 2 dalies d punkte, arba nenustato tinkamų apsaugos priemonių teisiškai privalomu dokumentu, kaip nurodyta 42 straipsnio 5 dalyje.

2.           Duomenų valdytojas arba duomenų tvarkytojas, veikdamas duomenų valdytojo pavedimu, prieš pradėdamas tvarkyti asmens duomenis, konsultuojasi su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika, jeigu:

a)      duomenų apsaugos poveikio vertinime pagal 33 straipsnį nurodyta, kad atliekant duomenų tvarkymo operacijas dėl jų pobūdžio, aprėpties ar tikslų gali kilti didelė konkreti rizika; arba

b)      priežiūros institucija mano, kad būtina iš anksto konsultuotis dėl duomenų tvarkymo operacijų, kurias atliekant dėl jų pobūdžio, aprėpties ir (arba) tikslų gali kilti konkreti rizika duomenų subjektų teisėms ir laisvėms ir kurios nustatytos pagal 4 dalį.

3.           Jeigu priežiūros institucija mano, kad numatytas duomenų tvarkymas neatitinka šio reglamento, visų pirma jei nepakankamai išsiaiškinta arba sumažinta rizika, ji uždraudžia atlikti numatytą duomenų tvarkymą ir pateikia tinkamų pasiūlymų, kokių taisomųjų veiksmų reikia imtis.

4.           Priežiūros institucija nustato duomenų tvarkymo operacijas, dėl kurių reikia iš anksto konsultuotis pagal 2 dalies b punktą, ir viešai jas paskelbia. Priežiūros institucija šiuos sąrašus pateikia Europos duomenų apsaugos valdybai.

5.           Jeigu 4 dalyje nustatytame sąraše nurodyta duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams keliose valstybėse narėse arba su duomenų subjektų elgesio stebėjimu arba ją vykdant gali būti daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija, prieš priimdama sąrašą, taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

6.           Duomenų valdytojas arba duomenų tvarkytojas pateikia priežiūros institucijai 33 straipsnyje nurodytą duomenų apsaugos poveikio vertinimą ir priežiūros institucijos prašymu bet kokią kitą informaciją, kuria remdamasi ji galėtų įvertinti, ar duomenų tvarkymas atitinka šį reglamentą, o visų pirma riziką duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

7.           Valstybės narės, rengdamos teisėkūros priemonę, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamą priemonę, kuria nustatomas duomenų tvarkymo pobūdis, konsultuojasi su priežiūros institucija ir taip užtikrina, kad numatytas duomenų tvarkymas atitiktų šį reglamentą ir visų pirma būtų sumažinta duomenų subjektams kylanti rizika.

8.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 2 dalies a punkte nurodytos didelės konkrečios rizikos nustatymo kriterijus ir reikalavimus.

9.           Komisija gali nustatyti 1 ir 2 dalyse nurodyto išankstinio leidimo ir konsultavimosi standartines formas ir procedūras, taip pat informacijos teikimo priežiūros institucijai pagal 6 dalį standartines formas ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

4 SKIRSNIS DUOMENŲ APSAUGOS PAREIGŪNAS

35 straipsnis Duomenų apsaugos pareigūno paskyrimas

1.           Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

a)      duomenis tvarko valdžios institucija ar įstaiga; arba

b)      duomenis tvarko įmonė, kurioje yra 250 arba daugiau darbuotojų; arba

c)      duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus.

2.           1 dalies b punkte nurodytu atveju įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną.

3.           Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, duomenų apsaugos pareigūnas gali būti skiriamas keliems jai priklausantiems subjektams, atsižvelgiant į tos valdžios institucijos ar įstaigos organizacinę struktūrą.

4.           Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti duomenų apsaugos pareigūną.

5.           Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną paskiria vertindamas profesinę kvalifikaciją ir visų pirma duomenų apsaugos teisės aktų ir praktikos išmanymą, taip pat gebėjimą atlikti 37 straipsnyje nurodytas užduotis. Būtinas dalykinių žinių lygis visų pirma nustatomas atsižvelgiant į atliekamą duomenų tvarkymą ir būtiną duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų apsaugą.

6.           Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad visos kitos tarnybinės duomenų apsaugos pareigūno pareigos atitiktų jo, kaip duomenų apsaugos pareigūno, užduotis ir pareigas ir kad dėl jų nekiltų interesų konfliktas.

7.           Duomenų valdytojas arba duomenų tvarkytojas paskiria duomenų apsaugos pareigūną mažiausiai dvejiems metams. Duomenų apsaugos pareigūno kadencija gali būti atnaujinama. Kadencijos laikotarpiu duomenų apsaugos pareigūnas gali būti atleidžiamas iš pareigų tik jei nebeatitinka jo pareigoms keliamų reikalavimų.

8.           Duomenų valdytojas arba duomenų tvarkytojas duomenų apsaugos pareigūną gali įdarbinti arba savo užduotis duomenų apsaugos pareigūnas gali atlikti pagal paslaugų teikimo sutartį.

9.           Duomenų valdytojas arba duomenų tvarkytojas pateikia duomenų apsaugos pareigūno vardą, pavardę ir duomenis ryšiams priežiūros institucijai ir paskelbia viešai.

10.         Duomenų subjektai turi teisę kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais su jų duomenų tvarkymu ir prašymais, pateiktais naudojantis šiame reglamente nustatytomis teisėmis.

11.         Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalies c punkte nurodytos duomenų valdytojo arba duomenų tvarkytojo pagrindinės veiklos kriterijus ir reikalavimus, taip pat 5 dalyje nurodytų duomenų apsaugos pareigūno profesinės kvalifikacijos kriterijus.

36 straipsnis Duomenų apsaugos pareigūno statusas

1.           Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnui būtų tinkamai ir laiku pranešama apie visus su asmens duomenų apsauga susijusius klausimus.

2.           Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas savo pareigas ir užduotis atliktų nepriklausomai ir nepriimtų jokių su funkcijų vykdymu susijusių nurodymų. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo vadovybei.

3.           Duomenų valdytojas arba duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti jo užduotis ir teikia 37 straipsnyje nurodytoms pareigoms ir užduotims atlikti būtinus darbuotojus, patalpas, įrangą ir kitus išteklius.

37 straipsnis Duomenų apsaugos pareigūno užduotys

1.           Duomenų valdytojas arba duomenų tvarkytojas paveda duomenų apsaugos pareigūnui atlikti bent šias užduotis:

a)      informuoti duomenų valdytoją arba duomenų tvarkytoją apie jų pareigas pagal šį reglamentą ir dėl tų pareigų duomenų valdytojui arba duomenų tvarkytojui patarti, taip pat dokumentuoti šią veiklą ir gautus atsakymus.

b)      stebėti su asmens duomenų apsauga susijusios duomenų valdytojo arba duomenų tvarkytojo veiklos nuostatų įgyvendinimą ir taikymą, įskaitant atsakomybės priskyrimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų mokymą ir susijusius auditus;

c)      stebėti šio reglamento įgyvendinimą ir taikymą, visų pirma kiek tai susiję su reikalavimais dėl pritaikytosios duomenų apsaugos, standartizuotosios duomenų apsaugos ir duomenų saugumo, taip pat informacijos teikimo duomenų subjektams ir jų prašymų, pateiktų naudojantis šiame reglamente nustatytomis teisėmis;

d)      užtikrinti, kad būtų saugomi 28 straipsnyje nurodyti dokumentai;

e)      stebėti asmens duomenų saugumo pažeidimų dokumentavimą, pranešimus priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimus pagal 31 ir 32 straipsnius;

f)       stebėti, kaip duomenų valdytojas arba duomenų tvarkytojas atlieka duomenų apsaugos poveikio vertinimą ir teikia prašymus dėl išankstinio leidimo arba išankstinio konsultavimosi, jei to reikia pagal 33 ir 34 straipsnius;

g)      stebėti, ką į prašymus atsako priežiūros institucija, ir priežiūros institucijos prašymu arba savo iniciatyva su ja bendradarbiauti pagal duomenų apsaugos pareigūno kompetenciją;

h)      atlikti asmens ryšiams funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus savo iniciatyva konsultuotis su priežiūros institucija.      

2.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų duomenų apsaugos pareigūno užduočių, sertifikavimo, statuso, įgaliojimų ir išteklių kriterijus ir reikalavimus.

5 SKIRSNIS ELGESIO KODEKSAI IR SERTIFIKAVIMAS

38 straipsnis Elgesio kodeksai

1.           Valstybės narės, priežiūros institucijos ir Komisija skatina parengti etikos kodeksus, kuriais naudojantis būtų lengviau tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus, visų pirma į tokius aspektus:

a)      sąžiningo ir skaidraus duomenų tvarkymo;

b)      duomenų rinkimo;

c)      informacijos teikimo visuomenei ir duomenų subjektams;

d)      duomenų subjektų prašymų, pateiktų naudojantis savo teisėmis;

e)      informacijos teikimo vaikams ir jų apsaugos;

f)       duomenų perdavimo į trečiąsias šalis arba tarptautinėms organizacijoms;

g)      stebėjimo, ar duomenų valdytojai, kuriems taikomas kodeksas, jo laikosi, ir užtikrinimo, kad jo būtų laikomasi, mechanizmų;

h)      neteisminio ginčo nagrinėjimo ir kitų ginčo sprendimo procedūrų, pagal kurias sprendžiami su asmens duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nepažeidžiant duomenų subjektų teisių pagal 73 ir 75 straipsnius.

2.           Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams vienoje valstybėje narėje, ketinančios parengti elgesio kodeksus arba iš dalies pakeisti ar papildyti galiojančius elgesio kodeksus, gali juos pateikti tos valstybės narės priežiūros institucijai, kad ši pateiktų savo nuomonę. Priežiūros institucija gali pateikti nuomonę dėl to, ar elgesio kodekso arba jo pakeitimo projektas atitinka šį reglamentą. Priežiūros institucija klausia duomenų subjektų arba jų atstovų nuomonės dėl šių projektų.

3.           Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams keliose valstybėse narėse, gali pateikti elgesio kodeksų ir galiojančių elgesio kodeksų pakeitimų ar papildymų projektus Komisijai.

4.           Komisija gali priimti įgyvendinimo aktus ir jais nuspręsti, kad elgesio kodeksai ir galiojančių elgesio kodeksų pakeitimai ar papildymai, jai pateikti pagal 3 dalį, visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

5.           Komisija užtikrina, kad kodeksai, kurie sprendimu pagal 4 dalį pripažinti visuotinai galiojančiais, būtų tinkamai paskelbti.

39 straipsnis Sertifikavimas

1.           Valstybės narės ir Komisija skatina nustatyti – visų pirma Europos lygmeniu – duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad duomenų subjektai galėtų greitai įvertinti duomenų valdytojų ir duomenų tvarkytojų užtikrinamos duomenų apsaugos lygį. Duomenų apsaugos sertifikavimo mechanizmais padedama tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių sektorių ir skirtingų duomenų tvarkymo operacijų ypatumus.

2.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius 1 dalyje nurodytų duomenų apsaugos sertifikavimo mechanizmų kriterijus ir reikalavimus, įskaitant sertifikatų suteikimo ir atšaukimo sąlygas, taip pat pripažinimo Sąjungoje ir trečiosiose šalyse reikalavimus.

3.           Komisija gali nustatyti techninius sertifikavimo mechanizmų ir ženklų bei žymenų standartus, taip pat sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų skatinimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

V SKYRIUS ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS ARBA TARPTAUTINĖMS ORGANIZACIJOMS

40 straipsnis Bendras perdavimo principas

Asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją šalį arba tarptautinei organizacijai, galima perduoti tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, laikydamiesi kitų šio reglamento nuostatų, tenkina šiame skyriuje nustatytas sąlygas, be kita ko, susijusias su tolesniu asmens duomenų perdavimu iš tos trečiosios šalies ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai.

41 straipsnis Perdavimas remiantis sprendimu dėl tinkamumo

1.           Perduoti duomenis galima, jei Komisija nusprendė, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį. Tokiam perdavimui papildomo leidimo nereikia.

2.           Vertindama apsaugos lygio tinkamumą, Komisija atsižvelgia į šiuos veiksnius:

a)      teisinė valstybė, susiję galiojantys bendrieji ir atskiriems sektoriams skirti teisės aktai, be kita ko, susiję su visuomenės saugumu, gynyba, nacionaliniu saugumu ir baudžiamąja teise, profesinės taisyklės ir saugumo priemonės, kurios taikomos toje šalyje arba tarptautinėje organizacijoje, taip pat veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami;

b)      ar atitinkamoje trečiojoje šalyje arba tarptautinėje organizacijoje yra ir veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos, kurios užtikrina, kad būtų laikomasi duomenų apsaugos taisyklių, padeda ir pataria duomenų subjektams, kaip naudotis savo teisėmis, ir bendradarbiauja su Sąjungos ir valstybių narių priežiūros institucijomis; ir

c)      atitinkamos trečiosios šalies arba tarptautinės organizacijos prisiimti tarptautiniai įsipareigojimai.

3.           Komisija gali nuspęsti, kad trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį, kaip apibrėžta 2 dalyje. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

4.           Įgyvendinimo akte nustatoma geografinė ir sektorinė taikymo sritis ir, jei taikoma, nurodoma 2 dalies b punkte minėta priežiūros institucija.

5.           Komisija gali nuspręsti, kad atitinkama trečioji šalis arba jos teritorija, arba su duomenų tvarkymu susijęs sektorius toje trečiojoje šalyje, arba atitinkama tarptautinė organizacija neužtikrina tinkamo apsaugos lygio, kaip apibrėžta šio straipsnio 2 dalyje, visų pirma tais atvejais, kai susijusiais bendraisiais ir atskiriems sektoriams skirtais teisės aktais, galiojančiais trečiojoje šalyje arba tarptautinėje organizacijoje, neužtikrinamos veiksmingos ir įgyvendinamos teisės, įskaitant veiksmingas administracines ir teismines teisių gynimo priemones, visų pirma Sąjungoje gyvenantiems duomenų subjektams, kurių asmens duomenys yra perduodami. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą, o tais atvejais, kai reikia itin skubiai užtikrinti fizinių asmenų teisę į asmens duomenų apsaugą, pagal 87 straipsnio 3 dalyje nurodytą procedūrą.

6.           Jeigu Komisija priima sprendimą pagal 5 dalį, nepažeidžiant 42–44 straipsnių, draudžiama perduoti asmens duomenis į atitinkamą trečiąją šalį arba jos teritoriją, arba su duomenų tvarkymu susijusį sektorių toje trečiojoje šalyje, arba tarptautinei organizacijai. Reikiamu metu Komisija pradeda konsultacijas su trečiąja šalimi arba tarptautine organizacija, kad padėtis, susijusi su sprendimu, priimtu pagal šio straipsnio 5 dalį, būtų ištaisyta.

7.           Komisija Europos Sąjungos oficialiajame leidinyje paskelbia trečiųjų šalių, teritorijų ir su duomenų tvarkymu susijusių sektorių trečiojoje šalyje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo neužtikrina, sąrašą.

8.           Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi ir 26 straipsnio 4 dalimi, lieka galioti, kol Komisija jų iš dalies nepakeis, nepakeis naujais sprendimais arba nepanaikins.

42 straipsnis Perdavimas remiantis tinkamomis apsaugos priemonėmis

1.           Jeigu Komisija nėra priėmusi sprendimo pagal 41 straipsnį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas nustato su asmens duomenų apsauga susijusias tinkamas apsaugos priemones teisiškai privalomu dokumentu.

2.           1 dalyje nurodytos tinkamos apsaugos priemonės visų pirma nustatomos:

a)      įmonėms privalomomis taisyklėmis pagal 43 straipsnį; arba

b)      Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą; arba

c)      standartinėmis duomenų apsaugos sąlygomis, kurias pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą priėmė priežiūros institucija, po to, kai Komisija jas paskelbė visuotinai galiojančiomis pagal 62 straipsnio 1 dalies b punktą; arba

d)      duomenų valdytojo arba duomenų tvarkytojo ir duomenų gavėjo sutarties sąlygomis, kurias pagal 4 dalį patvirtino priežiūros institucija.

3.           Jeigu duomenys perduodami remiantis standartinėmis duomenų apsaugos sąlygomis arba įmonei privalomomis taisyklėmis, kaip nurodyta 2 dalies a, b arba c punktuose, jokio papildomo leidimo nereikia.

4.           Jeigu duomenys perduodami remiantis sutarties sąlygomis, kaip nurodyta šio straipsnio 2 dalies d punkte, duomenų valdytojas arba duomenų tvarkytojas iš priežiūros institucijos gauna išankstinį leidimą taikyti tas sutarties sąlygas pagal 34 straipsnio 1 dalį. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.           Jeigu su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės nenustatytos teisiškai privalomu dokumentu, duomenų valdytojas arba duomenų tvarkytojas gauna išankstinį leidimą vieną ar kelis kartus perduoti duomenis arba į administracinius susitarimus, kuriais grindžiamas toks perdavimas, įtraukti atitinkamas nuostatas. Tokį leidimą priežiūros institucija suteikia pagal 34 straipsnio 1 dalį. Jeigu duomenys perduodami vykdant duomenų tvarkymo veiklą, susijusią su duomenų subjektais kitoje valstybėje narėje arba kitose valstybėse narėse, arba duomenis perduodant daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje, priežiūros institucija taiko 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą. Leidimai, kuriuos priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti, kol ta priežiūros institucija jų iš dalies nepakeis, nepakeis naujais sprendimais arba nepanaikins.

43 straipsnis Perdavimas remiantis įmonei privalomomis taisyklėmis

1.           Priežiūros institucija pagal 58 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą patvirtina įmonei privalomas taisykles, jeigu:

a)      jos yra teisiškai privalomos ir taikomos kiekvienam duomenų valdytojo arba duomenų tvarkytojo įmonių grupės nariui, įskaitant jų darbuotojus, ir jie jų laikosi;

b)      jomis duomenų subjektams aiškiai suteikiamos įgyvendinamos teisės;

c)      jos atitinka 2 dalyje nustatytus reikalavimus.

2.           Įmonei privalomomis taisyklėmis nustatoma bent:

a)      įmonių grupės ir jos narių struktūra ir duomenys ryšiams;

b)      duomenų perdavimai arba perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, susijusius duomenų subjektus ir atitinkamą trečiąją šalį arba šalis;

c)      tai, kad jos yra teisiškai privalomos ir vidaus, ir išorės lygmeniu;

d)      bendrieji duomenų apsaugos principai, visų pirma susiję su tikslų apribojimu, duomenų kokybe, teisiniu duomenų tvarkymo pagrindu, neskelbtinų asmens duomenų tvarkymu; duomenų saugumo užtikrinimo priemonės; ir tolesnio perdavimo organizacijoms, kurios šių veiklos nuostatų laikytis neprivalo, reikalavimai;

e)      duomenų subjektų teisės ir naudojimosi šiomis teisėmis būdai, įskaitant teisę į tai, kad nebūtų taikoma profiliavimu pagrįsta priemonė pagal 20 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai ir kompetentingiems valstybių narių teismams pagal 75 straipsnį, teisę į tai, kad būtų ištaisyta padėtis ir, kai tinkama, teisę reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

f)       tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio įmonių grupės nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės tik tuo atveju, jei įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)      kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams pagal 11 straipsnį;

h)      pagal 35 straipsnį paskirto duomenų apsaugos pareigūno užduotys, įskaitant stebėjimą, ar įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo stebėjimą ir skundų nagrinėjimą;

i)       įmonių grupės mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių;

j)       ataskaitų teikimo ir veiklos nuostatų pakeitimų registravimo, taip pat pranešimo apie tuos pokyčius priežiūros institucijai mechanizmai;

k)      bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant šios dalies i punkte nurodyto priemonių patikrinimo rezultatus.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius įmonei privalomų taisyklių, kaip apibrėžta šiame straipsnyje, kriterijus ir reikalavimus, visų pirma kriterijus, susijusius su įmonei privalomų taisyklių patvirtinimu, 2 dalies b, d, e ir f punktų taikymu įmonei privalomoms taisyklėms, kurių laikosi duomenų tvarkytojai, ir su kitais būtinais reikalavimais, siekiant užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą.

4.           Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijos keitimosi informacija elektroniniu būdu apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

44 straipsnis Nukrypti leidžiančios nuostatos

1.           Jeigu nepriimtas sprendimas dėl tinkamumo pagal 41 straipsnį arba nenustatytos tinkamos apsaugos priemonės pagal 42 straipsnį, vieną ar kelis kartus perduoti asmens duomenis į trečiąją šalį arba tarptautinei organizacijai galima tik tada, kai:

a)      duomenų subjektui buvo pranešta apie perdavimų, kai nepriimtas sprendimas dėl tinkamumo ir kai nenustatytos apsaugos priemonės, riziką ir jis sutiko, kad būtų numatyti duomenys būtų perduoti; arba

b)      perduoti duomenis būtina siekiant įvykdyti duomenų subjekto ir duomenų valdytojo sutartį arba įgyvendinti ikisutartines priemones, kurių imamasi duomenų subjekto reikalavimu; arba

c)      perduoti duomenis būtina, kad remiantis duomenų subjekto interesais būtų sudaryta ir įvykdyta duomenų valdytojo ir kito fizinio arba juridinio asmens sutartis; arba

d)      perduoti duomenis būtina dėl svarbių viešojo intereso pagrindų; arba

e)      perduoti duomenis būtina siekiant pagrįsti, pareikšti ar ginti teisinius reikalavimus; arba

f)       perduoti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo; arba

g)      duomenys perduodami iš registro, kuriuo pagal Sąjungos arba valstybės narės teisės aktus naudojamasi teikiant informaciją visuomenei ir su kuriame esančia informacija gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, jeigu kiekvienu konkrečiu atveju laikomasi Sąjungos arba valstybės narės teisės aktais nustatytų susipažinimo su tokiame registre esančia informacija sąlygų; arba

h)      perduoti duomenis būtina, kad duomenų valdytojas arba duomenų tvarkytojas galėtų siekti teisėtų interesų, jeigu toks perdavimas nėra dažnas arba masinis ir jeigu duomenų valdytojas arba duomenų tvarkytojas įvertino visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų seka susijusias aplinkybes ir remdamasis tuo vertinimu prireikus nustatė su asmens duomenų apsauga susijusias tinkamas apsaugos priemones.

2.           Jeigu duomenys perduodami pagal 1 dalies g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi tam tikrų kategorijų duomenys. Jeigu registras yra skirtas tam, kad teisėtų interesų turintys asmenys susipažintų su jame esančia informacija, duomenys perduodami tik tų asmenų prašymu arba jei tie asmenys yra tų duomenų gavėjai.

3.           Jeigu duomenų tvarkymas grindžiamas 1 dalies h punktu, duomenų valdytojas arba duomenų tvarkytojas visų pirma atsižvelgia į duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje šalyje ir paskirties šalyje ir prireikus nustatytas su asmens duomenų apsauga susijusias tinkamas apsaugos priemones.

4.           1 dalies b, c ir h punktai netaikomi veiklai, vykdomai valdžios institucijoms naudojantis viešaisiais įgaliojimais.

5.           1 dalies d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teisės aktais arba duomenų valdytojui taikomais valstybės narės teisės aktais.

6.           Duomenų valdytojas arba duomenų tvarkytojas pagal 28 straipsnį dokumentuoja vertinimą ir nustatytas tinkamas apsaugos priemones, nurodytas šio straipsnio 1 dalies h punkte, ir apie perdavimą informuoja priežiūros instituciją.

7.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius svarbius viešojo intereso pagrindus, kaip apibrėžta 1 dalies d punkte, taip pat 1 dalies h punkte nurodytų tinkamų apsaugos priemonių kriterijus ir reikalavimus.

45 straipsnis Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

1.           Komisija ir priežiūros institucijos imasi reikiamų veiksmų, kuriais siekia:

a)      sukurti veiksmingus bendradarbiavimo su trečiosiomis šalimis ir tarptautinėmis organizacijomis mechanizmus, kad būtų lengviau įgyvendinti asmens duomenų apsaugos teisės aktus;

b)      teikti tarptautinę savitarpio pagalbą trečiosioms šalims ir tarptautinėms organizacijoms įgyvendinant asmens duomenų apsaugos teisės aktus, be kita ko, teikiant pranešimus, perduodant skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės ir užtikrinamos kitos pagrindinės teisės ir laisvės;

c)      susijusias suinteresuotąsias šalis įtraukti į diskusijas ir veiklą, kurios tikslas – stiprinti tarptautinį bendradarbiavimą įgyvendinant asmens duomenų apsaugos teisės aktus;

d)      skatinti dalytis asmens duomenų apsaugos teisės aktais ir praktika ir ją dokumentuoti.

2.           Siekdama įgyvendinti 1 dalį, Komisija imasi reikiamų veiksmų, kad gerintų santykius su trečiosiomis šalimis arba tarptautinėmis organizacijomis, visų pirma jų priežiūros institucijomis, jeigu Komisija nusprendė, kad jos užtikrina tinkamą apsaugos lygį, kaip apibrėžta 41 straipsnio 3 dalyje.

VI SKYRIUS NEPRIKLAUSOMOS PRIEŽIŪROS INSTITUCIJOS

1 SKIRSNIS NEPRIKLAUSOMUMAS

46 straipsnis Priežiūros institucija

1.           Kiekviena valstybė narė nustato, kad viena arba kelios valdžios institucijos stebi, kaip įgyvendinamas šis reglamentas, ir padeda jį nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant jų asmens duomenis ir palengvintas laisvas asmens duomenų judėjimas Sąjungoje. Siekdamos šių tikslų, priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija.

2.           Jeigu valstybėje narėje įsteigtos kelios priežiūros institucijos, ta valstybė narė paskiria vieno bendro informacinio punkto funkciją atliekančią priežiūros instituciją, kad tos institucijos veiksmingai dalyvautų Europos duomenų apsaugos valdybos veikloje, ir nustato mechanizmus, kuriais užtikrina, kad kitos institucijos laikytųsi su 57 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusių taisyklių.

3.           Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal šį skyrių, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

47 straipsnis Nepriklausomumas

1.           Atlikdama savo pareigas ir naudodamasi jai suteiktais įgaliojimus, priežiūros institucija veikia visiškai nepriklausomai.

2.           Priežiūros institucijos nariai, atlikdami savo pareigas, neprašo ir nepriima jokių nurodymų.

3.           Priežiūros institucijos nariai nesiima jokių su jų pareigomis nesuderinamų veiksmų ir kadencijos metu negali dirbti jokio nesuderinamo – mokamo ar nemokamo – darbo.

4.           Pasibaigus kadencijai, priežiūros institucijos nariai, sutikdami eiti kitas pareigas ir gauti atlygį, elgiasi sąžiningai ir diskretiškai.

5.           Kiekviena valstybė narė užtikrina, kad priežiūros institucija turėtų pakankamai žmogiškųjų, techninių ir finansinių išteklių, taip pat patalpas ir infrastruktūrą, būtiną, kad būtų veiksmingai atliekamos pareigos ir naudojamasi įgaliojimais, be kita ko, susijusiais su savitarpio pagalba, bendradarbiavimu ir dalyvavimu Europos duomenų apsaugos valdybos veikloje.

6.           Kiekviena valstybė narė užtikrina, kad priežiūros institucija turėtų savo darbuotojus, kuriuos skiria ir kuriems vadovauja priežiūros institucijos vadovas.

7.           Valstybės narės užtikrina, kad priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui. Valstybės narės užtikrina, kad priežiūros institucija turėtų atskirą metinį biudžetą. Biudžetai skelbiami viešai.

48 straipsnis Bendrieji reikalavimai priežiūros institucijos nariams

1.           Valstybės narės nustato, kad priežiūros institucijos narius turi skirti atitinkamos valstybės narės parlamentas arba vyriausybė.

2.           Nariai renkami iš asmenų, kurių nepriklausomumas yra neabejotinas ir kurie įrodo, kad turi šioms pareigoms būtinos patirties ir gebėjimų, ypač asmens duomenų apsaugos srityje.

3.           Narys nustoja eiti pareigas, kai pasibaigia jo kadencija, jis atsistatydina arba privalo išeiti į pensiją, laikantis 5 dalies.

4.           Kompetentingas nacionalinis teismas gali atleisti narį iš pareigų arba atimti teisę į pensiją arba kitas vietoj jos mokamas išmokas, jeigu jis nebeatitinka jo pareigoms keliamų reikalavimų arba pripažįstamas kaltu padaręs sunkų nusižengimą.

5.           Pasibaigus nario kadencijai arba jam atsistatydinus, jis toliau eina savo pareigas, kol paskiriamas naujas narys.

49 straipsnis Priežiūros institucijos įsteigimo taisyklės

Kiekviena valstybė narė, laikydamasi šio reglamento ribų, teisės aktais nustato:

a)      priežiūros institucijos įsteigimą ir statusą;

b)      priežiūros institucijos narių pareigoms būtiną kvalifikaciją, patirtį ir gebėjimus;

c)      priežiūros institucijos narių skyrimo taisykles ir procedūras, taip pat taisykles dėl veiksmų arba darbo, nesuderinamo su tarnybinėmis pareigomis;

d)      priežiūros institucijos narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus keletą pirmųjų narių, skiriamų įsigaliojus šiam reglamentui, kurių kadencija gali būti trumpesnė, jeigu siekiant išsaugoti priežiūros institucijos nepriklausomumą nariai turi būti skiriami keliais etapais;

e)      ar priežiūros institucijos narių kadencija gali būti atnaujinama;

f)       su priežiūros institucijos narių ir darbuotojų pareigomis susijusį reglamentavimą ir bendruosius reikalavimus;

g)      priežiūros institucijos narių atleidimo iš pareigų taisykles ir procedūras, įskaitant atvejus, kai jie nebeatitinka jų pareigoms keliamų reikalavimų arba pripažįstami kalti padarę sunkų nusižengimą.

50 straipsnis Profesinė paslaptis

Priežiūros institucijos nariai ir darbuotojai kadencijos metu ir jai pasibaigus privalo laikytis pareigos saugoti su bet kokia konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

2 SKIRSNIS PAREIGOS IR ĮGALIOJIMAI

51 straipsnis Kompetencija

1.           Kiekviena priežiūros institucija savo valstybės narės teritorijoje naudojasi pagal šį reglamentą jai suteiktais įgaliojimais.

2.           Jeigu asmens duomenys tvarkomi duomenų valdytojo arba duomenų tvarkytojo buveinei veikiant Sąjungoje ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės priežiūros institucija yra kompetentinga prižiūrėti duomenų valdytojo arba duomenų tvarkytojo vykdomą duomenų tvarkymo veiklą visose valstybėse narėse, nepažeidžiant šio reglamento VII skyriaus nuostatų.

3.           Priežiūros institucija nėra kompetentinga prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami teisingumo funkcijas.

52 straipsnis Pareigos

1.           Priežiūros institucija:

a)      stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

b)      nagrinėja skundus, kuriuos pagal 73 straipsnį pateikė bet kuris duomenų subjektas arba tam subjektui atstovaujanti asociacija, tinkamai tiria skundą ir per pagrįstą laikotarpį informuoja duomenų subjektą arba asociaciją apie skundo tyrimo eigą ir rezultatą, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti su kita priežiūros institucija;

c)      dalijasi informacija ir teikia savitarpio pagalbą kitoms priežiūros institucijoms, taip pat užtikrina, kad šis reglamentas būtų taikomas ir įgyvendinamas nuosekliai;

d)      atlieka tyrimus savo iniciatyva arba pagal skundą, arba kitos priežiūros institucijos prašymu ir per pagrįstą laikotarpį informuoja atitinkamą duomenų subjektą apie tyrimo rezultatą, jei duomenų subjektas skundą pateikė tai priežiūros institucijai;

e)      stebi naujausius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšio technologijų, taip pat komercinės praktikos raidą;

f)       konsultuoja valstybės narės institucijas ir įstaigas dėl teisinių ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant asmens duomenis;

g)      duoda leidimus ir konsultuoja dėl 34 straipsnyje nurodytų duomenų tvarkymo operacijų;

h)      teikia nuomonę dėl elgesio kodeksų projektų pagal 38 straipsnio 2 dalį;

i)       tvirtina įmonei privalomas taisykles pagal 43 straipsnį;

j)       dalyvauja Europos duomenų apsaugos valdybos veikloje.

2.           Kiekviena priežiūros institucija didina visuomenės informuotumą apie su asmens duomenų tvarkymu susijusią riziką, taisykles, apsaugos priemones ir teises. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys.

3.           Priežiūros institucija duomenų subjekto prašymu jam pataria naudojimosi savo teisėmis, nustatytomis šiame reglamente, klausimais ir prireikus šiuo tikslu bendradarbiauja su priežiūros institucijomis kitose valstybėse narėse.

4.           Priežiūros institucija pateikia 1 dalies b punkte nurodyto skundo pateikimo formą, kurią galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis kitomis ryšio priemonėmis.

5.           Priežiūros institucija savo pareigas duomenų subjektams atlieka nemokamai.

6.           Jeigu prašymai yra akivaizdžiai neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį arba nesiimti duomenų subjekto prašomų veiksmų. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai neproporcingas.

53 straipsnis Įgaliojimai

1.           Kiekviena priežiūros institucija įgaliojama:

a)      pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą nuostatų dėl asmens duomenų tvarkymo pažeidimą ir, kai tinkama, nurodyti duomenų valdytojui arba duomenų tvarkytojui konkrečiomis priemonėmis ištaisyti pažeidimą, siekiant sustiprinti duomenų subjekto apsaugą;

b)      nurodyti duomenų valdytojui arba duomenų tvarkytojui tenkinti duomenų subjekto prašymus užtikrinti šiame reglamente nustatytas teises;

c)      nurodyti duomenų valdytojui ir duomenų tvarkytojui, ir, jei taikoma, atstovui pateikti visą jų pareigų atlikimui svarbią informaciją;

d)      užtikrinti, kad būtų laikomasi nuostatų dėl 34 straipsnyje nurodytų išankstinių leidimų ir išankstinio konsultavimosi;

e)      įspėti duomenų valdytoją arba duomenų tvarkytoją arba pareikšti jiems pastabą;

f)       nurodyti ištaisyti, ištrinti ar sunaikinti visus duomenis, jei jie buvo tvarkomi pažeidžiant šio reglamento nuostatas, ir pranešti apie tokius veiksmus tretiesiems asmenims, kuriems duomenys buvo atskleisti;

g)      laikinai ar galutinai uždrausti tvarkyti duomenis;

h)      sustabdyti duomenų srautus duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai;

i)       teikti savo nuomonę bet kuriais su asmens duomenų apsauga susijusiais klausimais;

j)       informuoti nacionalinį parlamentą, vyriausybę arba kitas politines institucijas, taip pat visuomenę bet kuriais su asmens duomenų apsauga susijusiais klausimais.

2.           Kiekviena priežiūros institucija, remdamasi įgaliojimu atlikti tyrimą, gali iš duomenų valdytojo arba duomenų tvarkytojo pareikalauti suteikti:

a)      galimybę susipažinti su visais asmens duomenimis ir visa priežiūros institucijos pareigoms atlikti būtina informacija;

b)      galimybę patekti į bet kurias jo patalpas ir, be kita ko, pasinaudoti bet kuria jo duomenų tvarkymo įranga ir priemonėmis, jeigu yra pagrįstų priežasčių manyti, kad ten vykdoma veikla pažeidžiamas šis reglamentas.

Šios dalies b punktu suteiktais įgaliojimais naudojamasi laikantis Sąjungos ir valstybės narės teisės aktų.

3.           Kiekviena priežiūros institucija turi įgaliojimą atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir būti proceso šalimi, visų pirma pagal 74 straipsnio 4 dalį ir 75 straipsnio 2 dalį.

4.           Kiekviena priežiūros institucija turi įgaliojimą skirti sankcijas už administracinius pažeidimus, visų pirma nurodytus 79 straipsnio 4, 5 ir 6 dalyse.

54 straipsnis Veiklos ataskaita

Kiekviena priežiūros institucija privalo parengti metinę savo veiklos ataskaitą. Ataskaita teikiama nacionaliniam parlamentui ir skelbiama viešai, taip pat teikiama Komisijai ir Europos duomenų apsaugos valdybai.

VII SKYRIUS

BENDRADARBIAVIMAS IR NUOSEKLUMAS

1 skirsnis Bendradarbiavimas

55 straipsnis Savitarpio pagalba

1.           Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir konsultuoti, tyrimais ir skubiai teikiama informacija apie bylos nagrinėjimo pradžią, taip pat tolesniais veiksmais tais atvejais, kai duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams.

2.           Kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad nedelsdama ir ne vėliau kaip per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, į jį atsakytų. Tokia priemonė visų pirma gali būti reikšmingos informacijos apie tyrimo eigą arba vykdymo priemones, kuriomis siekiama nutraukti arba uždrausti šio reglamento neatitinkančias duomenų tvarkymo operacijas, perdavimas.

3.           Pagalbos prašyme nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Gauta informacija naudojama nagrinėjant tik tą klausimą, dėl kurio jos prašyta.

4.           Priežiūros institucija, kuriai teikiamas pagalbos prašymas, negali atsisakyti jo patenkinti, išskyrus atvejus, kai:

a)      ji nėra kompetentinga jį patenkinti; arba

b)      prašymo patenkinimas būtų nesuderinamas su šio reglamento nuostatomis.

5.           Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie jos prašymo rezultatus arba atitinkamais atvejais jo eigą arba priemones, kurių imtasi siekiant jį patenkinti.

6.           Priežiūros institucijos teikia kitų priežiūros institucijų prašomą informaciją elektroniniu būdu per kuo trumpesnį laiką, naudodamosi standartizuotomis formomis.

7.           Už veiksmus, kurių imamasi siekiant patenkinti savitarpio pagalbos prašymą, mokestis neimamas.

8.           Jeigu priežiūros institucija neatsako į kitos priežiūros institucijos prašymą per vieną mėnesį, prašymą pateikusi priežiūros institucija yra kompetentinga priimti laikinąsias priemones savo valstybės narės teritorijoje pagal 51 straipsnio 1 dalį ir pateikia klausimą nagrinėti Europos duomenų apsaugos valdybai pagal 57 straipsnyje nurodytą procedūrą.

9.           Priežiūros institucija nurodo tokių laikinųjų priemonių galiojimo laikotarpį. Šis laikotarpis negali būti ilgesnis kaip treji mėnesiai. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai.

10.         Komisija gali nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formatą ir procedūras ir priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 6 dalyje nurodytą standartizuotą formą. Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

56 straipsnis Priežiūros institucijų bendros operacijos

1.           Siekdamos sustiprinti bendradarbiavimą ir savitarpio pagalbą, priežiūros institucijos atlieka bendras tyrimo užduotis, taiko bendras vykdymo priemones ir vykdo kitas bendras operacijas, kuriose dalyvauja paskirtieji nariai arba darbuotojai iš kitų valstybių narių priežiūros institucijų.

2.           Tais atvejais, kai duomenų tvarkymo operacijomis gali būti daromas poveikis kelių valstybių narių duomenų subjektams, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti atliekant bendras tyrimo užduotis arba prireikus vykdant bendras operacijas. Kompetentinga priežiūros institucija pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti atliekant atitinkamas bendras tyrimo užduotis arba vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo vykdant tokias operacijas.

3.           Kiekviena priežiūros institucija, kaip priimančioji priežiūros institucija, laikydamasi nacionalinės teisės ir komandiruojančiajai priežiūros institucijai leidus, suteikia vykdymo įgaliojimus, be kita ko, susijusius su tyrimo užduotimis, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu leidžiama priimančiosios priežiūros institucijos įstatymais, leidžia komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo vykdymo įgaliojimais pagal komandiruojančiosios priežiūros institucijos teisę. Tokiais vykdymo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir paprastai jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos nacionalinė teisė. Priimančioji priežiūros institucija atsako už jų veiksmus.

4.           Priežiūros institucijos nustato praktinius konkrečių bendradarbiavimo veiksmų aspektus.

5.           Jeigu priežiūros institucija per vieną mėnesį neįvykdo 2 dalyje nustatytos pareigos, kita priežiūros institucija yra kompetentinga priimti laikinąsias priemones savo valstybės narės teritorijoje pagal 51 straipsnio 1 dalį.

6.           Priežiūros institucija nurodo 5 dalyje nurodytų laikinųjų priemonių galiojimo laikotarpį. Šis laikotarpis negali būti ilgesnis kaip treji mėnesiai. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai ir pateikia klausimą nagrinėti pagal 57 straipsnyje nurodytą mechanizmą.

2 SKIRSNIS NUOSEKLUMAS

57 straipsnis Nuoseklumo užtikrinimo mechanizmas.

Siekdamos 46 straipsnio 1 dalyje nustatytų tikslų, priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.

58 straipsnis Europos duomenų apsaugos valdybos nuomonė

1.           Prieš priimdama 2 dalyje nurodytą priemonę, priežiūros institucija priemonės projektą pateikia Europos duomenų apsaugos valdybai ir Komisijai.

2.           1 dalyje nurodyta pareiga taikoma priemonei, kuria siekiama daryti teisinį poveikį ir:

a)      kuri yra susijusi su duomenų tvarkymo veikla, vykdoma siekiant siūlyti prekes arba paslaugas duomenų subjektams keliose valstybėse narėse ar stebėti jų elgesį; arba

b)      kuria gali būti daromas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje; arba

c)      priimti duomenų tvarkymo operacijų, dėl kurių reikia iš anksto konsultuotis, sąrašą pagal 34 straipsnio 5 dalį; arba

d)      nustatyti 42 straipsnio 2 dalies c punkte nurodytas standartines duomenų apsaugos sąlygas; arba

e)      duoti leidimą taikyti 42 straipsnio 2 dalies d punkte nurodytas sutarties sąlygas; arba

f)       patvirtinti įmonei privalomas taisykles, kaip apibrėžta 43 straipsnyje.

3.           Bet kuri priežiūros institucija arba Europos duomenų apsaugos valdyba gali prašyti, kad bet koks klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą, visų pirma tais atvejais, kai priežiūros institucija nepateikia 2 dalyje nurodyto priemonės projekto ar neįvykdo su savitarpio pagalba susijusių pareigų pagal 55 straipsnį arba su bendromis operacijomis susijusių pareigų pagal 56 straipsnį.

4.           Siekdama užtikrinti tinkamą ir nuoseklų šio reglamento taikymą, Komisija gali prašyti, kad bet koks klausimas būtų išnagrinėtas pagal nuoseklumo užtikrinimo mechanizmą.

5.           Priežiūros institucijos ir Komisija elektroniniu būdu pateikia bet kokią reikšmingą informaciją, įskaitant, atitinkamais atvejais, faktų santrauką, priemonės projektą ir priežastis, dėl kurių reikėjo nustatyti tą priemonę, naudodamosi standartizuota forma.

6.           Europos duomenų apsaugos valdybos pirmininkas elektroniniu būdu pateikia Europos duomenų apsaugos valdybos nariams ir Komisijai bet kokią reikšmingą informaciją, kuri jam buvo pateikta, naudodamasis standartizuota forma. Europos duomenų apsaugos valdybos pirmininkas prireikus pateikia reikšmingos informacijos vertimą.

7.           Europos duomenų apsaugos valdyba pateikia nuomonę atitinkamu klausimu, jeigu ji taip nusprendė paprasta savo narių balsų dauguma arba jeigu bet kuri priežiūros institucija ar Komisija to paprašo, per vieną savaitę nuo reikšmingos informacijos pateikimo pagal 5 dalį. Nuomonė priimama per vieną mėnesį paprasta Europos duomenų apsaugos valdybos narių balsų dauguma. Europos duomenų apsaugos valdybos pirmininkas, nepagrįstai nedelsdamas, informuoja apie savo nuomonę, atitinkamais atvejais, 1 ir 3 dalyse nurodytą priežiūros instituciją, Komisiją ir pagal 51 straipsnį kompetentingą priežiūros instituciją ir paskelbia ją viešai.

8.           1 dalyje nurodyta priežiūros institucija ir pagal 51 straipsnį kompetentinga priežiūros institucija atsižvelgia į Europos duomenų apsaugos valdybos nuomonę ir per dvi savaites nuo tada, kai Europos duomenų apsaugos valdybos pirmininkas pranešė apie nuomonę, elektroniniu būdu praneša Europos duomenų apsaugos valdybos pirmininkui ir Komisijai – ar nekeičia priemonės projekto, ar jį iš dalies pakeičia, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą priemonės projektą, naudodamasi standartizuota forma.

59 straipsnis Komisijos nuomonė

1.           Per dešimt savaičių nuo tada, kai klausimas pateikiamas pagal 58 straipsnį, arba per šešias savaites 61 straipsnio atveju Komisija gali priimti nuomonę pagal 58 arba 61 straipsnį pateiktu klausimu, kad užtikrintų tinkamą ir nuoseklų šio reglamento taikymą.

2.           Jeigu Komisija priėmė nuomonę pagal 1 dalį, atitinkama priežiūros institucija kuo labiau atsižvelgia į Komisijos nuomonę ir informuoja Komisiją ir Europos duomenų apsaugos valdybą apie savo ketinimą nekeisti priemonės projekto ar jį iš dalies pakeisti.

3.           Kol nepasibaigęs 1 dalyje nurodytas laikotarpis, priežiūros institucija negali priimti priemonės projekto.

4.           Jeigu atitinkama priežiūros institucija ketina neatsižvelgti į Komisijos nuomonę, ji informuoja apie tai Komisiją ir Europos duomenų apsaugos valdybą per 1 dalyje nurodytą laikotarpį ir pateikia paaiškinimą. Tokiu atveju priemonės projektas negali būti priimtas dar vieną mėnesį.

60 straipsnis Priemonės projekto priėmimo sustabdymas

1.           Jeigu Komisijai kyla rimtų abejonių dėl to, ar priemonės projektu būtų užtikrintas tinkamas šio reglamento taikymas arba jį priėmus šis reglamentas būtų taikomas nenuosekliai, ji per vieną mėnesį nuo 59 straipsnio 4 dalyje nurodyto pranešimo gali priimti motyvuotą sprendimą, kuriuo reikalaujama, kad priežiūros institucija sustabdytų priemonės projekto priėmimą, atsižvelgdama į Europos duomenų apsaugos valdybos nuomonę, pateiktą pagal 58 straipsnio 7 dalį arba 61 straipsnio 2 dalį, jeigu to reikia siekiant:

a)      suderinti skirtingas priežiūros institucijos ir Europos duomenų apsaugos valdybos pozicijas, jei tai vis dar atrodo įmanoma; arba

b)      priimti priemonę pagal 62 straipsnio 1 dalies a punktą.

2.           Komisija nustato tokio sustabdymo trukmę, kuri negali būti ilgesnė kaip 12 mėnesių.

3.           Kol nepasibaigęs 2 dalyje nurodytas laikotarpis, priežiūros institucija negali priimti priemonės projekto.

61 straipsnis Skubos tvarka

1.           Jeigu išimtinėmis aplinkybėmis priežiūros institucija mano, jog būtina skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, visų pirma tais atvejais, kai esama pavojaus, kad pasikeitus esamai padėčiai gali būti labai sunku įgyvendinti duomenų subjekto teisę arba siekiama pašalinti didelius trūkumus, arba dėl kitų priežasčių, nukrypdama nuo 58 straipsnyje nurodytos procedūros, ji gali priimti konkretų laikotarpį galiojančias laikinąsias priemones. Priežiūros institucija tas priemones ir išsamias jų priežastis nedelsdama pateikia Europos duomenų apsaugos valdybai ir Komisijai.

2.           Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai priimti galutines priemones, ji gali prašyti, kad Europos duomenų apsaugos valdyba skubiai pateiktų savo nuomonę, nurodydama tokios nuomonės prašymo priežastis, be kita ko, susijusias su galutinių priemonių priėmimu skubos tvarka.

3.           Bet kuri priežiūros institucija gali prašyti skubiai pateikti nuomonę, jeigu kompetentinga priežiūros institucija nesiėmė tinkamos priemonės tuo atveju, kai būtina skubiai veikti, kad būtų apsaugoti duomenų subjektų interesai, nurodydama tokios nuomonės prašymo priežastis, be kita ko, susijusias su būtinybe skubiai veikti.

4.           Nukrypstant nuo 58 straipsnio 7 dalies, šio straipsnio 2 ir 3 dalyse nurodyta nuomonė skubiai – per dvi savaites – priimama paprasta Europos duomenų apsaugos valdybos narių balsų dauguma.

62 straipsnis Įgyvendinimo aktai

1.           Komisija gali priimti įgyvendinimo aktus, siekdama:

a)      priimti sprendimus dėl tinkamo šio reglamento taikymo pagal jo tikslus ir reikalavimus, susijusius su klausimais, kuriuos priežiūros institucijos pateikė pagal 58 arba 61 straipsnius, su klausimu, dėl kurio pagal 60 straipsnio 1 dalį priimtas motyvuotas sprendimas, arba klausimu, kai priežiūros institucija nepateikia priemonės projekto ir kai nurodė neketinanti atsižvelgti į nuomonę, kurią Komisija priėmė pagal 59 straipsnį;

b)      per 59 straipsnio 1 dalyje nurodytą terminą nuspręsti, ar paskelbti 58 straipsnio 2 dalies d punkte nurodytų standartinių duomenų apsaugos sąlygų projektą visuotinai galiojančiu;

c)      nustatyti šiame skirsnyje nurodyto nuoseklumo užtikrinimo mechanizmo formatą ir procedūras;

d)      nustatyti priežiūros institucijų, taip pat priežiūros institucijų ir Europos duomenų apsaugos valdybos keitimosi informacija elektroniniu būdu tvarką, visų pirma 58 straipsnio 5, 6 ir 8 dalyse nurodytą standartizuotą formą.

Tie įgyvendinimo aktai priimami pagal 87 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

2.           Remdamasi tinkamai pagrįstais imperatyviais pagrindais, dėl kurių būtina skubiai veikti siekiant apsaugoti duomenų subjektų interesus 1 dalies a punkte nurodytais atvejais, Komisija pagal 87 straipsnio 3 dalyje nurodytą procedūrą priima nedelsiant taikomus įgyvendinimo aktus. Tie aktai lieka galioti ne ilgiau kaip 12 mėnesių.

3.           Nepriklausomai nuo to, ar priimama priemonė pagal šį skirsnį, Komisija gali remdamasi Sutartimis priimti bet kokią kitą priemonę.

63 straipsnis Vykdymas

1.           Siekiant šio reglamento tikslų, vienos valstybės narės priežiūros institucijos vykdytina priemonė vykdoma visose atitinkamose valstybėse narėse.

2.           Jeigu priežiūros institucija, pažeisdama 58 straipsnio 1–5 dalis, nepateikia priemonės projekto pagal nuoseklumo užtikrinimo mechanizmą, ta priežiūros institucijos priemonė neturi teisinės galios ir nėra vykdytina.

3 SKIRSNIS EUROPOS DUOMENŲ APSAUGOS VALDYBA

64 straipsnis Europos duomenų apsaugos valdyba

1.           Įsteigiama Europos duomenų apsaugos valdyba.

2.           Europos duomenų apsaugos valdybą sudaro kiekvienos valstybės narės vienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas.

3.           Jeigu valstybėje narėje už šio reglamento nuostatų taikymo stebėjimą yra atsakinga daugiau kaip viena priežiūros institucija, bendru atstovu paskiriamas vienos iš tų priežiūros institucijų vadovas.

4.           Komisija turi teisę dalyvauti Europos duomenų apsaugos valdybos veikloje ir posėdžiuose ir paskiria atstovą. Europos duomenų apsaugos valdybos pirmininkas nedelsdamas informuoja Komisiją apie visą Europos duomenų apsaugos valdybos veiklą.

65 straipsnis Nepriklausomumas

1.           Atlikdama savo užduotis pagal 66 ir 67 straipsnius Europos duomenų apsaugos valdyba veikia nepriklausomai.

2.           Neribodama Komisijos galimybės teikti 66 straipsnio 1 dalies b punkte ir 2 dalyje nurodytus prašymus, Europos duomenų apsaugos valdyba neprašo ir nepriima jokių nurodymų.

66 straipsnis Europos duomenų apsaugos valdybos užduotys

1.           Europos duomenų apsaugos valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Siekdama šio tikslo, Europos duomenų apsaugos valdyba savo iniciatyva arba Komisijos prašymu visų pirma:

a)      pataria Komisijai visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, įskaitant dėl visų siūlomų šio reglamento pakeitimų;

b)      savo iniciatyva arba vieno iš savo narių iniciatyva, arba Komisijos prašymu nagrinėja visus klausimus, susijusius su šio reglamento taikymu, ir skelbia priežiūros institucijoms skirtas gaires, rekomendacijas ir geriausią patirtį, siekdama skatinti šį reglamentą taikyti nuosekliai;

c)      peržiūri praktinį šios dalies b punkte nurodytų gairių, rekomendacijų ir geriausios patirties taikymą ir reguliariai teikia Komisijai ataskaitas apie jas;

d)      teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 57 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą;

e)      skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį arba daugiašalį keitimąsi informacija ir praktika;

f)       skatina bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, taip pat, kai tinkama, trečiųjų šalių arba tarptautinių organizacijų priežiūros institucijų darbuotojų mainus;

g)      skatina keitimąsi žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje.

2.           Jeigu Komisija prašo Europos duomenų apsaugos valdybos patarti, ji gali nustatyti terminą, per kurį Europos duomenų apsaugos valdyba tokį patarimą turi pateikti, atsižvelgdama į klausimo skubumą.

3.           Europos duomenų apsaugos valdyba savo nuomones, gaires bei rekomendacijas ir geriausią patirtį teikia Komisijai ir 87 straipsnyje nurodytam komitetui ir skelbia jas viešai.

4.           Komisija informuoja Europos duomenų apsaugos valdybą apie veiksmus, kurių ji ėmėsi, atsižvelgdama į Europos duomenų apsaugos valdybos paskelbtas nuomones, gaires bei rekomendacijas ir geriausią patirtį.

67 straipsnis Ataskaitos

1.           Europos duomenų apsaugos valdyba reguliariai ir laiku informuoja Komisiją apie visą Europos duomenų apsaugos valdybos veiklą. Ji parengia metinę ataskaitą apie fizinių asmenų apsaugos tvarkant asmens duomenis būklę Sąjungoje ir trečiosiose šalyse.

Šioje ataskaitoje pateikiami praktinio gairių, rekomendacijų ir geriausios patirties taikymo peržiūros pagal 66 straipsnio 1 dalies c punktą rezultatai.

2.           Ataskaita skelbiama viešai ir perduodama Europos Parlamentui, Tarybai ir Komisijai.

68 straipsnis Darbo tvarka

1.           Europos duomenų apsaugos valdyba priima sprendimus paprasta savo narių balsų dauguma.

2.           Europos duomenų apsaugos valdyba priima savo darbo tvarkos taisykles ir pati nustato savo darbo tvarką. Ji visų pirma užtikrina, kad pasibaigus nario kadencijai arba jam atsistatydinus toliau būtų atliekamos pareigos, kad būtų sudaryti konkrečių klausimų arba sektorių pogrupiai ir kad būtų nustatytos su 57 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusios jos procedūros.

69 straipsnis Pirmininkas

1.           Europos duomenų apsaugos valdyba iš savo narių renka pirmininką ir du jo pavaduotojus. Vieno pirmininko pavaduotojo pareigas eina Europos duomenų apsaugos priežiūros pareigūnas, išskyrus atvejus, kai jis išrinktas pirmininku.

2.           Pirmininko ir jo pavaduotojų kadencija yra penkeri metai, ji gali būti atnaujinta.

70 straipsnis Pirmininko užduotys

1.           Pirmininko užduotys:

a)      šaukti Europos duomenų apsaugos valdybos posėdžius ir rengti jų darbotvarkę;

b)      užtikrinti, kad Europos duomenų apsaugos valdyba laiku atliktų savo užduotis, visų pirma susijusias su 57 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu.

2.           Europos duomenų apsaugos valdyba savo darbo tvarkos taisyklėse nustato, kaip paskirstomos pirmininko ir jo pavaduotojų užduotys.

71 straipsnis Sekretoriatas

1.           Europos duomenų apsaugos valdyba turi sekretoriatą. To sekretoriato paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno įstaiga.

2.           Sekretoriatas Europos duomenų apsaugos valdybos primininkui vadovaujant teikia jai analitinę, administracinę ir logistinę paramą.

3.           Sekretoriatas visų pirma atsako už:

a)      Europos duomenų apsaugos valdybos kasdienę veiklą;

b)      Europos duomenų apsaugos valdybos narių, jos primininko ir Komisijos tarpusavio ryšius, taip pat ryšius su kitomis institucijomis ir visuomene;

c)      elektroninių priemonių naudojimą vidiniams ir išoriniams ryšiams užtikrinti;

d)      reikšmingos informacijos vertimą;

e)      Europos duomenų apsaugos valdybos posėdžių rengimą ir su jais susijusią tolesnę veiklą;

f)       Europos duomenų apsaugos valdybos priimtų nuomonių ir kitų tekstų parengiamąjį darbą, jų projektų rengimą ir paskelbimą.

72 straipsnis Konfidencialumas

1.           Europos duomenų apsaugos valdybos diskusijos yra konfidencialios.

2.           Europos duomenų apsaugos valdybos nariams, ekspertams ir trečiųjų asmenų atstovams pateikti dokumentai yra konfidencialūs, išskyrus atvejus, kai galimybė su tais dokumentais susipažinti suteikta pagal Reglamentą (EB) Nr. 1049/2001 arba Europos duomenų apsaugos valdyba juos viešai paskelbia kitais būdais.

3.           Europos duomenų apsaugos valdybos nariai, ekspertai ir trečiųjų asmenų atstovai privalo laikytis šiame straipsnyje nustatytų konfidencialumo pareigų. Pirmininkas užtikrina, kad ekspertai ir trečiųjų asmenų atstovai būtų informuoti apie jiems taikomus konfidencialumo reikalavimus.

VIII SKYRIUS

TEISIŲ GYNIMO PRIEMONĖS, ATSAKOMYBĖ IR SANKCIJOS

73 straipsnis Teisė pateikti skundą priežiūros institucijai

1.           Neapribojant galimybių imtis bet kurių kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad jo asmens duomenys tvarkomi nesilaikant šio reglamento.

2.           Bet kuri įstaiga, organizacija ar asociacija, kuri siekia apsaugoti duomenų subjektų teises ir interesus, susijusius su jų asmens duomenų apsauga, ir kuri tinkamai įsteigta pagal valstybės narės teisę, turi teisę vieno ar kelių duomenų subjektų vardu pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad tvarkant asmens duomenis buvo pažeistos šiame reglamente nustatytos duomenų subjektų teisės.

3.           Net jeigu duomenų subjektas nėra pateikęs skundo, 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę pateikti skundą priežiūros institucijai bet kurioje valstybėje narėje, jeigu mano, kad buvo padarytas asmens duomenų saugumo pažeidimas.

74 straipsnis Teisė imtis teisminių teisių gynimo priemonių prieš priežiūros instituciją

1.           Kiekvienas fizinis arba juridinis asmuo turi teisę imtis teisminių teisių gynimo priemonių prieš priežiūros institucijos sprendimus dėl jų.

2.           Kiekvienas duomenų subjektas turi teisę imtis teisminių teisių gynimo priemonių, kad įpareigotų priežiūros instituciją imtis veiksmų dėl skundo, jeigu nepriimtas jo teisėms apsaugoti būtinas sprendimas arba jeigu priežiūros institucija per tris mėnesius nepraneša duomenų subjektui apie skundo nagrinėjimo pažangą ar jo rezultatus pagal 52 straipsnio 1 dalies b punktą.

3.           Byla priežiūros institucijai keliama valstybės narės, kurioje priežiūros institucija įsisteigusi, teismuose.

4.           Duomenų subjektas, dėl kurio sprendimą priėmė priežiūros institucija ne toje valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, jis gali prašyti priežiūros institucijos valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, iškelti bylą jo vardu tos kitos valstybės narės kompetentingai priežiūros institucijai.

5.           Valstybės narės vykdo šiame straipsnyje nurodytus galutinius teismų sprendimus.

75 straipsnis Teisė imtis teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

1.           Neribojant galimybių imtis bet kokių administracinių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai, kaip nurodyta 73 straipsnyje, kiekvienas fizinis asmuo turi teisę imtis teisminių teisių gynimo priemonių, jeigu mano, kad jo teisės, nustatytos šiuo reglamentu, buvo pažeistos jo asmens duomenis tvarkant nesilaikant šio reglamento.

2.           Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas įsisteigęs, teismuose. Tokia byla taip pat gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas yra valdžios institucija, veikianti pagal savo viešuosius įgaliojimus.

3.           Jeigu byla dėl tos pačios priemonės, sprendimo arba praktikos nagrinėjama pagal 58 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, teismas gali sustabdyti jame iškeltos bylos nagrinėjimą, išskyrus tuos atvejus, kai klausimą būtina skubiai išnagrinėti, kad būtų apsaugotos duomenų subjekto teisės, ir todėl negalima laukti, kol paaiškės nuoseklumo užtikrinimo mechanizmo procedūros rezultatai.

4.           Valstybės narės užtikrina šiame straipsnyje nurodytų teismų galutinių sprendimų vykdymą.

76 straipsnis Bendros teismo proceso taisyklės

1.           Bet kuri 73 straipsnio 2 dalyje nurodyta įstaiga, organizacija ar asociacija turi teisę vieno ar kelių duomenų subjektų vardu naudotis 74 ir 75 straipsniuose nurodytomis teisėmis.

2.           Kiekviena priežiūros institucija turi teisę būti proceso šalimi ir pareikšti ieškinį teisme, siekdama užtikrinti šio reglamento nuostatų vykdymą arba nuoseklią asmens duomenų apsaugą Sąjungoje.

3.           Jeigu valstybės narės kompetentingas teismas turi pagrįstų priežasčių manyti, kad kitoje valstybėje narėje nagrinėjama ta pati byla, jis kreipiasi į kompetentingą teismą kitoje valstybėje narėje, kad išsiaiškintų, ar ta pati byla nagrinėjama.

4.           Jeigu kitoje valstybėje narėje lygiagrečiai nagrinėjama byla dėl tos pačios priemonės, sprendimo arba praktikos, teismas gali sustabdyti bylos nagrinėjimą.

5.           Valstybės narės užtikrina, kad ieškiniais teisme, kuriuos galima pareikšti pagal nacionalinę teisę, būtų sudarytos sąlygos greitai priimti priemones, įskaitant laikinąsias, kuriomis siekiama nutraukti bet kokį įtariamą pažeidimą ir užkirsti kelią tolesniam susijusių interesų pažeidimui.

77 straipsnis Teisė reikalauti atlyginti žalą ir atsakomybė

1.           Bet kuris asmuo, patyręs žalą dėl neteisėtos duomenų tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su šiuo reglamentu, turi teisę reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas atlygintų patirtą žalą.

2.           Jeigu tvarkant duomenis dalyvauja daugiau kaip vienas duomenų valdytojas arba duomenų tvarkytojas, kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra solidariai atsakingi už visą padarytą žalą.

3.           Duomenų valdytojas arba duomenų tvarkytojas gali būti visiškai ar iš dalies atleistas nuo šios atsakomybės, jeigu duomenų valdytojas arba duomenų tvarkytojas įrodo, kad nėra atsakingas už įvykį, dėl kurio patirta žala.

78 straipsnis Sankcijos

1.           Valstybės narės nustato taisykles dėl sankcijų, taikytinų už šio reglamento nuostatų pažeidimus, ir imasi visų būtinų priemonių, kad būtų užtikrintas jų įgyvendinimas, įskaitant atvejus, kai duomenų valdytojas nesilaikė pareigos paskirti atstovą. Nustatytos sankcijos turi būti veiksmingos, proporcingos ir atgrasomos.

2.           Jeigu duomenų valdytojas paskyrė atstovą, visos sankcijos taikomos atstovui, nedarant poveikio jokioms sankcijoms, kurios gali būti skirtos duomenų valdytojui.

3.           Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

79 straipsnis Administracinės sankcijos

1.           Kiekviena priežiūros institucija įgaliojama skirti administracines sankcijas pagal šį straipsnį.

2.           Administracinės sankcijos kiekvienu konkrečiu atveju yra veiksmingos, proporcingos ir atgrasomos. Administracinės baudos dydis nustatomas tinkamai atsižvelgiant į saugumo pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas padarytas tyčia ar dėl neatsargumo, kokia yra fizinio arba juridinio asmens atsakomybė, taip pat į to asmens ankstesnius pažeidimus, pagal 23 straipsnį įdiegtas technines ir organizacines priemones ir nustatytas procedūras ir į tai, kaip bendradarbiauta su priežiūros institucija siekiant ištaisyti pažeidimą.

3.           Jeigu šio reglamento nesilaikyta pirmą kartą ir netyčia, duodamas raštiškas įspėjimas ir sankcijos neskiriamos, jeigu:

a)      asmens duomenis tvarko komercinio intereso neturintis fizinis asmuo; arba

b)      įmonei arba organizacijai, kurioje yra mažiau kaip 250 darbuotojų, asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.

4.           Priežiūros institucija skiria baudą, kurios suma gali būti iki 250 000 EUR, o įmonės atveju – iki 0,5 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

a)      nenustato su duomenų subjektų prašymais susijusių mechanizmų arba skubiai neatsako duomenų subjektui arba atsako netinkamu formatu pagal 12 straipsnio 1 ir 2 dalis;

b)      ima mokestį už informaciją arba atsakymus į duomenų subjektų prašymus, pažeisdamas 12 straipsnio 4 dalį.

5.           Priežiūros institucija skiria baudą, kurios suma gali būti iki 500 000 EUR, o įmonės atveju – iki 1 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

a)      duomenų subjektui nepateikia informacijos arba pateikia ne visą informaciją, arba pateikia informaciją nepakankamai skaidriai pagal 11 straipsnį, 12 straipsnio 3 dalį ir 14 straipsnį;

b)      nesuteikia duomenų subjektui galimybės susipažinti arba neištaiso asmens duomenų pagal 15 ir 16 straipsnius, arba nepateikia reikšmingos informacijos duomenų gavėjui pagal 13 straipsnį;

c)      nepaiso teisės būti pamirštam arba teisės reikalauti ištrinti duomenis arba netaiko mechanizmų, kuriais užtikrintų, kad būtų laikomasi terminų, ir nesiima visų būtinų veiksmų, kad informuotų trečiuosius asmenis, kad duomenų subjektas prašo ištrinti visas nuorodas į asmens duomenis arba jų kopijas ar dublikatus pagal 17 straipsnį;

d)      nepateikia asmens duomenų kopijos elektroniniu formatu arba trukdo duomenų subjektui persiųsti asmens duomenis į kitą programą, pažeisdamas 18 straipsnį;

e)      neapibrėžia arba nepakankamai apibrėžia atitinkamą bendrų duomenų valdytojų atsakomybę pagal 24 straipsnį;

f)       nesaugo arba nepakankamai saugo dokumentus pagal 28 straipsnį, 31 straipsnio 4 dalį ir 44 straipsnio 3 dalį;

g)      tais atvejais, kai tvarkomi specialių kategorijų duomenys, pagal 80, 82 ir 83 straipsnius nesilaiko taisyklių, susijusių su saviraiškos laisve, arba taisyklių dėl duomenų tvarkymo su darbo santykiais susijusiais tikslais, arba nesilaiko duomenų tvarkymo istoriniais, statistiniais ir mokslinių tyrimų tikslais sąlygų.

6.           Priežiūros institucija skiria baudą, kurios suma gali būti iki 1 000 000 EUR, o įmonės atveju – iki 2 % jos metinės pasaulinės apyvartos, bet kuriam subjektui, kuris tyčia ar dėl neatsargumo:

a)      tvarko asmens duomenis neturėdamas jokio arba pakankamo teisinio pagrindo juos tvarkyti arba nesilaiko su sutikimu susijusių sąlygų pagal 6, 7 ir 8 straipsnius;

b)      tvarko specialių kategorijų duomenis, pažeisdamas 9 ir 81 straipsnius;

c)      neatsižvelgia į duomenų subjekto išreikštą nesutikimą arba nesilaiko reikalavimo pagal 19 straipsnį;

d)      nesilaiko sąlygų dėl profiliavimu pagrįstų priemonių pagal 20 straipsnį;

e)      nepriima vidaus nuostatų arba netaiko tinkamų priemonių, kuriomis užtikrinama, kad būtų laikomasi reikalavimų, ir tai įrodytų pagal 22, 23 ir 30 straipsnius;

f)       nepaskiria atstovo pagal 25 straipsnį;

g)      tvarko asmens duomenis arba nurodo juos tvarkyti, nesilaikydamas pareigų dėl duomenų tvarkymo duomenų valdytojo pavedimu pagal 26 ir 27 straipsnius;

h)      neįspėja ar nepraneša apie asmens duomenų saugumo pažeidimą, arba laiku nepraneša ar neišsamiai praneša apie duomenų saugumo pažeidimą priežiūros institucijai arba duomenų subjektui pagal 31 ir 32 straipsnius;

i)       neatlieka duomenų apsaugos poveikio vertinimo arba tvarko asmens duomenis negavęs priežiūros institucijos išankstinio leidimo arba iš anksto nesikonsultavęs su ja pagal 33 ir 34 straipsnius;

j)       nepaskiria duomenų apsaugos pareigūno arba neužtikrina sąlygų atlikti užduotis pagal 35, 36 ir 37 straipsnius;

k)      netinkamai naudoja ženklus arba žymenis, kaip apibrėžta 39 straipsnyje;

l)       perduoda duomenis arba nurodo juos perduoti į trečiąją šalį arba tarptautinei organizacijai, kai toks perdavimas neleidžiamas nei sprendimu dėl tinkamumo, nei tinkamomis apsaugos priemonėmis, nei nukrypti leidžiančiomis nuostatomis pagal 40–44 straipsnius;

m)     nesilaiko priežiūros institucijos nurodymo arba laikino ar nuolatinio draudimo tvarkyti duomenis arba duomenų srautų sustabdymo pagal 53 straipsnio 1 dalį;

n)      nesilaiko pareigų priežiūros institucijai padėti arba jai atsakyti, arba pateikti reikšmingą informaciją, arba suteikti galimybę patekti į patalpas pagal 28 straipsnio 3 dalį, 29 straipsnį, 34 straipsnio 6 dalį ir 53 straipsnio 2 dalį;

o)      nesilaiko taisyklių dėl profesinės paslapties saugojimo pagal 84 straipsnį;

7.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais atnaujinti 4, 5 ir 6 dalyse nurodytų administracinių baudų dydžius, atsižvelgiant į 2 dalyje nurodytus kriterijus.

IX SKYRIUS NUOSTATOS, SUSIJUSIOS SU SPECIALIAIS DUOMENŲ TVARKYMO ATVEJAIS

80 straipsnis Asmens duomenų tvarkymas ir saviraiškos laisvė

1.           Valstybės narės nustato II skyriuje pateiktų bendrųjų principų nuostatų, III skyriuje – duomenų subjektų teisių nuostatų, IV skyriuje – duomenų valdytojų ir duomenų tvarkytojų nuostatų, V skyriuje – asmens duomenų perdavimo į trečiąsias šalis ir tarptautinėms organizacijoms nuostatų, VI skyriuje – nepriklausomų priežiūros institucijų nuostatų, VII skyriuje – bendradarbiavimo ir nuoseklumo nuostatų išimtis ir nukrypti leidžiančias nuostatas, kai asmens duomenys tvarkomi tik žurnalistiniais arba meninės ar literatūrinės raiškos tikslais, kad teisė į duomenų apsaugą būtų suderinta su saviraiškos laisvę reglamentuojančiomis taisyklėmis.

2.           Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priėmė pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

81 straipsnis Asmens sveikatos duomenų tvarkymas

1.           Laikantis šio reglamento ribų ir pagal 9 straipsnio 2 dalies h punktą asmens sveikatos duomenų tvarkymas turi būti grindžiamas Sąjungos teisės aktais arba valstybės narės teisės aktais, kuriuose nustatytos tinkamos ir specialios priemonės duomenų subjekto teisėtiems interesams apsaugoti, ir būtinas:

a)      teikiant profilaktinės ar darbo medicinos, medicininės diagnostikos, medicininės priežiūros ar gydymo paslaugas arba sveikatos priežiūros valdymui ir jeigu tokius duomenis tvarko sveikatos priežiūros specialistas, kuriam taikoma pareiga saugoti profesinę paslaptį, arba kitas asmuo, kuriam taip pat taikoma lygiavertė konfidencialumo pareiga pagal valstybės narės teisės aktus arba nacionalinių kompetentingų institucijų nustatytas taisykles; arba

b)      dėl viešojo intereso priežasčių visuomenės sveikatos srityje, kaip antai siekiant apsisaugoti nuo rimtų tarpvalstybinių grėsmių sveikatai arba užtikrinti aukštus kokybės ir saugos standartus, be kita ko, susijusius su medicininiais produktais arba medicininiais prietaisais; arba

c)      dėl kitų viešojo intereso priežasčių tokiose srityse, kaip socialinė apsauga, ypač siekiant užtikrinti, kad sveikatos draudimo sistemoje prašymų dėl išmokų ir paslaugų nagrinėjimo procedūros būtų kokybiškos ir nereikalautų daug sąnaudų.

2.           Asmens sveikatos duomenų tvarkymui, būtinam istoriniais, statistiniais arba mokslinių tyrimų tikslais, kaip antai pacientų registrai, kurie sukurti siekiant gerinti diagnozes ir atskirti panašių rūšių ligas, taip pat rengti gydymo tyrimus, taikomos 83 straipsnyje nurodytos sąlygos ir apsaugos priemonės.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais išsamiau nustatyti kitas viešojo intereso priežastis visuomenės sveikatos srityje, kaip nurodyta 1 dalies b punkte, taip pat apsaugos priemonių, taikomų asmens duomenis tvarkant 1 dalyje nurodytais tikslais, kriterijus ir reikalavimus.

82 straipsnis Duomenų tvarkymas su darbo santykiais susijusiais tikslais

1.           Laikydamosi šio reglamento ribų, valstybės narės gali teisės aktais priimti specialias taisykles, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiais tikslais, visų pirma juos samdant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyviniais susitarimais nustatytų pareigų vykdymą, darbo valdymą, planavimą ir organizavimą, sveikatos priežiūrą ir saugą darbe, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat nutraukti darbo santykius.

2.           Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis nuostatomis susijusius pakeitimus.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius apsaugos priemonių tvarkant asmens duomenis 1 dalyje nurodytais tikslais kriterijus ir reikalavimus.

83 straipsnis Duomenų tvarkymas istoriniais, statistiniais ir mokslinių tyrimų tikslais

1.           Laikantis šio reglamento ribų, asmens duomenys gali būti tvarkomi istoriniais, statistiniais ir mokslinių tyrimų tikslais tik tuo atveju, jeigu:

a)      šių tikslų negalima pasiekti kitu būdu tvarkant duomenis, iš kurių neįmanoma arba jau neįmanoma nustatyti duomenų subjekto tapatybės;

b)      duomenys, pagal kuriuos informaciją galima priskirti duomenų subjektui, kurio tapatybė yra nustatyta arba gali būti nustatyta, laikomi atskirai nuo kitos informacijos, jeigu tokiu būdu galima pasiekti šiuos tikslus.

2.           Istorinius, statistinius ar mokslinius tyrimus atliekančios įstaigos gali paskelbti arba kitaip paviešinti asmens duomenis tik tuo atveju, jeigu:

a)      duomenų subjektas davė sutikimą pagal 7 straipsnyje nustatytas sąlygas;

b)      asmens duomenis paskelbti būtina tyrimų išvadoms pateikti arba tyrimams palengvinti, jeigu šie interesai nėra viršesni už duomenų subjekto interesus arba pagrindines teises ar laisves; arba

c)      duomenų subjektas paskelbė duomenis viešai.

3.           Komisija įgaliojama pagal 86 straipsnį priimti deleguotuosius aktus ir jais nustatyti išsamesnius asmens duomenų tvarkymo 1 ir 2 dalyse nurodytais tikslais kriterijus ir reikalavimus, taip pat bet kokius būtinus duomenų subjekto teisės gauti informaciją ir susipažinti su duomenimis apribojimus, ir išdėstyti šiomis aplinkybėmis duomenų subjekto teisėms taikomas sąlygas ir apsaugos priemones.

84 straipsnis Pareiga saugoti paslaptį

1.           Laikydamosi šio reglamento ribų, valstybės narės gali priimti specialias taisykles ir jomis išdėstyti 53 straipsnio 2 dalyje nustatytus priežiūros institucijų tyrimo įgaliojimus dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal nacionalinės teisės aktus arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį arba kitos lygiavertės pareigos saugoti paslaptį, jeigu tai būtina ir proporcinga, siekiant suderinti teisę į asmens duomenų apsaugą su pareiga saugoti paslaptį. Šios taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma pareiga saugoti paslaptį.

2.           Kiekviena valstybė narė vėliausiai iki 91 straipsnio 2 dalyje nurodytos datos praneša Komisijai apie taisykles, kurias ji priima pagal 1 dalį, ir nedelsdama praneša apie visus vėlesnius su tomis taisyklėmis susijusius pakeitimus.

85 straipsnis Bažnyčių ir religinių asociacijų galiojančios duomenų apsaugos taisyklės

1.           Jeigu įsigaliojant šiam reglamentui valstybėje narėje bažnyčios ir religinės asociacijos arba bendruomenės taiko visapusiškas taisykles dėl fizinių asmenų apsaugos tvarkant asmens duomenis, tos taisyklės gali būti toliau taikomos, jeigu jos yra suderintos su šio reglamento nuostatomis.

2.           Bažnyčios ir religinės asociacijos, taikančios visapusiškas taisykles pagal 1 dalį, numato įsteigia nepriklausomą priežiūros instituciją pagal šio reglamento VI skyrių.

X SKYRIUS DELEGUOTIEJI AKTAI IR ĮGYVENDINIMO AKTAI

86 straipsnis Naudojimasis suteiktais įgaliojimais

1.           Komisijai suteikiami įgaliojimai priimti deleguotuosius aktus laikantis šiame straipsnyje nurodytų sąlygų.

2.           6 straipsnio 5 dalyje, 8 straipsnio 3 dalyje, 9 straipsnio 3 dalyje, 12 straipsnio 5 dalyje, 14 straipsnio 7 dalyje, 15 straipsnio 3 dalyje, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalyje, 22 straipsnio 4 dalyje, 23 straipsnio 3 dalyje, 26 straipsnio 5 dalyje, 28 straipsnio 5 dalyje, 30 straipsnio 3 dalyje, 31 straipsnio 5 dalyje, 32 straipsnio 5 dalyje, 33 straipsnio 6 dalyje, 34 straipsnio 8 dalyje, 35 straipsnio 11 dalyje, 37 straipsnio 2 dalyje, 39 straipsnio 2 dalyje, 43 straipsnio 3 dalyje, 44 straipsnio 7 dalyje, 79 straipsnio 6 dalyje, 81 straipsnio 3 dalyje, 82 straipsnio 3 dalį ir 83 straipsnio 3 dalyje nurodyti įgaliojimai Komisijai suteikiami neribotam laikotarpiui nuo šio reglamento įsigaliojimo datos.

3.           Europos Parlamentas arba Taryba bet kuriuo metu gali atšaukti suteiktus 6 straipsnio 5 dalyje, 8 straipsnio 3 dalyje, 9 straipsnio 3 dalyje, 12 straipsnio 5 dalyje, 14 straipsnio 7 dalyje, 15 straipsnio 3 dalyje, 17 straipsnio 9 dalyje, 20 straipsnio 6 dalyje, 22 straipsnio 4 dalyje, 23 straipsnio 3 dalyje, 26 straipsnio 5 dalyje, 28 straipsnio 5 dalyje, 30 straipsnio 3 dalyje, 31 straipsnio 5 dalyje, 32 straipsnio 5 dalyje, 33 straipsnio 6 dalyje, 34 straipsnio 8 dalyje, 35 straipsnio 11 dalyje, 37 straipsnio 2 dalyje, 39 straipsnio 2 dalyje, 43 straipsnio 3 dalyje, 44 straipsnio 7 dalyje, 79 straipsnio 6 dalyje, 81 straipsnio 3 dalyje, 82 straipsnio 3 dalį ir 83 straipsnio 3 dalyje nurodytus įgaliojimus. Sprendimu dėl atšaukimo panaikinami suteikti tame sprendime nurodyti įgaliojimai. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba jame nurodytą vėlesnę dieną. Jis neturi poveikio jau galiojantiems deleguotiesiems aktams.

4.           Priėmusi deleguotąjį aktą, Komisija apie jį iškart vienu metu praneša Europos Parlamentui ir Tarybai.

5.           Deleguotieji aktai, priimti pagal 6 straipsnio 5 dalį, 8 straipsnio 3 dalį, 9 straipsnio 3 dalį, 12 straipsnio 5 dalį, 14 straipsnio 7 dalį, 15 straipsnio 3 dalį, 17 straipsnio 9 dalį, 20 straipsnio 6 dalį, 22 straipsnio 4 dalį, 23 straipsnio 3 dalį, 26 straipsnio 5 dalį, 28 straipsnio 5 dalį, 30 straipsnio 3 dalį, 31 straipsnio 5 dalį, 32 straipsnio 5 dalį, 33 straipsnio 6 dalį, 34 straipsnio 8 dalį, 35 straipsnio 11 dalį, 37 straipsnio 2 dalį, 39 straipsnio 2 dalį, 43 straipsnio 3 dalį, 44 straipsnio 7 dalį, 79 straipsnio 6 dalį, 81 straipsnio 3 dalį, 82 straipsnio 3 dalį ir 83 straipsnio 3 dalį įsigalioja tik tuo atveju, jeigu per 2 mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie tą aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimo arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba informuoja Komisiją, kad neprieštaraus. Europos Parlamento arba Tarybos iniciatyva tas laikotarpis pratęsiamas dviem mėnesiams.

87 straipsnis Komiteto procedūra

1.           Komisijai padeda komitetas. Šis komitetas yra komitetas, kaip apibrėžta Reglamente (ES) Nr. 182/2011.

2.           Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

3.           Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 8 straipsnis kartu su jo 5 straipsniu.

XI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

88 straipsnis Direktyvos 95/46/EB panaikinimas

1.           Direktyva 95/46/EB panaikinama.

2.           Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. Nuorodos į Direktyvos 95/46/EB 29 straipsniu įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis laikomos nuorodomis į šiuo reglamentu įsteigtą Europos duomenų apsaugos valdybą.

89 straipsnis Ryšys su Direktyva 2002/58/EB ir jos keitimas

1.           Šiuo reglamentu fiziniams arba juridiniams asmenims nenustatoma papildomų pareigų, susijusių su asmens duomenų tvarkymu teikiant Sąjungoje viešai prieinamas elektroninių ryšių paslaugas viešaisiais ryšių tinklais, jeigu jiems taikomos Direktyvoje 2002/58/EB nustatytos specialios pareigos, kuriomis siekiama to paties tikslo.

2            Direktyvos 2002/58/EB 1 straipsnio 2 išbraukiama.

90 straipsnis Vertinimas

Komisija reguliariai teikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitas. Pirmoji ataskaita pateikiama ne vėliau kaip po ketverių metų nuo šio reglamento įsigaliojimo. Vėlesnės ataskaitos teikiamos kas ketverius metus. Prireikus Komisija pateikia tinkamus pasiūlymus ir jais iš dalies pakeičia šį reglamentą ir suderina kitus teisės aktus, visų pirma atsižvelgdama į informacinių technologijų plėtrą ir informacinės visuomenės pažangą. Ataskaitos skelbiamos viešai.

91 straipsnis Įsigaliojimas ir taikymas

1.           Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2.           Jis taikomas nuo [dveji metai nuo 1 dalyje nurodytos datos].

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2012 01 25

Europos Parlamento vardu                           Tarybos vardu

Pirmininkas                                                   Pirmininkas

FINANSINĖ TEISĖS AKTO PASIŪLYMO PAŽYMA

1.           PASIŪLYMO (INICIATYVOS) STRUKTŪRA

              1.1.    Pasiūlymo (iniciatyvos) pavadinimas

              1.2.    Atitinkama (-os) politikos sritis (-ys) VGV / VGB sistemoje

              1.3.    Pasiūlymo (iniciatyvos) pobūdis

              1.4.    Tikslas (-ai)

              1.5.    Pasiūlymo (iniciatyvos) pagrindas

              1.6.    Trukmė ir finansinis poveikis

              1.7.    Numatomas (-i) valdymo metodas (-ai)

2.           VALDYMO PRIEMONĖS

              2.1.    Priežiūros ir atskaitomybės taisyklės

              2.2.    Valdymo ir kontrolės sistema

              2.3.    Sukčiavimo ir pažeidimų prevencijos priemonės

3.           NUMATOMAS PASIŪLYMO (INICIATYVOS) FINANSINIS POVEIKIS

              3.1.    Atitinkama (-os) daugiametės finansinės programos išlaidų kategorija (-os) ir biudžeto išlaidų eilutė (-ės)

              3.2.    Numatomas poveikis išlaidoms

              3.2.1. Numatomo poveikio išlaidoms suvestinė

              3.2.2. Numatomas poveikis veiklos asignavimams

              3.2.3. Numatomas poveikis administracinio pobūdžio asignavimams

              3.2.4. Suderinamumas su dabartine daugiamete finansine programa

              3.2.5. Trečiųjų šalių finansinis įnašas

              3.3.    Numatomas poveikis įplaukoms

FINANSINĖ TEISĖS AKTO PASIŪLYMO PAŽYMA

1. PASIŪLYMO (INICIATYVOS) STRUKTŪRA

Šioje finansinėje pažymoje išsamiau išdėstyti su administracinėmis išlaidomis susiję poreikiai, siekiant įgyvendinti duomenų apsaugos pertvarką, kaip paaiškinta susijusiame poveikio vertinime. Šią pertvarką sudaro du teisės aktų pasiūlymai – bendrojo duomenų apsaugos reglamento ir direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais. Šioje finansinėje pažymoje nurodomas abiejų priemonių poveikis biudžetui.

Remiantis užduočių paskirstymu, išteklių reikia Komisijai ir Europos duomenų apsaugos priežiūros pareigūnui (EDAPP).

Komisijai reikalingi ištekliai jau įtraukti į siūlomą 2014–2020 m. finansinę programą. Duomenų apsauga – vienas iš Teisių ir pilietybės programos tikslų; pagal šią programą bus remiamos šių teisinio reglamentavimo pagrindų praktinio taikymo priemonės. Administraciniai asignavimai, įskaitant su darbuotojais susijusius poreikius, įtraukti į administracinį JUST GD biudžetą.

Į EDAPP reikalingus išteklius reikės atsižvelgti rengiant atitinkamus metinius EDAPP biudžetus. Ištekliai išsamiai nurodyti šios finansinės pažymos priede. Siekiant suteikti išteklių, būtinų, kad Europos duomenų apsaugos valdyba, kuriai sekretoriato paslaugas teiks EDAPP, galėtų atlikti naujas užduotis, reikės perprogramuoti 2014–2020 m. finansinės programos 5 išlaidų kategoriją.

1.1. Pasiūlymo (iniciatyvos) pavadinimas

Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) pasiūlymas.

Europos Parlamento ir Tarybos direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo.

1.2. Atitinkama (-os) politikos sritis (-ys) VGV / VGB sistemoje[49]

Teisingumas – asmens duomenų apsauga

Poveikis biudžetui susijęs su Komisija ir EDAPP. Poveikis Komisijos biudžetui išsamiai nurodytas šios finansinės pažymos lentelėse. Veiklos išlaidos – Teisių ir pilietybės programos dalis, į jas jau atsižvelgta rengiant tos programos finansinę pažymą, nes administracinės išlaidos įtrauktos į Teisingumo GD finansinį paketą. Su EDAPP susijusios sudedamosios dalys nurodytos priede.

1.3. Pasiūlymo (iniciatyvos) pobūdis

¨ Pasiūlymas (iniciatyva) susijęs (-usi) su nauja priemone

¨ Pasiūlymas (iniciatyva) susijęs (-usi) su nauja priemone, kuri bus priimta įgyvendinus bandomąjį projektą ir (arba) atlikus parengiamuosius veiksmus[50]

þ Pasiūlymas (iniciatyva) susijęs (-usi) su esamos priemonės galiojimo pratęsimu

¨ Pasiūlymas (iniciatyva) susijęs (-usi) su priemone, perorientuota į naują priemonę

1.4. Tikslai 1.4.1. Komisijos daugiametis (-čiai) strateginis (-iai) tikslas (-ai), kurio (-ių) siekiama šiuo pasiūlymu (šia iniciatyva)

Pertvarkos tikslas – visiškai pasiekti pirminius tikslus, atsižvelgiant į naujausią plėtrą ir sunkumus, t. y.:

- didinti pagrindinės teisės į duomenų apsaugą veiksmingumą ir sudaryti sąlygas fiziniams asmenims kontroliuoti savo duomenis, visų pirma atsižvelgiant į technologinę plėtrą ir globalizacijos augimą;

- gerinti duomenų apsaugos vidaus rinkos aspektą, mažinant skirtumus, didinant nuoseklumą ir paprastinant reguliavimo aplinką ir taip panaikinant nereikalingas išlaidas ir sumažinant administracinę naštą.

Be to, įsigaliojus Lisabonos sutarčiai, visų pirma nustačius naują teisinį pagrindą (SESV 16 straipsnis), suteiktos galimybės siekti naujo tikslo, t. y.

- sukurti visas sritis apimančius išsamius duomenų apsaugos reglamentavimo pagrindus.

1.4.2. Konkretus (-ūs) tikslas (-ai) ir atitinkama VGV / VGB veikla

1 konkretus tikslas

Užtikrinti nuoseklų duomenų apsaugos taisyklių įgyvendinimą

2 konkretus tikslas

Racionalizuoti esamą valdymo sistemą ir taip padėti užtikrinti nuoseklesnį įgyvendinimą

Atitinkama VGV / VGB veikla

[…]

1.4.3. Numatomas (-i) rezultatas (-ai) ir poveikis

Nurodyti poveikį, kurį pasiūlymas (iniciatyva) turėtų turėti tiksliniams gavėjams (tikslinėms grupėms).

Suderintomis ir aiškesnėmis ES duomenų apsaugos taisyklėmis ir procedūromis, kuriomis sudaromos vienodos sąlygos ir užtikrinamas nuoseklus duomenų apsaugos taisyklių įgyvendinimas, taip pat smarkiai sumažinama administracinė našta, ir viešiesiems, ir privatiesiems duomenų valdytojams bus užtikrintas didesnis teisinis tikrumas.

Fiziniai asmenys galės geriau kontroliuoti savo asmens duomenis ir labiau pasitikėti skaitmenine erdve, taip pat bus apsaugoti ir tais atvejais, kai jų asmens duomenys tvarkomi užsienyje. Jiems taip pat bus naudinga didesnė asmens duomenų tvarkytojų atskaitomybė.

Visapusiška duomenų apsaugos sistema taip pat bus taikoma policijos ir teisingumo srityse, įskaitant buvusį 3-iąjį ramstį, tačiau juo neapsiribojant.

1.4.4. Rezultatų ir poveikio rodikliai

Nurodyti pasiūlymo (iniciatyvos) įgyvendinimo stebėjimo rodiklius.

(Žr. Poveikio vertinimo 8 skirsnis)

Rodikliai periodiškai vertinami ir į juos įtraukiamos šios sudedamosios dalys:

•        duomenų valdytojų laiko sąnaudos ir išlaidos, siekiant laikytis teisės aktų kitose valstybėse narėse,

•        ištekliai, skiriami duomenų apsaugos priežiūros institucijoms,

•        viešosiose ir privačiosiose organizacijose paskirti duomenų apsaugos pareigūnai,

•        duomenų apsaugos poveikio vertinimas,

•        duomenų subjektų pateiktų skundų skaičius ir jų gautas žalos atlyginimas,

•        atvejų, kai duomenų valdytojai buvo patraukti baudžiamojon atsakomybėn, skaičius,

•        duomenų valdytojams, atsakingiems už duomenų apsaugos pažeidimus, skirtos baudos.

1.5. Pasiūlymo (iniciatyvos) pagrindas 1.5.1. Trumpalaikiai arba ilgalaikiai poreikiai

Dabar valstybės narės direktyvą įgyvendina, aiškina ir jos laikymąsi užtikrina skirtingai, todėl trikdomas vidaus rinkos veikimas ir valdžios institucijų bendradarbiavimas ES politikos srityse. Sudaroma kliūtis siekti pagrindinio direktyvos tikslo – užtikrinti laisvą asmens duomenų judėjimą vidaus rinkoje. Sparčiai plėtojant naująsias technologijas ir didėjant globalizacijai, ši problema dar labiau paaštrėjo.

Dėl skirtingo reglamentavimo ir nenuoseklaus įgyvendinimo bei vykdymo skirtingose valstybėse narėse, fiziniams asmenims suteikiamos skirtingos duomenų apsaugos teisės. Be to, fiziniai asmenys dažnai nežino, kas daroma su jų asmens duomenimis, ir negali to kontroliuoti, todėl negali veiksmingai naudotis savo teisėmis.

1.5.2. Papildoma ES dalyvavimo nauda

Esamomis aplinkybėmis valstybės narės pačios negali išspręsti šių problemų. Taip yra visų pirma tada, kai problemų priežastis yra nacionalinės teisės aktų, priimtų įgyvendinant ES duomenų apsaugos reglamentavimo pagrindus, skirtumai. Taigi esama rimtų priežasčių nustatyti ES lygmens teisinius duomenų apsaugos reglamentavimo pagrindus. Visų pirma reikia nustatyti suderintus ir nuoseklius reglamentavimo pagrindus, kurie leistų sklandžiai perduoti asmens duomenis tarp ES valstybių narių, kartu užtikrinant veiksmingą visų fizinių asmenų apsaugą visoje ES.

1.5.3. Panašios patirties išvados

Šiais pasiūlymais atsižvelgiama į patirtį, įgytą taikant Direktyvą 95/46/EB, ir problemas, patirtas dėl skirtingo tos direktyvos perkėlimo nacionalinę teisę ir skirtingo jos įgyvendinimo, todėl nebuvo pasiekti abu jos tikslai – užtikrinti aukštą duomenų apsaugos lygį ir sukurti bendrą duomenų apsaugos vidaus rinką.

1.5.4. Suderinamumas ir galima sąveika su kitomis atitinkamomis priemonėmis

Šiuo duomenų apsaugos pertvarkos dokumentų rinkiniu siekiama sukurti tvirtus, nuoseklius ir šiuolaikiškus ES lygmens duomenų apsaugos reglamentavimo pagrindus, kurie būtų neutralūs technologijų atžvilgiu ir išliktų veiksmingi keletą dešimtmečių. Jie bus naudingi fiziniams asmenims – bus sustiprintos jų duomenų apsaugos teisės, visų pirma skaitmeninėje erdvėje; be to, bus supaprastinti teisiniai reikalavimai įmonėms ir viešajam sektoriui, taigi, bus skatinama skaitmeninės ekonomikos plėtra visoje ES vidaus rinkoje ir už jos ribų, atsižvelgiant į strategijos „Europa 2020“ tikslus.

Duomenų apsaugos pertvarkos dokumentų rinkinio pagrindą sudaro:

–        Direktyvą 95/46/EB pakeičiantis reglamentas;

–        Direktyva dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo.

Prie šių teisės aktų pasiūlymų pridedama ataskaita apie tai, kaip valstybės narės įgyvendina dabar galiojančią pagrindinę ES duomenų apsaugos priemonę policijos bendradarbiavimo ir teisminio bendradarbiavimo baudžiamosiose bylose srityse – Pamatinį sprendimą 2008/977/TVR.

1.6. Trukmė ir finansinis poveikis

¨ Pasiūlymo (iniciatyvos) trukmė ribota

1. ¨  Pasiūlymas (iniciatyva) galioja nuo MMMM [MM DD] iki MMMM [MM DD]

2. ¨  Finansinis poveikis nuo MMMM iki MMMM

þ Pasiūlymo (iniciatyvos) trukmė neribota

1. Įgyvendinimo pradinis laikotarpis – nuo 2014 m. iki 2016 m.,

2. vėliau – visavertis taikymas.

1.7. Numatytas (-i) valdymo būdas (-ai)[51]

þ Komisijos vykdomas tiesioginis centralizuotas valdymas

¨ Netiesioginis centralizuotas valdymas, vykdymo užduotis perduodant:

3. ¨  vykdomosioms įstaigoms

4. ¨  Bendrijų įsteigtoms įstaigoms[52]

5. ¨  nacionalinėms viešojo sektoriaus arba viešąsias paslaugas teikiančioms įstaigoms

3. ¨  asmenims, atsakingiems už konkrečių veiksmų vykdymą pagal Europos Sąjungos sutarties V antraštinę dalį ir nurodytiems atitinkamame pagrindiniame teisės akte, apibrėžtame Finansinio reglamento 49 straipsnyje

¨ Pasidalijamasis valdymas kartu su valstybėmis narėmis

¨ Decentralizuotas valdymas kartu su trečiosiomis šalimis

¨ Jungtinis valdymas kartu su tarptautinėmis organizacijomis (nurodyti)

Jei nurodomas daugiau kaip vienas valdymo būdas, išsamią informaciją pateikti šio punkto pastabų skiltyje.

Pastabos

//

2. VALDYMO PRIEMONĖS 2.1. Priežiūros ir atskaitomybės taisyklės

Nurodyti dažnumą ir sąlygas.

Pirmasis vertinimas atliekamas po 4 metų nuo teisės aktų įsigaliojimo. Aiški peržiūros sąlyga, kuria remdamasi Komisija įvertins įgyvendinimą, įtraukta į teisės aktus. Komisija vėliau praneš apie vertinimą Europos Parlamentui ir Tarybai. Tolesni vertinimai bus atliekami kas ketverius metus. Vertinimui bus taikoma Komisijos metodika. Šie vertinimai bus atliekami rengiant tikslinius tyrimus dėl teisės aktų įgyvendinimo, klausimynus nacionalinėms duomenų apsaugos institucijoms, ekspertų diskusijas, seminarus, Eurobarometro apklausas ir t. t.

2.2. Valdymo ir kontrolės sistema 2.2.1. Nustatyta rizika

Atliktas duomenų apsaugos reglamentavimo pagrindų pertvarkos poveikio vertinimas, jis pridėtas prie reglamento ir direktyvos pasiūlymų.

Naujuoju teisės aktu bus nustatytas nuoseklumo užtikrinimo mechanizmas, kuriuo garantuojama, kad nepriklausomos priežiūros institucijos valstybėse narėse reglamentavimo pagrindus taikytų nuosekliai ir darniai. Mechanizmas veiks dalyvaujant Europos duomenų apsaugos valdybai, kurią sudaro nacionalinių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) ir kuri pakeis dabartinę 29 straipsnio darbo grupę. EDAPP šiai įstaigai teiks sekretoriato paslaugas.

Jeigu valstybių narių institucijų nuomonės išsiskirtų, bus konsultuojamasi su Europos duomenų apsaugos valdyba, kuri pateiks savo nuomonę tuo klausimu. Jeigu pagal šią procedūrą nebus pasiekta jokių rezultatų arba jeigu priežiūros institucija atsisakys atsižvelgti į tą nuomonę, Komisija, siekdama užtikrinti tinkamą ir nuoseklų šio reglamento taikymą, gali pateikti savo nuomonę ar prireikus priimti sprendimą, jeigu turi rimtų abejonių dėl to ar, priemonės projektu būtų užtikrintas tinkamas šio reglamento taikymas arba jį priėmus šis reglamentas būtų taikomas nenuosekliai.

Nuoseklumo užtikrinimo mechanizmui reikalingi papildomi ištekliai EDAPP (12 visos darbo dienos ekvivalento vienetų (FTE) ir pakankamai administracinių ir veiklos asignavimų, pvz., IT sistemoms ir operacijoms), kad ji galėtų teikti sekretoriato paslaugas, ir Komisijai (5 visos darbo dienos ekvivalento vienetai (FTE) ir atitinkami administraciniai ir veiklos asignavimai), kad ji galėtų nagrinėti su nuoseklumu susijusius atvejus.

2.2.2. Numatomas (-i) kontrolės metodas (-ai)

Dabartiniams EDAPP ir Komisijos taikomiems kontrolės metodams bus skiriama papildomų asignavimų.

2.3. Sukčiavimo ir pažeidimų prevencijos priemonės

Nurodyti dabartines arba numatytas prevencijos ir apsaugos priemones.

Dabartinėms EDAPP ir Komisijos taikomoms sukčiavimo prevencijos priemonėms bus skiriama papildomų asignavimų.

3. NUMATOMAS PASIŪLYMO (INICIATYVOS) FINANSINIS POVEIKIS 3.1. Atitinkama (-os) daugiametės finansinės programos išlaidų kategorija (-os) ir biudžeto išlaidų eilutė (-ės)

1. Dabartinės biudžeto išlaidų eilutės

Daugiametės finansinės programos išlaidų kategorijas ir biudžeto eilutes nurodyti eilės tvarka.

Daugiametės finansinės programos išlaidų kategorija || Biudžeto eilutė || Išlaidų rūšis || Įnašas

Numeris [Aprašymas.....................................................] || DA / NDA[53] || ELPA[54] šalių || šalių kandidačių[55] || trečiųjų šalių || pagal Finansinio reglamento 18 straipsnio 1 dalies aa punktą

|| || || || || ||

3.2. Numatomas poveikis išlaidoms 3.2.1. Numatomo poveikio išlaidoms suvestinė

mln. EUR (tūkstantųjų tikslumu)

Daugiametės finansinės programos išlaidų kategorija: || Numeris ||

|| || || N metai[56] = 2014 m. || N+1 metai || N+2 metai || N+3 metai || ... atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą) || IŠ VISO

Ÿ Veiklos asignavimai || || || || || || || ||

Biudžeto eilutės numeris || Įsipareigojimai || (1) || || || || || || || ||

Mokėjimai || (2) || || || || || || || ||

Biudžeto eilutės numeris || Įsipareigojimai || (1a) || || || || || || || ||

Mokėjimai || (2a) || || || || || || || ||

Administracinio pobūdžio asignavimai, finansuojami konkrečių programų finansinio paketo lėšomis[57] || || || || || || || ||

Biudžeto eilutės numeris || || (3) || || || || || || || ||

IŠ VISO asignavimų GD || Įsipareigojimai || =1+1a +3 || || || || || || || ||

Mokėjimai || =2+2a+3 || || || || || || || ||

Ÿ IŠ VISO veiklos asignavimų || Įsipareigojimai || (4) || || || || || || || ||

Mokėjimai || (5) || || || || || || || ||

Ÿ IŠ VISO administracinio pobūdžio asignavimų, finansuojamų konkrečių programų finansinio paketo lėšomis || (6) || || || || || || || ||

IŠ VISO asignavimų pagal daugiametės finansinės programos 3 IŠLAIDŲ KATEGORIJĄ || Įsipareigojimai || =4+ 6 || || || || || || || ||

Mokėjimai || =5+ 6 || || || || || || || ||

Jei pasiūlymas (iniciatyva) daro poveikį kelioms išlaidų kategorijoms:

Ÿ IŠ VISO veiklos asignavimų || Įsipareigojimai || (4) || || || || || || || ||

Mokėjimai || (5) || || || || || || || ||

Ÿ IŠ VISO administracinio pobūdžio asignavimų, finansuojamų konkrečių programų finansinio paketo lėšomis || (6) || || || || || || || ||

IŠ VISO asignavimų pagal daugiametės finansinės programos 1–4 IŠLAIDŲ KATEGORIJAS (Orientacinė suma) || Įsipareigojimai || =4+ 6 || || || || || || || ||

Mokėjimai || =5+ 6 || || || || || || || ||

Daugiametės finansinės programos išlaidų kategorija: || 5 || „Administracinės išlaidos“

mln. EUR (tūkstantųjų tikslumu)

|| || || N metai = 2014 m. || 2015 m. || 2016 m. || 2017 m. || 2018 m. || 2019 m. || 2020 m. || IŠ VISO

GD: JUST ||

Ÿ Žmogiškieji ištekliai || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Kitos administracinės išlaidos || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

IŠ VISO Teisingumo GD || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

IŠ VISO asignavimų pagal daugiametės finansinės programos 5 IŠLAIDŲ KATEGORIJĄ || (Iš viso įsipareigojimų = Iš viso mokėjimų) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

mln. EUR (tūkstantųjų tikslumu)

|| || || N metai[58] || N+1 metai || N+2 metai || N+3 metai || ... atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą) || IŠ VISO

IŠ VISO asignavimų pagal daugiametės finansinės programos 1–5 IŠLAIDŲ KATEGORIJAS || Įsipareigojimai || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Mokėjimai || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Numatomas poveikis veiklos asignavimams

6. þ  Pasiūlymui (iniciatyvai) įgyvendinti veiklos asignavimai nenaudojami

Aukštas asmens duomenų apsaugos lygis taip pat yra vienas iš Teisių ir pilietybės programos tikslų.

7. ¨  Pasiūlymui (iniciatyvai) įgyvendinti veiklos asignavimai naudojami taip:

Įsipareigojimų asignavimai mln. EUR (tūkstantųjų tikslumu)

Nurodyti tikslus ir rezultatus ò || || || N metai = 2014 m. || N+1 metai || N+2 metai || N+3 metai || ... atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą) || IŠ VISO

REZULTATAI

Rezultato rūšis[59] || Vidutinės rezultato išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Bendras rezultatų skaičius || Iš viso išlaidų

1 KONKRETUS TIKSLAS ||

- Rezultatas || Dokumentai[60] || || || || || || || || || || || || || || || || ||

1 konkretaus tikslo tarpinė suma || || || || || || || || || || || || || || || ||

2 KONKRETUS TIKSLAS ||

- Rezultatas || Atvejai[61] || || || || || || || || || || || || || || || || ||

2 konkretaus tikslo tarpinė suma || || || || || || || || || || || || || || || ||

IŠ VISO IŠLAIDŲ || || || || || || || || || || || || || || || ||

3.2.3. Numatomas poveikis administracinio pobūdžio asignavimams 3.2.3.1. Suvestinė

8. ¨  Pasiūlymui (iniciatyvai) įgyvendinti administraciniai asignavimai nenaudojami

9. þ  Pasiūlymui (iniciatyvai) įgyvendinti administraciniai asignavimai naudojami taip:

mln. EUR (tūkstantųjų tikslumu)

|| N metai[62] 2014 m. || 2015 m. || 2016 m. || 2017 m. || 2018 m. || 2019 m. || 2020 m. || IŠ VISO

Daugiametės finansinės programos 5 IŠLAIDŲ KATEGORIJA || || || || || || || ||

Žmogiškieji ištekliai || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Kitos administracinės išlaidos || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Daugiametės finansinės programos 5 IŠLAIDŲ KATEGORIJOS tarpinė suma || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Neįtraukta į daugiametės finansinės programos5 IŠLAIDŲ KATEGORIJĄ[63] || || || || || || || ||

Žmogiškieji ištekliai || || || || || || || ||

Kitos administracinio pobūdžio išlaidos || || || || || || || ||

Tarpinė suma, neįtraukta į daugiametės finansinės programos 5 IŠLAIDŲ KATEGORIJĄ || || || || || || || ||

IŠ VISO || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Numatomi žmogiškųjų išteklių poreikiai

10. ¨         Pasiūlymui (iniciatyvai) įgyvendinti žmogiškieji ištekliai nenaudojami

11. þ         Pasiūlymui (iniciatyvai) įgyvendinti žmogiškieji ištekliai naudojami taip:

Sąmatą nurodyti visos darbo dienos ekvivalento vienetais(arba ne smulkiau nei dešimtųjų tikslumu)

|| 2014 m. || 2015 m. || 2016 m. || 2017 m. || 2018 m. || 2019 m. || 2020 m.

Ÿ Etatų plano pareigybės (pareigūnai ir laikinieji darbuotojai)

XX 01 01 01 (Komisijos būstinė ir atstovybės) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (Delegacijos) || || || || || || ||

Ÿ Išorės personalas (visos darbo dienos ekvivalento vienetais (FTE))[64]

XX 01 02 01 (CA, INT, SNE finansuojami iš bendrojo biudžeto) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (CA, INT, JED, LA ir SNE delegacijose) || || || || || || ||

XX 01 04 yy[65] || - būstinėje[66] || || || || || || ||

- delegacijose || || || || || || ||

XX 01 05 02 (CA, INT, SNE - netiesioginiai moksliniai tyrimai) || || || || || || ||

10 01 05 02 (CA, INT, SNE - tiesioginiai moksliniai tyrimai) || || || || || || ||

Kitos biudžeto eilutės (nurodyti) || || || || || || ||

IŠ VISO || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX yra atitinkama politikos sritis arba biudžeto antraštinė dalis.

Įgyvendinus pertvarką, Komisija, be dabar atliekamų užduočių, turės atlikti naujas užduotis fizinių asmenų apsaugos tvarkant asmens duomenis srityje. Papildomos užduotys daugiausia susijusios su naujojo nuoseklumo užtikrinimo mechanizmo, kuriuo bus garantuojamas darnus suderintų duomenų apsaugos teisės aktų taikymas, įgyvendinimu; su trečiųjų šalių tinkamumo vertinimu, už kurį yra atsakinga tik Komisija; su įgyvendinimo priemonių ir deleguotųjų aktų rengimu. Komisija toliau atliks savo dabartines užduotis (pvz., politikos plėtojimas, perkėlimo į nacionalinę teisę stebėjimas, informavimas, skundų nagrinėjimas ir t. t.).

Žmogiškųjų išteklių poreikiai bus tenkinami panaudojant GD darbuotojus, jau paskirtus priemonei valdyti ir (arba) perskirstytus generaliniame direktorate, ir prireikus finansuojami iš papildomų lėšų, kurios atsakingam GD gali būti skiriamos pagal metinę asignavimų skyrimo procedūrą ir atsižvelgiant į biudžeto apribojimus.

Vykdytinų užduočių aprašymas:

Pareigūnai ir laikinieji darbuotojai || Bylas nagrinėjantys pareigūnai, atsakingi už duomenų apsaugos nuoseklumo užtikrinimo mechanizmą, kuriuo siekiama garantuoti vienodą ES duomenų apsaugos taisyklių taikymą. Užduotys: valstybių narių institucijų perduotų bylų tyrimas ir nagrinėjimas siekiant priimti sprendimą, derybos su valstybėmis narėmis ir Komisijos sprendimų rengimas. Remiantis neseniai įgyta patirtimi, pagal nuoseklumo užtikrinimo mechanizmą gali tekti nagrinėti 5–10 bylų per metus. Nagrinėjant prašymus dėl tinkamumo, reikia tiesiogiai bendrauti su prašančiąja šalimi, galbūt valdyti ekspertų atliekamus šalyje esančių sąlygų tyrimus, vertinti tas sąlygas, rengti atitinkamus Komisijos sprendimus ir procesus, įskaitant komitetą, padedantį Komisijai ir ekspertų įstaigoms, kai tinkama. Remiantis neseniai įgyta patirtimi, per metus galima tikėtis gauti iki 4 prašymų dėl tinkamumo. Per įgyvendinimo priemonių priėmimo procesą imamasi parengiamųjų priemonių, pvz., skelbiami dokumentai, tyrimai ir viešosios konsultacijos, taip pat rengiamas priemonės projektas ir valdomas derybų procesas atitinkamuose komitetuose ir kitose grupėse, taip pat apskritai naudojamasi ryšiais su suinteresuotaisiais subjektais. Srityse, kuriose reikalingos tikslesnės gairės, per metus gali būti išnagrinėta iki trijų įgyvendinimo priemonių, nors priklausomai nuo konsultacijų intensyvumo, procesas gali trukti 24 mėnesius.

Išorės personalas || Administracinė ir sekretoriato parama

3.2.4. Suderinamumas su dabartine daugiamete finansine programa

12. ¨         Pasiūlymas (iniciatyva) atitinka kitą daugiametę finansinę programą

13. þ         Atsižvelgiant į pasiūlymą (iniciatyvą), reikės pakeisti daugiametės finansinės programos atitinkamos išlaidų kategorijos programavimą

Toliau pateiktoje lentelėje nurodomos papildomų finansinių išteklių sumos, kurių kasmet reikės EDAPP, kad jis galėtų atlikti naujas užduotis – teikti sekretoriato paslaugas Europos duomenų apsaugos valdybai, vykdyti atitinkamas procedūras ir diegti atitinkamas priemones kitos finansinės programos laikotarpiu, neįskaitant išteklių, kurie jau buvo suplanuoti.

Metai || 2014 m || 2015 m || 2016 m || 2017 m || 2018 m || 2019 m || 2020 m || Iš viso

Darbuotojai ir kt. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Operacijos || 0850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

Iš viso || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

14. ¨         Įgyvendinant pasiūlymą (iniciatyvą) būtina taikyti lankstumo priemonę arba patikslinti daugiametę finansinę programą[67],

3.2.5. Trečiųjų šalių įnašai

15. þPasiūlyme (iniciatyvoje) nenumatyta bendro su trečiosiomis šalimis finansavimo

16. ¨Pasiūlyme (iniciatyvoje) numatytas bendras finansavimas apskaičiuojamas taip:

Asignavimai mln. EUR (tūkstantųjų tikslumu)

|| N metai || N+1 metai || N+2 metai || N+3 metai || ... atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą) || Iš viso

Nurodyti bendrą finansavimą teikiančią įstaigą || || || || || || || ||

IŠ VISO bendrai finansuojamų asignavimų || || || || || || || ||

3.3. Numatomas poveikis įplaukoms

17. þ         Pasiūlymas (iniciatyva) neturi finansinio poveikio įplaukoms

18. ¨         Pasiūlymas (iniciatyva) turi finansinį poveikį:

· ¨         nuosaviems ištekliams

· ¨         įvairioms įplaukoms

mln. EUR (tūkstantųjų tikslumu)

Biudžeto įplaukų eilutė || Asignavimai, skirti einamųjų metų biudžetui || Pasiūlymo (iniciatyvos) poveikis[68]

N metai || N+1 metai || N+2 metai || N+3 metai || ... atsižvelgiant į poveikio trukmę įterpti reikiamą stulpelių skaičių (žr. 1.6 punktą)

|| || || || || || || ||

Įvairių asignuotųjų įplaukų atveju nurodyti biudžeto išlaidų eilutę (-es), kuriai (-oms) daromas poveikis.

Nurodyti poveikio įplaukoms apskaičiavimo metodą.

Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis pasiūlymo finansinės pažymos priedas

Taikoma metodika ir svarbiausios pagrindinės prielaidos

Išlaidos darbuotojams, susijusios su naujomis Europos duomenų apsaugos priežiūros pareigūnui (EDAPP) priskirtomis su abiem pasiūlymais susijusiomis užduotimis, apskaičiuotos remiantis išlaidomis, kurias Komisija šiuo metu patiria panašioms užduotims atlikti.

EDAPP teiks sekretoriato paslaugas Europos duomenų apsaugos valdybai, kuri pakeis 29 straipsnio darbo grupę. Remiantis dabartiniu Komisijai tenkančiu darbo krūviu šiai užduočiai atlikti, numatoma, kad reikalingi 3 papildomi visos darbo dienos ekvivalento vienetai (FTE) ir atitinkamos administracinės ir veiklos išlaidos. Tokio darbo krūvio tikimasi įsigaliojus reglamentui.

Be to, EDAPP dalyvaus nuoseklumo užtikrinimo mechanizme – tam reikės 5 visos darbo dienos ekvivalento vienetų (FTE), taip pat kuriant ir valdant bendrą IT priemonę nacionalinėms duomenų apsaugos priežiūros institucijoms – tam reikės 2 papildomų darbuotojų.

Sumos, kiek padidės būtinų darbuotojų biudžetas per pirmuosius septynerius metus, išsamiai nurodytos toliau pateiktoje lentelėje. Antroje lentelėje pateiktas būtinas veiklos biudžetas. Tai atsispindės ES biudžeto skirsnyje IX EDAPP.

Išlaidų rūšis || Skaičiavimas || Suma (tūkstančiais)

2014 m. || 2015 m. || 2016 m. || 2017 m. || 2018 m. || 2019 m. || 2020 m. || Iš viso

Atlyginimai ir išmokos || || || || || || || || ||

- EDAV pirmininkas || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

- pareigūnai ir laikinieji darbuotojai || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

- deleguotieji nacionaliniai ekspertai (SNE) || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

- sutartininkai || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Su darbuotojų samdymu susijusios išlaidos || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Išlaidos komandiruotėms || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Kitos išlaidos mokymas || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Iš viso administracinių išlaidų || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Vykdytinų užduočių aprašymas:

Pareigūnai ir laikinieji darbuotojai || Kanceliarijos pareigūnai, vadovaujantys Duomenų apsaugos valdybos sekretoriatui. Be logistinės paramos, įskaitant biudžeto ir sutarčių klausimus, tai taip pat apima posėdžių darbotvarkių ir ekspertų kvietimą, grupės darbotvarkės klausimų nagrinėjimą, dokumentų, susijusių su grupės darbu, valdymą, įskaitant atitinkamus duomenų apsaugos, konfidencialumo ir paskelbimo visuomenei reikalavimus. Įskaitant visus pogrupius ir ekspertų grupes, per metus gali tekti surengti iki 50 posėdžių ir sprendimo procedūrų. Bylas nagrinėjantys pareigūnai, atsakingi už duomenų apsaugos nuoseklumo užtikrinimo mechanizmą, kuriuo siekiama garantuoti vienodą ES duomenų apsaugos taisyklių taikymą. Užduotys: valstybių narių institucijų perduotų bylų tyrimas ir nagrinėjimas siekiant priimti sprendimą, derybos su valstybėmis narėmis ir Komisijos sprendimų rengimas. Remiantis neseniai įgyta patirtimi, pagal nuoseklumo užtikrinimo mechanizmą gali tekti nagrinėti 5–10 bylų per metus. Įdiegus IT priemonę duomenų apsaugos priežiūros institucijoms bus lengviau bendrauti su duomenų valdytojais, kurie privalo dalytis informacija su valdžios institucijomis. Atsakingas (-i) darbuotojas (-ai) užtikrins IT procesų kokybės kontrolę, projektų valdymą ir biudžeto vykdymo kontrolę, kiek tai susiję su inžineriniais reikalavimais, sistemų įgyvendinimu ir valdymu.

Išorės personalas || Administracinė ir sekretoriato parama

Su konkrečiomis užduotimis susijusios išlaidos EDAPP

Nurodyti tikslus ir rezultatus ò || || || N metai = 2014 m. || N+1 metai || N+2 metai || N+3 metai || atsižvelgiant į poveikio trukmę įterpti reikiamą metų skaičių (žr. 1.6 punktą) || IŠ VISO

REZULTATAI

Rezultato rūšis[69] || Vidutinės rezultato išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatų skaičius || Išlaidos || Rezultatųskaičius || Išlaidos || Rezultatųskaičius || Išlaidos || Rezultatųskaičius || Išlaidos || Bendras rezultatų skaičius || Iš viso išlaidų

1 KONKRETUS TIKSLAS[70] || Duomenų apsaugos valdybos sekretoriatas

- Rezultatas || Bylos[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

1 konkretaus tikslo tarpinė suma || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

2 KONKRETUS TIKSLAS || Nuoseklumo užtikrinimo mechanizmas

- Rezultatas || Dokumentai[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

2 konkretaus tikslo tarpinė suma || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

3 KONKRETUS TIKSLAS || Bendra IT priemonė duomenų apsaugos priežiūros institucijoms (EDAPP)

- Rezultatas || Bylos[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

3 konkretaus tikslo tarpinė suma || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

IŠ VISO IŠLAIDŲ || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               „Privatumo apsauga glaudžiai susijusiame pasaulyje. Europos duomenų apsaugos reglamentavimo pagrindai XXI amžiuje“, COM(2012) 9 final.

[2]               COM (2012) 10 final.

[3]               1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, OL L 281, 1995 11 23, p. 31.

[4]               2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos, OL L 350, 2008 12 30, p. 60 (toliau – pamatinis sprendimas).

[5]               COM (2010) 245 galutinis.

[6]               COM (2010) 2020 galutinis.

[7]               „Stokholmo programa – Atvira ir saugi Europa piliečių labui ir saugumui“, OL C 115, 2010 5 4, p. 1.

[8]               2009 m. lapkričio 25 d. Europos Parlamento rezoliucija dėl Komisijos komunikato Europos Parlamentui ir Tarybai „Laisvės, saugumo ir teisingumo erdvė piliečių labui“ (Stokholmo programa), P7_TA(2009)0090.

[9]               COM (2010) 171 galutinis.

[10]             COM (2010) 609 galutinis.

[11]             Specialus Eurobarometro tyrimas Nr. 359, „Duomenų apsauga ir elektroninė tapatybė ES“, 2011 m. http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Su nekonfidencialiais atsakymais galima susipažinti Komisijos svetainėje. http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Su nekonfidencialiais atsakymais galima susipažinti Komisijos svetainėje http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Europos tinklų ir informacijos apsaugos agentūra nagrinėja su ryšių tinklų ir informacinių sistemų saugumu susijusius klausimus.

[18]             Žr. http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Specialus Eurobarometro tyrimas Nr. 359, „Duomenų apsauga ir elektroninė tapatybė ES“, 2011 m. http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[20]             Žr. Privatumo didinimo technologijų ekonominės naudos tyrimą („Study on the economic benefits of privacy enhancing technologies“) ir Skirtingų požiūrių į naujus privatumo srities uždavinius lyginamąją analizę, visų pirma atsižvelgiant į technologinę plėtrą („Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments“ ), 2010 m. sausio mėn.              (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Patariamąjį statusą turinti darbo grupė sukurta 1996 m. (Direktyvos 95/46/EB 29 straipsniu). Ją sudaro nacionalinių duomenų apsaugos priežiūros institucijų atstovai, Europos duomenų apsaugos priežiūros pareigūnas ir Komisijos atstovai. Daugiau informacijos apie veiklą galima rasti http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Visų pirma žr. šias nuomones: dėl konsultacijų „Privatumo ateitis“ (2009 m. WP 168); dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“, (1/2010, WP 169); dėl vartotojų elgesiu grindžiamos internetinės reklamos (2/2010, WP 171); dėl atskaitomybės principo (3/2010, WP 173); dėl taikytinos teisės (8/2010, WP 179); ir dėl sąvokos „sutikimas“ apibrėžties (15/2011, WP 187). Komisijos prašymu ji taip pat parengė šiuos tris patariamuosius dokumentus: dėl pranešimų, dėl neskelbtinų duomenų ir dėl praktinio Duomenų apsaugos direktyvos 28 straipsnio 6 dalies taikymo. Su jais galima susipažinti http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Su ja galima susipažinti duomenų apsaugos priežiūros pareigūno svetainėje http://www.edps.europa.eu/EDPSWEB.

[24]             2011 m. liepos 6 d. EP rezoliucija dėl visapusiško požiūrio į asmens duomenų apsaugą Europos Sąjungoje (2011/2025(INI)), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//LT (pranešėjas – EP narys Axelis Voss (EPP/DE).

[25]             SEC(2012) 72.

[26]             CESE 999/2011.

[27]             2010 m. lapkričio 9 d. ES Teisingumo Teismo sprendimas sujungtose bylose C-92/09 ir C-93/09, Volker und Markus Schecke ir Eifert, 2010 m. Rink., p. I-0000 (dar nepaskelbtas).

[28]             Chartijos 52 straipsnio 1 dalyje numatyta galimybė apriboti naudojimąsi teise į duomenų apsaugą, jei šie apribojimai numatyti įstatyme, nekeičia teisės ir laisvių esmės ir, remiantis proporcingumo principu, yra būtini ir tikrai atitinka Europos Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti.

[29]             2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), OL L 201, 2002 7 31, p. 37.

[30]             2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB, iš dalies keičianti Direktyvą 2002/22/EB dėl universaliųjų paslaugų ir paslaugų gavėjų teisių, susijusių su elektroninių ryšių tinklais ir paslaugomis, Direktyvą 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje ir Reglamentą (EB) Nr. 2006/2004 dėl nacionalinių institucijų, atsakingų už vartotojų apsaugos teisės aktų vykdymą, bendradarbiavimo (Tekstas svarbus EEE), OL L 337, 2009 12 18, p. 11.

[31]             Priimta 1989 m. lapkričio 20 d. Jungtinių Tautų Generalinės Asamblėjos rezoliucija Nr. 44/25 ir pateikta pasirašyti, ratifikuoti ir prie jos prisijungti.

[32]             Priimta 2009 m. lapkričio 5 d. Tarptautinėje duomenų apsaugos ir privatumo priežiūros pareigūnų konferencijoje. Taip pat plg. Reglamento dėl bendrosios Europos pirkimo–pardavimo sutarčių teisės pasiūlymo (COM(2011) 635 galutinis) 13 straipsnio 3 dalį.

[33]             CM/Rec(2010)13.

[34]             2010 m. kovo 9 d. ES Teisingumo Teismo sprendimas Komisija prieš Vokietiją, byla C–518/07, Rink, p. I–1885).

[35]             2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo, OL L 8, 2001 1 12, p. 1.

[36]             Žr. 34 išnašą.

[37]             2008 m. birželio 23 d. Tarybos sprendimas 2008/615/TVR dėl tarpvalstybinio bendradarbiavimo gerinimo, visų pirma kovos su terorizmu ir tarpvalstybiniu nusikalstamumu srityje, OL L 210, 2008 8 6, p. 1.

[38]             Remiantis 2009 m. lapkričio 30 d. Tarybos pamatinio sprendimo 2009/948/TVR dėl jurisdikcijos įgyvendinimo kolizijų baudžiamuosiuose procesuose prevencijos ir sprendimo 5 straipsnio 1 dalimi, OL L328, 2009 12 15, p. 42 ir 2002 m. gruodžio 16 d. Tarybos reglamento (EB) Nr. 1/2003 dėl konkurencijos taisyklių, nustatytų Sutarties 81 ir 82 straipsniuose, įgyvendinimo, OL L 1, 2003 1 4, p. 1.

[39]             Remiantis 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva), OL L 178, 2000 7 17, p. 1).

[40]             Dėl nuostatos aiškinimo žr., pvz., 2008 m. gruodžio 16 d. ES Teisingumo Teismo sprendimą Satakunnan Markkinapörssi ir Satamedia, C–73/07, Rink., p. I–99831.

[41]             OL C, , p. .

[42]             OL C, , p. .

[43]             OL L 281, 1995 11 23, p. 31.

[44]             OL L 8, 2001 1 12, p. 1.

[45]             2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai, OL L 55, 2011 2 28, p. 13.

[46]             OL L 176, 1999 7 10, p. 36.

[47]             OL L 53, 2008 2 27, p. 52.    

[48]             OL L 160, 2011 6 18, p. 19.

[49]             VGV – veikla grindžiamas valdymas, VGB – veikla grindžiamas biudžeto sudarymas.

[50]             Kaip nurodyta Finansinio reglamento 49 straipsnio 6 dalies a arba b punkte.

[51]             Informacija apie valdymo būdus ir nuorodos į Finansinį reglamentą pateikiamos svetainėje „BudgWeb“ http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[52]             Kaip nurodyta Finansinio reglamento 185 straipsnyje.

[53]             DA – diferencijuotieji asignavimai / NDA – nediferencijuotieji asignavimai.

[54]             ELPA – Europos laisvosios prekybos asociacija.

[55]             Šalių kandidačių ir, kai taikoma, Vakarų Balkanų potencialių šalių kandidačių.

[56]             N metai yra pasiūlymo (iniciatyvos) įgyvendinimo prad˛ios metai.

[57]             Techninė ir (arba) administracinė pagalba bei išlaidos ES programų ir (arba) veiksmų įgyvendinimui remti (buvusios BA eilutės), netiesioginiai moksliniai tyrimai, tiesioginiai moksliniai tyrimai.

[58]             N metai yra pasiūlymo (iniciatyvos) įgyvendinimo pradžios metai.

[59]             Rezultatai – tai būsimi produktai ir paslaugos (pvz., finansuota studentų mainų, nutiesta kelių kilometrų ir kt.).

[60]             Valdybos nuomonės, sprendimai, procedūros, posėdžiai.

[61]             Pagal nuoseklumo užtikrinimo mechanizmą nagrinėjami atvejai.

[62]             N metai yra pasiūlymo (iniciatyvos) įgyvendinimo pradžios metai.

[63]             Techninė ir (arba) administracinė pagalba bei išlaidos ES programų ir (arba) veiksmų įgyvendinimui remti (buvusios BA eilutės), netiesioginiai moksliniai tyrimai, tiesioginiai moksliniai tyrimai.

[64]             CA – sutartininkas („Contract Agent“); INT – per agentūrą įdarbintas darbuotojas („Intérimaire“); JED – jaunesnysis delegacijos ekspertas („Jeune Expert en Délégation“); LA – vietinis darbuotojas („Local Agent“); SNE – deleguotasis nacionalinis ekspertas („Seconded National Expert“).

[65]             Neviršijant viršutinės ribos, nustatytos išorės personalui, finansuojamam iš veiklos asignavimų (buvusių BA eilučių).

[66]             Būtina struktūriniams fondams, Europos žemės ūkio fondui kaimo plėtrai (EŽŪFKP) ir Europos žuvininkystės fondui (EˇF).

[67]             Žr. Tarpinstitucinio susitarimo 19 ir 24 punktus.

[68]             Tradiciniai nuosavi ištekliai (muitai, cukraus mokesčiai) turi būti nurodomi grynosiomis sumomis, t. y. iš bendros sumos atskaičius 25 % surinkimo išlaidų.

[69]             Rezultatai – tai būsimi produktai ir paslaugos (pvz., finansuota studentų mainų, nutiesta kelių kilometrų ir kt.).

[70]             Kaip apibūdinta 1.4.2 skirsnyje „Konkretus (-ūs) tikslas (-ai) ...“.

[71]             Pagal nuoseklumo užtikrinimo mechanizmą nagrinėjami atvejai.

[72]             Valdybos nuomonės, sprendimai, procedūros, posėdžiai.

[73]             Bendra kiekvienų metų sąmatos suma IT priemonių kūrimo ir valdymo veiksmams.