PASKAIDROJUMA RAKSTS

1. PRIEKŠLIKUMA KONTEKSTS

Šajā paskaidrojuma rakstā sniegts ierosinātā ES jaunā personas datu aizsardzības tiesiskā regulējuma skaidrojums, kā tas izklāstīts Paziņojumā COM(2012)9 final[1]. Ierosinātais jaunais tiesiskais regulējums aptver divus tiesību aktu priekšlikumus:

– priekšlikums Eiropas Parlamenta un Padomes regulai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) un

– priekšlikums Eiropas Parlamenta un Padomes direktīvai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti[2].

Šis paskaidrojuma raksts attiecas uz Vispārīgās datu aizsardzības regulas priekšlikumu.

Centrālais tiesību akts par personas datu aizsardzību pašreizējā ES tiesiskā regulējuma ietvaros ir Direktīva 95/46/EK[3], ko pieņēma 1995. gadā, vēloties sasniegt divus mērķus: aizsargāt pamattiesības uz datu aizsardzību un garantēt personas datu brīvu plūsmu starp dalībvalstīm. To papildināja Pamatlēmums 2008/977/TI – vispārīgs Savienības līmeņa tiesību akts par tādu personas datu aizsardzību, ko apstrādā policijas un tiesu iestādēm sadarbojoties krimināllietās[4].

Ātrā tehnoloģiju izaugsme ir radījusi jaunas problēmas personas datu aizsardzības jomā. Datu apmaiņas un vākšanas apjoms ir dramatiski pieaudzis. Jaunākās tehnoloģijas ļauj gan privātām sabiedrībām, gan valsts iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus. Personas aizvien biežāk personiska rakstura informāciju padara publiski un globāli pieejamu. Tehnika ir pārveidojusi ne tikai ekonomiku, bet arī sociālo dzīvi.

Ļoti svarīgs ekonomikas izaugsmes faktors ir uzticība tiešsaistes videi. Uzticības trūkums liek patērētājiem vilcināties ar iepirkšanos tiešsaistē un jaunu pakalpojumu pieņemšanu. Tas palielina risku, ka palielināsies izaugsme jauno tehnoloģiju inovatīvas izmantošanas jomā. Personas datu aizsardzībai tādējādi ir ļoti svarīga loma Eiropas digitalizācijas programmā[5] un arī vispārīgi stratēģijas "Eiropa 2020"[6] ietvaros.

Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punktā, kas izveidots ar Lisabonas līgumu, nostiprināts princips, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. Turklāt ar LESD 16. panta 2. punktu ir izveidots īpašs juridiskais pamats noteikumu par personas datu aizsardzību pieņemšanai. Personas datu aizsardzība ir ietverta ES Pamattiesību hartas 8. pantā, piešķirot tai pamattiesības statusu.

Eiropadomes aicināja Komisiju izvērtēt, kā darbojas ES tiesību akti par datu aizsardzību, un nepieciešamības gadījumā iesniegt jaunus leģislatīvo vai neleģislatīvo aktu priekšlikumus[7]. Eiropas Parlaments Stokholmas programmas rezolūcijā[8] izteicās par labu vispusīgam ES datu aizsardzības regulējumam un cita starpā aicināja pārskatīt Pamatlēmumu. Komisija savā Stokholmas programmas īstenošanas rīcības plānā[9] norādīja, ka ir nepieciešams nodrošināt, lai pamattiesības uz personas datu aizsardzību konsekventi piemērotu visu ES politikas jomu kontekstā.

Savā paziņojumā "Vispusīga pieeja personas datu aizsardzībai Eiropas Savienībai"[10], Komisija secināja, ka ES ir vajadzīga vispusīgāka un saskaņotāka politiskā nostāja par pamattiesībām uz personas datu aizsardzību.

Pašreizējais regulējums joprojām ir labs attiecībā uz tā mērķiem un principiem, taču tas nav novērsis datu aizsardzības īstenošanas veidu sadrumstalotību Savienībā, tiesisko nenoteiktību un sabiedrībā izplatītu uzskatu, ka jo īpaši tiešsaistes aktivitātes ir saistītas ar ievērojamu risku[11]. Tāpēc ir pienācis laiks ES izveidot spēcīgāku un saskaņotāku datu aizsardzības regulējumu, ko papildinātu spēcīgs tiesībaizsardzības mehānisms, kas ļaus attīstīties digitālajai ekonomikai iekšējā tirgū, ļaus personām kontrolēt viņu datus un atjaunos tiesisko un praktisko noteiktību uzņēmējiem un valsts iestādēm.

2. APSPRIEŠANĀS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMA REZULTĀTI

Šis priekšlikums ir rezultāts, kas tapis pēc plašas apspriešanās ar ieinteresētajām personām par pastāvošā personas datu aizsardzības tiesiskā regulējuma pārskatīšanu, kas norisinājās vairāk nekā divu gadu garumā un ietvēra arī augsta līmeņa konferenci 2009. gada maijā[12] un divus sabiedriskās apspriešanas posmus:

– no 2009. gada 9. jūlija līdz 31. decembrim Consultation on the legal framework for the fundamental right to the protection of personal data (Sabiedriskā apspriešana par pamattiesību uz personas datu aizsardzību tiesisko regulējumu). Komisija saņēma 168 atbildes, no tām 127 atbildes no fiziskām personām, komercsabiedrībām un asociācijām un 12 atbildes no valsts iestādēm[13].

– no 2011. gada 4. novembra līdz 15. janvārim Consultation on the Commission's comprehensive approach on personal data protection in the European Union (Sabiedriskā apspriešana par Komisijas vispusīgo pieeju personas datu aizsardzībai Eiropas Savienībā). Komisija saņēma 305 atbildes, no tām 54 atbildes no pilsoņiem, 31 atbildi no valsts iestādēm un 220 no privātām organizācijām, jo īpaši uzņēmumu asociācijām un nevalstiskām organizācijām[14].

Ar galvenajām ieinteresētajām personām norisinājās arī mērķorientētas konsultācijas, 2010. gada jūnijā un jūlijā tika rīkoti īpaši pasākumi dalībvalstu iestādēm un ieinteresētajām personām no privātā sektora, kā arī privātuma, datu aizsardzības un patērētāju organizācijām[15]. Eiropas Komisijas priekšsēdētāja vietniece Redinga 2010. gada novembrī rīkoja apaļā galda diskusiju par datu aizsardzības reformu. Eiropas Komisija un Eiropas Padome 2011. gada 28. janvārī (Datu aizsardzības dienā) kopīgi rīkoja augsta līmeņa konferenci, kurā sprieda par jautājumiem, kas saistīti ar ES tiesiskā regulējuma reformu, kā arī par nepieciešamību izveidot vienotus datu aizsardzības standartus pasaulē[16]. Ungārijas un Polijas Padomes prezidentūras laikā attiecīgi 2011. gada 16.-17. jūnijā un 2011. gada 21. septembrī norisinājās divas konferences par datu aizsardzību.

Īpašiem jautājumiem veltīti praktiskie un teorētiskie semināri norisinājās viscaur 2011. gadā. Janvārī ENISA[17] rīkoja semināru par datu aizsardzības pārkāpumu paziņošanu Eiropā[18]. Februārī Komisija sapulcināja uz semināru dalībvalstu iestādes, lai diskutētu par datu aizsardzības jautājumiem, policijas un tiesu iestādēm sadarbojoties krimināllietās, tostarp arī par Pamatlēmuma īstenošanu, savukārt Pamattiesību aģentūra rīkoja tikšanos ar ieinteresētajām personām, lai apspriestos par tēmu "Datu aizsardzība un privātums". Diskusija par svarīgākajiem reformas jautājumiem ar valstu datu aizsardzības iestādēm norisinājās 2011. gada 13. jūlijā. ES pilsoņu viedoklis tika uzklausīts ar Eirobarometra aptaujas palīdzību, kas norisinājās 2010. gada novembrī un decembrī[19]. Tika veikti vairāki pētījumi[20]. No "29. panta darba grupas"[21] Komisija saņēma vairākus atzinumus un lietderīgus priekšlikumus[22]. Eiropas Datu aizsardzības uzraudzītājs arī sniedza vispusīgu atzinumu par jautājumiem, kas skarti Komisijas 2010.gada novembra paziņojumā[23].

Eiropas Parlaments 2011. gada 6. jūlijā savā rezolūcijā apstiprināja ziņojumu, kas atbalstīja Komisijas pieeju datu aizsardzības regulējuma reformai[24]. Eiropas Savienības Padome 2011. gada 24. februārī pieņēma secinājumus, kuros tā plaši atbalsta Komisijas nolūku reformēt datu aizsardzības regulējumu un piekrīt daudziem Komisijas pieejas elementiem. Eiropas Ekonomikas un sociālo lietu komiteja līdzīgi atbalstīja Komisijas mērķi nodrošināt konsekventāku ES datu aizsardzības noteikumu piemērošanu[25] visās dalībvalstīs un pienācīgi pārskatīt Direktīvu 95/46/EK[26].

Apspriežu par vispusīgo pieeju laikā, liels vairums ieinteresēto personu piekrita, ka vispārīgais princips joprojām ir derīgs, taču pašreizējo regulējumu nepieciešams pielāgot, lai labāk risinātu problēmas, ko izraisa jaunu tehnoloģiju (jo īpaši tiešsaistes) ātrā attīstība un aizvien pieaugošā globalizācija, taču tajā pašā laikā saglabājot tiesiskā regulējuma neitralitāti attiecībā uz tehnoloģijām. Īpaši tika kritizēta Savienības personas datu aizsardzības regulējuma sadrumstalotība, jo īpaši šādu kritiku izteica ieinteresētās personas no uzņēmēju vidus, kas pieprasīja lielāku tiesisko noteiktību un personas datu aizsardzības noteikumu tuvināšanos. Noteikumu par personas datu starptautisko nosūtīšanu sarežģītība tiek uzskatīta par ievērojamu šķērsli uzņēmēju darbībai, jo tiem regulāri vajag nosūtīt personas datus no ES uz citām pasaules malām.

Saskaņā ar labāka regulējuma politiku Komisija veica iespējamo politikas alternatīvu ietekmes novērtējumu. Ietekmes novērtējuma pamatā bija trīs politikas mērķi, proti, uzlabot datu aizsardzību iekšējā tirgū, uzlabot to, cik efektīvi personas var izmantot savas tiesības uz datu aizsardzību, un izveidot vispusīgu un saskaņotu regulējumu, kas aptver visas Savienības kompetences jomas, tostarp arī policijas un tiesu iestāžu sadarbību krimināllietās. Tika novērtēti trīs politisko risinājumu varianti ar dažādu iejaukšanās pakāpi: pirmais risinājums aptvēra minimālus leģislatīvus grozījumus, interpretējošu paziņojumu izmantošanu un politiskā atbalsta pasākumus, kā finansējuma programmas un tehniskie līdzekļi, otrais risinājums aptvēra vairāku leģislatīvo noteikumu kopumu katra iepriekšējā izpētē konstatētā jautājuma risināšanai un trešais risinājums ietvēra datu aizsardzības centralizāciju ES līmenī ar precīzu un sīki izstrādātu noteikumu palīdzību visās nozarēs un ES aģentūras izveidi, kas uzraudzītu noteikumu īstenošanu un nodrošinātu to izpildi.

Saskaņā ar Komisijas pieņemto metodoloģiju, katru politikas risinājuma variantu ar dienestu koordinācijas grupas palīdzību novērtēja attiecībā uz tā efektivitāti politikas mērķu sasniegšanai, tā ekonomisko ietekmi uz ieinteresētajām personām (ietverot arī ES iestāžu budžetu), tā sociālo ietekmi un ietekmi uz pamattiesībām. Ietekme uz vidi netika novērota. Analizējot ietekmi kopumā, tika izstrādāts ieteicamais politikas risinājuma variants, kas pamatojas uz otro risinājumu, ietverot arī dažus pārējo divu risinājumu elementus, un ir apkopots šajā priekšlikumā. Saskaņā ar ietekmes novērtējumu tā īstenošana cita starpā radīs ievērojamu tiesiskās noteiktības uzlabošanos par datu apstrādi atbildīgajām personām un pilsoņiem, administratīvā sloga samazināšanos, konsekventu datu aizsardzības noteikumu izpildi Savienībā, turklāt uzlabosies personu iespējas izmantot savas tiesības uz personas datu aizsardzību visā ES un pieaugs datu aizsardzības uzraudzības un izpildes efektivitāte. Sagaidāms, ka ieteicamā politiskā risinājuma īstenošana palīdzēs sasniegt Komisijas mērķi vienkāršot un samazināt administratīvo slogu un Eiropas digitalizācijas programmas, Stokholmas rīcības plāna un "Eiropas 2020" stratēģijas mērķus.

Ietekmes novērtējuma padome sniedza atzinumu par ietekmes novērtējuma priekšlikumu 2011. gada 9. septembrī. Ņemot vērā Ietekmes novērtējuma padomes atzinumu, ietekmes novērtējuma tika veiktas šādas izmaiņas:

– tika precizēti pašreizējā tiesiskā regulējuma mērķi (cik lielā mērā tie ir sasniegti un kas nav panākts) un iecerētās reformas mērķi;

– vairāki pierādījumi un papildus skaidrojumi/precizējumi tika pievienoti iedaļā, kurā formulētas problēmas;

– tika pievienota iedaļa par proporcionalitāti;

– visi aprēķini un aplēses saistībā ar administratīvo slogu pamatscenārijā un ieteicamajā politikas risinājumā ir pilnībā pārskatīti un atjaunoti, un ir izskaidrota saikne starp paziņojumu izmaksām un vispārējām sadrumstalotības radītajām izmaksām (ietverot 10. pielikumu);

– ietekme uz mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, jo īpaši saistībā ar datu aizsardzības inspektoriem un datu aizsardzības ietekmes novērtējumiem, ir labāk izskaidrota.

Reizē ar priekšlikumiem tiek publicēts arī ietekmes novērtējuma ziņojums un tā kopsavilkums.

3. PRIEKŠLIKUMA JURIDISKIE ASPEKTI 3.1. Juridiskais pamats

Šā priekšlikuma pamatā ir LESD 16. pants, kas ir jaunais ar Lisabonas līgumu ieviestais juridiskais pamats datu aizsardzības noteikumu pieņemšanai. Ar šo pantu atļauts pieņemt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko veic dalībvalstis saistībā ar Savienības tiesību aktu darbības jomu. Turklāt ir atļauts pieņemt noteikumus par personas datu brīvu apriti, ietverot dalībvalstu vai privātpersonu apstrādātus datus.

Regula tiek uzskatīta par vispiemērotāko juridisko instrumentu personas datu aizsardzības regulējuma noteikšanai Savienībā. Regulas tiešā piemērojamība saskaņā ar LESD 288. pantu samazinās juridisko sadrumstalotību un sniegs lielāku tiesisko noteiktību, ieviešot tuvinātu galveno noteikumu kopumu, uzlabojot fizisku personu pamattiesību aizsardzību un veicinot iekšējā tirgus darbību.

Atsauce uz LESD 114. panta 1. punktu ir nepieciešama tikai tāpēc, lai grozītu Direktīvu 2002/58/EK tādā apmērā, ka minētā direktīva paredz arī to abonentu likumīgo interešu aizsardzību, kas ir juridiskas personas.

3.2. Subsidiaritāte un proporcionalitāte

Saskaņā ar proporcionalitātes principu (LES 5. panta 3. punkts) Savienība rīkojas tikai tad, ja dalībvalstis nevar pietiekami labi īstenot paredzētās darbības mērķus, bet ierosinātās darbības mēroga vai seku dēļ tie ir labāk sasniedzami Savienības līmenī. Ņemot vērā iepriekš aprakstītās problēmas, subsidiaritātes analīze rāda, ka ES līmeņa rīcība ir nepieciešama šādu iemeslu dēļ:

– Pamattiesību hartas 8. pantā ietvertās tiesības uz personas datu aizsardzību nozīmē, ka ir nepieciešama vienāda līmeņa aizsardzība visā Savienībā. Vienotu ES noteikumu trūkums radītu risku, ka aizsardzības līmeņi dalībvalstīs atšķirtos, un tas radītu ierobežojumus personas datu pārrobežu apritei starp dalībvalstīm ar dažādiem standartiem;

– aizvien ātrāk pieaug apjoms, kādā personas dati tiek nosūtīti no vienas valsts otru un pāri iekšējām un ārējām robežām. Turklāt pastāv praktiskas problēmas datu aizsardzības tiesību aktu izpildes jomā un ir nepieciešama dalībvalstu un to iestāžu sadarbība, kas jāorganizē ES līmenī, lai nodrošinātu, ka Savienības tiesības tiek piemērotas vienādi. ES atrodas labākā pozīcijā, lai efektīvi un konsekventi nodrošinātu vienāda līmeņa aizsardzību fiziskām personām, kad viņu dati tiek nosūtīti uz trešām valstīm;

– dalībvalstis nevar vienas pašas mazināt šobrīd aktuālās problēmas, jo īpaši tās, kas radušās valstu tiesiskā regulējuma sadrumstalotības dēļ. Tādējādi ir īpaša vajadzība izveidot tuvinātu un saskaņotu regulējumu, kas nodrošina raitu personas datu nosūtīšanu pāri robežām ES iekšienē, vienlaikus garantējot efektīvu aizsardzību visām fiziskām personām visā ES;

– problēmu būtība un mērogs ir tādi, ka viena vai pat vairākas dalībvalstis vienas pašas nevar tās ierobežot, tāpēc ierosinātā ES leģislatīvā rīcība būs efektīvāka nekā līdzīga rīcība dalībvalstu līmenī.

Saskaņā ar proporcionalitātes principu jebkurai rīcībai ir jābūt mērķtiecīgai un samērīgai ar mērķu sasniegšanai nepieciešamo. Šis princips ir ņemts vērā visā šā priekšlikuma sagatavošanas gaitā, sākot ar alternatīvo politikas risinājumu noteikšanu un novērtēšanu līdz pat tiesību akta priekšlikuma projekta sagatavošanai.

3.3. Kopsavilkums par pamattiesību jautājumiem

Tiesības uz personas datu aizsardzību ir noteiktas Hartas 8. pantā, LESD 16. pantā un Eiropas Cilvēktiesību konvencijas 8. pantā. Kā to ir uzsvērusi Eiropas Savienības Tiesa[27], tiesības uz personas datu aizsardzību nav absolūta prerogatīva, bet ir jāņem vērā saistībā ar tās funkciju sabiedrībā[28]. Datu aizsardzība ir cieši saistīta ar privātās un ģimenes dzīves neaizskaramību, ko sargā Hartas 7. pants. Tas ir atspoguļots Direktīvas 95/46/EK 1. panta 1. punktā, kas paredz, ka dalībvalstis aizsargā fizisku personu pamattiesības un brīvības, un jo īpaši viņu tiesības uz privāto dzīvi saistībā ar personas datu apstrādi.

Iespējami aizskartas varētu būt arī citas Hartā iekļautas pamattiesības, proti, vārda un informācijas brīvība (Hartas 11. pants.), darījumdarbības brīvība (16. pants), tiesības uz īpašumu un jo īpaši intelektuālā īpašuma aizsardzība (17. panta 2. punkts), jebkāda veida diskriminācijas aizliegums cita starpā diskriminācijas aizliegums rases, etniskās izcelsmes, ģenētisko īpatnību, reliģijas vai pārliecības, politisko vai jebkuru citu uzskatu, invaliditātes vai dzimumorientācijas dēļ (21. pants), bērnu tiesības (24. pants), tiesības uz augstu cilvēku veselības aizsardzības līmeni (35. pants), tiesības piekļūt dokumentiem (42. pants), tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu (47. pants).

3.4. Sīks priekšlikuma pārskats 3.4.1. I NODAĻA – VISPĀRĪGI NOTEIKUMI

Regulas 1. pantā definēts regulas priekšmets un – tāpat kā Direktīvas 95/46/EK 1. pantā – noteikti abi regulas mērķi.

Regulas 2. pantā ir noteikts tās materiālā piemērošanas joma.

Regulas 3. pantā ir noteikta tās teritoriālā piemērošanas joma.

Regulas 4. pantā ietvertas regulā izmantoto terminu definīcijas. Dažas definīcijas ir pārņemtas no Direktīvas 95/46/EK, citas ir grozītas, papildinātas vai izstrādātas no jauna (piemēram, "personas datu aizsardzības pārkāpuma" definīcijas pamatā ir 2. panta h) punkts e-privātuma Direktīvā 2002/58/EK[29], ar grozījumiem, kas izdarīti ar Direktīvu 2009/136/EK[30], "ģenētiskie dati", "biometriskie dati", "veselības stāvokļa dati", "galvenās institūcijas atrašanās vieta", "pārstāvis", "uzņēmums", "uzņēmumu grupa", "saistošie uzņēmuma noteikumi", savukārt "bērna" definīcijas pamatā ir Apvienoto Nāciju Konvencija par bērna tiesībām[31], un "uzraudzības iestāde").

Piekrišanas definīcijai ir pievienots kritērijs "nepārprotama", lai izvairītos no maldinošās līdzības ar "viennozīmīgu" piekrišanu un lai iegūtu vienu, konsekventu piekrišanas definīciju, kas nodrošina, ka datu subjekts apzinās, ka viņš dod savu piekrišanu un kam viņš tādējādi piekrīt.

3.4.2. II NODAĻA – PRINCIPI

Regulas 5. pantā noteikti personas datu apstrādes principi, kas atbilst Direktīvā 95/46/EK minētajiem. Papildus jauni elementi ir, piemēram, caurskatāmības princips, datu minimizēšanas principa skaidrojums un vispusīgu pārziņa pienākumu un atbildības ieviešana.

Pamatojoties uz Direktīvas 95/46/EK 7. pantu regulas 6. pantā noteikti likumīgas apstrādes kritēriji, kas sīkāk paskaidroti attiecībā uz līdzsvaru starp interešu kritēriju un juridisko saistību izpildi un sabiedrības interešu ievērošanu.

Regulas 7. pantā paskaidroti nosacījumi, kas jāievēro, lai piekrišana būtu spēkā kā likumīgas apstrādes juridiskais pamats.

Regulas 8. pantā paredzēti papildu nosacījumi bērnu personas datu apstrādes likumībai saistībā ar informācijas sabiedrības pakalpojumiem, ko tieši piedāvā bērniem.

Regulas 9. pantā noteikts vispārīgs aizliegums apstrādāt īpašas personas datu kategorijas un izņēmumi no šā vispārīgā noteikuma, pamatojoties uz Direktīvas 95/46/EK 8. pantu.

Regulas 10. pantā skaidrots, ka pārzinim nav pienākuma iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana.

3.4.3. III NODAĻA – DATU SUBJEKTA TIESĪBAS 3.4.3.1. 1. iedaļa – Caurskatāmība un tās kārtība

Regulas 11. pantā paredzēts pārziņa pienākums sniegt caurskatāmu, viegli pieejamu un saprotamu informāciju, ko lielā mērā iedvesmoja Madrides rezolūcija par starptautiskajiem personas datu un privātuma aizsardzības standartiem[32].

Regulas 12. pantā paredzēts pārziņa pienākums nodrošināt procedūras un mehānismus, ar ko nodrošina, ka datu subjekts var izmantot savas tiesības, ietverot arī līdzekļus elektronisku pieprasījumu iesniegšanai un nosakot, ka atbilde uz datu subjekta pieprasījumu jāsniedz konkrētā termiņā un atteikuma gadījumā jānorāda tā iemesli.

Regulas 13. pantā noteiktas tiesības saistībā ar saņēmējiem, to pamatā ir Direktīvas 95/46/EK 12. panta c) punkts, taču tās attiecinātas uz visiem saņēmējiem, ietverot apvienotos pārziņus un apstrādātājus.

3.4.3.2. 2. iedaļa – Informācija un piekļuve datiem

Regulas 14. pants sīkāk precizē pārziņa pienākumu sniegt informāciju datu subjektam, papildinot Direktīvas 95/46/EK 10. un 11. panta ideju un paredzot papildu informāciju datu subjektam, ietverot informāciju par glabāšanas termiņu, par tiesībām iesniegt sūdzību, par starptautisku nosūtīšanu un par datu izcelsmes avotu. Direktīvā 95/46/EK paredzētie izņēmumi tiks saglabāti, piemēram, šāds pienākums nepastāvēs, ja datu reģistrēšana vai izpaušana ir īpaši paredzēta likumā. Tas varētu attiekties, piemēram, uz apstrādi, ko veic konkurences iestādes, nodokļu vai muitas pārvaldes vai dienesti, kas atbild par sociālā nodrošinājuma jautājumiem.

Regulas 15. pantā paredzētas datu subjekta tiesības piekļūt viņa personas datiem, pamatojoties uz Direktīvas 95/46/EK 12. panta a) punktu un pievienojot jaunus elementus, piemēram, pienākumu informēt datu subjektu par glabāšanas termiņu, tiesībām uz labošanu, tiesībām uz dzēšanu un tiesībām iesniegt sūdzību.

3.4.3.3. 3. iedaļa – Labošana un dzēšana

Regulas 16. pantā noteiktas datu subjekta tiesības uz datu labošanu, kas pamatojas uz Direktīvas 95/46/EK 12. panta b) punktu.

Regulas 17. pantā paredzētas datu subjekta tiesības tikt aizmirstam un tiesības uz datu dzēšanu. Pantā sīkāk izstrādātas un precizētas Direktīvas 95/46/EK 12. panta b) punktā paredzētās tiesības uz datu dzēšanu un paredzēti tiesību tikt aizmirstam nosacījumi, ietverot pārziņa, kas publicējis personas datus, pienākumu informēt trešās puses par datu subjekta pieprasījumiem dzēst saites uz viņa personas datiem, to kopijām vai atveidojumiem. Tajā integrētas arī tiesības ierobežot apstrādi atsevišķos gadījumos, izvairoties no neviennozīmīgā "piekļuves liegšanas" termina.

Regulas 18. pantā iestrādātas datu subjekta tiesības uz datu pārnešanu, tas ir, uz datu nosūtīšanu no vienas elektroniskās apstrādes sistēmas uz citu sistēmu, ko pārzinim nav tiesību aizkavēt. Kā priekšnosacījums un lai vēl vairāk uzlabotu piekļuves iespējas saviem personas datiem, pantā noteiktas tiesības saņemt šos datus no pārziņa strukturētā un plaši izmantotā elektroniskā formātā.

3.4.3.4. 4. iedaļa – Tiesības iebilst un profilēšana

Regulas 19. pantā paredzētas datu subjekta tiesības iebilst. Tās pamatojas uz Direktīvas 95/46/EK 14. pantu ar dažiem grozījumiem, piemēram, attiecībā uz pierādīšanas pienākumu un tā piemērošanu tiešajai tirgvedībai.

Regulas 20. pants attiecas uz datu subjekta tiesībām netikt pakļautam pasākumam, kas pamatojas uz profilēšanu. Tas pamatojas uz Direktīvas 95/46/EK 15. panta 1. punktu par automatizētiem individuāliem lēmumiem, taču ar grozījumiem un papildus aizsardzības pasākumiem, ņemot vērā Eiropas Padomes ieteikumu par profilēšanu[33].

3.4.3.5. 5. iedaļa – Ierobežojumi

Regulas 21. pantā skaidrotas Savienības vai dalībvalstu tiesības saglabāt vai ieviest 5. pantā minēto principu ierobežojumus un 11. līdz 20. pantā un 32. pantā minēto datu subjekta tiesību ierobežojumus. Šā noteikuma pamatā ir Direktīvas 95/46/EK 13. pants un prasības, kas izriet no Pamattiesību hartas un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas saskaņā ar ES Tiesas un Eiropas Cilvēktiesību tiesas sniegto interpretāciju.

3.4.4. IV NODAĻA – PĀRZINIS UN APSTRĀDĀTĀJS 3.4.4.1. 1. iedaļa – Vispārīgi pienākumi

Regulas 22. pantā atspoguļota diskusija par "pārskatatbildības principu" un sīki aprakstīts datu pārziņa pienākums atbildēt par šīs regulas ievērošanu un uzskatāmi parādīt šo ievērošanu, piemēram, pieņemot iekšējas vadlīnijas un mehānismus šādas ievērošanas nodrošināšanai.

Regulas 23. pantā minēti datu pārziņa pienākumi, kas izriet no tādiem principiem kā "integrēta datu aizsardzība" un "datu aizsardzība pēc noklusējuma".

Regulas 24. pantā par kopīgajiem datu pārziņiem skaidroti kopīgo datu pārziņu pienākumi viņu iekšējās attiecībās un pret datu subjektu.

Regulas 25. pantā noteikts, ka, ievērojot konkrētus nosacījumus, datu pārzinim, kas neatrodas Savienībā, ir pienākums norīkot pārstāvi Savienībā.

Regulas 26. pantā skaidrots apstrādātāju stāvoklis un pienākumi, daļēji pamatojoties uz Direktīvas 95/46/EK 17. panta 2. punktu un pievienojot dažus jaunus elementus, piemēram, ka apstrādātāju, kas apstrādā datus plašāk, nekā to paredzējis datu pārzinis, uzskata par kopīgo pārzini.

Regulas 27. pants par apstrādi datu pārziņa un apstrādātāja pakļautībā pamatojas uz Direktīvas 95/46/EK 16. pantu.

Ar regulas 28. pantu ieviests datu pārziņa un apstrādātāja pienākums uzglabāt to apstrādes darbību dokumentāciju, par kurām tie ir atbildīgi, ar šo aizstāj Direktīvas 95/46/EK 18. panta 1. punktā un 19. pantā paredzēto vispārīgo paziņojumu uzraudzības iestādei.

Regulas 29. pantā sīkāk skaidrots pārziņa un apstrādātāja pienākums sadarboties ar uzraudzības iestādi.

3.4.4.2. 2. iedaļa – Datu drošība

Regulas 30. pantā paredzēts datu pārziņa un apstrādātāja pienākums īstenot atbilstīgus apstrādes drošības pasākumus, pamatojoties uz Direktīvas 95/46/EK 17. panta 1. punktu un attiecinot šo pienākumu arī uz apstrādātāju, neatkarīgi no līguma ar datu pārzini.

Regulas 31. un 32. pantā ieviests pienākums paziņot par personas datu aizsardzības pārkāpumiem, par pamatu ņemot e-privātuma Direktīvas 2002/58/EK 4. panta 3. punktu par personas datu aizsardzības pārkāpumu paziņojumiem.

3.4.4.3. 3. iedaļa – Datu aizsardzības ietekmes novērtējums un iepriekšēja atļauja

Regulas 33. pantā ieviests datu pārziņa un apstrādātāja pienākums veikt datu aizsardzības ietekmes novērtējumu pirms riskantu apstrādes darbību veikšanas.

Regulas 34. pants attiecas uz gadījumiem, kad pirms apstrādes obligāti jāapspriežas ar uzraudzības iestādi un jāsaņem tās atļauja, papildinot Direktīvas 95/46/EK 20. pantā paredzēto iepriekšējas kontroles koncepciju.

3.4.4.4. 4. iedaļa – Datu aizsardzības inspektors

Regulas 35. panta ieviesta prasība obligāti iecelt datu aizsardzības inspektoru publiskajā sektorā un privātajā sektorā – attiecībā uz lieliem uzņēmumiem vai gadījumos, kad datu pārziņa vai apstrādātāja pamatdarbība sastāv no darbībām, kurām nepieciešama regulāra un sistemātiska uzraudzība. Ar šo tiek papildināts Direktīvas 1995/46/EK 18. panta 2. punkts, kas paredzēja dalībvalstīm iespēju ieviest šādu prasību kā vispārīgās paziņošanas prasības surogātu.

Regulas 36. pantā noteikts datu aizsardzības inspektora statuss.

Regulas 37. pantā noteikti datu aizsardzības inspektora pamatuzdevumi.

3.4.4.5. 5. iedaļa – Profesionālās ētikas kodeksi un sertifikācija

Regulas 38. pants attiecas uz profesionālās ētikas kodeksiem, pamatojoties uz Direktīvas 95/46/EK 27. panta 1. punktu, un tajā sīkāk skaidrots kodeksu saturs un procedūras, kā arī paredzētas Komisijas pilnvaras lemt par profesionālās ētikas kodeksu vispārējo piemērojamību.

Regulas 39. pantā ieviesta iespēja izveidot sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus.

3.4.5. V NODAĻA – PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

Regulas 40. pantā nostiprināts vispārīgs princips, ka šajā nodaļā minēto pienākumu ievērošana ir obligāta jebkādas personas datu nosūtīšanas uz trešām valstīm vai starptautiskām organizācijām gadījumā, ietverot arī tālāku nosūtīšanu.

Regulas 41. pantā, pamatojoties uz Direktīvas 95/46/EK 25. pantu noteikti kritēriji, nosacījumi un procedūras, kas Komisijai jāievēro, pieņemot lēmumu par aizsardzības līmeņa pietiekamību. Kritērijos, kas Komisijai jāņem vērā, novērtējot, vai aizsardzības līmenis ir pietiekams, skaidri ietverti tiesiskums, tiesiskā aizsardzība un neatkarīga uzraudzība. Pantā nepārprotami apstiprināts, ka Komisija var novērtēt aizsardzības līmeni, ko nodrošina kāda teritorija vai apstrādes nozare trešajā valstī.

Regulas 42. pantā paredzēts, ka, nosūtot datus uz trešām valstīm, par kurām Komisija nav pieņēmusi aizsardzības līmeņa pietiekamības lēmumu, nepieciešami atbilstoši aizsardzības pasākumi, jo īpaši tipveida datu aizsardzības noteikumi, saistošie uzņēmuma noteikumi un līguma noteikumi. Iespēja izmantot Komisijas izstrādātos tipveida datu aizsardzības noteikumus pamatojas uz Direktīvas 95/46/EK 26. panta 4. punktu. Jaunums ir tas, ka šādus tipveida datu aizsardzības noteikumus tagad var pieņemt arī uzraudzības iestāde un Komisija tos var pasludināt par vispārēji derīgiem. Saistošie uzņēmuma noteikumi tagad ir īpaši minēti tiesību akta tekstā. Iespēja izmantot arī līguma noteikumus sniedz datu pārzinim vai apstrādātājam zināmu izvēles brīvību, taču šādos gadījumos ir jāievēro priekšnosacījums, proti, jāsaņem uzraudzības iestādes iepriekšēja atļauja.

Regulas 43. pantā sīkāk aprakstīti nosacījumi nosūtīšanai, kas pamatojas uz saistošiem uzņēmuma noteikumiem, par pamatu ņemot pašreizējo praksi un uzraudzības iestāžu prasības.

Regulas 44. pantā uzskaitītas un izskaidrotas atkāpes attiecībā uz datu nosūtīšanu, pamatojoties uz Direktīvas 95/46/EK 26. pantu. Jo īpaši tas attiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga, lai aizsargātu svarīgas sabiedrības intereses, piemēram, kad starptautiska datu nosūtīšana notiek starp konkurences iestādēm, nodokļu vai muitas iestādēm vai dienestiem, kuru kompetencē ir sociālā nodrošinājuma jautājumi vai zivsaimniecības pārvaldība. Turklāt datu nosūtīšanu, ierobežotos apstākļos, var attaisnot ar datu pārziņa vai apstrādātāja likumīgām interesēm, taču tikai tad, kad ir novērtēti un dokumentēti konkrētās nosūtīšanas apstākļi.

Regulas 45. pantā skaidri noteikti personas datu aizsardzības starptautiskās sadarbības mehānismi starp Komisiju un trešo valstu uzraudzības iestādēm, jo īpaši ar tām valstīm, par kurām uzskata, ka tās nodrošina pietiekamu aizsardzības līmeni, ņemot vērā Ekonomiskās sadarbības un attīstības organizācijas (ESAO) 2007. gada 12. jūnija ieteikumu par pārrobežu sadarbību, piemērojot likumus par privātuma aizsardzību.

3.4.6. IV NODAĻA – NEATKARĪGAS UZRAUDZĪBAS IESTĀDES 3.4.6.1. 1. iedaļa – Neatkarība

Regulas 46. pants uzliek pienākumu dalībvalstīm izveidot uzraudzības iestādes, pamatojoties uz Direktīvas 95/46/EK 28. panta 1. punktu un paplašinot uzraudzības iestādes uzdevumu spektru, ietverot uzdevumu sadarboties gan savstarpēji, gan ar Komisiju.

Regulas 47. pantā skaidroti nosacījumi, kas izvirzīti uzraudzības iestādes neatkarībai, īstenojot Eiropas Savienības Tiesas judikatūru[34] un vadoties no Regulas (EK) Nr. 45/2001 44. panta[35].

Regulas 48. pantā paredzēti vispārīgi noteikumi par uzraudzības iestādes locekļiem, ar šiem noteikumiem īstenota aktuālā tiesu prakse[36], par paraugu ņemot Regulas (EK) 45/2001 42. panta 2. punktu.

Regulas 49. pantā ietverti uzraudzības iestādes izveides noteikumi, kas dalībvalstīm jānosaka ar likumu.

Regulas 50.pantā noteikts uzraudzības iestādēs locekļu un darbinieku dienesta noslēpuma glabāšanas pienākums un tā pamatā ir Direktīvas 95/46/EK 28. panta 7. punkts.

3.4.6.2. 2. iedaļa – Pienākumi un pilnvaras

Regulas 51. pantā noteikta uzraudzības iestādes kompetence. Vispārīgais noteikums, pamatojoties uz Direktīvas 95/46/EK 28. panta 6. punktu (kompetence savas dalībvalsts teritorijā), ir papildināts, piešķirot kompetenci būt par vadošo iestādi gadījumos, kad datu pārzinim vai apstrādātājam ir institūcijas vairākās dalībvalstīs, lai nodrošinātu piemērošanas vienotību ("vienas pieturas aģentūra"). Tiesas, kad tās pilda tiesas spriešanas funkciju, izņēmuma kārtā ir atbrīvotas no uzraudzības iestādes uzraudzības, taču tām ir jāpiemēro datu aizsardzības tiesību materiālie noteikumi.

Regulas 52. pantā noteikti uzraudzības iestādes pienākumi, ietverot sūdzību uzklausīšanu un izmeklēšanu un sabiedrības informētības uzlabošanu par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām.

Regulas 53. pantā noteiktas uzraudzības iestādes pilnvaras, daļēji pamatojoties uz Direktīvas 95/46/EK 28. panta 3.punkta un Regulas (EK) 45/2001 47. panta noteikumiem, taču pievienojot arī dažus jaunus elementus, piemēram, pilnvaras sodīt par administratīviem pārkāpumiem.

Regulas 54. pantā noteikts uzraudzības iestādes pienākums sagatavot gada ziņojumu par savu darbību, pamatojoties uz Direktīvas 95/46/EK 28. panta 5. punktu.

3.4.7. VII NODAĻA – SADARBĪBA UN KONSEKVENCE 3.4.7.1. 1. iedaļa – Sadarbība

Regulas 55. pantā paredzēti skaidri noteikumi par obligātu savstarpēju palīdzību, ietverot arī sekas, kas iestājas, ja netiek ievērots citas uzraudzības iestādes pieprasījums, papildinot Direktīvas 95/46/EK 28. panta 6. punkta otro daļu.

Regulas 56. pantā ietverti noteikumi par kopējām operācijām, iedvesmu smeļoties no Padomes Lēmuma 2008/615/TI[37] 17. panta noteikumiem, ietverot uzraudzības iestāžu tiesības piedalīties šādās operācijās.

3.4.7.2. 2. iedaļa – Konsekvence

Regulas 57. pantā ieviests konsekvences mehānisms, lai nodrošinātu noteikumu vienādu piemērošanu saistībā ar apstrādes darbībām, kas varētu attiekties uz datu subjektiem vairākās dalībvalstīs.

Regulas 58. pantā noteiktas procedūras un nosacījumi Eiropas Datu aizsardzības kolēģijas atzinuma sniegšanai.

Regulas 59. pats attiecas uz Komisijas atzinumiem par konsekvences mehānisma jautājumiem, ar kuriem var vai nu atbalstīt Eiropas Datu aizsardzības kolēģijas atzinumu vai arī izteikt atšķirīgu viedokli, un uzraudzības iestādes pasākuma projektu. Ja jautājumu saskaņā ar regulas 58. panta 3. punktu izskata Eiropas Datu aizsardzības kolēģija, var sagaidīt, ka Komisija izmantos savu rīcības brīvību un nepieciešamības gadījumā sniegs atzinumu.

Regulas 60. pants attiecas uz Komisijas lēmumiem, kuros kompetentajai iestādei pieprasa apturēt pagaidu pasākumu, kad tas ir nepieciešams, lai nodrošinātu pareizu šīs regulas piemērošanu.

Regulas 61. pantā paredzēta iespēja pieņemt pagaidu pasākumus steidzamības kārtībā.

Regulas 62. pantā noteiktas prasības Komisijas īstenošanas aktiem saskaņā ar konsekvences mehānismu.

Regulas 63. pantā paredzēts pienākums izpildīt uzraudzības iestādes pasākumus visās attiecīgajās dalībvalstīs, un noteikts, ka konsekvences mehānisma piemērošana ir priekšnosacījums attiecīgā pasākuma juridiskajai spēkā esamībai un izpildei.

3.4.7.3. 3. iedaļa – Eiropas Datu aizsardzības kolēģija

Ar regulas 64. pantu ir izveidota Eiropas Datu aizsardzības kolēģija, kas sastāv no katras dalībvalsts uzraudzības iestāžu vadītājiem un Eiropas Datu aizsardzības uzraudzītāja. Eiropas Datu aizsardzības kolēģija aizstāj Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota saskaņā ar Direktīvas 95/46/EK 29. pantu. Ir paskaidrots, ka Komisija neietilpst Eiropas Datu aizsardzības kolēģijas sastāvā, bet tai ir tiesības piedalīties tās pasākumos un būt pārstāvētai.

Regulas 65. pantā uzsvērta un skaidrota Eiropas Datu aizsardzības kolēģijas neatkarība.

Regulas 66. pantā aprakstīti Eiropas Datu aizsardzības kolēģijas uzdevumi, pamatojoties uz Direktīvas 95/46/EK 30. panta 1. punktu, un paredzēti vēl papildu elementi, ņemot vērā Eiropas Datu aizsardzības kolēģijas paplašināto darbības jomu Savienībā un ārpus tās. Lai varētu reaģēt steidzamās situācijās, Komisijai dota iespēja lūgt atzinumu konkrētā termiņā.

Regulas 67. pantā, pamatojoties uz Direktīvas 95/46/EK 30. panta 6. punktu, paredzēts, ka Eiropas Datu aizsardzības kolēģija katru gadu sagatavo ziņojumu par savu darbību.

Regulas 68. pantā noteikta Eiropas Datu aizsardzības kolēģijas lēmumu pieņemšanas procedūra, ietverot pienākumu pieņemt reglamentu, kam jāattiecas arī uz darbības kārtību.

Regulas 69. pantā ietverti noteikumi par Eiropas Datu aizsardzības kolēģijas priekšsēdētāju un priekšsēdētāja vietniekiem.

Regulas 70. pantā noteikti priekšsēdētāja uzdevumi.

Regulas 71. pantā noteikts, ka Eiropas Datu aizsardzības kolēģijas sekretariātu nodrošina Eiropas Datu aizsardzības uzraudzītājs, kā arī noteikti sekretariāta pienākumi.

Regulas 72. pantā paredzēti konfidencialitātes noteikumi.

3.4.8. VII NODAĻA – TIESĪBU AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

Regulas 73. pantā, pamatojoties uz Direktīvas 95/46/EK 28. panta 4. punktu, paredzēts, ka datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē. Tajā konkrēti norādīts, kādas apvienības, organizācijas vai asociācijas var iesniegt sūdzību datu subjekta vārdā vai personas datu aizsardzības pārkāpuma gadījumā – neatkarīgi no datu subjekta sūdzības.

Regulas 74. pantā paredzētas tiesību aizsardzības iespējas pret uzraudzības iestādi. Panta pamatā ir Direktīvas 95/46/EK 28. panta 3. panta vispārīgais noteikums. Paredzēts arī īpašs tiesību aizsardzības līdzeklis, uzliekot uzraudzības iestādei pienākumu reaģēt uz sūdzību, un skaidrota tās dalībvalsts tiesu kompetence, kurā atrodas uzraudzības iestāde. Tajā noteikts arī, ka uzraudzības iestāde datu subjekta dzīvesvietas dalībvalstī, var datu subjekta vārdā celt prasību tiesā tajā dalībvalstī, kurā atrodas kompetentā uzraudzības iestāde.

Regulas 75. pants attiecas uz tiesību aizsardzības līdzekļiem pret pārzini un apstrādātāju, tā pamatā ir Direktīvas 95/46/EK 22. pants un tajā paredzētas tiesības izvēlēties tiesu dalībvalstī, kurā atrodas atbildētājs, vai datu subjekta dzīvesvietas dalībvalstī. Ja procedūra par vienu un to pašu jautājumu jau ir sākta konsekvences mehānisma ietvaros, tiesa var apturēt savu tiesvedību, izņemot steidzamos gadījumos.

Regulas 76. pantā paredzēti vienoti tiesvedības noteikumi, ietverot apvienību, organizāciju vai asociāciju tiesības pārstāvēt datu subjektu tiesā, uzraudzības iestādes tiesības iesaistīties procesuālās darbībās, pienākumu informēt citas dalībvalsts tiesas par paralēlu tiesvedību un iespēju šādā gadījumā apturēt tiesvedību[38]. Ir paredzēts pienākums dalībvalstīm nodrošināt ātru tiesas rīcību[39].

Regulas 77. pantā noteiktas tiesības uz kompensāciju un risināts jautājums par atbildību. Tā pamatā ir Direktīvas 95/46/EK 23. pants, paplašinot tiesības uz apstrādātāja radīto zaudējumu atlīdzību un skaidrojot jautājumu par kopīgo pārziņu un kopīgo apstrādātāju atbildību.

Regulas 78. pantā dalībvalstīm uzlikts pienākums paredzēt sodus par regulas pārkāpumiem un nodrošināt to īstenošanu.

Regulas 79. pantā katrai uzraudzības iestādei noteikts pienākums sodīt par administratīviem pārkāpumiem, kas uzskaitīti šajā pantā iekļautajā sarakstā, uzliekot naudas sodus līdz to maksimālajam apmēram atkarībā no katras lietas individuālajiem apstākļiem.

3.4.9. IX NODAĻA – NOTEIKUMI PAR ĪPAŠĀM DATU APSTRĀDES SITUĀCIJĀM

Regulas 80. pantā paredzēts dalībvalstu pienākums pieņemt izņēmumus un atkāpes no regulas īpašajiem noteikumiem, ja tas nepieciešams, lai nodrošinātu līdzsvaru starp personas datu aizsardzību un vārda un informācijas brīvību. Panta pamatā ir Direktīvas 95/46/EK 9. pants saskaņā ar ES Tiesas sniegto interpretāciju[40].

Regulas 81. pantā paredzēts dalībvalstu pienākums papildus nosacījumiem īpašām datu kategorijām nodrošināt īpašus aizsardzības pasākumus apstrādei saistībā ar veselības stāvokli.

Regulas 82. pantā dalībvalstis pilnvarotas pieņemt īpašus likumus par personas datu apstrādi saistībā ar nodarbinātību.

Regulas 83. pantā paredzēti īpaši nosacījumi personas datu apstrādei vēstures, statistikas un zinātniskās izpētes nolūkos.

Regulas 84. pantā dalībvalstis tiek pilnvarotas pieņemt īpašus noteikumus par uzraudzības iestāžu piekļuves tiesībām personas datiem un telpām gadījumos, kad pārzinis ir pakļauts dienesta noslēpuma glabāšanas pienākumam.

Regulas 85. pantā, ņemot vērā Līguma par Eiropas Savienības darbību 17. pantu, atļauts turpināt piemērot pastāvošos baznīcu personas datu aizsardzības noteikumus, ja tie ir saskaņā ar šo regulu.

3.4.10. X NODAĻA – DELEĢĒTIE AKTI UN ĪSTENOŠANAS AKTI

Regulas 86. pantā ietverti standarta noteikumi par deleģēšanu saskaņā ar LESD 290. pantu. Tādējādi likumdevējs var deleģēt Komisijai pilnvaras pieņemt vispārēji piemērojamus neleģislatīvus aktus, lai papildinātu vai grozītu dažus nebūtiskus leģislatīvu aktu elementus.

Regulas 87. pantā ietverts noteikums par komiteju procedūru, kas nepieciešama, lai piešķirtu Komisijai īstenošanas pilnvaras gadījumos, kad saskaņā ar LESD 291. pantu ir nepieciešami vienādi nosacījumi juridiski saistošo Savienības aktu īstenošanai. Piemēro pārbaudes procedūru.

3.4.11. XI NODAĻA – NOBEIGUMA NOTEIKUMI

Ar regulas 88. pantu atceļ Direktīvu 95/46/EK.

Regulas 89. pantā skaidrota saistība ar e-privātuma Direktīvu 2002/58/EK un grozīti tās noteikumi.

Regulas 90. pantā Komisijai uzlikts pienākums novērtēt regulas darbību un iesniegt attiecīgus ziņojumus.

Regulas 91. pantā noteikts regulas spēkā stāšanās termiņš un pārejas periods attiecībā uz piemērošanas dienu.

4.           IETEKME UZ BUDŽETU

Priekšlikuma ietekme uz budžetu īpaši saistīta ar Eiropas Datu aizsardzības uzraudzītāja uzdevumiem un tā sīkāk raksturota priekšlikuma finanšu pārskatā, kas pievienots šim priekšlikumam. Minētās ietekmes dēļ nepieciešams pārskatīt finanšu plāna 5. pozīciju.

Priekšlikums neietekmē darbības izdevumus.

Tiesību akta priekšlikuma finanšu pārskatā, kas pievienots šīs regulas priekšlikumam, apskatīta ietekme uz budžetu attiecībā uz šo regulu un direktīvu par datu aizsardzību policijas un tiesu iestādēs.

2012/0011 (COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA

par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula)

(Dokuments attiecas uz EEZ)

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. panta 2. punktu un 114. panta 1. punktu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu[41],

pēc apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju[42],

saskaņā ar parasto likumdošanas procedūru,

tā kā:

(1) Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas 8. panta 1. punkts un Līguma 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.

(2) Personas datu apstrādes mērķis ir kalpot cilvēkam; noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no fiziskās personas valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un brīvības un jo īpaši tiesības uz personas datu aizsardzību. Tai ir jāveicina brīvības, drošības un tiesiskuma telpas un ekonomikas savienības izveide, jāatbalsta ekonomikas un sociālais progress, iekšējā tirgus ekonomiku izaugsme un konverģence un iedzīvotāju labklājība.

(3) Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvas 95/46/EK par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti[43] nolūks ir tuvināt fizisku personu pamattiesību un brīvību aizsardzību attiecībā uz apstrādes darbībām un garantēt personas datu brīvu apriti starp dalībvalstīm.

(4) Ekonomikas un sociālā integrācija, kas izriet no iekšējā tirgus darbības, ir novedusi pie pārrobežu plūsmu ievērojama pieauguma. Datu apmaiņa starp uzņēmējdarbības vides un sociālā, valsts un privātā sektora pārstāvjiem visā Savienībā ir palielinājusies. Savienības tiesības aicina dalībvalstu iestādes sadarboties un apmainīties ar personas datiem, lai varētu pildīt savus pienākumus un veikt uzdevumus kādas iestādes vārdā citā dalībvalstī.

(5) Ātrā tehnoloģiju izaugsme un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Datu apmaiņas un vākšanas apjoms ir dramatiski pieaudzis. Jaunākās tehnoloģijas ļauj gan privātām sabiedrībām, gan valsts iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus. Fiziskas personas aizvien biežāk personiska rakstura informāciju padara publiski un globāli pieejamu.        Tehnika ir pārveidojusi ne tikai ekonomiku, bet arī sociālo dzīvi, un ir nepieciešams arī turpmāk uzlabot datu brīvu apriti Savienībā un nosūtīšanu uz trešām valstīm un starptautiskām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību.

(6) Šī notikumu gaita nozīmē, ka jāveido spēcīgāks un saskaņotāks datu aizsardzības regulējums Savienībā, ko stiprina pienācīga izpilde, ņemot vērā to, cik nozīmīgi ir veidot uzticību, kas ļaus iekšējā tirgū uzplaukt digitālajai ekonomikai. Personām būtu jāspēj kontrolēt savi personas dati un būtu jāstiprina tiesiskā un praktiskā noteiktība fizisku personu, uzņēmēju un valsts iestāžu labā.

(7) Direktīvas 95/46/EK mērķi un principi joprojām ir spēkā, taču tā nav spējusi novērst datu aizsardzības īstenošanas veidu sadrumstalotību Savienībā, tiesisko nenoteiktību un uzskata izplatīšanos sabiedrībā, ka jo īpaši tiešsaistes aktivitātes ir saistītas ar ievērojamu risku fizisku personu aizsardzībai. Personu tiesību un brīvību aizsardzības līmeņa atšķirības, jo īpaši fizisku personu aizsardzības līmeņa atšķirības dalībvalstīs attiecībā uz personas datu apstrādi, var kavēt personas datu brīvu apriti Savienībā. Šīs atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī, var radīt konkurences traucējumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Savienības tiesību aktos. Šīs aizsardzības līmeņa atšķirības ir radušās tāpēc, ka Direktīva 95/46/EK tiek īstenota un piemērota dažādi.

(8) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei, personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs jābūt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana.

(9) Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un precizēt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, turklāt nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas pārkāpējiem dalībvalstīs.

(10) Līguma 16. panta 2. punktā Eiropas Parlaments un Padome pilnvaroti paredzēt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un noteikumus par šādu datu brīvu apriti.

(11) Lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai sniegtu tiesisko noteiktību un pārskatāmību uzņēmējiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs, kā arī efektīvu uzraudzības iestāžu sadarbību dažādās dalībvalstīs. Lai ņemtu vērā mikrouzņēmumu, mazo un vidējo uzņēmumu īpašo situāciju, šajā regulā ietvertas vairākas atkāpes. Turklāt Savienības iestādes un struktūras, dalībvalstis un to uzraudzības iestādes tiek rosinātas, piemērojot šo regulu, ņemt vērā mikrouzņēmumu, mazo un vidējo uzņēmumu īpašās vajadzības. Mikrouzņēmumu, mazo un vidējo uzņēmumu jēdziens būtu jābalsta uz Komisijas 2003. gada 6. maija ieteikumā 2003/361/EK sniegto mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju.

(12) Šajā regulā noteiktā aizsardzība attiecībā uz personas datu apstrādi paredzēta fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas. Šajā regulā noteiktā aizsardzība nebūtu jāattiecina uz juridisku personu datu apstrādi, jo īpaši attiecībā uz uzņēmumiem, kam ir juridiskas personas statuss, ietverot juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju. Tas pats attiecas arī uz gadījumiem, kad juridiskas personas nosaukums ietver vienas vai vairāku fizisku personu vārdus vai uzvārdus.

(13) Fizisku personu aizsardzībai būtu jābūt tehnoloģiski neitrālai un neatkarīgai no izmantotajiem paņēmieniem, jo pretējā gadījumā tas radītu nopietnu likuma apiešanas risku. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs regulas piemērošanas jomā neietilpst datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši speciāliem kritērijiem.

(14) Šī regula neattiecas uz jautājumiem par pamattiesību un brīvību aizsardzību vai tādu datu brīvu apriti, kas saistīti ar darbībām, kas neietilpst Savienības tiesību piemērošanas jomā, tāpat tā neattiecas uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās, kas ietilpst Regulas (EK) Nr. 45/2001[44] piemērošanas jomā, un neattiecas arī uz personas datu apstrādi, ko veic dalībvalstis, rīkojoties saistībā ar Eiropas Savienības Kopējo ārpolitiku un drošības politiku.

(15) Šī regula nebūtu jāpiemēro fiziskas personas īstenotai personas datu apstrādei, ja šie dati ir tikai personiska vai sadzīviska rakstura, kā piemēram, korespondence un adrešu saraksti, un apstrādei nav nekāda peļņas gūšanas nolūka, un tā nekādi nav saistīta ar profesionālu vai komerciālu darbību. Izņēmums nebūtu jāpiemēro arī pārziņiem vai apstrādātājiem, kas nodrošina personas datu apstrādes līdzekļus šādām personiska vai sadzīviska rakstura darbībām.

(16) Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti ir cita speciāla Savienības līmeņa tiesību akta priekšmets. Tāpēc šī regula nebūtu jāpiemēro apstrādes darbībām, kas veiktas minētajos nolūkos. Taču datu apstrādi, ko saskaņā ar šo regulu veic valsts iestādes, ja to izmanto noziedzīgu nodarījumu novēršanai, izmeklēšanai un atklāšanai, lai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, būtu jāregulē speciālam Savienības līmeņa tiesību aktam (Direktīva XX/YYY).

(17) Šai regulai nebūtu jāskar Direktīvas 2000/31/EK piemērošana, jo īpaši attiecībā uz direktīvas 12. un 15. panta noteikumiem par pakalpojumu sniegšanas starpnieku atbildību.

(18) Šī regula atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot regulā paredzētos noteikumus.

(19) Personas datu apstrādei, kas notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja institūcija Savienībā, būtu jānotiek saskaņā ar šo regulu neatkarīgi no tā, vai pati apstrāde notiek Savienībā. Institūcija nozīmē efektīvu un faktisku darbību, ko veic pastāvīga vienība. Šādas vienības juridiskā forma, vienalga, vai tā būtu filiāle vai meitasuzņēmums ar juridiskas personas statusu, šajā sakarā nav noteicošais faktors.

(20) Lai nodrošinātu, ka fiziskām personām netiek liegta aizsardzība, kas tām pienākas saskaņā ar šo regulu, Savienībā dzīvojošu datu subjektu personas datu apstrāde, ko veic pārzinis, kas neatrodas Savienībā, būtu jāveic saskaņā ar šo regulu, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem vai ar šādu datu subjektu uzvedības novērošanu.

(21) Lai noteiktu, vai apstrādes darbību var uzskatīt par datu subjekta "uzvedības novērošanu", būtu jāpārliecinās, vai fiziska persona tiek izsekota internetā ar datu apstrādes paņēmieniem, kas ietver "profila" piemērošanu fiziskai personai, jo īpaši, lai pieņemtu lēmumus saistībā ar datu subjektu vai analizētu vai iepriekšparedzētu viņa personīgās vēlmes, uzvedību un attieksmi.

(22) Ja, ievērojot starptautisko publisko tiesību normas, ir piemērojamas dalībvalsts tiesības, arī šai regulai vajadzētu būt piemērojamai pārzinim, kas neatrodas Savienībā, piemēram, pārzinim dalībvalsts diplomātiskajā pārstāvniecībā vai konsulātā.

(23) Aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu personu. Lai noteiktu, vai persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot, lai identificētu fizisku personu. Aizsardzības principus nebūtu jāpiemēro datiem, ko sniedz anonīmi — tā, ka datu subjekts vairs nav identificējams.

(24) Izmantojot tiešsaistes pakalpojumus, fiziskām personām var piešķirt tiešsaistes identifikatorus, ko izmanto viņu ierīces, lietojumprogrammas, rīki un protokoli, kā piemēram interneta protokola adreses vai sīkdatņu identifikatori. Tādējādi iespējams tiek atstātas pēdas, ko savienojumā ar unikāliem identifikatoriem vai citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un tos identificētu. No tā var secināt, ka identifikācijas numurus, atrašanās vietas datus, tiešsaistes identifikatorus vai citus īpašus faktorus pašus par sevi ne vienmēr vajag uzskatīt par personas datiem.

(25) Piekrišana ir jādod nepārprotami, izmantojot jebkādu piemērotu metodi, kas ļauj sniegt brīvu, konkrētu un apzinātu norādi par datu subjekta vēlmēm, vai nu ar paziņojumu, vai skaidri apstiprinošu datu subjekta darbību, nodrošinot, ka persona apzinās, ka tā sniedz piekrišanu personas datu apstrādei, tas ietver laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē un jebkuru citu paziņojumu vai rīcību, kas konkrētajos apstākļos skaidri norāda, ka datu subjekts piekrīt piedāvātajai personas datu apstrādei. Klusēšanai vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma saņemšanas, pieprasījumam jābūt skaidram, kodolīgam un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.

(26) Personas datiem par veselību būtu jo īpaši jāaptver visi dati, kas norāda uz datu subjekta veselības stāvokli; informāciju par personas reģistrāciju ar veselību saistītu pakalpojumu saņemšanai; informāciju par maksājumiem vai tiesībām saņemt veselības aprūpi; numuru, simbolu vai zīmi, kas piešķirta personai, lai to viennozīmīgi identificētu veselības aprūpes nolūkos; jebkuru informāciju par personu, ko vāc ar veselības aprūpi saistītu pakalpojumu sniegšanas laikā; informāciju, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tai skaitā bioloģiskus paraugus; informāciju, kas identificē kādu personu kā veselības aprūpes pakalpojumu sniedzēju personai; vai citu informāciju par, piemēram, slimību, traucējumiem, slimības risku, slimības vēsturi, klīnisko aprūpi vai par aktuālo datu subjekta fizisko vai biomedicīnisko stāvokli, neatkarīgi no tās avota, piemēram, ārsta vai cita veselības aprūpes nozares pārstāvja, slimnīcas, medicīniskas ierīces vai in vitro diagnostikas testa.

(27) Pārziņa galvenās institūcijas atrašanās vieta Savienībā būtu jānosaka, izmantojot objektīvus kritērijus, un tam būtu jānozīmē efektīvas un faktiskas pārvaldes darbības, pieņemot galvenos lēmumus par apstrādes nolūkiem, nosacījumiem un līdzekļiem, ko veic pastāvīga vienība. Šim kritērijam nav jābūt atkarīgam no tā, vai personas datu apstrāde faktiski tiek veikta šajā vietā; personas datu apstrādei vai apstrādes darbībām nepieciešamo tehnisko līdzekļu un tehnoloģiju esība un izmantošana pati par sevi nenozīmē šādas galvenās institūcijas atrašanās vietas esību un nav noteicošie kritēriji galvenās institūcijas atrašanās vietas noteikšanai. Apstrādātāja galvenās institūcijas atrašanās vietai būtu jābūt galvenās pārvaldes institūcijas atrašanās vietai Savienībā.

(28) Uzņēmumu grupai būtu jāietver kontrolējošais uzņēmums un tā kontrolētie uzņēmumi, turklāt par kontrolējošu uzņēmumu būtu jāuzskata uzņēmums, kam var būt dominējoša ietekme uz citu uzņēmumu, piemēram, īpašumtiesību, finanšu līdzdalības vai reglamentējošu noteikumu dēļ, vai pilnvaras panākt personas datu aizsardzības noteikumu īstenošanu.

(29) Bērni ir pelnījuši īpašu savu personas datu aizsardzību, jo tie var pietiekami neapzināties riskus, sekas, aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Lai noteiktu, kad persona ir uzskatāma par bērnu, šajā regulā būtu jāpārņem ANO Konvencijas par bērna tiesībām definīcija.

(30) Jebkurai personas datu apstrādei būtu jābūt likumīgai, godprātīgai un caurskatāmai attiecīgajām personām. Jo īpaši konkrētajiem datu apstrādes nolūkiem būtu jābūt nepārprotamiem un likumīgiem un noteiktiem jau datu vākšanas laikā. Datiem būtu jābūt adekvātiem, atbilstīgiem un jāaprobežojas ar minimumu, kas nepieciešams nolūkiem, kādiem šie dati tiek apstrādāti; tas jo īpaši prasa nodrošināt, ka vākto datu apjoms nav pārmērīgs un to glabāšanas termiņš ir ierobežots līdz stingram minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams sasniegt citiem līdzekļiem. Ir jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. Lai nodrošinātu, ka datus neglabā ilgāk, nekā tas ir nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata.

(31) Lai apstrāde būtu likumīga, personas datus būtu jāapstrādā, pamatojoties uz attiecīgās personas piekrišanu vai citu šajā regulā vai citā Savienības vai dalībvalsts likumā noteiktu leģitīmu pamatu un saskaņā ar šo regulu.

(32) Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāuzliek pienākums pierādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai. Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara.

(33) Lai nodrošinātu, ka piekrišana ir brīva, būtu jāprecizē, ka piekrišana nav derīgs juridiskais pamats, ja personai nav īstas un brīvas izvēles un viņš pēcāk bez zaudējumiem nevar atteikties vai atsaukt savu izvēli.

(34) Piekrišanai nebūtu jābūt par derīgu personas datu apstrādes juridisko pamatu arī tad, ja ir skaidri saskatāma nevienlīdzība datu subjekta un pārziņa attiecībās. Tas jo īpaši ir gadījumos, kad datu subjekts ir atkarīgs no pārziņa, cita starpā, ja personas datu apstrāde izpaužas kā darbinieka personas datu apstrāde, ko veic darba devējs darba attiecību kontekstā. Ja pārzinis ir valsts iestāde nevienlīdzība būtu saskatāma tikai īpašās datu apstrādes darbībās, kad valsts iestāde var uzlikt pienākumu, pamatojoties uz savām valsts iestādes pilnvarām, un piekrišanu nevar uzskatīt par brīvu, ņemot vērā datu subjekta intereses.

(35) Apstrādei būtu jābūt likumīgai, ja tas ir nepieciešams saistībā ar līgumu vai saistībā ar nolūku noslēgt līgumu.

(36) Ja apstrādi veic, izpildot pārziņa juridiskās saistības vai ja apstrāde ir nepieciešama, lai veiktu uzdevumu sabiedrības interesēs vai, īstenojot valsts varu, apstrādes pamatam būtu jābūt noteiktam Savienības tiesībās vai dalībvalsts tiesībās, ievērojot Eiropas Savienības Pamattiesību hartas prasības attiecībā uz tiesību un brīvību ierobežojumiem. Turklāt Savienības vai valstu tiesību aktiem ir jānosaka arī tas, vai pārzinim, kurš veic uzdevumu sabiedrības interesēs vai īstenojot valsts varu, jābūt valsts pārvaldes iestādei vai citai fiziskai vai juridiskai personai, kas ir publisko tiesību subjekts vai privāttiesību subjekts, kā piemēram, profesionāla apvienība.

(37) Personas datu apstrāde tāpat būtu jāuzskata par likumīgu, ja tā nepieciešama, lai aizsargātu kādas intereses, kas būtiski svarīgas datu subjekta dzīvei.

(38) Pārziņa likumīgās intereses var būt apstrādes juridiskais pamats, ja datu subjekta intereses vai pamattiesības un brīvības nav svarīgākas. To būs nepieciešams rūpīgi izvērtēt, jo īpaši, ja datu subjekts ir bērns, ņemot vērā, ka bērniem ir nepieciešama īpaša aizsardzība. Datu subjektam būtu jābūt tiesībām iebilst pret apstrādi, pamatojoties uz to īpašo stāvokli un bez maksas. Lai nodrošinātu pārskatāmību pārzinim būtu jāuzliek pienākums skaidri informēt datu subjektu par pārziņa likumīgajām interesēm un datu subjekta tiesībām iebilst, turklāt būtu jāparedz pienākums dokumentēt šīs likumīgās intereses. Ņemot vērā, ka datu apstrādes juridisko pamatu valsts iestādēm ar likumu ir jānosaka likumdevējam, šis juridiskais pamats nebūtu piemērojams apstrādei, ko veic valsts iestādes, pildot savus uzdevumus.

(39) Datu apstrāde tikai tādā apjomā, kas vajadzīgs tīkla un informācijas drošībai, piemēram, lai nodrošinātu tīkla vai informācijas sistēmu spēju zināmā uzticamības līmenī pretoties nejaušiem gadījumiem vai nelikumīgām un ļaunprātīgām darbībām, kas apdraudētu uzglabāto un nosūtīto datu pieejamību, autentiskumu, integritāti un konfidencialitāti, kā arī saistīto pakalpojumu drošību, kurus piedāvā šie tīkli vai sistēmas, vai caur kurām tie ir pieejami, ja to veic valsts iestādes, Datorapdraudējumu reaģēšanas vienības (CERT), Datordrošības incidentu reaģēšanas vienības (CSIRT), elektronisko sakaru tīklu un pakalpojumu nodrošinātāji un drošības tehnoloģiju un pakalpojumu sniedzēji, ir datu pārziņa likumīgas intereses. Tas varētu, piemēram, palīdzēt novērst neatļautu piekļuvi elektronisko komunikāciju tīkliem un ļaunprātīgu kodu izplatīšanu, kā arī apturēt uzbrukumus pakalpojumiem un novērst datoru un elektronisko komunikāciju sistēmu bojājumus.

(40) Personas datu apstrāde citos nolūkos būtu jāatļauj tikai tad, ja apstrāde notiek, saskaņā ar tiem nolūkiem, kuriem dati sākotnēji vākti, jo īpaši, ja apstrāde ir nepieciešama vēstures, statistikas vai zinātniskās izpētes nolūkos. Ja cits nolūks nav savienojams ar sākotnējo nolūku, kuram dati tika vākti, pārzinim būtu jāsaņem datu subjekta piekrišana šim citam nolūkam vai jārod apstrādei cits leģitīms pamats, lai tā būtu likumīga, jo īpaši saskaņā ar Savienības tiesībām vai dalībvalsts tiesībām, kas ir piemērojamas pārzinim. Jebkurā gadījumā būtu jānodrošina, ka tiek ievēroti šajā regulā noteiktie principi un jo īpaši datu subjekta tiesības uz informāciju par citiem apstrādes nolūkiem.

(41) Personas dati, kas pēc savas būtības ir īpaši sensitīvi un neaizsargāti saistībā ar pamattiesībām vai privātumu, ir īpaši jāaizsargā. Šādus datus nebūtu jāapstrādā, izņemot, ja datu subjekts tam nepārprotami piekrīt. Tomēr attiecībā uz īpašām vajadzībām būtu skaidri jāparedz atkāpes no šā aizlieguma, jo īpaši, ja apstrādi veic konkrētas asociācijas vai nodibinājumi savu likumīgo darbību ietvaros, kuru nolūks ir atļaut izmantot pamatbrīvības.

(42) Atkāpes no sensitīvu datu kategoriju apstrādes aizlieguma būtu jāpieļauj arī tad, ja tās paredzētas likumā un tām paredzēti atbilstoši aizsardzības pasākumi, lai aizsargātu personas datus un citas pamattiesības, ja to attaisno sabiedrības intereses un jo īpaši ar veselību saistītos nolūkos, ietverot, sabiedrības veselību un sociālo aizsardzību un veselības aprūpes pakalpojumu pārvaldi jo īpaši, lai nodrošinātu kvalitāti un rentabilitāti procedūrām, ko izmanto, lai izskatītu pakalpojumu un citu priekšrocību pieprasījumus veselības apdrošināšanas sistēmā, vai vēstures, statistikas un zinātniskās izpētes nolūkos.

(43) Turklāt valsts iestāžu veiktā oficiāli atzītu reliģisku apvienību personu datu apstrāde, lai sasniegtu konstitucionālajās tiesībās vai starptautiskajās publiskajās tiesībās paredzētos mērķus, tiek veikta, pamatojoties uz sabiedrības interesēm.

(44) Dažās dalībvalstīs vēlēšanu pasākumu laikā demokrātiskās sistēmas darbība prasa, lai politiskās partijas vāktu datus par cilvēku politiskajiem uzskatiem, šādu datu apstrādi var pieļaut, pamatojoties uz sabiedrības interesēm, ar noteikumu, ka ir noteikti atbilstoši aizsardzības pasākumi.

(45) Ja pārziņa apstrādātie dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana. Ja ir izteikts pieprasījums piekļūt datiem, datu pārzinim būtu jāpiešķir tiesības prasīt datu subjektam papildu informāciju, kas ļautu datu pārzinim noteikt personas datus, kurus šī persona meklē.

(46) Caurskatāmības principa pamatā ir prasība, ka visai informācijai, kas adresēta sabiedrībai vai datu subjektam, vajadzētu būt viegli pieejamai un viegli saprotamai un ir jāizmanto skaidra un vienkārša valoda. Tas ir jo īpaši svarīgi tādās situācijās, kā piemēram, tiešsaistes reklāma, kad iesaistīto personu skaits un praksē izmantoto tehnoloģiju sarežģītība, apgrūtina datu subjekta iespējas zināt un saprast, vai tiek vākti viņa personas dati, kas to dara un kādam nolūkam. Ņemot vērā, ka bērni ir īpaši jāaizsargā, ja apstrāde īpaši attiecas uz bērnu, informācija būtu jāsniedz un saziņa jāveic tik skaidrā un vienkāršā valodā, ka bērns to viegli var saprast.

(47) Būtu jāparedz kārtība, kas atvieglotu datu subjektam šajā regula paredzēto tiesību izmantošanu, tai skaitā mehānismi, kā bez maksas pieprasīt piekļuvi datiem, to labošanu un dzēšanu un kā izmantot tiesības iebilst. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem noteiktā termiņā un minēt iemeslus, kāpēc datu subjekta pieprasījums nav izpildāms.

(48) Godprātīgas un caurskatāmas apstrādes principi nozīmē, ka datu subjektam būtu jābūt informētam jo īpaši par apstrādes darbībām un to nolūkiem, cik ilgi datus glabās, par piekļuves, labošanas vai dzēšanas tiesībām un par tiesībām iesniegt sūdzību. Ja datus vāc no datu subjekta, datu subjekts būtu jāinformē, vai viņam ir pienākums sniegt datus un kāds būs sekas, ja viņš šos datus nesniegs.

(49) Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves brīdī vai, ja datus neiegūst no datu subjekta, saprātīgā termiņā atkarībā no lietas apstākļiem. Ja datus var likumīgi atklāt citam saņēmējam, datu subjekts būtu jāinformē, kad dati pirmo reizi tiek izpausti saņēmējam.

(50) Tomēr šo pienākumu nav vajadzīgs noteikt gadījumos, kad šī informācija jau ir datu subjekta rīcībā vai ja datu reģistrācija un izpaušana ir skaidri paredzēta likumā, vai ja informācijas sniegšana datu subjektam nav iespējama vai prasītu nesamērīgas pūles. Pēdējais varētu jo īpaši attiekties uz gadījumiem, kad apstrādi veic vēsturiskiem, statistikas vai zinātniskās izpētes nolūkos; šajā sakarībā var ņemt vērā datu subjektu skaitu, datu vecumu un paredzētos kompensējošos pasākumus.

(51) Jebkurai personai būtu jābūt tiesībām piekļūt datiem, kas par viņu savākti, un jāvar viegli izmantot šīs tiesības, lai apzinātu un pārbaudītu apstrādes likumību. Katram datu subjektam tāpēc būtu jābūt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos datus apstrādā, cik ilgi, kas saņem datus, kāda ir datu apstrādes loģika un kādas varētu būt, vismaz ja apstrāde pamatojas uz profilēšanu, šādas apstrādes sekas. Šīm tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības un brīvības, ietverot tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. Tomēr šādu apsvērumu rezultāts nedrīkstētu būt tāds, ka datu subjektam tiek liegta jebkāda informācija.

(52) Pārzinim būtu jāizmanto visi saprātīgi pasākumi, lai pārbaudītu datu subjekta, kas izdara pieprasījumu, identitāti, jo īpaši saistībā ar tiešsaistes pakalpojumiem un tiešsaistes identifikatoriem. Pārzinim nebūtu jāglabā personas dati, ja vienīgais šādas glabāšanas nolūks ir būt spējīgam reaģēt uz iespējamiem pieprasījumiem.

(53) Personai būtu jābūt tiesībām uz viņa personas datus labošanu un "tiesībām tikt aizmirstam", ja šādu datu glabāšana nav paredzēta šajā regulā. Jo īpaši datu subjektiem būtu jābūt tiesībām uz viņu personas datu dzēšanu un apstrādes neturpināšanu, ja dati vairs nav nepieciešami saistībā ar nolūkiem, kuriem tie iegūti vai citādi apstrādāti, ja datu subjekts ir atsaucis piekrišanu apstrādei, vai ja datu subjekts iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citā veidā ir pretrunā ar šo regulu. Šīs tiesības ir īpaši svarīgas, ja datu subjekts ir devis piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus un vēlāk vēlas izņemt šādus personas datus jo īpaši no interneta. Tomēr datu turpmāka saglabāšana būtu jāatļauj, ja tas ir nepieciešams vēstures, statistikas un zinātniskās izpētes nolūkos, pamatojoties uz sabiedrības interesēm sabiedrības veselības aizsardzības jomā, lai izmantotu tiesības uz vārda un informācijas brīvību, kad to paredz likums, vai ja pastāv iemesls dzēšanas vietā ierobežot datu apstrādi.

(54) Lai stiprinātu "tiesības tikt aizmirstam" tiešsaistes vidē, tiesības uz datu dzēšanu būtu paplašināti jāpiemēro tā, lai pārzinim, kas ir publicējis personas datus, būtu pienākums informēt trešās personas, kas apstrādā šādus datus, ka datu subjekts ir pieprasījis dzēst visas saites uz šiem personas datiem, to kopijas vai atveidojumus. Lai nodrošinātu šo informāciju, pārzinim būtu jāveic visi saprātīgi pasākumi, ietverot arī tehniskos pasākumus, saistībā ar datiem, par kuru publicēšanu pārzinis ir atbildīgs. Saistībā ar personas datu publicēšanu, ko veikusi trešā puse, pārzinis būtu jāuzskata par atbildīgu par šo publicēšanu, ja pārzinis ir atļāvis trešai pusei publicēt datus.

(55) Lai vēl vairāk stiprinātu kontroli pār saviem datiem un piekļuves tiesības, datu subjektam gadījumos, kad personas datus apstrādā elektroniskiem līdzekļiem un strukturētā un plaši izmantotā formātā, vajadzētu būt tiesībām iegūt savu datu kopiju plaši izmantotā elektroniskā formātā. Datu subjektam būtu jāatļauj arī nosūtīt datus, ko viņš ir sniedzis, no vienas automatizētas lietotnes, piemēram, sociālā tīkla, uz citu. Tas būtu piemērojams, ja datu subjekts sniedza datus automatizētas apstrādes sistēmai, pamatojoties uz piekrišanu vai izpildot līgumu.

(56) Gadījumos, kad personas datus var likumīgi apstrādāt, lai aizsargātu īpaši svarīgas datu subjekta intereses vai, pamatojoties uz sabiedrības interesēm, valsts varas īstenošanu vai pārziņa likumīgām interesēm, datu subjektam tomēr būtu jābūt tiesībām iebilst pret jebkādu uz viņu attiecināmu datu apstrādi. Pierādīšanas pienākums būtu jāuzliek pārzinim, proti, pierādīt, ka viņa likumīgās intereses ir svarīgākas par datu subjekta pamattiesībām un brīvībām.

(57) Ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam vajadzētu būt tiesībām viegli izmantojamā un efektīvā veidā bez maksas iebilst pret šādu apstrādi.

(58) Katrai fiziskai personai vajadzētu būt tiesībām nebūt pakļautai pasākumam, kas pamatojas uz profilēšanu ar automatizētas apstrādes līdzekļiem. Tomēr šādus pasākumus būtu jāatļauj, ja tas tieši paredzēts likumā, veikts līguma noslēgšanas vai izpildes gaitā vai ja datu subjekts ir devis savu piekrišanu. Jebkurā gadījumā uz šādu apstrādi jāattiecina atbilstoši aizsardzības pasākumi, ietverot datu subjekta īpašu informēšanu un tiesības panākt cilvēka iejaukšanos, un šāda pasākuma neattiecināšanu uz bērnu.

(59) Savienības vai dalībvalstu tiesībās var paredzēt ierobežojumus atsevišķiem principiem un tiesībām uz informāciju, piekļuvi, labošanu un dzēšanu vai tiesībām uz datu pārnešanu un tiesībām iebilst, kā arī pasākumiem, kas pamatojas uz profilēšanu, un tiesībām uz personas datu aizsardzības pārkāpumu paziņošanu datu subjektam un dažiem citiem ar to saistītiem pārziņa pienākumiem tādā apmērā, cik tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrības drošību, ietverot cilvēka dzīvības aizsardzību, jo īpaši reaģējot uz dabas vai cilvēka izraisītu katastrofu, noziedzīgu nodarījumu un regulēto profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, un citas Savienības vai dalībvalsts intereses, jo īpaši svarīgas Savienības vai dalībvalsts ekonomikas vai finanšu intereses, vai datu subjekta interešu un citu personu tiesību un brīvību aizsardzību. Šiem ierobežojumiem būtu jābūt saskaņā ar Eiropas Savienības Pamattiesību hartas un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas noteikumiem.

(60) Būtu jāparedz vispusīga pārziņa atbildība par personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši pārzinim būtu jāuzliek pienākums nodrošināt un uzskatāmi parādīt, ka katra apstrādes darbība notiek saskaņā ar šo regulu.

(61) Datu subjektu tiesību un brīvību aizsardzība attiecībā uz personas datu apstrādi prasa atbilstošus tehniskus un organizatoriskus pasākumus gan apstrādes sistēmas izveides laikā, gan pašas apstrādes laikā, lai nodrošinātu, ka tiek ievērotas šīs regulas prasības. Lai nodrošinātu un uzskatāmi parādītu, ka šī regula ir ievērota, pārzinim būtu jāpieņem iekšējas vadlīnijas un jāīsteno atbilstoši pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.

(62) Datu subjekta tiesību un brīvību aizsardzība un pārziņa un apstrādātāja pienākumi un atbildība, arī saistībā ar uzraudzības iestāžu uzraudzību un īstenotajiem pasākumiem, prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus, nosacījumus un līdzekļus nosaka kopā ar citiem pārziņiem vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

(63) Ja pārzinis, kas neatrodas Savienībā, apstrādā Savienībā dzīvojošu datu subjektu personas datus un šīs apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šiem datu subjektiem vai ar viņu uzvedības novērošanu, pārzinim būtu jānorīko pārstāvis, izņemot, ja pārzinis atrodas valstī, kas nodrošina pietiekamu aizsardzības līmeni, vai ja pārzinis ir mazs vai vidējs uzņēmums vai valsts iestāde, vai struktūra, vai ja pārzinis preces un pakalpojumus šādiem datu subjektiem piedāvā tikai palaikam. Pārstāvim būtu jārīkojas pārziņa vārdā un pie tā var vērsties jebkura uzraudzības iestāde.

(64) Lai noteiktu, vai pārzinis tikai palaikam piedāvā preces un pakalpojumus datu subjektiem, kuru dzīvesvieta ir Savienībā, būtu jāpārliecinās, vai no pārziņa vispārīgās darbības acīmredzami izriet, ka preču un pakalpojumu piedāvāšana šādiem datu subjektiem ir tikai palīgdarbība salīdzinājumā ar galveno darbību.

(65) Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim vai apstrādātājam būtu jādokumentē katra apstrādes darbība. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt šo dokumentāciju pieejamu, lai tā varētu kalpot apstrādes darbību uzraudzības vajadzībām.

(66) Lai garantētu drošību un novērstu apstrādi, kas ir pretrunā ar šo regulu, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai. Šiem pasākumiem, ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, būtu jānodrošina attiecīga drošības pakāpe attiecībā uz apstrādei raksturīgajiem riskiem un aizsargājamo personas datu īpatnībām. Nosakot tehniskos standartus un organizatoriskos pasākumus, kas nodrošina apstrādes drošību, Komisijai būtu jāveicina tehnoloģiskā neitralitāte, savietojamība un inovācija un attiecīgos gadījumos jāsadarbojas ar trešām valstīm.

(67) Ja uz personas datu aizsardzības pārkāpumiem nereaģē pienācīgi un savlaicīgi, tie var attiecīgajai personai radīt būtiskus ekonomiskos zaudējumus un sociālo kaitējumu, tostarp identitātes viltojumu. Tāpēc tiklīdz pārzinim ir kļuvis zināms, ka ir noticis šāds personas datu aizsardzības pārkāpums, pārzinim nekavējoties būtu jāpaziņo par pārkāpumu uzraudzības iestādei, ja iespējams, 24 stundu laikā. Ja to nevar paveikt 24 stundu laikā, paziņojumam būtu jāpievieno paskaidrojums par kavēšanās iemesliem. Personas, kuru datus var negatīvi ietekmēt šis pārkāpums, būtu bez kavēšanās jāinformē, lai tie varētu veikt nepieciešamos piesardzības pasākumus. Pārkāpumu būtu jāuzskata par tādu, kas var negatīvi ietekmēt datu subjekta personas datus vai privāto dzīvi, ja tā rezultātā iespējama, piemēram, identitātes zādzība vai viltošana, fizisks kaitējums, nopietns pazemojums vai reputācijas aizskārums. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma būtība, kā arī ieteikumi, kā attiecīga persona varētu mīkstināt iespējamās negatīvās sekas. Paziņošana datu subjektam būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar uzraudzības iestādi, ievērojot tās vai citas attiecīgas iestādes (piemēram, tiesībaizsardzības iestādes) sniegtos norādījumus. Piemēram, lai datu subjektam dotu iespēju mīkstināt tūlītēju kaitējuma risku, būtu nepieciešams ātri sniegt attiecīgu paziņojumu datu subjektam, taču nepieciešamība īstenot piemērotus pasākumus, lai novērstu datu aizsardzības pārkāpuma turpināšanos vai līdzīgus pārkāpumus, var attaisnot kavēšanos.

(68) Lai noteiktu, vai personas datu aizsardzības pārkāpums ir paziņots uzraudzības iestādei un datu subjektam bez nepamatotas kavēšanās, būtu jāpārliecinās, vai pārzinis ir īstenojis un piemērojis attiecīgus tehniskos un organizatoriskos aizsardzības pasākumus, lai nekavējoties noteiktu, vai ir noticis personas datu aizsardzības pārkāpums, un atbilstoši informētu uzraudzības iestādi un datu subjektu pirms ir radies kaitējums personiskajām un ekonomiskajām interesēm, jo īpaši ņemot vērā personas datu aizsardzības pārkāpuma būtību un smagumu, kā arī sekas un nelabvēlīgo ietekmi uz datu subjektu.

(69) Nosakot sīki izstrādātus noteikumus par formātu un kārtību, kādā jāpaziņo par personas datu aizsardzības pārkāpumiem, būtu pienācīgi jāņem vērā apstākļi, kādos noticis pārkāpums, tostarp tas, vai personas dati ir bijuši aizsargāti ar piemērotiem tehniskiem aizsarglīdzekļiem, ar kuru palīdzību var efektīvi ierobežot identitātes viltošanas vai cita veida ļaunprātīgas izmantošanas iespējamību. Turklāt, izstrādājot šādus noteikumus un kārtību, būtu jāņem vērā tiesībaizsardzības iestāžu likumīgās intereses gadījumos, kad priekšlaicīga informācijas atklāšana varētu nevajadzīgi kavēt pārkāpuma apstākļu izmeklēšanu.

(70) Direktīvā 95/46/EK bija noteikts vispārīgs pienākums paziņot par personas datu apstrādi uzraudzības iestādei. Šis pienākums radīja administratīvu un finanšu slogu un ne vienmēr palīdzēja uzlabot personas datu aizsardzību. Tāpēc šāds nekritisks vispārīgs paziņošanas pienākums būtu jāatceļ un jāaizstāj ar efektīvām procedūrām un mehānismiem, kas pievēršas tām apstrādes darbībām, kas visdrīzāk īpaši apdraud datu subjekta tiesības un brīvības savas būtības, apmēra vai nolūku dēļ. Šādos gadījumos pārzinim vai apstrādātājam pirms apstrādes būtu jāveic datu aizsardzības ietekmes novērtējums, kurā jo īpaši būtu jāietver paredzētie pasākumi, aizsardzības līdzekļi un mehānismi, kas nodrošina personas datu aizsardzību un kas uzskatāmi parāda, ka ir ievēroti šīs regulas noteikumi.

(71) Tam jo īpaši būtu jāattiecas uz jaunizveidotām plaša mēroga kartotēkām, kuru mērķis ir ievērojama personas datu apjoma apstrāde reģionālā, valsts vai starpvalstu līmenī un kas var ietekmēt lielu datu subjektu skaitu.

(72) Noteiktos apstākļos var būt saprātīgi un lietderīgi veikt plašāku datu aizsardzības ietekmes novērtējumu, kura priekšmets nav tikai viens projekts, piemēram, ja valsts iestādes vai struktūras vēlas izveidot vienotu lietotņu vai apstrādes platformu vai ja vairāki pārziņi plāno ieviest vienotu lietotņu vai apstrādes vidi kādā rūpniecības nozarē vai segmentā, vai kādai plaši lietotai horizontālai darbībai.

(73) Datu aizsardzības ietekmes novērtējumus būtu jāveic valsts iestādei vai valsts struktūrai, ja šāds novērtējums jau nav veikts, pieņemot likumu, uz kuru pamatojas valsts iestādes vai struktūras darbs un kas regulē attiecīgo konkrēto apstrādes darbību vai apstrādes darbību kopumu.

(74) Ja datu aizsardzības ietekmes novērtējums norāda, ka apstrādes darbības ir saistītas ar augstu īpaša apdraudējuma pakāpi datu subjekta tiesībām un brīvībām, kā piemēram, tiesību izmantošanas liegšana, vai saistībā ar īpašu, jaunu tehnoloģiju izmantošanu, pirms darbību uzsākšanas par riskanto apstrādi, kas varētu pārkāpt šīs regulas noteikumus, būtu jākonsultējas ar uzraudzības iestādi un jāiesniedz priekšlikumi, kā šo situāciju uzlabot. Šādām konsultācijām būtu vienlīdz jānotiek vai nu valsts parlamenta akta sagatavošanas gaitā, vai tāda pasākuma sagatavošanas gaitā, kas pamatojas uz likumdevēja aktu, kurā noteikts apstrādes raksturs un paredzēti atbilstoši aizsardzības līdzekļi.

(75) Ja apstrādi veic publiskajā sektorā vai ja to privātajā sektorā veic liels uzņēmums, vai ja uzņēmuma galvenā darbība neatkarīgi no tā izmēra ir apstrādes darbības, kurām nepieciešama regulāra un sistemātiska uzraudzība, kādai personai būtu jāpalīdz pārzinim vai apstrādātājam iekšēji uzraudzīt šīs regulas ievērošanu. Šādiem datu aizsardzības inspektoriem, neatkarīgi no tā, vai viņus nodarbina pārzinis, būtu jāspēj neatkarīgi veikt savus uzdevumus un pienākumus.

(76) Lai atvieglotu šīs regulas efektīvu piemērošanu, pārziņu asociācijas vai citas tos pārstāvošas apvienības būtu jāmudina izstrādāt profesionālās ētikas kodeksus, ievērojot šajā regulā paredzētos ierobežojumus un ņemot vērā apstrādes īpatnības konkrētās nozarēs.

(77) Lai uzlabotu caurskatāmību un šīs regulas ievērošanu, būtu jāiedrošina izstrādāt sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, kas ļautu datu subjektam ātri novērtēt datu aizsardzības līmeni saistībā ar konkrētiem produktiem un pakalpojumiem.

(78) Personas datu pārrobežu aprite ir vajadzīga starptautiskās tirdzniecības un sadarbības paplašināšanai. Šīs aprites palielināšanās ir radījusi jaunas problēmas un bažas par personas datu aizsardzību. Taču personām garantētajam aizsardzības līmenim nebūtu jāsamazinās tikai tāpēc, ka personas dati tiek nosūtīti no Savienības uz citām trešām valstīm vai starptautiskām organizācijām. Jebkurā gadījumā nosūtīt datus uz trešām valstīm var tikai pilnībā ievērojot šīs regulas noteikumus.

(79) Šī regula neskar starptautiskos nolīgumus, kas noslēgti starp Savienību un trešām valstīm par personas datu nosūtīšanu un atbilstošiem aizsardzības pasākumiem datu subjektiem.

(80) Komisija var nolemt attiecībā uz visu Savienību, ka konkrēta trešā valsts, trešās valsts teritorija vai apstrādes nozare vai starptautiska organizācija piedāvā pietiekamu datu aizsardzības līmeni, tādējādi nodrošinot tiesisko noteiktību un vienotību visā Savienībā attieksmē pret trešām valstīm vai starptautiskām organizācijām, par kurām uzskata, ka tās nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz šīm valstīm var nosūtīt un nav jāsaņem nekāda cita atļauja.

(81) Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai, novērtējot trešo valsti, būtu jāņem vērā, kā trešā valstī ir ievērots tiesiskums, tiesu pieejamība, kā arī starptautiskās cilvēktiesību normas un standarti.

(82) Komisija tāpat var atzīt, ka trešā valsts, trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nepiedāvā pietiekamu aizsardzības līmeni. Attiecīgi personas datu nosūtīšana uz šo trešo valsti būtu jāaizliedz. Šādā gadījumā būtu jāparedz noteikumi par apspriešanās procesu starp Komisiju un šādu trešo valsti vai starptautisku organizāciju.

(83) Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, veicot atbilstošus datu subjekta aizsardzības pasākumus. Šādi atbilstoši aizsardzības pasākumi varētu nozīmēt, ka tiek izmantoti saistošie uzņēmuma noteikumi, Komisijas pieņemtie tipveida datu aizsardzības noteikumi, uzraudzības iestādes pieņemtie tipveida datu aizsardzības noteikumi vai uzraudzības iestādes apstiprināti līguma noteikumi, vai citi piemēroti un samērīgi pasākumi, kuru izmantošanu attaisno datu nosūtīšanas darbības apstākļi vai datu nosūtīšanas darbību kopuma apstākļi un ja to ir atļāvusi uzraudzības iestāde.

(84) Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai uzraudzības iestādes pieņemtos tipveida datu aizsardzības noteikumus, nebūtu jāizslēdz, ka pārzinis vai apstrādātājs var iekļaut tipveida datu aizsardzības noteikumus plašākā līgumā vai pievienot citus noteikumus, ja vien tie tieši vai netieši nav pretrunā ar Komisijas vai uzraudzības iestādes pieņemtajiem tipveida datu aizsardzības noteikumiem vai neierobežo datu subjekta pamattiesības un brīvības.

(85) Uzņēmumu grupai būtu jābūt iespējai izmantot apstiprinātus saistošos uzņēmuma noteikumus datu starptautiskai nosūtīšanai ārpus Savienības uz organizācijām, kas pieder pie tās pašas uzņēmumu grupas, ja vien šādi saistošie uzņēmuma noteikumi ietver galvenos principus un īstenojamas tiesības, kas nodrošina atbilstošus aizsardzības pasākumus personas datu nosūtīšanai vai nosūtīšanas kategorijām.

(86) Būtu jāparedz noteikumi, kas ļauj nosūtīt datus atsevišķos apstākļos, ja datu subjekts ir devis piekrišanu, ja nosūtīšana ir nepieciešama saistībā ar līgumu vai tiesisku prasījumu, ja tas nepieciešams, pamatojoties uz Savienības vai dalībvalsts tiesībās noteiktām svarīgām sabiedrības interesēm, vai ja datus nosūta no reģistra, kas izveidots ar likumu un kas paredzēts, lai likumīgi ieinteresētas personas vai sabiedrība, varētu tajā ieskatīties. Pēdējā gadījumā nebūtu jānosūta pilnīgi visi reģistrā ietvertie dati vai veselas datu kategorijas, un ja reģistrs ir paredzēts, lai tajā varētu ieskatīties likumīgi ieinteresētas personas, datus būtu jānosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas.

(87) Šīs atkāpes jo īpaši būtu jāattiecina uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga, lai aizsargātu svarīgas sabiedrības intereses, piemēram, kad starptautiska datu nosūtīšana notiek starp konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm, dienestiem, kuru kompetencē ir sociālā nodrošinājuma jautājumi, vai ja datus nosūta iestādēm, kuru kompetencē ir noziedzīgu nodarījumu novēršana, izmeklēšana, atklāšana un saukšana pie atbildības par tiem.

(88) Nosūtīšana, ko nevar kvalificēt kā biežu vai masveida, varētu būtu iespējama arī pamatojoties uz pārziņa vai apstrādātāja likumīgām interesēm, pēc tam, kad viņi ir novērtējuši visus ar datu nosūtīšanu saistītos apstākļus. Apstrādājot datus vēstures, statistikas un zinātniskās izpētes nolūkos, būtu jāņem vērā, ka sabiedrībai ir leģitīmas tiesības sagaidīt zināšanu pieaugumu.

(89) Jebkurā gadījumā, ja Komisija nav pieņēmusi lēmumu par datu aizsardzības līmeņa pietiekamību trešā valstī, pārzinim un apstrādātājam būtu jāizmanto risinājumi, kas garantē datu subjektam, ka tie joprojām varēs baudīt savas pamattiesības un aizsardzības pasākumus attiecībā uz viņu datu apstrādi Savienībā arī pēc tam, kad dati būs nosūtīti.

(90) Dažas trešās valstis ievieš likumus, noteikumus un citus tiesību aktus, kuru mērķis ir tieši regulēt datu apstrādes darbības, ko fiziskas un juridiskas personas veic dalībvalstu jurisdikcijā. Šādu likumu, noteikumu vai citu tiesību aktu ekstra teritoriāla piemērošana var būt pretrunā ar starptautiskām tiesībām un var kavēt šīs regulas garantētās aizsardzības nodrošināšanu fiziskām personām. Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešo valsti ir izpildīti. Tas cita starpā varētu būt gadījumos, ja izpaušana ir nepieciešama, pamatojoties uz svarīgām Savienības tiesībās vai dalībvalstu tiesībās, kuru subjekts ir pārzinis, atzītām sabiedrības interesēm. Nosacījumi, saskaņā ar kuriem konstatē, ka pastāv svarīgas sabiedrības intereses, būtu jāprecizē deleģētā Komisijas tiesību aktā.

(91) Personas datu pārvietošanās pāri robežām var ievērojami ietekmēt personu spējas izmantot tiesības uz datu aizsardzību, jo īpaši, aizsargāt sevi pret nelikumīgu izmantošanu vai informācijas atklāšanu. Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās robežu otrā pusē. Viņu pūliņus kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās pilnvaras prevencijas un tiesībaizsardzības jomā, tiesisko regulējumu atšķirības un tādi praktiskie šķēršļi kā, piemēram, ierobežoti līdzekļi. Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām apmainīties ar informāciju un veikt izmeklēšanas kopā ar kolēģiem citās valstīs.

(92) Uzraudzības iestāžu, kuras pilda savas funkcijas pilnīgi neatkarīgi, izveide dalībvalstīs ir būtiska sastāvdaļa personu aizsardzībā attiecībā uz personas datu apstrādi. Dalībvalstis var izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai vai administratīvajai uzbūvei.

(93) Ja dalībvalsts izveido vairākas uzraudzības iestādes, tai būtu ar likumu jāizveido mehānisms, kas nodrošina efektīvu šo uzraudzības iestāžu dalību konsekvences mehānismā. Dalībvalstij būtu jo īpaši jānorīko tā uzraudzības iestāde, kas būs vienotais kontaktpunkts efektīvai šo iestāžu dalībai mehānismā, lai nodrošinātu ātru un raitu sadarbību ar citām uzraudzības iestādēm, Eiropas Datu aizsardzības kolēģiju un Komisiju.

(94) Katrai uzraudzības iestādei būtu jāpiešķir atbilstoši finanšu un cilvēkresursi, telpas un infrastruktūra, kas nepieciešama efektīvai uzdevumu izpildei, tostarp arī to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Savienībā.

(95) Nosacījumi, lai kļūtu par uzraudzības iestādes locekli, katrā dalībvalstī būtu jānosaka ar likumu un jo īpaši būtu jānodrošina, ka šos locekļus amatā ieceļ vai nu dalībvalsts parlaments vai valdība, turklāt būtu jāiekļauj noteikumi par locekļu kvalifikāciju un statusu.

(96) Uzraudzības iestādēm būtu jāuzrauga šīs regulas noteikumu īstenošanu un jāveicina tās saskanīga piemērošana visā Savienībā, lai aizsargātu fiziskas personas attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti iekšējā tirgū. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas vienai ar otru un ar Komisiju.

(97) Ja personas datu apstrāde saistībā ar darbībām, ko veic pārziņa vai apstrādātāja institūcija Savienībā, notiek vairāk nekā vienā dalībvalstī, par šā pārziņa vai apstrādātāja darbību uzraudzību un attiecīgu lēmumu pieņemšanu visā Savienībā būtu jāatbild tikai vienai uzraudzības iestādei, lai nodrošinātu konsekventu piemērošanu, tiesisko noteiktību un samazinātu administratīvo slogu šādiem pārziņiem un apstrādātājiem.

(98) Kompetentajai iestādei, kas pilda šādas vienas pieturas aģentūras pienākumus, būtu jābūt tās dalībvalsts uzraudzības iestādei, kurā atrodas pārziņa vai apstrādātāja galvenā institūcija.

(99) Kaut arī šī regula ir piemērojama arī valsts tiesu darbībai, ja tiesa personas datus apstrādā veicot tiesas spriešanas funkciju, šāda apstrāde nebūtu jāiekļauj uzraudzības iestādes kompetencē, lai saglabātu tiesnešu neatkarību, pildot savus tiesneša uzdevumus. Tomēr šo izņēmumu būtu jāpiemēro ierobežoti un jāattiecina tikai uz tiesas spriešanas darbībām tiesas lietā, tas nebūtu jāattiecina uz citām tiesnešu aktivitātēm, kurās tie varētu būt iesaistīti saskaņā ar valsts tiesībām.

(100) Lai nodrošinātu konsekventu šīs regulas piemērošanas uzraudzību un izpildi visā Savienībā, uzraudzības iestādēm katrā dalībvalstī būtu jābūt vieniem un tiem pašiem uzdevumiem un efektīvām pilnvarām, ietverot pilnvaras izmeklēt, juridiski saistošas pilnvaras iejaukties, tiesības pieņemt lēmumus un lemt par sankcijām, jo īpaši personu sūdzību gadījumos, un tiesības iesaistīties procesuālās darbībās. Uzraudzības iestādes pilnvaras veikt izmeklēšanu attiecībā uz piekļuvi telpām būtu jāīsteno saskaņā ar Savienības un valsts tiesībām. Tas jo īpaši attiecas uz prasību saņemt iepriekšēju tiesas atļauju.

(101) Katrai uzraudzības iestādei būtu jābūt tiesīgai uzklausīt jebkura datu subjekta sūdzību un izmeklēt to. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, pakļaujot to tiesas kontrolei. Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības virzību un iznākumu. Ja lietā ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija.

(102) Uzraudzības iestāžu rīkotie izpratnes paaugstināšanas pasākumi, kuru mērķauditorija ir sabiedrība, ietver arī īpašus pasākumus, kas adresēti pārziņiem un apstrādātājiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, kā arī datu subjektiem.

(103) Uzraudzības iestādēm būtu vienai otra jāatbalsta viņu pienākumu veikšanā un jāsniedz savstarpēja palīdzība, lai nodrošinātu šīs regulas konsekventu piemērošanu un izpildi iekšējā tirgū.

(104) Katrai uzraudzības iestādei būtu jābūt tiesībām piedalīties kopīgās uzraudzības iestāžu operācijās. Uzraudzības iestādei, kurai izteikts pieprasījums, būtu pienākums atbildēt uz pieprasījumu konkrētā termiņā.

(105) Lai nodrošinātu šīs regulas konsekventu piemērošanu visā Savienībā, būtu jāizveido konsekvences mehānisms sadarbībai starp uzraudzības iestādēm un ar Komisiju. Šo mehānismu jo īpaši būtu jāpiemēro, ja uzraudzības iestāde gatavojas īstenot pasākumu attiecībā uz datu apstrādes darbībām, kas ir saistītas ar preču un pakalpojumu piedāvāšanu datu subjektiem vairākās dalībvalstīs, vai ar šādu datu subjektu novērošanu, vai ja tas varētu būtiski ietekmēt personas datu brīvu apriti. Tas būtu jāpiemēro arī gadījumos, kad uzraudzības iestāde vai Komisija pieprasa kāda jautājuma izskatīšanu konsekvences mehānisma ietvaros. Šim mehānismam nebūtu jāskar pasākumus, ko Komisija varētu rīkot, īstenojot savas pilnvaras saskaņā ar Līgumiem.

(106) Piemērojot konsekvences mehānismu Eiropas Datu aizsardzības kolēģijai būtu noteiktā termiņā jāsniedz atzinums, ja tā nolemj kolēģijas locekļu vienkāršs vairākums vai ja to pieprasa uzraudzības iestāde vai Komisija.

(107) Lai nodrošinātu šīs regulas ievērošanu, Komisija var pieņemt atzinumu par šo jautājumu vai lēmumu, kurā pieprasa uzraudzības iestādei apturēt tās pasākuma projektu.

(108) Ir iespējama situācija, kurā ir steidzami nepieciešams rīkoties, lai aizsargātu datu subjektu intereses, jo īpaši, ja pastāv draudi, ka var būt ievērojami traucēta datu subjekta tiesību izmantošana. Tāpēc uzraudzības iestādei būtu jābūt tiesībām, piemērojot konsekvences mehānismu, pieņemt pagaidu pasākumus ar ierobežotu termiņu.

(109) Šā mehānisma piemērošanai jābūt par priekšnosacījumu attiecīgā uzraudzības iestādes lēmuma juridiskajai spēkā esamībai un izpildei. Citās lietās, kas ir svarīgas pārrobežu kontekstā, uzraudzības iestāžu savstarpējo palīdzību un kopīgas izmeklēšanas varētu rīkot, pamatojoties uz to divpusējām vai daudzpusējām attiecībām, neiedarbinot konsekvences mehānismu.

(110) Savienības līmenī būtu jāizveido Eiropas Datu aizsardzības kolēģija. Ar to būtu jāaizstāj Darba grupa par personu aizsardzību attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvu 95/46/EK. Tai būtu jāsastāv no katras dalībvalsts uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja. Komisijai būtu jāpiedalās kolēģijas darbā. Eiropas Datu aizsardzības kolēģijai būtu jāpalīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā, tostarp jāsniedz padomi Komisijai un jāveicina uzraudzības iestāžu sadarbība visā Savienībā. Eiropas Datu aizsardzības kolēģijai, pildot savus uzdevumus, būtu jārīkojas neatkarīgi.

(111) Katram datu subjektam būtu jābūt tiesībām iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē un uz tiesību aizsardzību tiesā, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas vai ja uzraudzības iestāde nereaģē uz sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības.

(112) Jebkurai vienībai, organizācijai vai asociācijai, kuras mērķis ir datu subjekta tiesību un interešu aizsardzība attiecībā uz viņu datu aizsardzību un kas ir izveidota saskaņā ar dalībvalsts tiesībām, būtu jābūt tiesībām iesniegt sūdzību uzraudzības iestādē vai tiesībām iesniegt prasību tiesā datu subjekta vārdā vai iesniegt savu sūdzību neatkarīgi no datu subjekta sūdzības, ja tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums.

(113) Katrai fiziskai vai juridiskai personai būtu jābūt tiesībām uz tiesas aizsardzību pret uzraudzības iestādes lēmumiem, kas to skar. Tiesvedībai pret uzraudzības iestādi būtu jānotiek tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

(114) Lai stiprinātu datu subjektu tiesību aizsardzību tiesā situācijās, kad kompetentā uzraudzības iestāde atrodas citā dalībvalstī, kas nav datu subjekta dzīvesvietas dalībvalsts, datu subjekts var lūgt jebkurai vienībai, organizācijai vai asociācijai, kuras mērķis ir datu subjektu tiesību un interešu aizsardzība saistībā ar viņu datu aizsardzību, iesniegt datu subjekta vārdā kompetentajā citas dalībvalsts tiesā prasību pret uzraudzības iestādi.

(115) Gadījumos, kad uzraudzības iestāde, kas atrodas citā dalībvalstī nerīkojas vai ir īstenojusi nepietiekamus pasākumus saistībā ar sūdzību, datu subjekts var lūgt uzraudzības iestādi savas pastāvīgās dzīvesvietas dalībvalstī iesniegt kompetentajā citas dalībvalsts tiesā prasību pret attiecīgo uzraudzības iestādi. Uzraudzības iestāde, kurai izteikts šāds pieprasījums, var lemt, vai ir pamats izpildīt šādu pieprasījumu ar noteikumu, ka šo lēmumu var pārsūdzēt tiesā.

(116) Tiesvedībā pret pārzini vai apstrādātāju, prasītājam būtu jābūt izvēles tiesībām vērsties tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja institūcija vai kurā atrodas datu subjekta dzīvesvieta, izņemot, ja pārzinis ir valsts iestāde, kas rīkojas, pildot savas valsts iestādes pilnvaras.

(117) Ja ir norādes, ka dažādu dalībvalstu tiesās norisinās paralēla tiesvedība, tiesām būtu jābūt pienākumam sazināties vienai ar otru. Tiesām būtu jābūt iespējai apturēt lietas izskatīšanu, ja citā dalībvalstī norisinās paralēla tiesvedība. Dalībvalstīm būtu jānodrošina, ka tiesa var efektīvi rīkoties un var ātri pieņemt pasākumus, kas izlīdzina vai novērš šīs regulas pārkāpumu.

(118) Jebkurus zaudējumus, kurus persona var ciest nelikumīgas apstrādes rezultātā, būtu jākompensē pārzinim vai apstrādātājam, kuru var atbrīvot no atbildības, ja tas pierāda, ka nav atbildīgs par zaudējumiem, īpaši gadījumos, kad tas konstatē datu subjekta vainu vai force majeure gadījumā.

(119) Būtu jāpiemēro sankcijas jebkurai personai - privāto vai publisko tiesību subjektam, kura neievēro šo regulu. Dalībvalstīm būtu jānodrošina, ka sankcijas ir efektīvas, samērīgas un atturošas un tām būtu jāveic visi pasākumi sankciju īstenošanai.

(120) Lai stiprinātu un tuvinātu administratīvās sankcijas par regulas pārkāpumiem, katrai uzraudzības iestādei būtu jāpiešķir pilnvaras sodīt par administratīviem pārkāpumiem. Šajā regulā būtu jāuzskaita šie pārkāpumi un jānosaka maksimālais attiecīgā administratīvā naudas soda apmērs, savukārt, soda apmēru katrā atsevišķā gadījumā būtu jānosaka samērīgi konkrētajai situācijai, pienācīgi ņemot vērā jo īpaši pārkāpuma būtību, smagumu un ilgumu. Konsekvences mehānismu arī varētu izmantot, lai aptvertu tos gadījumus, kad ir novērojamas atšķirības administratīvo sankciju piemērošanā.

(121) Personas datu apstrāde tikai un vienīgi žurnālistikas vajadzībām vai mākslinieciskās vai literārās izpausmes vajadzībām būtu jākvalificē kā izņēmums, uz kuru neattiecas atsevišķas regulas prasības, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību un jo īpaši tiesībām saņemt un sniegt informāciju, kā tas garantēts Eiropas Savienības Pamattiesību hartas 11. pantā. Tas būtu jo īpaši jāpiemēro personas datu apstrādei audiovizuālajā jomā un ziņu arhīvos, un preses bibliotēkās. Tāpēc dalībvalstīm būtu jāpieņem leģislatīvi akti, kuros būtu noteikti izņēmumi un atkāpes, kas ir nepieciešamas šo pamattiesību līdzsvara nodrošināšanai. Šie izņēmumi un atkāpes dalībvalstīm būtu jāpieņem par vispārīgajiem principiem, datu subjektu tiesībām, par pārziņiem un apstrādātājiem, par datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, par neatkarīgām uzraudzības iestādēm un sadarbību un konsekvenci. Tam tomēr nevajadzētu nozīmēt, ka dalībvalstis nosaka izņēmumus no citiem šīs regulas noteikumiem. Lai vārda un izteiksmes brīvības īpaši svarīgā loma katrā demokrātiskā sabiedrībā būtu pietiekami ņemta vērā, jēdzienus, kas saistīti ar šo brīvību, piemēram, jēdzienu žurnālistika, ir jāinterpretē plaši. Tāpēc šajā regulā paredzēto izņēmumu un atkāpju piemērošanas vajadzībām dalībvalstīm darbība būtu jāklasificē kā "žurnālistika", ja šādas darbības objekts ir informācijas, viedokļu vai ideju atklāšana sabiedrībai neatkarīgi no plašsaziņas līdzekļa, kas izmantots, lai tos pārraidītu. Tiem nebūtu jāaprobežojas ar plašsaziņas līdzekļu uzņēmumiem un pārraide var būt veikta gan peļņas gūšanas, gan bezpeļņas nolūkos.

(122) Personas veselības datu apstrāde, kas ir īpašas kategorijas dati un kas ir īpaši jāaizsargā, bieži vien var būt attaisnota vairāku leģitīmu iemeslu dēļ personas un visas sabiedrības labā, jo īpaši saistībā ar pārrobežu veselības aprūpes nepārtrauktības nodrošināšanu. Tāpēc šai regulai būtu jānodrošina tuvināti nosacījumi personas veselības datu apstrādei, ievērojot īpašus un atbilstošus aizsardzības pasākumus, lai aizsargātu pamattiesības un personas datus. Tas ietver arī fizisku personu tiesības piekļūt saviem personas veselības datiem, piemēram, datiem par slimības vēsturi, kas aptver tādu informāciju kā diagnoze, analīžu rezultāti, ārstējošā terapeita vērtējums un ārstēšanas vai medicīniskās iejaukšanās pasākumi.

(123) Personas veselības datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu vārdā ar sabiedrības veselību saistītās jomās. Minētajā kontekstā "sabiedrības veselība" būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes 2008. gada 16. decembra Regulā (EK) Nr. 1338/2008 attiecībā uz Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā, proti, kā visi elementi, kas saistīti ar veselību, proti, veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums, un nāves cēloņi. Šādai personas veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka trešās personas, piemēram, darba devēji, apdrošināšanas sabiedrības un kredītiestādes apstrādā personas datus citos nolūkos.

(124) Principi fizisku personu aizsardzībai attiecībā uz personas datu apstrādi būtu jāpiemēro arī nodarbinātības kontekstā. Tāpēc, lai regulētu darbinieku personas datu apstrādi nodarbinātības kontekstā, dalībvalstīm, ņemot vērā šajā regulā noteiktos ierobežojumus, būtu ar likumu jāpieņem īpaši noteikumi par personas datu apstrādi nodarbinātības jomā.

(125) Lai personas datu apstrāde vēstures, statistikas vai zinātniskās izpētes nolūkos būtu likumīga, tai jānotiek ievērojot citus piemērojamos tiesību aktus, piemēram, par klīniskajiem pētījumiem.

(126) Zinātniskās izpētes jēdzienā šajā regulā būtu jāiekļauj fundamentālie pētījumi, lietišķie pētījumi un privāti finansēti pētījumi, turklāt būtu jāņem vērā Savienības mērķis izveidot Eiropas zinātniskās izpētes telpu saskaņā ar Līguma par Eiropas Savienības darbību 179. panta 1. punktu.

(127) Attiecībā uz uzraudzības iestādes pilnvarām panākt no pārziņa vai apstrādātāja piekļuvi personas datiem un piekļuvi tā telpām, dalībvalstis var, ievērojot šajā regulā noteiktos ierobežojumus, ar likumu pieņemt īpašus noteikumus, kas aizsargātu dienesta vai cita līdzvērtīga noslēpuma glabāšanas pienākumu, ciktāl tas nepieciešams, lai saglabātu līdzsvaru starp tiesībām uz personas datu aizsardzību un dienesta noslēpuma glabāšanas pienākumu.

(128) Šajā regulā tiek ievērots un nav skarts baznīcu un reliģisko apvienību vai kopienu statuss, kas tām saskaņā ar valstu tiesībām ir piešķirts dalībvalstīs, kā tas atzīts Līguma par Eiropas Savienības darbību 17. pantā. Tādējādi, ja baznīca kādā dalībvalstī šīs regulas spēkā stāšanās laikā piemēro vispusīgus noteikumus par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, šos esošos noteikumus būtu jāturpina piemērot, ja tos saskaņo ar šo regulu. Šādām baznīcām un reliģiskām apvienībām būtu jāpieprasa izveidot pilnīgi neatkarīgu uzraudzības iestādi.

(129) Lai sasniegtu šīs regulas mērķus, proti, aizsargātu fiziku personu pamattiesības un brīvības un, jo īpaši tiesības uz personas datu aizsardzību, un nodrošinātu personas datu brīvu apriti Savienībā, Komisijai būtu jādeleģē pilnvaras pieņemt tiesību aktus saskaņā ar Līguma par Eiropas Savienības darbību 290. pantu. Jo īpaši deleģētos aktus būtu jāpieņem par apstrādes likumīgumu; precizējot kritērijus un nosacījumus saistībā ar bērna sniegtu piekrišanu; par īpašu kategoriju datu apstrādi; precizējot kritērijus un nosacījumus, kad prasības un maksa par datu subjektu tiesību izmantošanu ir acīmredzami pārmērīgas; nosakot kritērijus un prasības informācijai, kas jāsniedz datu subjektam, un saistībā ar piekļuves tiesībām; par tiesībām tikt aizmirstam un tiesībām uz dzēšanu; par pasākumiem, kas balstās uz profilēšanu; par kritērijiem un prasībām saistībā ar pārziņa atbildību un integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma; par apstrādātāju; nosakot kritērijus un prasības apstrādes dokumentēšanai un drošībai; par kritērijiem un prasībām personas datu aizsardzības pārkāpuma konstatēšanai un paziņošanai uzraudzības iestādei un par apstākļiem, kādos personas datu aizsardzības pārkāpums var nelabvēlīgi ietekmēt datu subjektu; par kritērijiem un nosacījumiem apstrādes darbībām, kurām nepieciešams datu aizsardzības ietekmes novērtējums; par kritērijiem un prasībām, nosakot augsta līmeņa īpašo risku, kam nepieciešama iepriekšēja apspriešanās; par datu aizsardzības inspektora iecelšana un uzdevumiem; par profesionālās ētikas kodeksiem; par kritērijiem un prasībām sertifikācijas mehānismiem; par kritērijiem un prasībām datu nosūtīšanai, izmantojot saistošos uzņēmuma noteikumus; par atkāpēm saistībā ar datu nosūtīšanu; par administratīvajām sankcijām; par apstrādi ar veselību saistītos nolūkos; par apstrādi nodarbinātības kontekstā un apstrādi vēstures, statistikas un zinātniskās izpētes nolūkos. Ir ļoti svarīgi, lai Komisija sagatavošanās darba ietvaros rīkotu atbilstošas apspriešanās, tostarp arī ekspertu līmenī. Komisijai, sagatavojot un izstrādājot deleģētos aktus, būtu jānodrošina, ka attiecīgie dokumenti vienlaicīgi, savlaicīgi un atbilstoši tiek nosūtīti Eiropas Parlamentam un Padomei.

(130) Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, Komisijai būtu jāpiešķir īstenošanas pilnvaras šādās jomās: standarta formu noteikšana saistībā ar bērnu personas datu apstrādi; standarta procedūras un formas datu subjekta tiesību izmantošanai; standarta formas datu subjekta informēšanai; standarta formas un procedūras saistībā ar piekļuvi datiem; tiesības uz datu pārnesamību; standarta formas saistībā ar pārziņa atbildību par integrētu datu aizsardzību, datu aizsardzību pēc noklusējuma un dokumentāciju; īpašas prasības apstrādes drošībai; standarta formāts un procedūras personas datu aizsardzības pārkāpuma paziņošanai uzraudzības iestādei un personas datu aizsardzības pārkāpuma paziņošanai datu subjektam; standarti un procedūras datu aizsardzības ietekmes novērtējumam; iepriekšējas atļaujas un iepriekšējas apspriešanās formas un procedūras; sertifikācijas tehniskie standarti un mehānismi; aizsardzības līmeņa pietiekamība trešā valstī vai tās teritorijā, vai apstrādes nozarē, vai starptautiskā organizācijā; Savienības tiesībās neatļauta izpaušana; savstarpējā palīdzība; kopīgās operācijas; lēmumi konsekvences mehānisma ietvaros. Šīs pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes 2011. gada 16. februāris Regulu (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu[45]. Šajā sakarā Komisijai būtu jāapsver īpašus pasākumus mikrouzņēmumiem, maziem un vidējiem uzņēmumiem.

(131) Pārbaudes procedūra būtu jāizmanto, pieņemot precizējošās standarta formas saistībā ar bērna piekrišanu; standarta procedūras un formas datu subjekta tiesību izmantošanai; standarta formas datu subjekta informēšanai; standarta formas un procedūras saistībā ar tiesībām uz piekļuvi un tiesībām uz datu pārnesamību; standarta formas saistībā ar pārziņa atbildību par integrētu datu aizsardzību, datu aizsardzību pēc noklusējuma un dokumentāciju; īpašas prasības apstrādes drošībai; standarta formātu un procedūras personas datu aizsardzības pārkāpuma paziņošanai uzraudzības iestādei un personas datu aizsardzības pārkāpuma paziņošanai datu subjektam; standartus un procedūras datu aizsardzības ietekmes novērtējumam; iepriekšējas atļaujas un iepriekšējas apspriešanās formas un procedūras; sertifikācijas tehniskos standartus un mehānismus; noteikumus par aizsardzības līmeņa pietiekamību trešā valstī vai tās teritorijā, vai apstrādes nozarē, vai starptautiskā organizācijā; noteikumus par Savienības tiesībās neatļautu izpaušanu; noteikumus par savstarpējo palīdzību; noteikumus par kopīgām operācijām; lēmumus saskaņā ar konsekvences mehānismu, ja tie ir vispārīgi piemērojami akti.

(132) Komisijai būtu jāpieņem nekavējoties piemērojami īstenošanas akti, ja pilnīgi attaisnotos gadījumos saistībā ar trešo valsti vai kādu šīs valsts teritoriju vai apstrādes nozari vai starptautisku organizāciju, kas nenodrošina pietiekamu aizsardzības līmeni, un saistībā ar jautājumiem, ko paziņojušas uzraudzības iestādes saskaņā ar konsekvences mehānismu, tas ir nepieciešams nenovēršami steidzamu iemeslu dēļ.

(133) Tā kā šīs regulas mērķus, proti, nodrošināt fiziskām personām vienādu aizsardzības līmeni un brīvu datu apriti visā Savienībā, nevar pietiekamā mērā sasniegt pašas dalībvalstis un tos, ņemot vērā rīcības sekas vai mērogu, var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar subsidiaritātes principu, kas noteikts Eiropas Savienības Līguma 5. pantā. Saskaņā ar proporcionalitātes principu, kas noteikts minētajā pantā, šī regula nepārsniedz to, kas nepieciešams, lai sasniegtu tās mērķi.

(134) Ar šo regulu būtu jāaizstāj Direktīva 95/46/EK. Tomēr saskaņā ar šo direktīvu pieņemtajiem Komisijas lēmumiem un izsniegtajām uzraudzības iestāžu atļaujām, būtu jāpaliek spēkā.

(135) Šo regulu būtu jāpiemēro visiem jautājumiem saistībā ar pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi, kuriem nav piemērojami īpašie pienākumi ar tādu pašu mērķi, kas noteikts Direktīvā 2002/58/EK, ietverot pārziņa pienākumus un fizisku personu tiesības. Lai precizētu šīs regulas un Direktīvas 2002/58/EK attiecības, minēto direktīvu būtu attiecīgi jāgroza.

(136) Attiecībā uz Islandi un Norvēģiju – saskaņā ar Nolīgumu, kas noslēgts starp Eiropas Savienības Padomi un Islandes Republiku un Norvēģijas Karalisti par šo valstu asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā[46], šī regula ir Šengenas acquis noteikumu pilnveidošana tādā apmērā, ciktāl tā piemērojama personas datu apstrādei, ko veic iestādes, kas iesaistītas minētā aquis īstenošanā.

(137) Attiecībā uz Šveici – saskaņā ar Nolīgumu starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā[47], šī regula ir Šengenas acquis noteikumu pilnveidošana tādā apmērā, ciktāl tā piemērojama personas datu apstrādei, ko veic iestādes, kas iesaistītas minētā aquis īstenošanā.

(138) Attiecībā uz Lihtenšteinu – ar Protokolu starp Eiropas Savienību, Eiropas Kopienu, Šveices Konfederāciju un Lihtenšteinas Firstisti par Lihtenšteinas Firstistes pievienošanos Nolīgumam starp Eiropas Savienību, Eiropas Kopienu un Šveices Konfederāciju par Šveices Konfederācijas asociēšanu Šengenas acquis īstenošanā, piemērošanā un pilnveidošanā[48], šī regula ir Šengenas acquis noteikumu pilnveidošana tādā apmērā, ciktāl tā piemērojama personas datu apstrādei, ko veic iestādes, kas iesaistītas minētā aquis īstenošanā.

(139) Kā ir uzsvērusi Eiropas Savienības Tiesa un ņemot vērā faktu, ka personas datu aizsardzība nav absolūta prerogatīva, bet ir jāņem vērā saistībā ar tās funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām, saskaņā ar proporcionalitātes principu šī regula ievēro visas pamattiesības un principus, kas atzīti Eiropas Savienības Pamattiesību hartā un ietverti Līgumos, jo īpaši tiesības uz privāto un ģimenes dzīvi, mājokļa un saziņas neaizskaramību, tiesības uz personas datu aizsardzību, domu, pārliecības un ticības brīvību, vārda un informācijas brīvību, darījumdarbības brīvību, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu, kā arī tiesības uz kultūru, reliģiju un valodu daudzveidību,

IR PIEŅĒMUŠI ŠO REGULU.

I NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants Priekšmets un mērķi

1.           Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei.

2.           Šī regula aizsargā fizisku personu pamattiesības un brīvības un jo īpaši to tiesības uz personas datu aizsardzību.

3.           Personas datu brīvu apriti Savienībā neierobežo un neaizliedz, pamatojoties uz iemesliem, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.

2. pants Materiālā piemērošanas joma

1.           Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

2.           Šo regulu nepiemēro personas datu apstrādei:

a)      veicot darbību, kas neietilpst Savienības tiesību piemērošanas jomā, jo īpaši saistībā ar valsts drošību;

b)      Savienības iestādēs, struktūrās, birojos un aģentūrās;

c)      ko īsteno dalībvalstis, veicot darbības, kas ir Līguma par Eiropas Savienību 2. nodaļas piemērošanas jomā;

d)      ko veic fiziska persona bez jebkāda peļņas gūšanas nolūka tikai sava personiska vai sadzīviska pasākuma gaitā;

e)      ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus.

3.           Šī regula neskar Direktīvas 2000/31/EK piemērošanu, jo īpaši attiecībā uz direktīvas 12. un 15. panta noteikumiem par pakalpojumu sniegšanas starpnieku atbildību.

3. pants Teritoriālā piemērošanas joma

1.           Šo regulu piemēro personas datu apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja institūcija, kas atrodas Savienībā.

2.           Šo regulu piemēro Savienībā dzīvojošu datu subjektu personas datu apstrādei, ko veic pārzinis, kas neatrodas Savienībā, ja apstrādes darbības ir saistītas ar:

a)      preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem Savienībā; vai

b)      viņu uzvedības novērošanu.

3.           Šo regulu piemēro personas datu apstrādei, ko veic pārzinis, kas neatrodas Savienībā, bet vietā, kur saskaņā ar starptautiskajām publiskajām tiesībām ir piemērojamas dalībvalsts tiesības.

4. pants Definīcijas

Šajā regulā:

(1) "datu subjekts" ir identificēta fiziska persona vai fiziska persona, ko tieši vai netieši var identificēt, izmantojot līdzekļus, ko pārzinis vai jebkura cita fiziska vai juridiska persona varētu pamatoti izmantot, jo īpaši atsaucoties uz identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem šai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, saimnieciskās, kultūras vai sociālās identitātes faktoriem;

(2) "personas dati" ir jebkāda informācija, kas attiecas uz datu subjektu;

(3) "apstrāde" ir jebkura ar personas datiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana – izmantojot nosūtīšanu, izplatīšanu vai, citādi darot pieejamus, – saskaņošana vai kombinēšana, dzēšana vai iznīcināšana;

(4) "kartotēka" ir jebkurš sakārtots personas datu kopums, kurā šie dati ir pieejami saskaņā ar īpašiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

(5) "pārzinis" ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai jebkura cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus, nosacījumus un līdzekļus; ja apstrādes nolūkus, nosacījumus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktu, pārzini vai viņa iecelšanas konkrētos kritērijus var noteikt Savienības vai dalībvalsts tiesību akti;

(6) "apstrādātājs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura pārziņa vārdā apstrādā personas datus;

(7) "saņēmējs" ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kurai tiek izpausti personas dati;

(8) "datu subjekta piekrišana" ir jebkura brīva, konkrēta, apzināta un nepārprotama norāde uz datu subjekta vēlmēm, ar kuru datu subjekts vai nu paziņojuma, vai skaidras apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

(9) "personas datu aizsardzības pārkāpums" ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

(10) "ģenētiskie dati" ir visi dati, neatkarīgi no datu veida, saistībā ar personas pazīmēm, kas mantotas vai iegūtas agrīnas pirmsnatālās attīstības gaitā;

(11) "biometriskie dati" ir visi dati saistībā ar personas fiziskajām, psiholoģiskajām vai uzvedības pazīmēm, kas ļauj veikt unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

(12) "veselības dati" ir visa veida informācija saistībā ar personas fizisko vai garīgo veselību vai veselības aprūpes pakalpojumu sniegšanu personai;

(13) "galvenās institūcijas atrašanās vieta" attiecībā uz pārzini ir tās pārziņa institūcijas atrašanās vieta Savienībā, kur tiek pieņemti galvenie lēmumi par personas datu apstrādes nolūkiem, nosacījumiem un līdzekļiem; ja lēmumus par personas datu apstrādes nolūkiem, nosacījumiem un līdzekļiem nepieņem Savienībā, galvenās institūcijas atrašanās vieta ir tur, kur notiek galvenās apstrādes darbības saistībā ar pārziņa institūcijas darbībām Savienībā. Attiecībā uz apstrādātāju "galvenās institūcijas atrašanās vieta" ir tā centrālās pārvaldes institūcijas atrašanās vieta Savienībā;

(14) "pārstāvis" ir fiziska vai juridiska persona, kas atrodas Savienībā, ko pārzinis ir nepārprotami norīkojis un kas rīkojas pārziņa vietā un pie kuras var griezties jebkura uzraudzības iestāde un citas struktūras Savienībā saistībā ar pārziņa pienākumiem saskaņā ar šo regulu;

(15) "uzņēmums" ir jebkura vienība, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tādējādi jo īpaši ietverot fiziskas un juridiskas personas, partnerības vai asociācijas, kas regulāri veic saimniecisku darbību;

(16) "uzņēmumu grupa" ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;

(17) "saistošie uzņēmuma noteikumi" ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas atrodas Savienības dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupas ietvaros;

(18) "bērns" ir persona, kas nav sasniegusi 18 gadu vecumu;

(19) "uzraudzības iestāde" ir valsts iestāde, ko dalībvalsts izveidojusi saskaņā ar 46. pantu.

II NODAĻA PRINCIPI

5. pants Personas datu apstrādes principi     

Personas datiem jābūt:

a)      apstrādātiem likumīgi, godīgi un datu subjektam caurskatāmā veidā;

b)      vāktiem konkrētiem, skaidriem un likumīgiem nolūkiem, un tos nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā;

c)      adekvātiem, atbilstīgiem un jāaprobežojas ar minimumu, kas nepieciešams nolūkiem, kādiem šie dati tiek apstrādāti; tos apstrādā tikai tad un tikai tik ilgi, kamēr apstrādes nolūkus nav iespējams sasniegt, apstrādājot informāciju, kas neietver personas datus;

d)      precīziem un atjauninātiem; jāveic visi pamatoti pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiek dzēsti vai laboti;

e)      saglabātiem veidā, kas pieļauj datu subjektu identifikāciju ne ilgāk, kā tas nepieciešams nolūkiem, kuriem datus apstrādā; personas datus var glabāt ilgāk, ja datus apstrādās tikai vēstures, statistikas vai zinātniskās izpētes nolūkos saskaņā ar 83. panta noteikumiem un nosacījumiem un ja regulāri tiek izvērtēta nepieciešamība turpināt glabāšanu;

f)       apstrādātiem pārziņa atbildībā, turklāt pārzinis nodrošina un uzskatāmi parāda, ka katra apstrādes darbība notiek saskaņā ar šo regulu.

6. pants Apstrādes likumīgums

1.           Personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem nosacījumiem:

a)      datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)      apstrāde ir vajadzīga līguma, kurā datu subjekts ir līgumslēdzēja puse, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)      apstrāde ir vajadzīga, lai izpildītu pārzinim uzliktu juridisku pienākumu;

d)      apstrāde ir vajadzīga, lai aizsargātu datu subjekta īpaši svarīgas intereses;

e)      apstrāde ir vajadzīga, lai veiktu uzdevumu sabiedrības interesēs vai pārzinim likumīgi piešķirtu valsts varas īstenošanas pilnvaru ietvaros;

f)       apstrāde ir vajadzīga pārziņa likumīgo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un brīvības, kurām nepieciešama aizsardzība, ir svarīgākas, jo īpaši, ja datu subjekts ir bērns. To nepiemēro apstrādei, ko veic valsts iestāde, pildot savus uzdevumus.

2.           Personas datu apstrāde, kas ir nepieciešama vēstures, statistikas vai zinātniskās izpētes nolūkos, ir likumīga, ja ir ievēroti 83. pantā paredzētie nosacījumi un aizsardzības pasākumi.

3.           Apstrādes, kas minēta 1. punkta c) un e) apakšpunktā, pamatu ir jāparedz:

a)      Savienības tiesību aktos; vai

b)       dalībvalsts tiesību aktos, kas piemērojami pārzinim.

Dalībvalsts tiesību aktam ir jāatbilst sabiedrības interešu nolūkam vai tam jābūt nepieciešamam, lai aizsargātu citu personu tiesības un brīvības, tajā jābūt ievērotai tiesību uz personas datu aizsardzību būtībai un tam jābūt samērīgam ar tā likumīgo nolūku.

4.           Ja turpmākas apstrādes nolūks nav savienojams ar to, kuram personas dati ir savākti, apstrāde likumīgi jāpamato ar vismaz vienu no 1. punkta a) līdz e) apakšpunktā minētajiem pamatiem. Tas jo īpaši attiecas uz jebkurām līguma noteikumu un vispārīgo nosacījumu izmaiņām.

5.           Komisijai piešķir pilnvaras pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt 1. punkta f) apakšpunktā minētos nosacījumus dažādām nozarēm un datu apstrādes situācijām arī attiecībā uz bērnu personas datu apstrādi.

7. pants Nosacījumi piekrišanai

1.           Pārzinim ir pienākums pierādīt, ka datu subjekts ir devis piekrišanu viņa personas datu apstrādei konkrētajos nolūkos.

2.           Ja datu subjekta piekrišanu jāsniedz saistībā ar rakstisku deklarāciju, kas attiecas arī uz citu jautājumu, prasība sniegt piekrišanu ir jānorāda tā, lai to varētu atšķirt no šā otra jautājuma.

3.           Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojās uz piekrišanu pirms atsaukuma.

4.           Piekrišana nav personas datu apstrādes juridiskais pamats, ja ir skaidri saskatāma nevienlīdzība datu subjekta un pārziņa attiecībās.

8. pants Bērna personas datu apstrāde

1.           Attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērnam šajā regulā bērna, kas nav sasniedzis 13 gadu vecumu, personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja piekrišanu ir devuši vai apstiprinājuši bērna vecāki vai aizbildņi. Pārzinis pieliek saprātīgas pūles, lai saņemtu pārbaudāmu piekrišanu, ņemot vērā pieejamās tehnoloģijas.

2.           Šā panta pirmais punkts neietekmē dalībvalstu līgumtiesības, piemēram, noteikumus par bērna noslēgta līguma spēkā esību, noslēgšanu vai sekām.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības metodēm, ar kuru palīdzību var iegūt 1. punktā minēto pārbaudāmo piekrišanu. Šajā sakarā Komisija apsver īpašus pasākumus mikrouzņēmumiem, maziem un vidējiem uzņēmumiem.

4.           Komisija var paredzēt standarta formas konkrētām metodēm, ar ko iegūst 1. punktā minēto pārbaudāmo piekrišanu. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

9. pants Īpašu kategoriju personas datu apstrāde

1.           Aizliegts apstrādāt personas datus, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģiju vai ticību, piederību arodbiedrībai, kā arī ģenētiskos datus vai datus par personas veselību, seksuālo dzīvi vai sodāmību, vai ar to saistītiem drošības pasākumiem.

2.           Šā panta 1. punktu nepiemēro, ja:

a)      datu subjekts ir devis piekrišanu šo personas datu apstrādei, ievērojot 7. un 8. pantā paredzētos nosacījumus, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt; vai

b)      apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un izmantotu pārziņa īpašās tiesības darba tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesības, paredzot atbilstošus aizsardzības pasākumus; vai

c)      apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; vai

d)      veicot likumīgas darbības un nodrošinot atbilstošus aizsardzības pasākumus, apstrādi veic fonds, asociācija vai jebkura cita bezpeļņas organizācija, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi, un ar nosacījumu, ka apstrāde attiecas tikai uz šīs organizācijas locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo organizāciju uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas datus neizpauž ārpus šīs organizācijas; vai

e)      apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis; vai

f)       apstrāde ir vajadzīga, lai pamatotu, īstenotu vai aizstāvētu tiesiskus prasījumus; vai

g)      apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs, pamatojoties uz Savienības vai dalībvalsts tiesībām, kas paredz piemērotus pasākumus, lai aizsargātu datu subjekta likumīgās intereses; vai

h)      veselības datu apstrāde ir vajadzīga ar veselību saistītos nolūkos un ievērojot 81. pantā minētos nosacījumus un aizsardzības pasākumus; vai

i)       apstrāde ir vajadzīga vēstures, statistikas vai zinātniskās izpētes nolūkos, ievērojot 83. pantā minētos nosacījumus un aizsardzības pasākumus; vai

j)       datu apstrādi par kriminālo sodāmību vai ar to saistītiem drošības pasākumiem veic vai nu oficiālas iestādes kontrolē, vai ja apstrāde ir vajadzīga, lai ievērotu juridisku vai regulatīvu pārziņa pienākumu, vai lai izpildītu uzdevumu, ko veic pamatojoties uz svarīgām sabiedrības interesēm, un tikai tādā apmērā, kā to atļauj Savienības vai dalībvalsts tiesības, paredzot atbilstošus aizsardzības pasākumus. Pilnīgu reģistru par notiesājošiem spriedumiem krimināllietās var uzglabāt tikai valsts iestādes kontrolē.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus, nosacījumus un atbilstošus aizsardzības pasākumus 1. punktā minēto īpašo kategoriju personas datu apstrādei un 2. punktā minētajiem izņēmumiem.

10. pants Apstrāde, kas neļauj identifikāciju

Ja pārziņa apstrādātie dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nav pienākuma iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana.

III NODAĻA DATU SUBJEKTA TIESĪBAS

1. IEDAĻA CAURSKATĀMĪBA UN IZMANTOŠANAS KĀRTĪBA

11. pants Caurskatāma informācija un saziņa

1.           Pārzinis nodrošina caurskatāmas un viegli pieejamas personas datu apstrādes un datu subjektu tiesību izmantošanas vadlīnijas.

2.           Pārzinis nodrošina visu informāciju un saziņu ar datu subjektu saistībā ar personas datu apstrādi saprotamā veidā, izmantojot skaidru un vienkāršu valodu, kas pielāgota datu subjektam, jo īpaši attiecībā uz informāciju, kas īpaši paredzēta bērnam.

12. pants Procedūras un mehānismi datu subjekta tiesību izmantošanai

1.           Pārzinis izveido procedūras 14. pantā minētās informācijas sniegšanai un 13. pantā un 15. – 19. pantā minēto datu subjekta tiesību izmantošanai. Pārzinis jo īpaši nodrošina mehānismus, kas atvieglo pieprasījumu veikt darbības, kas minētas 13. pantā un 15. – 19. pantā. Ja personas datus apstrādā automatizētiem līdzekļiem, pārzinis nodrošina līdzekļus, ar kuriem pieprasījumu var izdarīt elektroniski.

2.           Pārzinis nekavējoties un vēlākais viena mēneša laikā kopš pieprasījuma saņemšanas informē datu subjektu par to, vai ir veiktas darbības saskaņā ar 13. pantu un 15. – 19. pantu, un sniedz pieprasīto informāciju. Šo termiņu var pagarināt par mēnesi, ja vairāki datu subjekti izmanto savas tiesības un ir nepieciešama viņu sadarbība saprātīgā apmērā, lai novērstu nevajadzīgas un pārmērīgas pārziņa pūles. Informāciju sniedz rakstiski. Ja datu subjekts pieprasījumu iesniedz elektroniski, informāciju sniedz elektroniski, izņemot, ja datu subjekts pieprasa citādi.

3.           Ja pārzinis atsakās veikt darbību, ko pieprasījis datu subjekts, pārzinis informē datu subjektu par atteikuma iemesliem un par iespējām iesniegt sūdzību uzraudzības iestādē un vērsties tiesā.

4.           Informācija un darbības, ko veic pēc pieprasījuma, kas minēts 1. punktā, ir bezmaksas. Ja pieprasījumi ir acīmredzami pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var pieprasīt samaksu par informācijas sniegšanu vai par pieprasītās darbības veikšanu, vai arī pārzinis var neveikt pieprasīto darbību. Šādā gadījumā pārzinim ir pienākums pierādīt, ka pieprasījums ir acīmredzami pārmērīgs.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un nosacījumus par acīmredzami pārmērīgiem pieprasījumiem un samaksu, kas minēta 4. punktā.

6.           Komisija var noteikt standarta formas un standarta procedūras saziņai, kas minēta 2. punktā, ietverot elektronisko formātu. Šajā sakarā Komisija pieņem atbilstošus pasākumus mikrouzņēmumiem, maziem un vidējiem uzņēmumiem. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

13. pants Saņēmēju tiesības

Pārzinis paziņo jebkuru labojumu vai dzēšanu, kas veikta saskaņā ar 16. un 17. pantu, katram saņēmējam, kuram ir izpausti dati, izņemot, ja tas nav iespējams vai ja tas ir saistīts ar nesamērīgām pūlēm.

2. IEDAĻA INFORMĀCIJA UN PIEKĻUVE DATIEM

14. pants Datu subjekta informēšana

1.           Ja tiek vākti datu subjekta personas dati, pārzinis sniedz datu subjektam vismaz šādu informāciju:

a)      pārziņa identitāte un kontaktinformācija, kā arī pārziņa pārstāvis, un datu aizsardzības inspektors, ja tādi ir;

b)      apstrādes nolūki, kam paredzēti personas dati, ietverot līguma noteikumus un vispārīgos nosacījumus, ja apstrāde pamatojas uz 6. panta 1. punkta b) apakšpunktu, un pārziņa likumīgās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

c)      termiņš, cik ilgi personas dati tiks glabāti;

d)      tiesības pieprasīt no pārziņa piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu un tiesības iebilst pret šādu personas datu apstrādi;

e)      tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

f)       personas datu saņēmēji vai datu saņēmēju kategorijas;

g)      attiecīgā gadījumā informācija, ka pārzinis paredz nosūtīt datus uz trešo valstu vai starptautisku organizāciju, un informācija par aizsardzības līmeni, ko nodrošina šī trešā valsts vai starptautiskā organizācija, atsaucoties uz Komisijas lēmumu par aizsardzības līmeņa pietiekamību;

h)      jebkuru citu papildu informāciju, kas ir vajadzīga, lai garantētu godprātīgu apstrādi attiecībā pret datu subjektu, ņemot vērā konkrētos apstākļus, kādos personas datus vāc.

2.           Ja personas datus iegūst no datu subjekta, papildus informācijai, kas minēta 1. punktā, pārzinis informē datu subjektu par to, vai personas datu sniegšana ir obligāta vai brīvprātīga, kā arī par iespējamām sekām, ja šādi dati netiks sniegti.

3.           Ja personas datus neiegūst no datu subjekta, papildus informācijai, kas minēta 1. punktā, pārzinis informē datu subjektu par avotu, no kura iegūti personas dati.

4.           Pārzinis sniedz informāciju, kas minēta 1., 2. un 3. punktā:

a)      personas datu vākšanas laikā, ja tos saņem no datu subjekta; vai

b)      ja personas datus neiegūst no datu subjekta – reģistrēšanas laikā vai saprātīgā termiņā pēc iegūšanas, ņemot vērā konkrētos apstākļus, kādos dati iegūti vai citādi apstrādāti, vai, ja ir paredzēta izpaušana citam saņēmējam, un vēlākais, kad dati tiek pirmo reizi izpausti.

5.           Šā panta 1. – 4. punktu nepiemēro, ja:

a)      datu subjekta rīcībā jau ir informācija, kas minēta 1., 2. un 3. punktā; vai

b)      datus neiegūst no datu subjekta un šādas informācijas sniegšana nav iespējama vai prasītu nesamērīgas pūles; vai

c)      datus neiegūst no datu subjekta un reģistrēšana vai izpaušana ir skaidri paredzēta likumā; vai

d)      datus neiegūst no datu subjekta un šādas informācijas sniegšana negatīvi ietekmēs citu personu tiesības un brīvības, kā definēts Savienības tiesībās vai dalībvalsts tiesībās saskaņā ar 21. pantu.

6.           Gadījumā, kas minēts 5. punkta b) apakšpunktā, pārzinis nodrošina atbilstošus pasākumus, lai aizsargātu datu subjekta likumīgās intereses.

7.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus saņēmēju kategorijām, kas minētas 1. punkta f) apakšpunktā, prasības paziņojumam par iespējamu piekļuvi, kas minēts 1. punkta g) apakšpunktā, kritērijus nepieciešamajai papildu informācijai, kas minēta 1. punkta h) apakšpunktā, konkrētās nozarēs un situācijās, un nosacījumus un atbilstošus aizsardzības pasākumus attiecībā uz izņēmumiem, kas paredzēti 5. punkta b) apakšpunktā. Šajā sakarā Komisija pieņem atbilstošus pasākumus mikrouzņēmumiem, maziem un vidējiem uzņēmumiem.

8.           Komisija var paredzēt standarta formas informācijas sniegšanai, kas minēta 1. – 3. punktā, ja nepieciešams, ņemot vērā dažādu nozaru un datu apstrādes situāciju īpašās iezīmes un vajadzības. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

15. pants Datu subjekta piekļuves tiesības

1.           Datu subjektam jebkurā laikā ir tiesības pēc pieprasījuma saņemt no pārziņa apstiprinājumu par to, vai viņa personas dati tiek apstrādāti. Ja šādi personas dati tiek apstrādāti, pārzinis sniedz šādu informāciju:

a)      apstrādes nolūki;

b)      attiecīgo personas datu kategorijas;

c)      personas datu saņēmēji vai datu saņēmēju kategorijas, kam personas dati tiks vai tikuši izpausti, jo īpaši saņēmēji trešās valstīs;

d)      termiņš, cik ilgi personas dati tiks glabāti;

e)      tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu un tiesības iebilst pret šādu personas datu apstrādi;

f)       tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;

g)      paziņojums par apstrādē esošajiem personas datiem un visa pieejamā informācija par datu avotu;

h)      šādas apstrādes nozīme un paredzamās sekas, vismaz saistībā ar 20. pantā minētajiem pasākumiem.

2.           Datu subjektam ir tiesības saņemt no pārziņa paziņojumu par apstrādē esošajiem personas datiem. Ja datu subjekts pieprasījumu iesniedz elektroniski, informāciju sniedz elektroniski, izņemot, ja datu subjekts pieprasa savādāk.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības 1. punkta g) apakšpunktā minētajam paziņojumam, ko datu subjektam sniedz par personas datu saturu.

4.           Komisija var noteikt standarta formas un procedūras 1. pantā minētās informācijas pieprasīšanai un piekļuves sniegšanai, ietverot datu subjekta identitātes pārbaudi un personas datu paziņošanu datu subjektam, ņemot vērā dažādu nozaru un datu apstrādes situāciju īpašās iezīmes un vajadzības. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

3. IEDAĻA

LABOŠANA UN DZĒŠANA

16. pants Tiesības labot

Datu subjektam attiecībā pret pārzini ir tiesības uz savu personas datu labošanu, ja tie ir neprecīzi. Datu subjektam ir tiesības uz nepilnīgu personas datu papildināšanu, tostarp izmantojot paziņojumu par labojumiem.

17. pants Tiesības tikt aizmirstam un tiesības uz dzēšanu

1. Datu subjektam attiecībā pret pārzini ir tiesības uz savu personas datu dzēšanu un atturēšanos no turpmākas šādu datu izplatīšanas, jo īpaši saistībā ar personas datiem, ko datu subjekts ir darījis pieejamus, būdams bērns, ja izpildās viens no šādiem nosacījumiem:

a)      dati vairs nav nepieciešami saistībā ar nolūkiem, kuriem tie tika vākti vai citādi apstrādāti;

b)      datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde, pamatojoties uz 6. panta 1. punkta a) apakšpunktu, vai ir beidzies glabāšanas termiņš, kuram bija izteikta piekrišana, un nav cita likumīga pamata datu apstrādei;

c)      datu subjekts iebilst pret personas datu apstrādi saskaņā ar 19. pantu;

d)      datu apstrāde nav saskaņā ar šo regulu citu iemeslu dēļ.

2.           Ja pārzinis, kas minēts 1. punktā ir publiskojis personas datus, tas veic visus saprātīgus pasākumus, tostarp arī tehniskus pasākumus, saistībā ar datiem, par kuru publiskošanu pārzinis ir atbildīgs, lai informētu trešās personas, kas apstrādā šādus datus, ka datu subjekts pieprasījis dzēst visas saites uz šiem personas datiem vai šo datu kopijas vai atveidojumus. Ja pārzinis ir atļāvis trešām personām publiskot personas datus, uzskata, ka pārzinis ir atbildīgs par šādu publiskošanu.

3.           Pārzinis nekavējoties dzēš datus, izņemot, ja personas datu saglabāšana ir nepieciešama:

(a) tiesību uz vārda brīvību izmantošanai saskaņā ar 80. pantu;

(b) pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 81. pantu;

(c) vēstures, statistikas un zinātniskās izpētes nolūkos saskaņā ar 83. pantu;

(d) lai izpildītu juridisku pienākumu saglabāt personas datus, kas paredzēts Savienības vai dalībvalsts tiesību aktos, kas piemērojami pārzinim. Dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim, tajos ievērota tiesību uz personas datu aizsardzību būtība un tie ir samērīgi ar to leģitīmo mērķi;

(e) gadījumos, kas minēti 4. punktā.

4.           Dzēšanas vietā pārzinis ierobežo personas datu apstrādi, ja:

a)      datu subjekts apstrīd datu precizitāti — uz laiku, kurā pārzinis pārbauda datu precizitāti;

b)      pārzinim personas dati vairs nav vajadzīgi, lai veiktu savus uzdevumus, bet tie ir jāsaglabā kā pierādījumi;

c)      apstrāde ir nelikumīga, un datu subjekts iebilst pret datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;

d)      datu subjekts pieprasa nosūtīt personas datus citai automatizētai apstrādes sistēmai saskaņā ar 18. panta 2. punktu.

5.           Personas datus, kas minēti 4. punktā, izņemot glabāšanu, var apstrādāt tikai pierādīšanas nolūkos vai ar datu subjekta piekrišanu, vai aizsargājot citas fiziskas vai juridiskas personas tiesības, vai nolūkam, kas ir sabiedrības interesēs.

6.           Ja personas datu apstrāde ir ierobežota saskaņā ar 4. punktu, pārzinis informē datu subjektu pirms apstrādes ierobežojuma atcelšanas.

7.           Pārzinis ievieš mehānismus, ar kuriem nodrošina, ka tiek ievēroti termiņi, kas paredzēti personas datu dzēšanai un/vai periodiskai glabāšanas nepieciešamības pārskatīšanai.

8.           Ja dati ir dzēsti, pārzinis šādus personas datus neapstrādā citā veidā.

9.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt:

a)      kritērijus un prasības 1. punkta piemērošanai konkrētās nozarēs un konkrētās datu apstrādes situācijās;

b)      nosacījumus saišu uz personas datiem un datu kopiju, un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem, kā minēts 2. punktā;

c)      kritērijus un nosacījumus personas datu apstrādes ierobežošanai, kā minēts 4. punktā.

18. pants Tiesības uz datu pārnesamību

1.           Datu subjektam ir tiesības gadījumos, kad personas datus apstrādā elektroniskiem līdzekļiem un strukturētā un plaši izmantotā formātā, iegūt no pārziņa apstrādāto datu kopiju plaši izmantotā elektroniskā un strukturētā formātā, kas ļauj datu subjektam šos datus turpmāk izmantot.

2.           Ja datu subjekts ir sniedzis personas datus un apstrāde pamatojas uz piekrišanu vai līgumu, datu subjektam ir tiesības nosūtīt šos personas datus un jebkuru citu datu subjekta sniegto informāciju, kas glabājas automatizētas apstrādes sistēmā, uz citu automatizētas apstrādes sistēmu plaši izmantotā elektroniskā formātā, un pārzinim, no kura dati tiek izņemti, nav tiesību to aizkavēt.

3.           Komisija var noteikt elektronisko formātu, kas minēts 1. punktā, un tehniskos standartus, modalitātes un procedūras personas datu nosūtīšanai saskaņā ar 2. punktu. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

4. IEDAĻA

TIESĪBAS IEBILST UN PROFILĒŠANA

19. pants Tiesības iebilst

1.           Datu subjektam, pamatojoties uz iemesliem saistībā ar viņa īpašo situāciju, jebkurā laikā ir tiesības iebilst pret personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta d), e) un f) apakšpunktu, izņemot, ja pārzinis norāda uz pārliecinošiem likumīgiem apstrādes pamatiem, kas ir svarīgāki par datu subjekta pamattiesībām un brīvībām.

2.           Ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam ir tiesības bez maksas iebilst pret viņa personas datu apstrādi šādai tirgvedībai. Šīs tiesības nepārprotami norāda datu subjektam saprotamā veidā un tās ir skaidri atšķiramas no pārējās informācijas.

3.           Ja ir celts iebildums saskaņā ar 1. un 2. punktu, pārzinis vairs neizmanto vai citādi neapstrādā attiecīgos personas datus.

20. pants Pasākumi, kas balstās uz profilēšanu

1.           Katrai fiziskai personai ir tiesības nebūt tāda pasākuma subjektam, kas rada šai fiziskai personai tiesiskas sekas vai to būtiski skar un kura pamatā ir tikai automatizēta datu apstrāde, kas paredzēta, lai izvērtētu konkrētus ar viņu saistītus personiskus aspektus vai analizētu, vai prognozētu, piemēram, fiziskas personas sniegumu darbā, ekonomisko situāciju, atrašanās vietu, veselību, personīgās vēlmes, uzticamību vai uzvedību.

2. Ievērojot citus šīs regulas noteikumus, persona var būt par 1. punktā minētā pasākuma subjektu tikai tad, ja apstrādi:

a)      veic līguma noslēgšanas vai izpildes gaitā, ja tiek izpildīts datu subjekta izteikts pieprasījums noslēgt vai izpildīt līgumu, vai ja ir nodrošināti piemēroti pasākumi, ar ko aizsargā datu subjekta likumīgās intereses, piemēram tiesības panākt cilvēka iejaukšanos; vai

b)      nepārprotami atļauj Savienības vai dalībvalsts tiesību akts, kurā noteikti piemēroti pasākumi, ar ko aizsargā datu subjekta likumīgās intereses; vai

c)      pamato ar datu subjekta piekrišanu, ievērojot 7. panta nosacījumus un atbilstošus aizsardzības pasākumus.

3. Personas datu automatizētu apstrādi, kas paredzēta konkrētu ar viņu saistītu personisku aspektu izvērtēšanai, nebalsta tikai uz īpašu kategoriju personas datiem, kas minēti 9. pantā.

4.           Gadījumos, kas minēti 2. punktā, informācijā, kas pārzinim jāsniedz saskaņā ar 14. pantu, ietver informāciju par to, ka notiek apstrāde 1. punktā minētā pasākuma nolūkos un kādas ir paredzamās šādas apstrādes sekas attiecībā uz datu subjektu.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un nosacījumus piemērotiem pasākumiem, ar ko aizsargā datu subjekta likumīgās intereses, kā minēts 2. punktā.

5. IEDAĻA Ierobežojumi

21. pants Ierobežojumi

1.           Savienība vai dalībvalsts ar leģislatīvu pasākumu var ierobežot 5. panta a) – e) apakšpunktā un 11.—20. pantā un 32. pantā minēto pienākumu un tiesību piemērošanu, ja šāds ierobežojums demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a)      sabiedrības drošību;

b)      noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

c)      citas Savienības vai dalībvalsts publiskās intereses, jo īpaši svarīgas Savienības vai dalībvalsts ekonomikas vai finanšu intereses, ietverot monetāros, budžeta un nodokļu jautājumus un tirgus stabilitātes un integritātes aizsardzību;

d)      regulēto profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

e)      uzraudzības, pārbaudes vai regulatīvo funkciju, kas pat tikai epizodiski, ir saistīta ar valsts varas īstenošanu a), b), c) un e) apakšpunktā minētajos gadījumos;

f)       datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību.

2.           Leģislatīvajā pasākumā, kas minēts 1. punktā, jo īpaši ietver konkrētus noteikumus vismaz par mērķiem, kas jāsasniedz ar apstrādi, un pārziņa iecelšanu.

IV NODAĻA

PĀRZINIS UN APSTRĀDĀTĀJS

1. IEDAĻA VISPĀRĪGI PIENĀKUMI

22. pants Pārziņa atbildība

1.           Pārzinis pieņem vadlīnijas un īsteno piemērotus pasākumus, lai nodrošinātu un uzskatāmi parādītu, ka personas datu apstrāde ir notikusi saskaņā ar šo regulu.

2.           Pasākumi, kas minēti 1. punktā, jo īpaši ietver:

(a) dokumentācijas glabāšanu saskaņā ar 28. pantu;

(b) drošības prasību, kas minētas 30. pantā, īstenošanu;

(c) datu aizsardzības ietekmes novērtējuma veikšanu saskaņā ar 33. pantu;

(d) prasību par iepriekšēju atļauju vai iepriekšēju apspriešanos ar uzraudzības iestādi ievērošanu saskaņā ar 34. panta 1. un 2. punktu;

(e) datu aizsardzības inspektora iecelšanu saskaņā ar 35. panta 1. punktu.

3.           Pārzinis īsteno mehānismu, kas nodrošina 1. un 2. punktā minēto pasākumu efektivitātes pārbaudi. Ja tas ir samērīgi, šo pārbaudi veic neatkarīgs iekšējs vai ārējs revidents.

4.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības 1. punktā minētajiem piemērotiem pasākumiem, kas nav 2. punktā uzskaitītie pasākumi, nosacījumus pārbaudes un revīzijas mehānismiem, kas minēti 3. punktā, un attiecībā uz samērīguma kritērijiem saskaņā ar 3. punktu, un apsvērt īpašus pasākumus mikrouzņēmumiem, maziem un vidējiem uzņēmumiem.

23. pants Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1.           Ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, pārzinis, nosakot apstrādes līdzekļus un pašas apstrādes laikā, īsteno piemērotus tehniskus un organizatoriskus pasākumus, lai apstrāde būtu saskaņā ar šīs regulas prasībām, un nodrošina datu subjektu tiesību aizsardzību.

2.           Pārzinis īsteno mehānismus, kas pēc noklusējuma nodrošina, ka apstrādā tikai tos personas datus, kas ir nepieciešami katram konkrētajam apstrādes nolūkam, un tos jo īpaši nevāc vai neglabā, pārsniedzot minimumu, kas nepieciešams šiem nolūkiem, gan attiecībā uz datu apjomu, gan glabāšanas ilgumu. Jo īpaši šie mehānismi nodrošina, ka pēc noklusējuma personas datus nedara pieejamus nenoteiktam personu skaitam.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt papildu kritērijus un prasības 1. un 2. punktā minētajiem piemērotiem pasākumiem un mehānismiem, jo īpaši attiecībā uz datu aizsardzību pēc noklusējuma – prasības, kas piemērojamas dažādās nozarēs, dažādiem produktiem un pakalpojumiem.

4.           Komisija var paredzēt tehniskos standartus prasībām, kas paredzētas 1. un 2. punktā. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

24. pants  Kopīgi pārziņi

Ja pārzinis personas datu apstrādes nolūkus, nosacījumus un līdzekļus nosaka kopīgi ar citiem, kopīgie pārziņi, savstarpēji vienojoties, nosaka savus attiecīgos pienākumus, lai izpildītu šajā regulā uzliktās saistības, jo īpaši attiecībā uz procedūrām un mehānismiem datu subjekta tiesību izmantošanai.

25. pants Pārziņu, kas neatrodas Savienībā, pārstāvji

1.           Situācijā, kas minēta 3. panta 2. punktā, pārzinis norīko pārstāvi Savienībā.

2.           Šo pienākumu nepiemēro:

a)      pārzinim, kas atrodas trešā valstī, par kuru Komisija ir nolēmusi, ka šī trešā valsts nodrošina pietiekamu aizsardzības līmeni saskaņā ar 41. pantu; vai

b)      uzņēmumam, kas nodarbina mazāk nekā 250 personas; vai

c)      valsts iestādei vai struktūrai; vai

d)      pārzinim, kas tikai epizodiski piedāvā preces un pakalpojumus Savienībā dzīvojošiem datu subjektiem.

3.           Pārstāvi izveido vienā no dalībvalstīm, kurā dzīvo datu subjekti, kuru personas datus apstrādā saistībā ar preču vai pakalpojumu piedāvāšanu vai kuru uzvedība tiek novērota.

4.           Pārziņa pārstāvja norīkošana neskar prasības, ko varētu celt pret pašu pārzini.

26. pants Apstrādātājs

1.           Ja apstrādes darbību veic pārziņa vārdā, pārzinis izvēlas apstrādātāju, kas pietiekami garantē, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi un procedūras tādā veidā, ka apstrāde atbildīs šīs regulas prasībām, un nodrošina datu subjektu tiesību aizsardzību, jo īpaši attiecībā uz apstrādi reglamentējošiem tehnikas drošības pasākumiem un organizatoriskajiem pasākumiem, un nodrošina šo pasākumu ievērošanu.

2.           Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai citu tiesību aktu, kas saista apstrādātāju un pārzini, un tajā jo īpaši paredz, ka apstrādātājs:

a)      rīkojas tikai saskaņā ar pārziņa norādījumiem, jo īpaši, ja izmantoto personas datu nosūtīšana ir aizliegta;

b)      nodarbina tikai tādus darbiniekus, kas ir apņēmušies ievērot konfidencialitāti vai kuriem likumā ir noteikts pienākums ievērot konfidencialitāti;

c)      īsteno visus nepieciešamos pasākumus saskaņā ar 30. pantu;

d)      piesaista citu apstrādātāju tikai ar pārziņa iepriekšēju atļauju;

e)      cik tas ir iespējams ņemot vērā apstrādes būtību un vienojoties ar pārzini, izveido nepieciešamās tehniskās un organizatoriskās prasības, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par datu subjekta tiesību izmantošanu, kas minēts III nodaļā;

f)       palīdz pārzinim nodrošināt 30. – 34. pantā minēto pienākumu izpildi;

g)      pēc apstrādes visus tās rezultātus nodod pārzinim un neapstrādā personas datus citādi;

h)      dara pārzinim un uzraudzības iestādei pieejamu visu informāciju, kas nepieciešama, lai pārbaudītu, vai ievēroti šajā pantā paredzētie pienākumi.

3.           Pārzinis un apstrādātājs rakstveidā dokumentē pārziņa norādījumus un apstrādātāja pienākumus, kas minēti 2. punktā.

4.           Ja apstrādātājs apstrādā personas datus citādi, nekā norādījis pārzinis, apstrādātāju uzskata par pārzini attiecībā uz šo apstrādi un viņam ir piemērojami 24. pantā paredzētie noteikumi par kopīgiem pārziņiem.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz apstrādātāja atbildību, pienākumiem un uzdevumiem saskaņā ar 1. punktu un attiecībā uz nosacījumiem, kas ļauj atvieglot personas datu apstrādi uzņēmumu grupas ietvaros, jo īpaši kontroles un ziņošanas nolūkos.

27. pants Apstrāde pārziņa un apstrādātāja pakļautībā

Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā šos datus citādi, kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.

28. pants Dokumentācija

1.           Katrs pārzinis un apstrādātājs un, ja tāds ir, arī pārziņa pārstāvis uzglabā visu apstrādes darbību dokumentāciju, par kurām tie ir atbildīgi.

2.           Dokumentācijā ietver vismaz šādu informāciju:

a)      pārziņa vai kopīgo pārziņu un, ja tāds ir, arī pārstāvja nosaukumu un kontaktinformāciju;

b)      datu aizsardzības inspektora nosaukumu un kontaktinformāciju, ja tāds ir;

c)      apstrādes nolūkus, ietverot pārziņa likumīgās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

d)      datu subjektu kategoriju aprakstu un ar tiem saistīto personas datu kategoriju aprakstu;

e)      personas datu saņēmējus vai saņēmēju kategorijas, ietverot pārziņus, kuriem personas dati ir izpausti, pamatojoties uz to likumīgajām interesēm;

f)       attiecīgā gadījumā, informāciju par datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, ietverot šīs trešās valsts vai starptautiskās organizācijas identifikāciju, un 44. panta 1. punkta h) apakšpunktā minētās nosūtīšanas gadījumā – atbilstošo aizsardzības pasākumu dokumentāciju;

g)      vispārīgu norādi par dažādu kategoriju datu dzēšanas termiņiem;

h)      aprakstu par mehānismiem, kas minēti 22. panta 3. punktā.

3.           Pārzinis un apstrādātājs un, ja tāds ir, arī pārziņa pārstāvis dara šo dokumentāciju pieejamu uzraudzības iestādei pēc tās pieprasījuma.

4.           Pienākumus, kas minēti 1. un 2. punktā, nepiemēro šādiem pārziņiem un apstrādātājiem:

a)      fiziskām personām, kuras personas datus apstrādā bez komerciāliem nolūkiem; vai

b)      uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas un kura veiktā personas datu apstrāde ir tikai palīgdarbība salīdzinājumā ar tā galveno darbību.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz 1. punktā minēto dokumentāciju, lai jo īpaši ņemtu vērā pārziņa un apstrādātāja un, ja tāds ir, arī pārziņa pārstāvja, pienākumus.

6.           Komisija var paredzēt standarta formas 1. punktā minētajai dokumentācijai. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

29. pants Sadarbība ar uzraudzības iestādi

1.           Pārzinis un apstrādātājs un, ja tāds ir, arī pārziņa pārstāvis sadarbojas ar uzraudzības iestādi tās uzdevumu izpildei un pēc tās pieprasījuma, jo īpaši sniedzot 53. panta 2. punkta a) apakšpunktā minēto informāciju un sniedzot piekļuvi, kā noteikts minētā punkta b) apakšpunktā.

2.           Ja uzraudzības iestāde izmanto savas pilnvaras saskaņā ar 53. panta 2. punktu, pārzinis un apstrādātājs reaģē un atbild uzraudzības iestādei saprātīgā termiņā, ko nosaka uzraudzības iestāde. Atbildē ietilpst arī veikto pasākumu apraksts un rezultāti, reaģējot uz uzraudzības iestādes piezīmēm.

2. IEDAĻA DATU DROŠĪBA

30. pants Apstrādes drošība

1.           Ņemot vērā jaunākās tehniskās iespējas un to ieviešanas izmaksas, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst ar apstrādi saistītajam riskam un aizsargājamo personas datu īpatnībām.

2.           Pārzinis un apstrādātājs pēc tam, kad ir novērtēti riski, īsteno 1. punktā minētos pasākumus, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšana un nejaušu nozaudēšanu un novērstu jebkāda veida nelikumīgu apstrādi, jo īpaši neatļautu izpaušanu, izplatīšanu vai piekļuvi, vai personas datu pārveidošanu.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un nosacījumus attiecībā uz tehniskajiem un organizatoriskajiem pasākumiem, kas minēti 1. un 2. punktā, nosakot arī, ko nozīmē jaunākās tehniskās iespējas konkrētās nozarēs un konkrētās datu apstrādes situācijās, jo īpaši ņemot vērā attīstību, kas vērojama saistībā ar tehnoloģijām un risinājumiem integrētai privātuma aizsardzībai un datu aizsardzībai pēc noklusējuma, izņemot gadījumus, kad piemērojams 4. punkts.

4.           Komisija nepieciešamības gadījumā var pieņemt īstenošanas aktus, kuros precizē noteikumus, kas minēti 1. un 2. punktā, dažādās situācijās jo īpaši, lai:

a)      novērstu neatļautu piekļuvi personas datiem;

b)      novērstu personas datu neatļautu izpaušanu, nolasīšanu, pavairošanu, sagrozīšanu, dzēšanu vai izņemšanu;

c)      nodrošinātu apstrādes darbību likumības pārbaudi.

Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

31. pants Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei

1.           Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja tas iespējams, ne vēlāk kā 24 stundās no brīža, kad tas kļuvis zināms, paziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu. Paziņojumam uzraudzības iestādei pievieno pamatotu paskaidrojumu, ja paziņošana nav notikusi 24 stundu laikā.

2.           Saskaņā ar 26. panta 2. punkta f) apakšpunktu apstrādātājs nekavējoties tiklīdz ir konstatēts personas datu aizsardzības pārkāpums brīdina un informē pārzini.

3.           Paziņojumā, kas minēts 1. punktā, vismaz:

a)      apraksta personas datu aizsardzības pārkāpuma būtību, tostarp skarto datu subjektu kategorijas un skaitu un skarto datu ierakstu kategorijas un skaitu;

b)      paziņo datu aizsardzības inspektora vai cita kontaktpunkta, kur var iegūt papildu informāciju, identitāti un kontaktinformāciju;

c)      iesaka pasākumus personas datu aizsardzības pārkāpuma iespējamās nelabvēlīgās ietekmes mazināšanai;

d)      apraksta personas datu aizsardzības pārkāpuma sekas;

e)      apraksta pārziņa ierosinātos vai veiktos pasākumus, lai risinātu personas datu aizsardzības pārkāpumu.

4.           Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot pārkāpumu izdarīšanas apstākļus, to sekas un veiktās koriģējošās darbības. Dokumentācijai jāļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu. Dokumentācijā ietver tikai šim nolūkam nepieciešamo informāciju.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz 1. un 2. punktā minētā personas datu aizsardzības pārkāpuma konstatēšanu un jo īpaši apstākļus, kuros pārzinim un apstrādātājam ir pienākums ziņot par personas datu aizsardzības pārkāpumu.

6.           Komisija var noteikt standarta formu šādam paziņojumam uzraudzības iestādei, procedūras, kas piemērojamas pienākumam paziņot, un formu un kārtību dokumentācijai, kas minēta 4. punktā, ietverot arī termiņus, kuros dzēš tajā ietverto informāciju. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

32. pants Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.           Ja personas datu aizsardzības pārkāpums var nelabvēlīgi ietekmēt datu subjekta personas datu vai privātuma aizsardzību, pārzinis pēc tam, kad ir paziņojis par pārkāpumu saskaņā ar 31. pantu, bez nepamatotas kavēšanās informē datu subjektu par personas datu aizsardzības pārkāpumu .

2.           Paziņojumā datu subjektam, kas minēts 1. punktā, apraksta personas datu aizsardzības pārkāpuma būtību un ietver vismaz 31. panta 3. punkta b) un c) apakšpunktā minēto informāciju un ieteikumus.

3.           Datu subjekts nav jāinformē par personas datu aizsardzības pārkāpumu, ja pārzinis uzraudzības iestādei ir uzskatāmi pierādījis, ka tas ir īstenojis atbilstošus tehniskus aizsardzības pasākumus un šie pasākumi tikuši piemēroti datiem, ko skāris personas datu aizsardzības pārkāpums. Ar šādiem tehniskiem aizsardzības pasākumiem datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem.

4.           Neskarot pārziņa pienākumu informēt datu subjektu par personas datu aizsardzības pārkāpumu, ja pārzinis vēl nav informējis datu subjektu par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi pārkāpuma iespējamo nelabvēlīgo ietekmi, var pieprasīt pārzinim informēt datu subjektu.

5.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz 1. punktā minētajiem apstākļiem, kādos personas datu aizsardzības pārkāpums var nelabvēlīgi ietekmēt datu subjektu.

6.           Komisija var noteikt formātu datu subjekta informēšanai, kas minēta 1. punktā, un šai informēšanai piemērojamās procedūras. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

3. IEDAĻA DATU AIZSARDZĪBAS IETEKMES NOVĒRTĒJUMS UN IEPRIEKŠĒJA ATĻAUJA

33. pants Datu aizsardzības ietekmes novērtējums

1.           Ja apstrādes darbības īpaši apdraud datu subjekta tiesības un brīvības savas būtības, apmēra vai nolūku dēļ, pārzinis vai apstrādātājs, kas rīkojas pārziņa vārdā, veic plānoto apstrādes darbību personas datu aizsardzības ietekmes novērtējumu.

2.           Īpašo apdraudējumu, kas minēts 1. punktā, jo īpaši izraisa šādas apstrādes darbības:

a)      sistemātiska un plaša ar fizisko personu saistītu personisku aspektu novērtēšana vai analizēšana, lai iepriekšparedzētu, piemēram, fiziskas personas ekonomisko situāciju, atrašanās vietu, veselību, personīgās vēlmes, uzticamību vai uzvedību, kuras pamatā ir automatizēta apstrāde un ar ko pamato pasākumus, kas personai rada tiesiskas sekas vai to būtiski skar;

b)      informācijas apstrāde par seksuālo dzīvi, veselību, rasi un etnisko izcelsmi vai par veselības aprūpes pakalpojumu sniegšanu, epidemioloģiskai izpētei vai aptaujām par infekciju slimībām, ja datus apstrādā, lai īstenotu pasākumus vai pieņemtu lēmumus attiecībā uz konkrētām personām plašā mērogā;

c)      publiski pieejamu zonu uzraudzība, jo īpaši izmantojot optiskas elektroniskas iekārtas (video novērošana) plašā mērogā;

d)      plaša mēroga kartotēkas par bērnu personas datiem, ģenētiskajiem datiem vai biometriskajiem datiem;

e)      citas apstrādes darbības, kurām saskaņā ar 34. panta 2. punkta b) apakšpunktu ir nepieciešama apspriešanās ar uzraudzības iestādi.

3.           Novērtējumā ietver vismaz plānoto apstrādes darbību vispārīgu aprakstu, datu subjekta tiesību un brīvību apdraudējuma novērtējumu, pasākumus, kas paredzēti riska mazināšanai, aizsardzības pasākumus, drošības pasākumus un mehānismus, kas nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un likumīgās intereses.

4.           Pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrisku interešu aizsardzību vai apstrādes darbību drošību.

5.           Šā panta 1. un 4. punktu nepiemēro, ja pārzinis ir valsts iestāde vai struktūra un ja apstrāde saskaņā ar 6. panta 1. punkta c) apakšpunktu pamatota ar juridisku pienākumu, kas paredz noteikumus un procedūras apstrādes darbībām un ko regulē Savienības tiesības, izņemot, ja dalībvalsts uzskata par nepieciešamu veikt šādu ietekmes novērtējumu pirms apstrādes darbībām.

6.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un nosacījumus attiecībā uz apstrādes darbībām, kas var radīt īpašu apdraudējumu, kā minēts 1. un 2. punktā, un prasības attiecībā uz novērtējumu, kas minēts 3. punktā, ietverot mērogojamības, pārbaudāmības un revīzijas nosacījumus. Šajā sakarā Komisija apsver īpašus pasākumus mikrouzņēmumiem, maziem un vidējiem uzņēmumiem.

7.           Komisija var noteikt standartus un procedūras, saskaņā ar kuriem jāveic novērtējums, tā pārbaude un revīzija, kā minēts 3. punktā. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

34. pants Iepriekšēja atļauja un iepriekšēja apspriešanās

1.           Lai nodrošinātu, ka plānotā apstrāde notiek saskaņā ar šo regulu un jo īpaši lai mazinātu iespējamo risku datu subjektam, pārzinis vai attiecīgā gadījumā apstrādātājs pirms personas datu apstrādes saņem uzraudzības iestādes atļauju, ja pārzinis vai apstrādātājs izstrādā līguma noteikumus saskaņā ar 42. panta 2. punkta d) apakšpunktu vai nenodrošina atbilstošus aizsardzības pasākumus juridiski saistošā dokumentā, kas minēts 42. panta 5. punktā, personas datu nosūtīšanai uz trešo valsti vai starptautisku organizāciju.

2.           Lai nodrošinātu, ka plānotā apstrāde notiek saskaņā ar šo regulu un jo īpaši lai mazinātu iespējamo risku datu subjektam, pārzinis vai apstrādātājs, kas rīkojas pārziņa vārdā, pirms personas datu apstrādes apspriežas ar uzraudzības iestādi, ja:

a)      no datu aizsardzības ietekmes novērtējuma, kas paredzēts 33. pantā, izriet, ka apstrādes darbības savas būtības, apmēra vai nolūku dēļ var radīt augsta līmeņa īpašu apdraudējumu; vai

b)      uzraudzības iestāde uzskata par nepieciešamu veikt iepriekšēju apspriešanos par apstrādes darbībām, kas var īpaši apdraudēt datu subjektu tiesības un brīvības savas būtības, apmēra un/vai nolūku dēļ un ir precizētas saskaņā ar 4. punktu.

3.           Ja uzraudzības iestāde uzskata, ka plānotā apstrāde neatbilst šai regulai, jo īpaši, ja apdraudējums nav pietiekami identificēts vai mazināts, tā aizliedz plānoto apstrādi un izsaka atbilstīgus ierosinājumus, lai novērstu šo neatbilstību.

4.           Uzraudzības iestāde izstrādā un publicē sarakstu ar apstrādes darbībām, kurām piemērojama iepriekšēja apspriešanās saskaņā ar 2. punkta b) apakšpunktu. Uzraudzības iestāde paziņo šādus sarakstus Eiropas Datu uzraudzības kolēģijai.

5.           Ja 4. punktā minētais saraksts aptver apstrādes darbības, kas saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vairākās dalībvalstīs, vai ar viņu uzvedības novērošanu, vai var būtiski skart personas datu brīvu apriti Savienībā, uzraudzības iestāde saraksta pieņemšanai piemēro konsekvences mehānismu, kas minēts 57. pantā.

6.           Pārzinis vai apstrādātājs iesniedz uzraudzības iestādei 33. pantā minēto datu aizsardzības ietekmes novērtējumu un pēc pieprasījuma jebkuru citu informāciju, kas ļauj uzraudzības iestādei izvērtēt apstrādes atbilstību un jo īpaši datu subjekta personas datu aizsardzības apdraudējumu un attiecīgos aizsardzības pasākumus.

7.           Lai nodrošinātu, ka plānotā apstrāde notiek saskaņā ar šo regulu un jo īpaši lai mazinātu iespējamo risku datu subjektam, dalībvalstis apspriežas ar uzraudzības iestādi, kad tās izstrādā leģislatīvu pasākumu, ko pieņem valsts parlaments, vai pasākumu, kas pamatojas uz šādu leģislatīvu pasākumu, un kurā definēta apstrāde.

8.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz 2. punkta a) apakšpunktā minēto augsta līmeņa īpašu apdraudējumu.

9.           Komisija var noteikt standarta formas un procedūras attiecībā uz 1. un 2. punktā minēto iepriekšējo atļauju un apspriešanos, un standarta formas un procedūras uzraudzības iestādes informēšanai saskaņā ar 6. punktu Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

4. IEDAĻA DATU AIZSARDZĪBAS INSPEKTORS

35. pants Datu aizsardzības inspektora iecelšana

1.           Pārzinis un apstrādātājs ieceļ datu aizsardzības inspektoru katrā gadījumā, kad

a)      apstrādi veic valsts iestāde vai struktūra; vai

b)      apstrādi veic uzņēmums, kas nodarbina 250 personas vai vairāk; vai

c)      datu pārziņa vai apstrādātāja pamatdarbība, sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana.

2.           Gadījumos, kas minēti 1. punkta b) apakšpunktā, uzņēmumu grupa var iecelt vienu datu aizsardzības inspektoru.

3.           Ja pārzinis vai apstrādātājs ir valsts iestāde vai struktūra, datu aizsardzības inspektoru var iecelt vairākām tās vienībām, ņemot vērā valsts iestādes vai struktūras organizatorisko uzbūvi.

4.           Gadījumos, kas nav minēti 1. punktā, pārzinis vai apstrādātājs, vai asociācijas un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var iecelt datu aizsardzības inspektoru.

5.           Pārzinis vai apstrādātājs ieceļ datu aizsardzības inspektoru, pamatojoties uz tā profesionālo kvalifikāciju, jo īpaši pamatojoties uz eksperta līmeņa zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt uzdevumus, kas minēti 37. pantā. Nepieciešamo eksperta zināšanu līmeni nosaka jo īpaši ņemot vērā datu apstrādi, kas tiek veikta, un aizsardzību, kas nepieciešama pārziņa vai apstrādātāja apstrādātajiem personas datiem.

6.           Pārzinis vai apstrādātājs nodrošina, ka visi pārējie datu aizsardzības inspektora pienākumi ir savienojami ar tā uzdevumiem un pienākumiem datu aizsardzības inspektora statusā un nerada interešu konfliktu.

7.           Pārzinis vai apstrādātājs ieceļ datu aizsardzības inspektoru uz vismaz divu gadu termiņu. Datu aizsardzības inspektoru var atkārtoti iecelt uz turpmākiem termiņiem. Datu aizsardzības inspektoru pirms pilnvaru termiņa beigām var atcelt tikai tad, ja datu aizsardzības inspektors vairs neatbilst savu uzdevumu izpildes nosacījumiem.

8.           Datu aizsardzības inspektoru var nodarbināt pārzinis vai apstrādātājs, vai tas var veikt savus uzdevumus uz līguma pamata.

9.           Pārzinis vai apstrādātājs paziņo datu aizsardzības inspektora vārdu un kontaktinformāciju uzraudzības iestādei un sabiedrībai.

10.         Datu subjektam ir tiesības vērsties pie datu aizsardzības inspektora visos jautājumos, kas saistīti ar datu subjekta datu apstrādi, un pieprasīt ar šo regulu piešķirto tiesību izmantošanu.

11.         Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz pārziņa vai apstrādātāja pamatdarbību, kas minēta 1. punkta c) apakšpunktā, un kritērijus datu aizsardzības inspektora profesionālajai kvalifikācijai, kas minēta 5. punktā.

36. pants Datu aizsardzības inspektora statuss

1.           Pārzinis vai apstrādātājs nodrošina, ka datu aizsardzības inspektors tiek pienācīgi un laicīgi iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

2.           Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības inspektors pilda savus pienākumus un uzdevumus neatkarīgi un nesaņem nekādus norādījumus attiecībā uz savu funkciju veikšanu. Datu aizsardzības inspektors tieši ziņo pārziņa vai apstrādātāja vadībai.

3.           Pārzinis vai apstrādātājs atbalsta datu aizsardzības inspektoru viņa uzdevumu veikšanā un nodrošina darbiniekus, telpas, aprīkojumu un citus resursus, kas nepieciešami, lai inspektors varētu veikt savus pienākumus un uzdevumus saskaņā ar 37. pantu.

37. pants Datu aizsardzības inspektora uzdevumi

1.           Pārzinis un apstrādātājs uztic datu aizsardzības inspektoram vismaz šādus uzdevumus:

a)      informēt un konsultēt pārzini vai apstrādātāju par viņu pienākumiem saskaņā ar šo regulu un dokumentēt šīs darbības un saņemtās atbildes;

b)      uzraudzīt pārziņa vai apstrādātāja vadlīniju īstenošanu un piemērošanu saistībā ar personas datu aizsardzību, ietverot arī pienākumu sadali, apstrādes darbībās iesaistīto darbinieku mācības un ar to saistītas revīzijas;

c)      uzraudzīt šīs regulas īstenošanu un piemērošanu, jo īpaši attiecībā uz prasībām saistībā ar integrētu datu aizsardzību, datu aizsardzību pēc noklusējuma un datu drošību, un saistībā ar datu subjektu informēšanu un datu subjektu pieprasījumiem, izmantojot viņu tiesības saskaņā ar šo regulu;

d)      nodrošināt, ka tiek saglabāta 28. pantā minētā dokumentācija;

e)      uzraudzīt dokumentāciju, paziņojumus un informēšanu par personas datu aizsardzības pārkāpumiem saskaņā ar 31. un 32. pantu;

f)       uzraudzīt, kā pārzinis vai apstrādātājs veic datu aizsardzības ietekmes novērtējumu un kā tiek ievēroti noteikumi par iepriekšēju atļauju vai iepriekšēju apspriešanos saskaņā ar 33. un 34. pantu;

g)      uzraudzīt atbildes uz uzraudzības iestādes pieprasījumiem un datu aizsardzības inspektora kompetences ietvaros sadarboties ar uzraudzības iestādi pēc tās pieprasījuma vai pēc datu aizsardzības inspektora paša iniciatīvas;

h)      būt par uzraudzības iestādes kontaktpunktu ar apstrādi saistītos jautājumos un attiecīgos gadījumos konsultēties ar uzraudzības iestādi, pēc paša iniciatīvas. 

2.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz datu aizsardzības inspektora uzdevumiem, sertifikāciju, statusu, pilnvarām un resursiem saskaņā ar 1. punktā minēto.

5. IEDAĻA PROFESIONĀLĀS ĒTIKAS KODEKSI UN SERTIFIKĀCIJA

38. pants Profesionālās ētikas kodeksi

1.           Dalībvalstis, uzraudzības iestādes un Komisija mudina izstrādāt profesionālās ētikas kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādu datu apstrādes nozaru raksturīgās iezīmes, un jo īpaši attiecībā uz:

a)      godīgu un caurskatāmu datu apstrādi;

b)      datu vākšanu;

c)      sabiedrības un datu subjektu informēšanu;

d)      datu subjektu pieprasījumiem, izmantojot savas tiesības;

e)      bērnu informēšanu un aizsardzību;

f)       datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām;

g)      mehānismiem, ar kuru palīdzību uzrauga un nodrošina, ka pārziņi, kas pievienojušies kodeksam, to ievēro;

h)      ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar personas datu apstrādi, neskarot datu subjekta tiesības saskaņā ar 73. un 75. pantu.

2.           Asociācijas un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas kādā dalībvalstī un plāno izstrādāt profesionālās ētikas kodeksus vai grozīt vai papildināt jau esošus profesionālās ētikas kodeksus, var tos iesniegt šīs dalībvalsts uzraudzības iestādei atzinuma saņemšanai. Uzraudzības iestāde var sniegt atzinumu, vai profesionālās ētikas kodeksa projekts vai grozījumi ir saskaņā ar šo regulu. Uzraudzības iestāde pieprasa datu subjektu vai viņu pārstāvju viedokļus par projektiem.

3.           Asociācijas un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas vairākās dalībvalstīs, var iesniegt profesionālās ētikas kodeksu projektus vai to papildinājumus Komisijai.

4.           Komisija var pieņemt īstenošanas aktus, ar kuriem nolemj, vai saskaņā ar 3. punktu iesniegtie profesionālās ētikas kodeksi un to grozījumi vai papildinājumi ir vispārēji piemērojami Savienībā. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

5.           Komisija nodrošina atbilstīgu publicitāti tiem profesionālās ētikas kodeksiem, par kuriem pieņemts lēmums, ka tie ir vispārēji piemērojami saskaņā ar 4. punktu.

39. pants Sertifikācija

1.           Dalībvalstis un Komisija mudina, jo īpaši Eiropas līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, kas ļautu datu subjektam ātri novērtēt pārziņu un apstrādātāju nodrošināto datu aizsardzības līmeni. Datu aizsardzības sertifikācijas mehānismi veicina šīs regulas pareizu piemērošanu, ņemot vērā dažādu nozaru un dažādu datu apstrādes darbību īpašās iezīmes.

2.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz datu aizsardzības sertifikācijas mehānismiem, kas minēti 1. punktā, ietverot to piešķiršanas un atsaukšanas nosacījumus un prasības to atzīšanai Savienībā un trešās valstīs.

3.           Komisija var noteikt tehniskos standartus sertifikācijas mehānismiem un datu aizsardzības zīmogiem un marķējumiem un var noteikt mehānismus sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu veicināšanai un atzīšanai. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

V NODAĻA PERSONAS DATU NOSŪTĪŠANA UZ TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

40. pants Nosūtīšanas vispārīgie principi

Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, var nosūtīt tikai tad, ja, ņemot vērā citus šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas citai trešai valstij vai citai starptautiskai organizācijai.

41. pants Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.           Nosūtīšanu var veikt, ja Komisija ir nolēmusi, ka trešā valsts vai kāda šīs valsts teritorija vai apstrādes nozare, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda cita atļauja.

2.           Novērtējot aizsardzības līmeņa pietiekamību, Komisija apsver šādus faktorus:

a)      tiesiskuma princips, spēkā esošie attiecīgie tiesību akti – gan vispārīgie, gan nozaru – ietverot arī tos, kas attiecas uz sabiedrības drošību, aizsardzību, valsts drošību un krimināltiesībām, profesionālie noteikumi un drošības pasākumi, kurus ievēro šajā valstī vai starptautiskajā organizācijā, kā arī tiesību efektivitāte un īstenojamība, ietverot efektīvus datu subjektu tiesībaizsardzības līdzekļus gan administratīvā kārtā, gan tiesā un jo īpaši attiecībā uz tiem datu subjektiem, kas dzīvo Savienībā un kuru datus nosūta;

b)      vai attiecīgajā trešā valstī vai starptautiskajā organizācijā pastāv un efektīvi darbojas viena vai vairākas uzraudzības iestādes, kas atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu, par datu subjektu atbalstīšanu un konsultēšanu saistībā ar tiesību izmantošanu un par sadarbību ar Savienības un dalībvalstu uzraudzības iestādēm; un

c)      kādas starptautiskās saistības uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija.

3.           Komisija var nolemt, ka trešā valsts, trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni 2. punkta izpratnē. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

4.           Īstenošanas aktā norāda tā ģeogrāfisko un nozaru piemērošanas jomu un attiecīgā gadījumā norāda uzraudzības iestādi, kas minēta 2. punkta b) apakšpunktā.

5.           Komisija var nolemt, ka trešā valsts vai trešās valsts teritorija vai apstrādes nozare, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, jo īpaši gadījumos, kad attiecīgie trešā valstī vai starptautiskā organizācijā spēkā esošie tiesību akti – gan vispārīgie, gan nozaru – negarantē efektīvas un īstenojamas tiesības, ietverot efektīvus datu subjektu tiesībaizsardzības līdzekļus gan administratīvā kārtā, gan tiesā un jo īpaši attiecībā uz tiem datu subjektiem, kas dzīvo Savienībā un kuru datus nosūta. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā, vai saskaņā ar procedūru, kas minēta 87. panta 3. punktā, ja tas ir ārkārtīgi steidzami saistībā ar personas tiesībām uz personas datu aizsardzību.

6.           Ja Komisija pieņem lēmumu saskaņā ar 5. punktu, personas datu nosūtīšana uz attiecīgo trešo valsti, trešās valsts teritoriju vai apstrādes nozari vai starptautisko organizāciju ir aizliegta, neskarot 42. un 44. pantu. Atbilstīgā laikā Komisija sāk sarunas ar trešo valsti vai starptautisko organizāciju ar nolūku labot situāciju, kas izriet no lēmuma, kas pieņemts saskaņā ar šā panta 5.punktu.

7.           Komisija publicē Eiropas Savienības Oficiālajā Vēstnesī sarakstu ar tām trešām valstīm, trešās valsts teritorijām un apstrādes nozarēm un starptautiskām organizācijām, par kurām ir pieņemts lēmums par aizsardzības līmeņa pietiekamību vai nepietiekamību.

8.           Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu un 26. panta 4. punktu, ir spēkā, kamēr Komisija tos negroza, neaizstāj vai neatceļ.

42. pants Nosūtīšana, pamatojoties uz atbilstošiem aizsardzības pasākumiem

1.           Ja Komisija nav pieņēmusi lēmumu saskaņā ar 41. pantu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs juridiski saistošā aktā ir nodrošinājis atbilstošus personas datu aizsardzības pasākumus.

2.           Atbilstošus aizsardzības pasākumus, kas minēti 1. punktā, jo īpaši nodrošina ar:

a)      saistošiem uzņēmuma noteikumiem saskaņā ar 43. pantu; vai

b)      tipveida datu aizsardzības noteikumiem, ko pieņēmusi Komisija. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā; vai

c)      tipveida datu aizsardzības noteikumiem, ko pieņem uzraudzības iestāde saskaņā ar konsekvences mehānismu, kā minēts 57. pantā, ja Komisija tos saskaņā ar 62. panta 1. punkta b) apakšpunktu ir pasludinājusi par vispārēji piemērojamiem; vai

d)      līguma, kas noslēgts starp pārzini vai apstrādātāju un datu saņēmēju, noteikumiem, ko apstiprinājusi uzraudzības iestāde saskaņā ar 4. punktu.

3.           Nosūtīšanai, pamatojoties uz tipveida datu aizsardzības noteikumiem vai saistošiem uzņēmuma noteikumiem, kā minēts 2. punkta a), b) vai c) apakšpunktā, nav nepieciešama nekāda cita atļauja.

4.           Ja nosūtīšana pamatojas uz līguma noteikumiem, kā minēts šā panta 2. punkta d) apakšpunktā, pārzinis vai apstrādātājs no uzraudzības iestādes saņem iepriekšēju līguma noteikumu apstiprinājumu saskaņā ar 34. panta 1. punktu. Ja nosūtīšana ir saistīta ar apstrādes darbībām, kas attiecas uz datu subjektiem citā dalībvalstī vai dalībvalstīs, vai būtiski skar personas datu brīvu apriti Savienībā, uzraudzības iestāde piemēro konsekvences mehānismu, kas minēts 57. pantā.

5.           Ja atbilstoši personas datu aizsardzības pasākumi nav paredzēti juridiski saistošā aktā, pārzinis vai apstrādātājs saņem iepriekšēju atļauju nosūtīšanai vai vairākkārtējai nosūtīšanai, vai noteikumiem, kas jāpievieno pārvaldības norunām, kas ir šādas nosūtīšanas pamatā. Šādu atļauju uzraudzības iestāde sniedz saskaņā 34. panta 1. punktu. Ja nosūtīšana ir saistīta ar apstrādes darbībām, kas attiecas uz datu subjektiem citā dalībvalstī vai dalībvalstīs, vai būtiski skar personas datu brīvu apriti Savienībā, uzraudzības iestāde piemēro konsekvences mehānismu, kas minēts 57. pantā. Uzraudzības iestādes atļaujas, kas izsniegtas saskaņā ar Direktīvas 95/46/EK 26. panta 2. punktu, ir spēkā, kamēr uzraudzības iestāde tās negroza, neaizstāj vai neatceļ.

43. pants Nosūtīšana, pamatojoties uz saistošiem uzņēmuma noteikumiem

1.           Uzraudzības iestāde saskaņā ar 58. pantā minēto konsekvences mehānismu apstiprina saistošos uzņēmuma noteikumus ar nosacījumu, ka tie:

a)      ir juridiski saistoši un tos piemēro un izpilda visi pārziņa vai apstrādātāja uzņēmumu grupas locekļi, un attiecas arī uz darbiniekiem;

b)      skaidri piešķir īstenojamas tiesības datu subjektiem;

c)      atbilst 2. punktā paredzētajām prasībām.

2.           Saistošajos uzņēmuma noteikumos vismaz norāda:

a)      uzņēmumu grupas un tās locekļu struktūru un kontaktinformāciju;

b)      datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)      to juridiski gan iekšēji, gan ārēji saistošo raksturu;

d)      vispārīgos datu aizsardzības principus, jo īpaši ierobežojumus saistībā ar nolūku, datu kvalitāte, apstrādes juridiskais pamats, sensitīvu personas datu apstrāde, pasākumi datu drošības nodrošināšanai un prasības tālākai datu nosūtīšanai organizācijām, kurām vadlīnijas nav saistošas;

e)      datu subjektu tiesības un līdzekļus šo tiesību izmantošanai, ietverot tiesības nebūt tāda pasākuma subjektam, kas pamatojas uz profilēšanu, saskaņā ar 20. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstī saskaņā ar 75. pantu un tiesības uz nodarījuma izlīdzināšanu un attiecīgos gadījumos uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

f)       pārziņa un apstrādātāja, kas atrodas dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par uzņēmuma saistošo noteikumu pārkāpumu, ko izdara uzņēmumu grupas loceklis, kas neatrodas Savienībā; pārzini vai apstrādātāju var pilnībā vai daļēji atbrīvot no šīs atbildības, ja tas pierāda, ka uzņēmumu grupas loceklis nav atbildīgs par notikumu, kurš izraisījis kaitējumu;

g)      kā saskaņā ar 11. pantu datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

h)      saskaņā ar 35. pantu ieceltā datu aizsardzības inspektora uzdevumus, ietverot uzdevumu uzraudzīt, kā uzņēmumu grupas ietvaros tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt mācības un sūdzību izskatīšanu;

i)       mehānismus, kas izveidoti uzņēmumu grupas ietvaros un kuru mērķis ir nodrošināt uzņēmuma saistošo noteikumu ievērošanas pārbaudi;

j)       mehānismus, kas izveidoti, lai ziņotu par izmaiņām vadlīnijās un fiksētu tās, un lai paziņotu šīs izmaiņas uzraudzības iestādei;

k)      sadarbības mehānismus ar uzraudzības iestādi, kas nodrošina, ka visi uzņēmuma grupas locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus šā punkta i) apakšpunktā minēto pasākumu pārbaužu rezultātus.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz saistošiem uzņēmuma noteikumiem šā panta izpratnē, jo īpaši attiecībā uz kritērijiem to apstiprināšanai, kritērijiem 2. punkta b), d), e) un f) apakšpunktu piemērošanai apstrādātāju uzņēmuma saistošajiem noteikumiem un citām nepieciešamām prasībām attiecīgo datu subjektu personas datu aizsardzības nodrošināšanai.

4.           Komisija var noteikt formātu un procedūras informācijas apmaiņai elektroniskā veidā starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta izpratnē. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

44. pants Atkāpes

1.           Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 41. pantu vai nav nodrošināti atbilstoši aizsardzības pasākumi saskaņā ar 42. pantu, personas datus var nosūtīt vai vairākkārtīgi nosūtīt uz trešo valsti vai starptautisku organizāciju tikai ar nosacījumu, ka:

a)      datu subjekts ir piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par šādas nosūtīšanas riskiem pietiekamības lēmuma un atbilstošu aizsardzības pasākumu trūkuma dēļ; vai

b)      nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, ko veic pēc datu subjekta pieprasījuma; vai

c)      nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei; vai

d)      nosūtīšana ir nepieciešama pamatojoties uz svarīgām sabiedrības interesēm; vai

e)      nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; vai

f)       nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas personas īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; vai

g)      nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesībām ir paredzēts, lai sniegtu informāciju sabiedrībai, un kurā var ieskatīties vai nu sabiedrība vispārīgi vai jebkura likumīgi ieinteresēta persona, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesībās paredzētie ieskatīšanās nosacījumi; vai

h)      nosūtīšana ir nepieciešama, pamatojoties uz pārziņa vai apstrādātāja likumīgajām interesēm, ja to nevar kvalificēt kā biežu vai masveida un ja pārzinis vai apstrādātājs ir novērtējis visus apstākļus saistībā ar datu nosūtīšanas darbību vai vairākkārtējām datu nosūtīšanas darbībām un pamatojoties uz šo novērtējumu, ja nepieciešams, ir nodrošinājis atbilstošus personas datu aizsardzības pasākumus.

2.           Nosūtot datus saskaņā ar 1. punkta g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datu vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai tajā varētu ieskatīties likumīgi ieinteresētas personas, datus nosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3.           Ja apstrāde pamatojas uz 1. punkta h) apakšpunktu, pārzinis vai apstrādātājs īpaši apsver datu būtību, ierosinātās apstrādes darbības vai darbību nolūku un ilgumu, kā arī situāciju datu izcelsmes valstī, trešā valstī vai galamērķa valstī un, ja nepieciešams, nodrošina atbilstošus personas datu aizsardzības pasākumus.

4.           Šā panta 1. punkta b), c) un h) apakšpunktu nepiemēro valsts iestāžu darbībai, īstenojot savas publiskās pilnvaras.

5.           Sabiedrības interesēm, kas minētas 1. punkta d) apakšpunktā, jābūt atzītām Savienības tiesībās vai dalībvalsts tiesībās, kas ir piemērojamas pārzinim.

6.           Pārzinis un apstrādātājs dokumentē novērtējumu un nodrošinātos atbilstošos aizsardzības pasākumus, kas minēti šā panta 1. punkta h) apakšpunktā, saskaņā ar 28. pantu par dokumentāciju un informē uzraudzības iestādi par nosūtīšanu.

7.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt terminu "svarīgas sabiedrības intereses" 1. punkta d) apakšpunkta nozīmē, kā arī kritērijus un prasības attiecībā uz atbilstošiem aizsardzības pasākumiem, kas minēti 1. punkta h) apakšpunktā.

45. pants Starptautiskā sadarbība personas datu aizsardzības jomā

1.           Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un uzraudzības iestādes veic atbilstošus pasākumus, lai:

a)      izstrādātu efektīvus starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu izpildi;

b)      sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņojumus, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošus personas datu aizsardzības pasākumus un citas pamattiesības un brīvības;

c)      iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir uzlabot starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)      veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu.

2.           Nolūkos, kas minēti 1. punktā, Komisija īsteno atbilstošus pasākumus, lai veicinātu attiecības ar trešām valstīm vai starptautiskām organizācijām un jo īpaši to uzraudzības iestādēm, ja Komisija ir pieņēmusi lēmumu, ka tās nodrošina pietiekamu aizsardzības līmeni 41. panta 3. punkta nozīmē.

VI NODAĻA NEATKARĪGA UZRAUDZĪBAS IESTĀDE

1. IEDAĻA NEATKARĪBA

46. pants Uzraudzības iestāde

1.           Lai aizsargātu fizisku personu pamattiesības un brīvības attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti Savienībā, katra dalībvalsts paredz, ka viena vai vairākas valsts iestādes atbild par šīs regulas piemērošanas uzraudzību un par tās konsekventu piemērošanas veicināšanu visā Savienībā. Šajā nolūkā uzraudzības iestādes sadarbojas viena ar otru un ar Komisiju.

2.           Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, šī dalībvalsts norīko to uzraudzības iestādi, kas darbojas kā vienotais kontaktpunkts efektīvai šo iestāžu dalībai Eiropas Datu aizsardzības kolēģijā, un izveido mehānismus, kas nodrošina, ka pārējās iestādes ievēro 57. panta noteikumus par konsekvences mehānismu.

3.           Vēlākais līdz 91. panta 2. punktā noteiktajam datumam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņem saskaņā ar šo nodaļu, turklāt tās nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

47. pants Neatkarība

1.           Uzraudzības iestāde, pildot tai uzticētos pienākumus un īstenojot savas pilnvaras, rīkojas pilnīgi neatkarīgi.

2.           Uzraudzības iestāde, veicot savus pienākumus, ne no viena nelūdz un nepieņem norādījumus.

3.           Uzraudzības iestādes locekļi atturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu.

4.           Uzraudzības iestādes locekļi pēc pilnvaru laika beigām izturas godīgi un apdomīgi attiecībā uz amatu un priekšrocību pieņemšanu.

5.           Katra dalībvalsts nodrošina, ka uzraudzības iestādei ir piešķirti atbilstoši cilvēkresursi, tehniskie un finanšu resursi, telpas un infrastruktūra, kas nepieciešami efektīvai uzdevumu izpildei un pilnvaru īstenošanai, tostarp arī to uzdevumu izpildei, ko veic saistībā ar savstarpējo palīdzību, sadarbību un dalību Eiropas Datu aizsardzības kolēģijā.

6.           Katra dalībvalsts nodrošina, ka uzraudzības iestādei ir savs personāls, ko amatā ieceļ uzraudzības iestādes vadītājs un kas ir pakļauts tikai viņa vadībai.

7.           Dalībvalstis nodrošina, ka uzraudzības iestāde ir pakļauta finanšu kontrolei, kas neietekmē tas neatkarību. Dalībvalstis nodrošina, ka uzraudzības iestādei ir atsevišķs gada budžets. Budžetu dara zināmu atklātībai.

48. pants Vispārīgi noteikumi par uzraudzības iestādes locekļiem

1.           Dalībvalstis nodrošina, ka uzraudzības iestādes locekļus amatā ieceļ vai nu attiecīgās dalībvalsts parlaments vai valdība.

2.           Locekļus izvēlas no personu loka, kuru neatkarība nav apšaubāma un kuri uzskatāmi pierāda, ka tiem piemīt nepieciešamā pieredze un prasmes, lai pildītu savus pienākumus jo īpaši personas datu aizsardzības jomā.

3.           Locekļu pienākumi beidzas, beidzoties amata pilnvaru laikam, atkāpjoties no amata vai atlaišanas gadījumā, ievērojot 5. punktu.

4.           Kompetentā valsts tiesa var atlaist locekli no amata vai atņemt tam tiesības uz pensiju vai citas priekšrocības, ja viņš vairs neatbilst savu pienākumu izpildes nosacījumiem vai ir vainīgs smaga amatpārkāpuma izdarīšanā.

5.           Beidzoties amata pilnvaru laikam vai atkāpjoties no amata, loceklis turpina pildīt savus pienākumus, kamēr amatā nav iecelts jauns loceklis.

49. pants Noteikumi uzraudzības iestādes izveidei

Katra dalībvalsts šajā regulā noteikto ierobežojumu ietvaros likumā paredz:

a)      uzraudzības iestādes izveidi un statusu;

b)      uzraudzības iestādes locekļu kvalifikāciju, pieredzi un prasmes, kas nepieciešamas pienākumu veikšanai;

c)      noteikumus un procedūras uzraudzības iestādes locekļu iecelšanai amatā, kā arī noteikumus par rīcību vai darbu, kas nav savienojams ar amata pienākumiem;

d)      uzraudzības iestādes locekļu amata pilnvaru laiku, kas nav mazāks par četriem gadiem, izņemot pirmo amata pilnvaru laiku pēc šīs regulas stāšanās spēkā, kas daļēji var būt īsāks, ja tas ir nepieciešams, lai aizsargātu uzraudzības iestādes neatkarību, amatā iecelšanas procedūru organizējot ar laika nobīdi;

e)      vai uzraudzības iestādes locekļus var atkārtoti iecelt amatā;

f)       noteikumus un vienotus nosacījumus attiecībā uz uzraudzības iestādes locekļu un personāla pienākumiem;

g)      noteikumus un procedūras par uzraudzības iestādes locekļu pienākumu izbeigšanos arī gadījumā, ja tie vairs neatbilst savu pienākumu izpildes nosacījumiem vai ir vainīgi smaga amatpārkāpuma izdarīšanā.

50. pants Dienesta noslēpums

Esot amatā un arī pēc pilnvaru laika beigām, uzraudzības iestādes locekļi un personāls ievēro pienākumu glabāt dienesta noslēpumu attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus.

2. IEDAĻA PIENĀKUMI UN PILNVARAS

51. pants Kompetence

1.           Katra uzraudzības iestāde savas dalībvalsts teritorijā īsteno pilnvaras, kas tai piešķirtas ar šo regulu.

2.           Ja personas datu apstrāde notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja institūcija Savienībā, un pārziņa vai apstrādātāja institūcijas atrodas vairāk nekā vienā dalībvalstī, uzraudzības iestāde pārziņa vai apstrādātāja galvenās institūcijas atrašanās vietā ir kompetenta uzraudzīt pārziņa vai apstrādātāja veiktās apstrādes darbības visās dalībvalstīs, neskarot šīs regulas VII nodaļas noteikumus.

3.           Uzraudzības iestāde nav kompetenta uzraudzīt apstrādes darbības, ko veic tiesa, pildot tiesas spriešanas funkciju.

52. pants Pienākumi

1.           Uzraudzības iestāde:

a)      uzrauga un nodrošina šīs regulas piemērošanu;

b)      izskata datu subjekta vai to pārstāvošas asociācijas sūdzības saskaņā ar 73. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē datu subjektu vai asociāciju par lietas virzību un sūdzības rezultātiem, jo īpaši ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi.

c)      sniedz citām uzraudzības iestādēm informāciju un savstarpēju palīdzību un nodrošina konsekventu šīs regulas piemērošanu un izpildi;

d)      veic izmeklēšanu vai nu pati pēc savas iniciatīvas vai pamatojoties uz sūdzību vai citas uzraudzības iestādes pieprasījumu un saprātīgā termiņā informē attiecīgo datu subjektu, ja tas ir iesniedzis sūdzību uzraudzības iestādei, par izmeklēšanas rezultātiem;

e)      vēro nozīmīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikācijas tehnoloģiju un komercprakses attīstību;

f)       konsultē dalībvalsts iestādes un struktūras par leģislatīviem un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi;

g)      izsniedz atļaujas un apspriežas par apstrādes darbībām, kas minētas 34. pantā;

h)      sniedz atzinumu par profesionālās ētikas kodeksa projektu saskaņā ar 38. panta 2. punktu;

i)       apstiprina saistošos uzņēmuma noteikumus saskaņā ar 43. pantu;

j)       piedalās Eiropas Datu aizsardzības kolēģijas darbībās.

2.           Katra uzraudzības iestāde uzlabo sabiedrības informētību par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi. Īpašu uzmanību pievērš darbībām, kas īpaši attiecas uz bērniem.

3.           Uzraudzības iestāde pēc pieprasījuma konsultē datu subjektu par tiesību izmantošanu saskaņā ar šo regulu un šajā sakarā attiecīgā gadījumā sadarbojas ar uzraudzības iestādēm citas dalībvalstīs.

4.           Attiecībā uz sūdzībām, kas minētas 1. punkta b) apakšpunktā, uzraudzības iestāde nodrošina elektroniski aizpildāmu sūdzības iesniegšanas veidlapu, neizslēdzot arī citus saziņas līdzekļus.

5.           Attiecībā uz datu subjektu uzraudzības iestāde savus pienākumus veic bez maksas.

6.           Ja pieprasījumi ir acīmredzami pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var pieprasīt samaksu vai neveikt datu subjekta pieprasīto darbību. Uzraudzības iestādei ir pienākums pierādīt, ka pieprasījums ir acīmredzami pārmērīgs.

53. pants Pilnvaras

1.           Uzraudzības iestāde ir pilnvarota:

a)      paziņot pārzinim vai apstrādātājam, ka ir aizdomas par to noteikumu pārkāpumu, kas regulē personas datu apstrādi, un vajadzības gadījumā izdot rīkojumu pārzinim vai apstrādātājam novērst šo pārkāpumu īpašā veidā datu subjektu aizsardzības uzlabošanai;

b)      izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu izmantot viņam šajā regulā piešķirtās tiesības;

c)      izdot rīkojumu pārzinim un apstrādātājam un attiecīgā gadījumā to pārstāvim sniegt visu informāciju, kas saistīta ar tās pienākumu veikšanu;

d)      nodrošināt, ka tiek ievēroti 34. panta noteikumi par iepriekšēju atļauju un iepriekšēju apspriešanos;

e)      izteikt brīdinājumu vai aizrādījumu pārzinim vai apstrādātājam;

f)       izdot rīkojumu izlabot, dzēst vai iznīcināt visus datus, ja tie ir apstrādāti, pārkāpjot šīs regulas noteikumus, un paziņot par to trešām personām, kurām dati ir izpausti;

g)      uzlikt pagaidu vai galīgu apstrādes aizliegumu;

h)      apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas;

i)       sniegt atzinumu par jebkuru jautājumu saistībā ar personas datu aizsardzību;

j)       informēt valsts parlamentu, valdību vai citas politikas institūcijas, kā arī sabiedrību par jebkuru jautājumu saistībā ar personas datu aizsardzību.

2.           Uzraudzības iestādei ir pilnvaras veikt izmeklēšanu un panākt no pārziņa vai apstrādātāja:

a)      piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās pienākumu veikšanai;

b)      piekļuvi visām telpām, ietverot datu apstrādes aprīkojumu un līdzekļus, ja ir pamatoti iemesli uzskatīt, ka notiek darbības, kas pārkāpj šo regulu.

Pilnvaras, kas minētas b) punktā īsteno saskaņā ar Savienības un dalībvalsts tiesībām.

3.           Uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un iesaistīties procesuālās darbībās, jo īpaši saskaņā ar 74. panta 4. punktu un 75. panta 2. punktu.

4.           Uzraudzības iestādei ir pilnvaras sodīt par administratīviem pārkāpumiem, jo īpaši par tiem, kas minēti 79. panta 4., 5. un 6. punktā.

54. pants Darbības pārskats

Uzraudzības iestāde sagatavo ikgadēju ziņojumu par savu darbību. Ziņojumu iesniedz valsts parlamentam un dara pieejamu sabiedrībai, Komisijai un Eiropas Datu aizsardzības kolēģijai.

VII NODAĻA

SADARBĪBA UN KONSEKVENCE

1. IEDAĻA Sadarbība

55. pants Savstarpēja palīdzība

1.           Uzraudzības iestādes sniedz visu attiecīgo informāciju un palīdz viena otrai, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpējā palīdzība ietver, jo īpaši, informācijas pieprasījumus un uzraudzības pasākumus, piemēram, iepriekšējas atļaujas un apspriešanās pieprasījumus, pārbaudes un laicīgu informāciju par lietas uzsākšanu un turpmāko gaitu, ja apstrādes darbības varētu skart datu subjektus vairākās dalībvalstīs.

2.           Katra uzraudzības iestāde veic atbilstīgus pasākumus, kas nepieciešami, lai nekavējoties un ne vēlāk kā mēneša laikā atbildētu uz otras uzraudzības iestādes pieprasījumu. Šādi pasākumi var jo īpaši ietvert attiecīgās informācijas par izmeklēšanas gaitu nosūtīšanu vai izpildes pasākumus, lai pārtrauktu vai aizliegtu apstrādes darbības, kas ir pretrunā ar šo regulu.

3.           Palīdzības pieprasījumā norāda visu nepieciešamo informāciju, ietverot pieprasījuma nolūku un pamatojumu. Informāciju, ar ko apmainās, izmanto tikai saistībā ar to jautājumu, kuram tā pieprasīta.

4.           Uzraudzības iestāde, kurai lūdz palīdzību, nevar atteikties izpildīt pieprasījumu, izņemot, ja:

a)      tā nav kompetenta izpildīt pieprasījumu; vai

b)      pieprasījuma izpilde būtu pretrunā ar šīs regulas noteikumiem.

5.           Uzraudzības iestāde, kurai pieprasījumus adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem, vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasošās iestādes pieprasījumu.

6.           Uzraudzības iestāde sniedz otras uzraudzības iestādes pieprasīto informāciju elektroniskā veidā un visīsākajā iespējamā termiņā, izmantojot standartizētu formātu.

7.           Par darbībām, kas veiktas pēc savstarpējās palīdzības pieprasījuma, neprasa nekāda veida samaksu.

8.           Ja uzraudzības iestāde nerīkojas viena mēneša laikā pēc otras uzraudzības iestādes pieprasījuma saņemšanas, uzraudzības iestāde, kas izteikusi pieprasījumu, ir kompetenta savas dalībvalsts teritorijā īstenot pagaidu pasākumu saskaņā ar 51. panta 1. punktu un iesniedz jautājumu izskatīšanai Eiropas Datu aizsardzības kolēģijai saskaņā ar procedūru, kas minēta 57. pantā.

9.           Uzraudzības iestāde norāda šāda pagaidu pasākuma piemērošanas termiņu. Termiņš nepārsniedz trīs mēnešus. Uzraudzības iestāde nekavējoties paziņo šos pasākumus un to pilnīgu pamatojumu Eiropas Datu aizsardzības kolēģijai un Komisijai.

10.         Komisija var noteikt formātu un procedūras savstarpējai palīdzībai, kas minēta šajā pantā, un kārtību, kā uzraudzības iestādes savā starpā un ar Eiropas Datu aizsardzības kolēģiju apmainās ar informāciju elektroniskiem līdzekļiem, jo īpaši standartizēto formātu, kas minēts 6. punktā. Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

56. pants Uzraudzības iestāžu kopīgās operācijas

1.           Lai uzlabotu sadarbību un savstarpējo palīdzību, uzraudzības iestādes veic kopīgus izmeklēšanas uzdevumus, kopīgus izpildes pasākumus un citas kopīgas operācijas, kurās iesaistās tam norīkoti citu dalībvalstu uzraudzības iestāžu locekļi vai darbinieki.

2.           Gadījumos, kad apstrādes darbības var skart datu subjektus vairākās dalībvalstīs, uzraudzības iestādei katrā no šīm dalībvalstīm ir tiesības piedalīties attiecīgi kopīgajos izmeklēšanas uzdevumos vai kopīgajās operācijās. Kompetentā uzraudzības iestāde aicina uzraudzības iestādes katrā no šīm dalībvalstīm piedalīties attiecīgajos izmeklēšanas uzdevumos vai kopīgajās operācijās un bez kavēšanās atbild uzraudzības iestādes pieprasījumam piedalīties operācijas.

3.           Katra uzraudzības iestāde var kā uzņemošā uzraudzības iestāde saskaņā ar savas valsts tiesībām un ar pilnvaru pārņēmējas uzraudzības iestādes piekrišanu, piešķirt izpildes pilnvaras, ietverot izmeklēšanas uzdevumus, pilnvaru pārņēmējas uzraudzības iestādes locekļiem vai darbiniekiem, kas iesaistīti kopīgajās operācijās, vai tādā apmērā, kā to pieļauj uzņemošās uzraudzības iestādes valsts tiesību akti, var atļaut pilnvaru pārņēmējas uzraudzības iestādes locekļiem vai darbiniekiem īstenot viņu izpildes pilnvaras saskaņā ar pilnvaru pārņēmējas uzraudzības iestādes valsts tiesību aktiem. Šādas izpildes pilnvaras var īstenot tikai uzņemošās uzraudzības iestādes vadībā un tās locekļu vai darbinieku klātbūtnē. Pilnvaru pārņēmējas uzraudzības iestādes locekļiem vai darbiniekiem piemēro uzņemošās uzraudzības iestādes valsts tiesības. Uzņemošā uzraudzības iestāde atbild par viņu darbībām.

4.           Uzraudzības iestādes nosaka īpašo sadarbības darbību praktiskos aspektus.

5.           Ja uzraudzības iestāde viena mēneša laikā neievēro pienākumus, kas minēti 2. punktā, pārējās uzraudzības iestādes ir kompetentas īstenot pagaidu pasākumu šīs dalībvalsts teritorijā saskaņā ar 51. panta 1. punktu.

6.           Uzraudzības iestāde norāda 5. punktā minētā pagaidu pasākuma derīguma termiņu. Termiņš nepārsniedz trīs mēnešus. Uzraudzības iestāde nekavējoties paziņo šos pasākumus un to pilnīgu pamatojumu Eiropas Datu aizsardzības kolēģijai un Komisijai un iesniedz jautājumu izskatīšanai mehānismā, kas minēts 57. pantā.

2. IEDAĻA Konsekvence

57. pants Konsekvences mehānisms

Uzraudzības iestādes 46. panta 1. punkta nolūkos sadarbojas viena ar otru un ar Komisiju ar konsekvences mehānisma palīdzību un saskaņā ar šīs iedaļas noteikumiem.

58. pants Eiropas Datu aizsardzības kolēģijas atzinums

1.           Pirms uzraudzības iestāde pieņem pasākumu, kas minēts 2. punktā, uzraudzības iestāde paziņo pasākuma projektu Eiropas Datu aizsardzības kolēģijai un Komisijai.

2.           Pienākumu, kas paredzēts 1. punktā, piemēro pasākumam, ar ko paredzēts radīt tiesiskas sekas un kas:

a)      attiecas uz apstrādes darbību, kas saistīta ar preču vai pakalpojumu piedāvāšanu datu subjektiem dalībvalstīs, vai ar viņu uzvedības novērošanu; vai

b)      var ievērojami ietekmēt personas datu brīvu apriti Savienībā; vai

c)      domāts, lai pieņemtu apstrādes darbību sarakstu, uz kurām attiecas iepriekšēja apspriešanās saskaņā ar 34. panta 5. punktu; vai

d)      domāts, lai noteiktu tipveida datu aizsardzības noteikumus, kas minēti 42. panta 2.punkta c) apakšpunktā; vai

e)      domāts, lai apstiprinātu līguma noteikumus, kas minēti 42. panta 2.punkta d) apakšpunktā; vai

f)       domāts, lai apstiprinātu saistošos uzņēmuma noteikumus 43. panta izpratnē.

3.           Jebkura uzraudzības iestāde vai Eiropas Datu aizsardzības kolēģija var pieprasīt kāda jautājuma izskatīšanu konsekvences mehānisma ietvaros, jo īpaši, ja uzraudzības iestāde neiesniedz pasākuma projektu, kas minēts 2. punktā vai neievēro savstarpējas palīdzības pienākumu saskaņā ar 55. pantu vai kopīgu operāciju rīkošanas pienākumu saskaņā ar 56.pantu.

4.           Lai nodrošinātu pareizu un konsekventu šīs regulas piemērošanu, Komisija var pieprasīt jebkura jautājuma izskatīšanu konsekvences mehānisma ietvaros.

5.           Uzraudzības iestādes un Komisija, izmantojot standarta formātu, elektroniski paziņo visu attiecīgo informāciju, ietverot attiecīgā gadījumā arī faktu kopsavilkumu, pasākuma projektu un pamatojumu, kāpēc šāds pasākums ir nepieciešams.

6.           Eiropas Datu aizsardzības kolēģijas priekšsēdētājs, izmantojot standarta formātu, nekavējoties elektroniski informē Eiropas Datu aizsardzības kolēģijas locekļus un Komisiju par visu attiecīgo informāciju, kas paziņota kolēģijai. Ja nepieciešams, Eiropas Datu aizsardzības kolēģijas priekšsēdētājs nodrošina attiecīgās informācijas tulkojumu.

7.           Eiropas Datu aizsardzības kolēģija izdod atzinumu par jautājumu, ja Eiropas Datu aizsardzības kolēģija tā nolemj ar vienkāršu tās locekļu balsu vairākumu vai ja kāda uzraudzības iestāde vai Komisija to lūdz vienas nedēļas laikā pēc tam, kad ir sniegta attiecīgā informācija saskaņā ar 5. punktu. Atzinumu pieņem viena mēneša laikā ar vienkāršu Eiropas Datu aizsardzības kolēģijas locekļu balsu vairākumu. Eiropas Datu aizsardzības kolēģijas priekšsēdētājs par atzinumu bez nepamatotas kavēšanās informē uzraudzības iestādi, kas attiecīgā gadījumā minēta 1. un 3. punktā, Komisiju un saskaņā ar 51. pantu kompetento uzraudzības iestādi, un atzinumu dara publiski pieejamu.

8.           Uzraudzības iestāde, kas minēta 1. punktā, un saskaņā ar 51. pantu kompetentā uzraudzības iestāde ņem vērā Eiropas Datu aizsardzības kolēģijas atzinumu un divu nedēļu laikā pēc tam, kad Eiropas Datu aizsardzības kolēģijas priekšsēdētājs ir informējis par atzinumu, izmantojot standartizētu formātu, elektroniski paziņo Eiropas Datu aizsardzības kolēģijas priekšsēdētājam un Komisijai par nolūku paturēt spēkā vai grozīt pasākuma projektu un grozījumu gadījumā informē par grozīto pasākuma projektu.

59. pants Komisijas atzinums

1.           Desmit nedēļu laikā kopš jautājums ir ierosināts saskaņā ar 58.pantu vai vēlākais sešu nedēļu laikā 61. pantā minētajā gadījumā Komisija, lai nodrošinātu pareizu un konsekventu šīs regulas piemērošanu, var pieņemt atzinumu saistībā ar jautājumu, kas ierosināts saskaņā ar 58. vai 61. pantu.

2.           Ja Komisija ir pieņēmusi atzinumu saskaņā ar 1. punktu, attiecīgā uzraudzības iestāde vislielākajā mērā ņem vērā Komisijas atzinumu un informē Komisiju un Eiropas Datu aizsardzības kolēģiju, vai tā plāno paturēt spēkā vai grozīt pasākuma projektu.

3.           Termiņā, kas minēts 1. punktā, uzraudzības iestāde pasākuma projektu nepieņem.

4.           Ja attiecīgā uzraudzības iestāde nolemj neievērot Komisijas atzinumu, tā 1. punktā minētajā termiņā informē Komisiju un Eiropas Datu aizsardzības kolēģiju un norāda pamatojumu. Šādā gadījumā pasākuma projektu nepieņem vēl vienu mēnesi.

60. pants Pasākuma projekta apturēšana

1.           Viena mēneša laikā pēc 59. panta 4. punktā minētā paziņojuma un ja Komisijai ir nopietnas šaubas, vai pasākuma projekts nodrošina pareizu šīs regulas piemērošanu vai kā citādi neizraisa nekonsekventu piemērošanu, Komisija var pieņemt pamatotu lēmumu, kurā pieprasa uzraudzības iestādei apturēt pasākuma projekta pieņemšanu, ņemt vērā Eiropas Datu aizsardzības kolēģijas atzinumu saskaņā ar 58. panta 7. punktu un 61. panta 2. punktu, ja tas šķiet nepieciešams, lai:

a)      samierinātu atšķirīgos uzraudzības iestādes un Eiropas Datu aizsardzības kolēģijas viedokļus, ja tas šķiet iespējams; vai

b)      pieņemtu pasākumu saskaņā ar 62. panta 1. punkta a) apakšpunktu.

2.           Komisija nosaka apturēšanas termiņu, kas nepārsniedz 12 mēnešus.

3.           Termiņā, kas minēts 2. punktā, uzraudzības iestāde nevar pieņemt pasākuma projektu.

61. pants Steidzamības procedūra

1.           Ārkārtas apstākļos, ja uzraudzības iestāde uzskata, ka ir steidzama vajadzība rīkoties, lai aizsargātu datu subjektu intereses, jo īpaši, ja pastāv briesmas, ka datu subjektu tiesību izpilde varētu būt ievērojami kavēta esošā stāvokļa izmaiņu dēļ, vai lai novērstu ievērojamu stāvokļa pasliktināšanos citu iemeslu dēļ, atkāpjoties no 58. pantā paredzētās procedūras, tā var nekavējoties pieņem pagaidu pasākumu, norādot konkrētu tā piemērošanas termiņu. Uzraudzības iestāde nekavējoties paziņo šo pasākumu un tā pilnīgu pamatojumu Eiropas Datu aizsardzības kolēģijai un Komisijai.

2.           Ja uzraudzības iestāde ir pieņēmusi pasākumu saskaņā ar 1. punktu un uzskata, ka ir steidzami jāpieņem galīgais pasākums, tā var lūgt steidzamu Eiropas Datu aizsardzības kolēģijas atzinumu, pamatojot šāda atzinuma nepieciešamību, ietverot galīgā pasākuma steidzamības iemeslus.

3.           Jebkura uzraudzības iestāde var lūgt steidzamu atzinumu, ja kompetentā uzraudzības iestāde nav īstenojusi atbilstošu pasākumu situācijā, kad ir steidzama vajadzība rīkoties, lai aizsargātu datu subjektu intereses, pamatojot šāda atzinuma nepieciešamību, ietverot steidzamās rīcības iemeslus.

4.           Atkāpjoties no 58. panta 7. punkta, steidzamu atzinumu, kas minēts šā panta 2. un 3. punktā, pieņem divu nedēļu laikā ar vienkāršu Eiropas Datu aizsardzības kolēģijas locekļu balsu vairākumu.

62. pants Īstenošanas akti

1.           Komisija var pieņemt īstenošanas aktus:

a)      lemjot par šīs regulas pareizu piemērošanu saskaņā ar tās mērķiem un prasībām saistībā ar jautājumiem, ko tai paziņojušas uzraudzības iestādes saskaņā ar 58. vai 61. pantu, saistībā ar jautājumu par ko ir pieņemts pamatots lēmums saskaņā ar 60. panta 1. punktu vai saistībā ar jautājumu par kuru uzraudzības iestāde neiesniedz pasākuma projektu un šī uzraudzības iestāde ir norādījusi, ka negrasās ievērot Komisijas atzinumu, kas pieņemts saskaņā ar 59. pantu;

b)      lemjot 59. panta 1. punkta norādītajā termiņā par to, vai tā pasludina tipveida līguma noteikumus, kas minēti 58. panta 2. punkta d) apakšpunktā, par vispārēji piemērojamiem;

c)      nosakot šajā iedaļā minētā konsekvences mehānisma piemērošanas formātu un procedūras;

d)      nosakot kārtību, kādā, izmantojot elektroniskus līdzekļus, uzraudzības iestādes apmainās ar informāciju savā starpā un ar Eiropas Datu aizsardzības kolēģiju, jo īpaši nosakot standarta formātu, kas minēts 58. panta 5., 6. un 8. punktā.

Šos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 87. panta 2. punktā.

2.           Pienācīgi pamatotu, ar datu subjektu interesēm saistītu nenovēršami steidzamu iemeslu dēļ Komisija 1. punkta a) apakšpunktā minētajos gadījumos pieņem nekavējoties piemērojamus īstenošanas aktus saskaņā ar procedūru, kas minēta 87. panta 3. punktā. Šie akti ir spēkā uz termiņu, kas nepārsniedz 12 mēnešus.

3.           Kāda pasākuma trūkums vai pieņemšana saskaņā ar šo iedaļu neskar citus Komisijas pasākumus, ko Komisija īsteno saskaņā ar Līgumiem.

63. pants Izpilde

1.           Šīs regulas nolūkos izpildāmu vienas dalībvalsts uzraudzības iestādes pasākumu izpilda visās attiecīgajās dalībvalstīs.

2.           Ja uzraudzības iestāde, pārkāpjot 58. panta 1. līdz 5. punktu, neiesniedz pasākuma projektu izskatīšanai konsekvences mehānismā, uzraudzības iestādes pasākums juridiski nav spēkā un nav izpildāms.

3. IEDAĻA Eiropas datu aizsardzības kolēģija

64. pants Eiropas datu aizsardzības kolēģija

1.           Ar šo izveido Eiropas Datu aizsardzības kolēģiju.

2.           Eiropas Datu aizsardzības kolēģija sastāv no katras dalībvalsts uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja.

3.           Ja dalībvalstī vairāk nekā viena uzraudzības iestāde atbild par šīs regulas noteikumu piemērošanas uzraudzību, tās norīko vienas uzraudzības iestādes vadītāju kā kopīgo pārstāvi.

4.           Komisijai ir tiesības piedalīties Eiropas Datu aizsardzības kolēģijas darbībā un sanāksmēs, un tā nozīmē savu pārstāvi. Eiropas Datu aizsardzības kolēģijas priekšsēdētājs nekavējoties informē Komisiju par visām Eiropas Datu aizsardzības kolēģijas darbībām.

65. pants Neatkarība

1.           Eiropas Datu aizsardzības kolēģija, pildot savus uzdevumus saskaņā ar 66. un 67. pantu, rīkojas neatkarīgi

2.           Neskarot Komisijas pieprasījumus, kas minēti 66. panta 1. punkta b) apakšpunktā un 2. punktā, Eiropas Datu aizsardzības kolēģija, pildot savus uzdevumus, ne no viena nelūdz un nepieņem norādījumus.

66. pants Eiropas Datu aizsardzības kolēģijas uzdevumi

1.           Eiropas Datu aizsardzības kolēģija nodrošina konsekventu šīs regulas piemērošanu. Šajā sakarā Eiropas Datu aizsardzības kolēģija pēc savas iniciatīvas vai pēc Komisijas pieprasījuma jo īpaši:

a)      sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs regulas grozījumiem, kas tiek ierosināti;

b)      pēc pašas kolēģijas vai viena no tās locekļu iniciatīvas vai pēc Komisijas pieprasījuma pārbauda jautājumus, kas attiecas uz šīs regulas piemērošanu un izdod vadlīnijas, ieteikumus un norādījumus par paraugpraksi, kas adresēti uzraudzības iestādēm, lai veicinātu šo noteikumu konsekventu piemērošanu;

c)      pārskata b) apakšpunktā minēto vadlīniju, ieteikumu un paraugprakses praktisko īstenošanu un regulāri par to ziņo Komisijai;

d)      izdod atzinumus par uzraudzību iestāžu lēmumu projektiem saskaņā ar konsekvences mehānismu, kas minēts 57. pantā;

e)      veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un praksi starp uzraudzības iestādēm;

f)       veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm, kā arī, ja tas ir atbilstoši, ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

g)      veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesību aktiem un praksi ar uzraudzības iestādēm visā pasaulē.

2.           Ja Komisija lūdz Eiropas Datu aizsardzības kolēģijas padomu, tā var noteikt termiņu, kādā Eiropas Datu aizsardzības kolēģijai šāds padoms ir jāsniedz, ņemot vērā jautājuma steidzamību.

3.           Eiropas Datu aizsardzības kolēģija savus atzinumus, vadlīnijas, ieteikumus un norādījumus par paraugpraksi nosūta Komisijai un 87. pantā norādītajai komitejai un publisko tos.

4.           Komisija informē Eiropas Datu aizsardzības kolēģiju par darbību, kas veikta, ņemot vērā, Eiropas Datu aizsardzības kolēģijas sagatavotos atzinumus, vadlīnijas, ieteikumus un paraugpraksi.

67. pants Ziņojumi

1.           Eiropas Datu aizsardzības kolēģija regulāri un savlaicīgi informē Komisiju par tās darbības rezultātiem. Tā sagatavo gada ziņojumu par situāciju saistībā ar fizisku personu aizsardzību attiecībā uz viņu personas datu apstrādi Savienībā un trešās valstīs.

Ziņojumā ietver pārskatu par 66. panta 1. punkta c) apakšpunktā minēto vadlīniju, ieteikumu un paraugprakses praktisko īstenošanu.

2.           Ziņojumu publicē un nosūta Eiropas Parlamentam, Padomei un Komisijai.

68. pants Procedūra

1.           Eiropas Datu aizsardzības kolēģija pieņem lēmumus ar vienkāršu kolēģijas locekļu balsu vairākumu.

2.           Eiropas Datu aizsardzības kolēģija pieņem savu reglamentu un nosaka savu darbības kārtību. Jo īpaši tā nodrošina pienākumu veikšanas turpināmību, ja beidzas kāda locekļa pilnvaru termiņš vai tas atkāpjas no amata, apakšgrupu izveidi īpašiem jautājumiem vai nozarēm un procedūras saistībā ar konsekvences mehānismu, kas minēts 57. pantā.

69. pants Priekšsēdētājs

1.           Eiropas Datu aizsardzības kolēģija ievēl priekšsēdētāju un divus priekšsēdētāja vietniekus no savu locekļu vidus. Viens priekšsēdētāja vietnieks ir Eiropas Datu aizsardzības uzraudzītājs, ja vien viņš nav ievēlēts par priekšsēdētāju.

2.           Priekšsēdētāja un priekšsēdētāja vietnieku pilnvaru termiņš ir pieci gadi, un viņus var ievēlēt amatā atkāroti.

70. pants Priekšsēdētāja uzdevumi

1.           Priekšsēdētājam ir šādi uzdevumi:

a)      sasaukt Eiropas Datu aizsardzības kolēģijas sanāksmes un sagatavot darba kārtību;

b)      nodrošināt savlaicīgu Eiropas Datu aizsardzības kolēģijas uzdevumu izpildi jo īpaši saistībā ar konsekvences mehānismu, kas minēts 57. pantā.

2.           Eiropas Datu aizsardzības kolēģija savā reglamentā nosaka pienākumu sadali starp priekšsēdētāju un priekšsēdētāja vietniekiem.

71. pants Sekretariāts

1.           Eiropas Datu aizsardzības kolēģijai ir sekretariāts. Sekretariātu nodrošina Eiropas Datu aizsardzības uzraudzītājs.

2.           Sekretariāts priekšsēdētāja vadībā sniedz analītisku, administratīvu un loģistikas atbalstu Eiropas Datu aizsardzības kolēģijai.

3.           Sekretariāts jo īpaši ir atbildīgs par:

a)      Eiropas Datu aizsardzības kolēģijas ikdienas darbu;

b)      saziņu starp Eiropas Datu aizsardzības kolēģijas locekļiem, priekšsēdētāju un Komisiju un saziņu ar citām institūcijām un sabiedrību;

c)      elektronisko līdzekļu izmantošanu iekšējai un ārējai saziņai;

d)      attiecīgās informācijas tulkošanu;

e)      Eiropas Datu aizsardzības kolēģijas sanāksmju sagatavošanu un pēcdarbiem;

f)       Eiropas Datu aizsardzības kolēģijas pieņemto atzinumu un citu dokumentu sagatavošanu, projekta izstrādi un publicēšanu.

72. pants Konfidencialitāte

1.           Eiropas Datu aizsardzības kolēģijas apspriedes ir konfidenciālas

2.           Dokumenti, ko izsniedz Eiropas Datu aizsardzības kolēģijas locekļiem, ekspertiem un trešo pušu pārstāvjiem ir konfidenciāli, izņemot, ja piekļuvi šiem dokumentiem sniedz saskaņā ar Regulu (EK) Nr. 1049/2001 vai Eiropas Datu aizsardzības kolēģija tos citādi publicē.

3.           Eiropas Datu aizsardzības kolēģijas locekļiem, ekspertiem un trešo personu pārstāvjiem ir pienākums ievērot konfidencialitātes prasības, kas noteiktas šajā pantā. Priekšsēdētājs nodrošina, ka ekspertiem un trešo personu pārstāvjiem ir zināmas konfidencialitātes prasības, kas tiem jāievēro.

VIII NODAĻA

TIESISKĀS AIZSARDZĪBAS LĪDZEKĻI, ATBILDĪBA UN SANKCIJAS

73. pants Tiesības iesniegt sūdzību uzraudzības iestādē

1.           Neskarot citus administratīvus vai tiesiskus aizsardzības līdzekļus, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādei jebkurā dalībvalstī, ja tas uzskata, ka viņa personas datu apstrāde neatbilst šai regulai.

2.           Jebkurai struktūrai, organizācijai vai asociācijai, kuras mērķis ir aizsargāt datu subjektu tiesības un intereses saistībā ar to datu aizsardzību un kura ir atbilstoši izveidota saskaņā ar dalībvalsts tiesību aktiem, ir tiesības iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē viena vai vairāku datu subjektu vārdā, ja tā uzskata, ka datu subjektu tiesības, pamatojoties uz šo regulu, ir pārkāptas personas datu apstrādes rezultātā.

3.           Neatkarīgi no datu subjekta sūdzības 2. punktā minētai struktūrai, organizācijai vai asociācijai ir tiesības iesniegt sūdzību jebkuras dalībvalsts uzraudzības iestādē, ja tā uzskata, ka ir noticis personas datu aizsardzības pārkāpums.

74. pants Tiesības vērsties tiesā pret uzraudzības iestādi

1.           Katrai fiziskai vai juridiskai personai ir tiesības vērsties tiesā pret uzraudzības iestādes lēmumiem, kas tos skar.

2.           Katram datu subjektam ir tiesības vērsties tiesā, lai liktu uzraudzības iestādei reaģēt uz sūdzību, ja nav pieņemts lēmums, kas nepieciešams viņu tiesību aizsardzībai, vai ja uzraudzības iestāde trīs mēnešu laikā neinformē datu subjektu par lietas virzību vai sūdzības rezultātiem saskaņā ar 52. panta 1. punkta b) apakšpunktu.

3.           Tiesvedību pret uzraudzības iestādi uzsāk tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

4.           Datu subjekts, kuru skar citas dalībvalsts, kas nav datu subjekta pastāvīgās dzīvesvietas dalībvalsts, uzraudzības iestādes lēmums var lūgt savas pastāvīgās dzīvesvietas dalībvalsts uzraudzības iestādi vērsties tiesā pret attiecīgo citas dalībvalsts uzraudzības iestādi.

5.           Dalībvalstis izpilda šajā pantā minētos tiesu galīgos nolēmumus.

75. pants Tiesības vērsties tiesā pret pārzini vai apstrādātāju

1.           Neskarot pieejamos administratīvos aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, kā minēts 73. pantā, fiziskai personai ir tiesības vērsties tiesā, ja tā uzskata, ka tās tiesības saskaņā ar šo regulu ir aizskartas personas datu apstrādes rezultātā, kura neatbilst šai regulai.

2.           Prasību pret pārzini vai apstrādātāju ceļ tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja institūcija. Alternatīvi šādu prasību var celt tās dalībvalsts tiesā, kur atrodas datu subjekta pastāvīgā dzīvesvieta, izņemot, ja pārzinis ir valsts iestāde, kas rīkojas, pildot savas valsts iestādes pilnvaras.

3.           Ja jautājums saistībā ar to pašu pasākumu, lēmumu vai rīcību ir iesniegts izskatīšanai konsekvences mehānismā, kas minēts 58. pantā, tiesa var apturēt tiesvedību, izņemot, ja jautājums ir steidzams datu subjekta tiesību aizsardzībai un neļauj gaidīt konsekvences mehānisma procedūras rezultātus.

4.           Dalībvalstis izpilda šajā pantā minētos tiesu galīgos nolēmumus.

76. pants Kopējie tiesvedības noteikumi

1.           Visām 73. panta 2. punkta minētajām struktūrām, organizācijām vai asociācijām ir tiesības īstenot 74. un 75. pantā minētās tiesības viena vai vairāku datu subjektu vārdā.

2.           Katrai uzraudzības iestādei ir tiesības iesaistīties procesuālās darbībās un celt prasību tiesā, lai īstenotu šīs regulas noteikumus vai nodrošinātu personas datu aizsardzības konsekvenci Savienībā.

3.           Ja dalībvalsts kompetentai tiesai ir saprātīgs pamats uzskatīt, ka citā dalībvalstī norisinās paralēla tiesvedība, tā sazinās ar citas dalībvalsts kompetento tiesu, lai gūtu apstiprinājumu tam, ka šāda paralēla tiesvedība tiešām notiek.

4.           Ja šāda paralēla tiesvedība citā dalībvalstī attiecas uz to pašu pasākumu, lēmumu vai rīcību, tiesa var apturēt tiesvedību.

5.           Dalībvalstis nodrošina, ka tiesvedība, ko var veikt, pamatojoties uz valsts tiesību aktiem, ļauj ātri pieņemt pasākumus, tostarp pagaidu pasākumus, lai izbeigtu jebkuru iespējamu pārkāpumu un novērstu turpmāku attiecīgo interešu aizskaršanu.

77. pants Tiesības uz kompensāciju un atbildība

1.           Jebkurai personai, kurai nodarīts kaitējums nelikumīgas datu apstrādes vai tādu darbību rezultātā, kuras neatbilst šai regulai, ir tiesības saņemt no pārziņa vai apstrādātāja kompensāciju par nodarīto kaitējumu.

2.           Ja apstrādē ir iesaistīts vairāk nekā viens pārzinis vai apstrādātājs, visi pārziņi vai apstrādātāji par nodarīto kaitējumu atbild solidāri.

3.           Pārzini vai apstrādātāju var pilnībā vai daļēji atbrīvot no šīs atbildības, ja pārzinis vai apstrādātājs pierāda, ka nav atbildīgs par notikumu, kas radījis šo kaitējumu.

78. pants Sankcijas

1.           Dalībvalstis paredz noteikumus par sankcijām, kas piemērojamas par šīs regulas pārkāpumiem un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno, ietverot gadījumus, kad pārzinis neievēro pienākumu iecelt pārstāvi. Paredzētās sankcijas ir efektīvas, samērīgas un atturošas.

2.           Ja pārzinis ir iecēlis pārstāvi, sankcijas piemēro pārstāvim, neskarot sankcijas, ko varētu piespriest pārzinim.

3.           Vēlākais līdz 91. panta 2. punktā noteiktajam datumam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņem saskaņā ar 1. punktu, turklāt tās nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

79. pants Administratīvie sodi

1.           Katrai uzraudzības iestādei ir pilnvaras piemērot administratīvo sodu saskaņā ar šo pantu.

2.           Administratīvais sods katrā individuālā gadījumā ir efektīvs, samērīgs un atturošs. Administratīvā naudas soda apmēru nosaka, ņemot vērā pārkāpuma raksturu, smagumu un ilgumu, vai pārkāpums izdarīts tīši vai aiz neuzmanības, fiziskās vai juridiskās personas atbildības līmeni un šīs personas iepriekš izdarītos pārkāpumus, tehniskos un organizatoriskos pasākumus un procedūras, kas īstenoti saskaņā ar 23. pantu, un kāda bijusi sadarbība ar uzraudzības iestādi, lai izlīdzinātu pārkāpumu.

3.           Ja šī regula pārkāpta pirmo reizi un netīši, var izteikt rakstisku brīdinājumu, nepiemērojot nekādu citu sodu, ja:

(a) fiziska persona apstrādā personas datus bez komerciāliem nolūkiem; vai

(b) uzņēmums vai organizācija, kas nodarbina mazāk nekā 250 personas, apstrādā personas datus tikai kā palīgdarbību salīdzinājumā ar tā galveno darbību.

4.           Uzraudzības iestāde piemēro naudas sodu līdz EUR 250 000 vai uzņēmuma gadījumā – līdz 0,5 % no tā gada apgrozījuma visā pasaulē, ja tīši vai aiz neuzmanības:

(a) nav nodrošināti mehānismi datu subjektu pieprasījumiem vai datu subjektiem netiek sniegta savlaicīga atbilde vai atbilde nav pieprasītajā formātā saskaņā ar 12. panta 1. un 2. punktu;

(b) tiek prasīta samaksa par informāciju vai par atbildēm uz datu subjektu pieprasījumiem pretēji 12. panta 4. punkta noteikumiem.

5.           Uzraudzības iestāde piemēro naudas sodu līdz EUR 500 000 vai uzņēmuma gadījumā – līdz 1 % no tā gada apgrozījuma visā pasaulē, ja tīši vai aiz neuzmanības:

(a) datu subjektam nesniedz informāciju vai sniedz nepilnīgu informāciju, vai informāciju nesniedz pietiekami caurskatāmā veidā saskaņā ar 11. pantu, 12. panta 3. punktu un 14. pantu;

(b) datu subjektam nesniedz piekļuvi personas datiem vai personas datus nelabo saskaņā ar 15. un 16. pantu vai saņēmējam nepaziņo attiecīgo informāciju saskaņā ar 13. pantu;

(c) neievēro tiesības tikt aizmirstam vai tiesības uz dzēšanu, vai nenodrošina mehānismus, kas garantē termiņu ievērošanu, vai neveic visus vajadzīgos pasākumus trešo pušu informēšanai par datu subjektu pieprasījumiem dzēst saites uz personas datiem vai to kopijas vai atveidojumus saskaņā ar 17. pantu;

(d) nesniedz personas datu kopiju elektroniskā formātā vai kavē datu subjektu pārnest personas datus uz citu lietotni, pārkāpjot 18. pantu;

(e) vispār nav noteikti vai nav pietiekami noteikti kopīgo pārziņu attiecīgie pienākumi saskaņā ar 24. pantu;

(f) nav saglabāta vai nav pietiekama dokumentācija saskaņā ar 28. pantu, 31. panta 4. punktu un 44. panta 3. punktu;

(g) īpašu kategoriju datu gadījumā saskaņā ar 80., 82. un 83. pantu nav ievēroti noteikumi par vārda un informācijas brīvību vai noteikumi par apstrādi nodarbinātības kontekstā vai nosacījumi par apstrādi vēstures, statistikas un zinātniskās izpētes nolūkos.

6.           Uzraudzības iestāde piemēro naudas sodu līdz EUR 1 000 000 vai uzņēmuma gadījumā – līdz 2 % no tā gada apgrozījuma visā pasaulē, ja tīši vai aiz neuzmanības:

(a) personas datus apstrādā bez juridiska pamata vai apstrādei nav pietiekama juridiska pamata vai nav ievēroti nosacījumi par piekrišanu saskaņā ar 6., 7. un 8. pantu;

(b) īpašas kategorijas personas datus apstrādā, pārkāpjot 9. un 81. pantu;

(c) nav ievērots iebildums vai prasība saskaņā ar 19. pantu;

(d) nav ievēroti nosacījumi saistībā ar pasākumiem, kas pamatojas uz profilēšanu, saskaņā ar 20. pantu;

(e) nav pieņemtas iekšējās vadlīnijas vai nav īstenoti atbilstīgi pasākumi, ar ko nodrošina un uzskatāmi parāda regulas ievērošanu saskaņā ar 22., 23. un 30. pantu;

(f) nav iecelts pārstāvis saskaņā ar 25. pantu;

(g) personas datus apstrādā vai izdod norādījumu apstrādāt personas datus, pārkāpjot pienākumus saistībā ar apstrādi pārziņa vārdā saskaņā ar 26. un 27. pantu

(h) nebrīdina vai nepaziņo par personas datu aizsardzības pārkāpumu, vai nepaziņo laicīgi, vai paziņo nepilnīgi par datu aizsardzības pārkāpumu uzraudzības iestādei vai datu subjektam saskaņā ar 31. un 32. pantu;

(i) neveic datu aizsardzības ietekmes novērtējumu vai apstrādā personas datus bez iepriekšējas atļaujas vai iepriekšējas apspriešanās ar uzraudzības iestādi saskaņā ar 33. un 34. pantu;

(j) nav iecelts datu aizsardzības inspektors vai nav nodrošināti nosacījumi viņa uzdevumu izpildei saskaņā ar 35., 36. un 37. pantu;

(k) ļaunprātīgi izmanto datu aizsardzības zīmogu vai marķējumu 39. panta nozīmē;

(l) veic datu nosūtīšanu vai sniedz norādījumu veikt datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, kas nav atļauta ne saskaņā ar lēmumu par aizsardzības līmeņa pietiekamību, ne atbilstošiem aizsardzības pasākumiem, ne atkāpēm saskaņā ar 40. līdz 44. pantu;

(m) nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites aizliegums saskaņā ar 53. panta 1. punktu;

(n) attiecībā uz uzraudzības iestādi nav ievērots pienākums palīdzēt vai atbildēt, vai sniegt attiecīgu informāciju, vai sniegt piekļuvi telpām saskaņā ar 28. panta 3. punktu, 29. pantu, 34. panta 6. punktu un 53. panta 2. punktu;

(o) nav ievēroti noteikumi par dienesta noslēpuma glabāšanu saskaņā ar 84. pantu.

7.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku atjaunināt 4., 5. un 6. punktā minēto administratīvo naudas sodu apmērus, ņemot vērā 2. punktā minētos kritērijus.

IX NODAĻA NOTEIKUMI PAR ĪPAŠĀM DATU APSTRĀDES SITUĀCIJĀM

80. pants Personas datu apstrāde un vārda brīvība

1.           Dalībvalstis nosaka izņēmumus vai atkāpes no II nodaļas noteikumiem par vispārīgajiem principiem, II nodaļas noteikumiem par datu subjektu tiesībām, IV nodaļas noteikumiem par pārzini un apstrādātāju, V nodaļas noteikumiem par personas datu nosūtīšanu uz trešām valstīm un starptautiskām organizācijām, VI nodaļas noteikumiem par neatkarīgām uzraudzības iestādēm un VII nodaļas noteikumiem par sadarbību un konsekvenci attiecībā uz personas datu apstrādi, ko veic tikai žurnālistikas vajadzībām vai mākslinieciskās vai literārās izpausmes vajadzībām, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un noteikumiem par vārda un informācijas brīvību.

2.           Vēlākais līdz 91. panta 2. punktā noteiktajam datumam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņēmusi saskaņā ar 1. punktu, turklāt tās nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

81. pants Veselības datu apstrāde

1.           Ņemot vērā šajā regulā paredzētos ierobežojumus un saskaņā ar 9. panta 2. punkta h) apakšpunktu personas veselības datu apstrāde notiek, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas paredz atbilstošus un īpašus datu subjektu likumīgo interešu aizsardzības pasākumus, un tā ir nepieciešama:

a)      profilaktiskās vai arodmedicīnas, medicīniskas diagnozes, aprūpes vai ārstēšanas vai veselības aprūpes pakalpojumu pārvaldības nodrošināšanas nolūkos un, ja šos datus apstrādā veselības aizsardzības darba profesionālis, kas saskaņā ar attiecīgās dalībvalsts tiesībām vai valsts kompetento iestāžu ieviestiem noteikumiem ir pakļauts dienesta noslēpuma glabāšanas pienākumam, vai cita persona, uz kuru arī attiecas tāds pat pienākums ievērot konfidencialitāti; vai

b)      pamatojoties uz sabiedrības interesēm sabiedrības veselības aizsardzības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīnas ierīcēm; vai

c)      pamatojoties uz citām sabiedrības interesēm tādās jomās kā sociālā aizsardzība, jo īpaši lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību.

2.           Personas veselības datu apstrādei, kas ir nepieciešama vēstures, statistikas vai zinātniskās izpētes nolūkos, piemēram, pacientu reģistri, kas izveidoti, lai uzlabotu diagnosticēšanu un nošķirtu līdzīgus slimību veidus, un sagatavotu pētījumus ārstēšanas vajadzībām, piemēro 82. pantā minētos nosacījumus un aizsardzības pasākumus.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt citas sabiedrības intereses veselības aizsardzības jomā, kas minētas 1. punkta b) apakšpunktā, un kritērijus un prasības aizsardzības pasākumiem attiecībā uz personas datu apstrādi nolūkos, kas minēti 1. punktā.

82. pants Apstrāde saistībā ar nodarbinātību

1.           Ievērojot šajā regulā noteiktos ierobežojumus, dalībvalstis var ar likumu paredzēt īpašus noteikumus, kas regulē darbinieku personas datu apstrādi saistībā ar nodarbinātību, jo īpaši darbā pieņemšanas nolūkos, darba līguma izpildei, ietverot likumā vai koplīgumā paredzētu saistību izpildi, darba vadībai, plānošanai un organizēšanai, veselībai un drošībai darba vietā un individuālu vai kolektīvu ar nodarbinātību saistītu tiesību vai priekšrocību izmantošanas vai baudīšanas nolūkos un darba attiecību izbeigšanas nolūkos.

2.           Vēlākais līdz 91. panta 2. punktā noteiktajam datumam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņem saskaņā ar 1. punktu, turklāt tās nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

3.           Komisijai piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības aizsardzības pasākumiem attiecībā uz personas datu apstrādi nolūkos, kas minēti 1. punktā.

83. pants Apstrāde vēstures, statistikas un zinātniskās izpētes nolūkos

1.           Ievērojot šajā regulā noteiktos ierobežojumus, personas datus var apstrādāt vēstures, statistikas vai zinātniskās izpētes nolūkos tikai tad, ja:

a)      šos nolūkus nevar sasniegt citādi, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektu;

b)      datus, kas ļauj attiecināt informāciju uz identificētu vai identificējamu datu subjektu, glabā atsevišķi no pārējās informācijas tik ilgi, kamēr vien šādā veidā iespējams sasniegt minētos nolūkus.

2.           Struktūras, kas veic vēstures, statistikas vai zinātnisko izpēti, var publicēt vai citādi darīt pieejamus atklātībai personas datus tikai tad, ja:

a)      datu subjekts tam ir piekritis, ievērojot 7. pantā minētos nosacījumus;

b)      personas datu publicēšana ir nepieciešama, lai iepazīstinātu ar izpētes rezultātiem vai atvieglotu izpēti, ciktāl datu subjekta intereses vai pamattiesības un brīvības nav svarīgākas salīdzinājumā ar šīm interesēm; vai

c)      datus ir darījis pieejamus atklātībai pats datu subjekts.

3.           Komisija piešķir tiesības pieņemt deleģētos aktus saskaņā ar 86. pantu ar nolūku sīkāk precizēt kritērijus un prasības attiecībā uz personas datu apstrādi 1. un 2. punktā minētajos nolūkos un attiecībā uz nepieciešamiem ierobežojumiem datu subjektu tiesībām uz informāciju un piekļuvi, precizējot nosacījumus un aizsardzības pasākumus datu subjektu tiesībām šajos apstākļos.

84. pants Dienesta noslēpums

1.           Ievērojot šajā regulā noteiktos ierobežojumus, dalībvalstis var pieņemt īpašus noteikumus, kas paredz uzraudzības iestāžu izmeklēšanas pilnvaras, kas minētas 53. panta 2. punktā, attiecībā uz pārziņiem vai apstrādātājiem, uz kuriem saskaņā ar valsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma glabāšanas pienākums vai līdzvērtīgs pienākums ievērot slepenību, ja tas ir nepieciešami un samērīgi, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un dienesta noslēpuma glabāšanas pienākumu. Šos noteikumus piemēro tikai tiem personas datiem, ko pārzinis vai apstrādātājs saņēmis vai ieguvis tādas darbības laikā, uz kuru attiecas dienesta noslēpuma glabāšanas pienākums.

2.           Vēlākais līdz 91. panta 2. punktā noteiktajam datumam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņēmusi saskaņā ar 1. punktu, turklāt tās nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

85. pants Baznīcu un reliģisko apvienību datu aizsardzības noteikumi

1.           Ja baznīca un reliģiska apvienība vai kopiena kādā dalībvalstī šīs regulas spēkā stāšanās laikā piemēro vispusīgus noteikumus par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, šos noteikumus var turpināt piemērot, ar noteikumu, ka tos saskaņo ar šīs regulas noteikumiem.

2.           Baznīcas un reliģiskas apvienības, kas piemēro vispusīgus noteikumus saskaņā ar 1. punktu, paredz neatkarīgas uzraudzības iestādes izveidošanu saskaņā ar šīs regulas VI nodaļu.

X NODAĻA DELEĢĒTIE AKTI UN ĪSTENOŠANAS AKTI

86. pants Deleģēšana

1.           Komisija ir piešķirtas tiesības pieņemt deleģētos aktus, ievērojot šā panta nosacījumus.

2.           Tiesības pieņemt deleģētos aktus, kas minētas 6. panta 5. punktā, 8.panta 3. punktā, 9. panta 3. punktā, 12. panta 5. punktā, 14. panta 7. punkta, 15. panta 3. punktā, 17. panta 9. punktā, 20. panta 6. punktā, 22. panta 4. punktā, 23. panta 3. punktā, 26. panta 5. punktā, 28. panta 5. punktā, 30. panta 3. punktā, 31. panta 5. punktā, 32. panta 5. punktā, 33. panta 6. punktā, 34. panta 8. punktā, 35. panta 11. punktā, 37. panta 2. punktā, 39. panta 2. punktā, 43. panta 3. punktā, 44. panta 7. punktā, 79. panta 6. punktā, 81. panta 3. punktā, 82. panta 3. punktā un 83. panta 3. punktā, piešķirtas Komisijai uz nenoteiktu laiku, sākot ar šīs regulas spēkā stāšanās dienu.

3.           Tiesības pieņemt deleģētos aktus, kas minētas 6. panta 5. punktā, 8.panta 3. punktā, 9. panta 3. punktā, 12. panta 5. punktā, 14. panta 7. punkta, 15. panta 3. punktā, 17. panta 9. punktā, 20. panta 6. punktā, 22. panta 4. punktā, 23. panta 3. punktā, 26. panta 5. punktā, 28. panta 5. punktā, 30. panta 3. punktā, 31. panta 5. punktā, 32. panta 5. punktā, 33. panta 6. punktā, 34. panta 8. punktā, 35. panta 11. punktā, 37. panta 2. punktā, 39. panta 2. punktā, 43. panta 3. punktā, 44. panta 7. punktā, 79. panta 6. punktā, 81. panta 3. punktā, 82. panta 3. punktā un 83. panta 3. punktā, Eiropas Parlaments vai Padome var atsaukt jebkurā brīdī. Ar lēmumu par atsaukšanu izbeidzas lēmumā norādītās tiesības pieņemt deleģētos aktus. Tas stājas spēkā nākamajā dienā pēc lēmuma publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar spēkā esošos deleģētos aktus.

4.           Līdzko Komisija pieņem deleģēto aktu, tā par to vienlaikus paziņo Eiropas Parlamentam un Padomei.

5.           Deleģētais akts, kas pieņemts saskaņā ar 6. panta 5. punktu, 8. panta 3. punktu, 9. panta 3. punktu, 12. panta 5. punktu, 14. panta 7. punktu, 15. panta 3. punktu, 17. panta 9. punktu, 20. panta 6. punktu, 22. panta 4. punktu, 23. panta 3. punktu, 26. panta 5. punktu, 28. panta 5. punktu, 30. panta 3. punktu, 31. panta 5. punktu, 32. panta 5. punktu, 33. panta 6. punktu, 34. panta 8. punktu, 35. panta 11. punktu, 37. panta 2. punktu, 39. panta 2. punktu, 43. panta 3. punktu, 44. panta 7. punktu, 79. panta 6. punktu, 81. panta 3. punktu, 82. panta 3. punktu un 83. panta 3. punktu, stājas spēkā tikai tad, ja divu mēnešu laikā pēc Eiropas Parlamenta un Padomes informēšanas par šo aktu ne Eiropas Parlaments, ne Padome pret to nav izteikuši iebildumus vai ja pirms minētā termiņa beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju, ka tie iebildumus neizteiks. Šo termiņu pagarina par diviem mēnešiem pēc Eiropas Parlamenta vai Padomes iniciatīvas.

87. pants Komiteju procedūra

1.           Komisijai palīdz komiteja. Šī komiteja ir komiteja Regulas (ES) Nr. 182/2011 izpratnē.

2.           Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu.

3.           Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 8. pantu saistībā ar tās 5. pantu.

XI NODAĻA

NOBEIGUMA NOTEIKUMI

88. pants Direktīvas 95/46/EK atcelšana

1.           Direktīva 95/46/EK ir atcelta.

2.           Atsauces uz atcelto direktīvu uzskata par atsaucēm uz šo regulu. Atsauces uz Darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvas 95/46/EK 29. pantu, uzskata par atsaucēm uz Eiropas Datu aizsardzības kolēģiju, kas izveidota ar šo regulu.

89. pants Saistība ar Direktīvu 2002/58/EK un tās grozījumi

1.           Šī regula neuzliek papildu pienākumus fiziskām vai juridiskām personām attiecībā uz personas datu apstrādi saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu publiskos komunikāciju tīklos Savienībā jautājumos, saistībā ar kuriem tām ir piemērojami Direktīvas 2002/58/EK īpašie noteikumi ar to pašu mērķi.

2            Svītro Direktīvas 2002/58/EK 1. panta 2. punktu.

90. pants Izvērtēšana

Komisija regulāri iesniedz šīs regulas izvērtējuma un pārskata ziņojumus Eiropas Parlamentam un Padomei. Pirmo ziņojumu iesniedz ne vēlāk kā četrus gadus pēc regulas spēkā stāšanās. Turpmākos ziņojumus iesniedz ik pēc četriem gadiem. Komisija, ja nepieciešams, iesniedz atbilstīgus priekšlikumus šīs regulas grozījumiem un citu tiesību aktu pieskaņošanai, jo īpaši ņemot vērā informācijas tehnoloģiju attīstību un informācijas sabiedrības progresu. Ziņojumus dara publiski pieejamus.

91. pants Spēkā stāšanās un piemērošana

1.           Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2.           To piemēro sākot ar [divi gadi kopš 1. punktā minētās dienas].

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē, 25.1.2012

Eiropas Parlamenta vārdā –                         Padomes vārdā –

priekšsēdētājs                                                priekšsēdētājs

TIESĪBU AKTA FINANŠU PĀRSKATS

1.           PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS

              1.1.    Priekšlikuma/iniciatīvas nosaukums

              1.2.    Attiecīgās politikas jomas ABM/ABB struktūrā

              1.3.    Priekšlikuma/iniciatīvas būtība

              1.4.    Mērķi

              1.5.    Priekšlikuma/iniciatīvas pamatojums

              1.6.    Ilgums un finansiālā ietekme

              1.7.    Paredzētie pārvaldības veidi

2.           PĀRVALDĪBAS PASĀKUMI

              2.1.    Uzraudzības un ziņošanas noteikumi

              2.2.    Pārvaldības un kontroles sistēma

              2.3.    Krāpšanas un pārkāpumu apkarošanas pasākumi

3.           PRIEKŠLIKUMA/INICIATĪVAS PAREDZAMĀ FINANSIĀLĀ IETEKME

              3.1.    Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu pozīcijas

              3.2.    Paredzamā ietekme uz izdevumiem

              3.2.1. Paredzamās ietekmes uz izdevumiem kopsavilkums

              3.2.2. Paredzamā ietekme uz darbības apropriācijām

              3.2.3. Paredzamā ietekme uz administratīvajām apropriācijām

              3.2.4. Saderība ar kārtējo daudzgadu finanšu shēmu

              3.2.5. Trešo personu dalība finansējumā

              3.3.    Paredzamā ietekme uz ieņēmumiem

TIESĪBU AKTA FINANŠU PĀRSKATS

1. PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS

Šajā finanšu pārskatā sīkāk norādītas prasības administratīvo izdevumu jomā, lai praktiski īstenotu datu aizsardzības reformu, kā tas paskaidrots attiecīgajā ietekmes novērtējumā. Reforma ietver divus tiesību aktu priekšlikumus, proti, vispārīgu datu aizsardzības regulu un direktīvu par personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus. Finanšu pārskats aptver abu tiesību aktu ietekmi uz budžetu.

Atbilstoši uzdevumu sadalei, resursi ir nepieciešami Komisijai un Eiropas Datu aizsardzības uzraudzītājam (EDAU).

Attiecībā uz Komisiju nepieciešamie resursi jau ir iekļauti ierosinātajā finanšu plānā 2014.–2020. gadam. Datu aizsardzība ir viens no Tiesību un pilsonības programmas mērķiem, kas turklāt palīdzēs atbalstīt pasākumus tiesiskā regulējuma praktiskai piemērošanai. Administratīvās apropriācijas aptverot arī personālu ir ietvertas JUST ĢD administratīvajā budžetā.

Attiecībā uz EDAU nepieciešamie resursi būs jāņem vērā attiecīgajos EDAU gada budžetos. Resursi ir sīki aprakstīti finanšu pārskata pielikumā. Lai nodrošinātu resursus, kas nepieciešami, lai Eiropas Datu aizsardzības kolēģija, kurai EDAU nodrošinās sekretariātu, varētu pildīt savus jaunos uzdevumus, būs nepieciešams pārskatīt 2014. – 2020. gada finanšu plāna 5. pozīciju.

1.1. Priekšlikuma/iniciatīvas nosaukums

Priekšlikums Eiropas Parlamenta un Padomes regulai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula).

Priekšlikums Eiropas Parlamenta un Padomes direktīvai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti.

1.2. Attiecīgās politikas jomas ABM/ABB struktūrā[49]

Tiesiskums – Personas datu aizsardzība

Budžeta ietekme skar Komisiju un EDAU. Ietekme uz Komisijas budžetu ir aprakstīta šā finanšu pārskata tabulās. Darbības izdevumi ir daļa no Tiesību un pilsonības programmas un jau ir ņemti vērā šīs programmas finanšu pārskatā, tāpat kā administratīvie izdevumi jau ir ņemti vērā Tiesiskuma ĢD budžetā. Elementi, kas attiecas uz EDAU, ir parādīti pielikumā.

1.3. Priekšlikuma/iniciatīvas būtība

¨ Priekšlikums/iniciatīva attiecas uz jaunu darbību

¨ Priekšlikums/iniciatīva attiecas uz jaunu darbību, pamatojoties uz izmēģinājuma projektu/sagatavošanas darbību[50]

þ Priekšlikums/iniciatīva attiecas uz esošas darbības pagarināšanu

¨ Priekšlikums/iniciatīva attiecas uz darbību, kas pārveidota jaunā darbībā

1.4. Mērķi 1.4.1. Komisijas daudzgadu stratēģiskie mērķi, kurus plānots sasniegt ar priekšlikumu/iniciatīvu

Reformas mērķis ir pabeigt sākotnējo mērķu sasniegšanu, ņemot vērā jaunāko notikumu gaitu un problēmas, proti:

- palielināt pamattiesību uz datu aizsardzību efektivitāti un ļaut fiziskām personām kontrolēt savus datus, jo īpaši ņemot vērā tehnoloģiju attīstību un pieaugošo globalizāciju;

- uzlabot datu aizsardzību iekšējā tirgū samazinot sadrumstalotību, stiprinot konsekvenci un vienkāršojot regulējumu, tādējādi likvidējot nevajadzīgas izmaksas un samazinot administratīvo slogu.

Turklāt Lisabonas līguma spēkā stāšanās un jo īpaši jauna juridiskā pamata ieviešana (LESD 16. pants) sniedz iespēju sasniegt jaunu mērķi, proti,

izveidot vispusīgu datu aizsardzības regulējumu, kas aptver visas jomas.

1.4.2. Konkrētie mērķi un attiecīgās ABM/ABB darbības

Konkrētais mērķis Nr. 1.

Nodrošināt konsekventu datu aizsardzības noteikumu izpildi

Konkrētais mērķis Nr. 2.

Racionalizēt pašreizējo pārvaldības sistēmu, lai palīdzētu nodrošināt konsekventāku izpildi

Attiecīgās ABM/ABB darbības

[…]

1.4.3. Paredzamie rezultāti un ietekme

Norādīt, kāda ir priekšlikuma/iniciatīvas iecerētā ietekme uz finansējuma saņēmējiem/mērķgrupām.

Attiecībā uz pārziņiem gan valsts, gan privātās vienības gūs labumu no lielākas tiesiskās noteiktības, ko sniegs tuvināti un skaidrāki ES datu aizsardzības noteikumi un procedūras, radot vienlīdzīgus spēlēs noteikumus un nodrošinot konsekventu datu aizsardzības noteikumu izpildi, kā arī ievērojamu administratīvā sloga samazināšanos.

Fiziskas personas varēs labā kontrolēt savus personas datus un uzticēties digitālajai videi, un paliks aizsargāti arī tad, ja viņu personas datus apstrādā ārvalstīs. Viņi saskarsies arī ar lielāku to personu atbildību, kas apstrādā personas datus.

Vispusīga datu aizsardzības sistēma aptvers arī policijas un tiesu iestāžu jomas, ietverot bijušā trešā pīlāra jomas un vēl vairāk.

1.4.4. Rezultātu un ietekmes rādītāji

Norādīt priekšlikuma/iniciatīvas īstenošanas uzraudzībā izmantojamos rādītājus.

(sk. Ietekmes novērtējuma 8. iedaļu)

Rādītājus izvērtē periodiski un tie ietver šādus elementus:

•        Laiks un izmaksas, ko pārziņi patērē, lai ievērotu citu dalībvalstu tiesību aktus

•        Datu aizsardzību uzraugošajām iestādēm (DAIs) piešķirtie resursi

•        Valsts un privātās organizācijās ieceltie datu aizsardzības inspektori

•        Datu aizsardzības ietekmes novērtējuma izmantošana

•        Datu subjektu iesniegto sūdzību skaits un datu subjektu saņemtās kompensācijas

•        Lietu skaits, kurās datu pārziņi saukti pie atbildības

•        Soda naudas, kas uzliktas datu pārziņiem, kas atbildīgi par datu aizsardzības pārkāpumiem

1.5. Priekšlikuma/iniciatīvas pamatojums 1.5.1. Īstermiņa vai ilgtermiņa vajadzības

Pašreizējās direktīvas īstenošanas, interpretācijas un izpildes atšķirības dalībvalstīs kavē iekšējā tirgus darbību un valsts iestāžu sadarbību saistībā ar ES politikas nozarēm. Tas ir pretrunā ar direktīvas pamatmērķi, proti, atvieglot personas datu brīvu apriti iekšējā tirgū. Jaunu tehnoloģiju ātrā attīstība un globalizācija vēl vairāk saasina šo problēmu.

Fizisku personu tiesības uz datu aizsardzību atšķiras sadrumstalotības un nekonsekventas īstenošanas un izpildes dēļ dažādās dalībvalstīs. Turklāt personas bieži vien neapzinās un nevar kontrolēt, kas notiek ar viņu personas datiem, un tāpēc nevar efektīvi izmantot savas tiesības.

1.5.2. ES iesaistīšanās pievienotā vērtība

Dalībvalstis vienas pašas nevar mazināt problēmas pašreizējā situācijā. Jo īpaši tas attiecas uz tam problēmām, kas rodas no valstu tiesību aktu sadrumstalotības, īstenojot ES datu aizsardzības tiesisko regulējumu. Tāpēc ir loģisks pamatojums veidot datu aizsardzības tiesisko regulējumu ES līmenī. Ir īpaša vajadzība izveidot tuvinātu un saskaņotu regulējumu, kas nodrošina raitu personas datu nosūtīšanu pāri robežām ES iekšienē, vienlaikus garantējot efektīvu aizsardzību visam fiziskām personām visā ES.

1.5.3. Līdzīgas līdzšinējās pieredzes rezultātā gūtās atziņas

Šie priekšlikumi pamatojas uz pieredzi, kas gūta saistībā ar Direktīvu 95/46/EK, un problēmām, kas radušās šīs direktīvas sadrumstalotas transponēšanas un īstenošanas dēļ, kas nav ļāvušas sasniegt abus direktīvas mērķus, proti, augstu datu aizsardzības līmeni un vienotu datu aizsardzības tirgu.

1.5.4. Saderība un iespējamā sinerģija ar citiem attiecīgajiem instrumentiem

Šīs datu aizsardzības reformas paketes mērķis ir veidot stipru, konsekventu un modernu datu aizsardzības regulējumu ES līmenī – tehnoloģiski neitrālu un derīgu vēl nākamajām desmitgadēm. Tā uzlabos fizisku personu stāvokli stiprinot to tiesības uz datu aizsardzību, jo īpaši digitālajā vidē, un vienkāršos tiesisko vidi uzņēmumiem un publiskajam sektoram, tādējādi stimulējot digitālās ekonomikas attīstību visā ES iekšējā tirgū un ārpus tā saskaņā ar stratēģijas "Eiropa 2020" mērķiem.

Datu aizsardzības reformas paketes pamatelementi ir:

–        regula, ar ko aizstāj Direktīvu 95/46/EK;

–        direktīva par fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti.

Šos tiesību aktu priekšlikumus pavada ziņojums par to, kā dalībvalstīs tiek īstenots pašreiz galvenais ES datu aizsardzības instruments policijas un tiesu iestāžu sadarbības krimināllietās jomā, proti Pamatlēmums 2008/977/TI.

1.6. Ilgums un finansiālā ietekme

¨ Ierobežota ilguma priekšlikums/iniciatīva

1. ¨            Priekšlikuma/iniciatīvas darbības laiks: [DD.MM.]GGGG.–[DD.MM.]GGGG.

2. ¨            Finansiālā ietekme: GGGG.– GGGG.

þ Beztermiņa priekšlikums/iniciatīva

1. Īstenošana ar uzsākšanas periodu no 2014. līdz 2016. gadam,

2. pēc kura turpinās normāla darbība

1.7. Paredzētie pārvaldības veidi[51]

þ Komisijas īstenota centralizēta tieša pārvaldība

¨ Centralizēta netieša pārvaldība, izpildes uzdevumus deleģējot:

3. ¨            izpildaģentūrām

4. ¨            Kopienu izveidotām struktūrām[52]

5. ¨            valstu publiskā sektora struktūrām vai struktūrām, kas veic valsts pārvaldes uzdevumus

3. ¨            personām, kurām ir uzticēts veikt īpašas darbības saskaņā ar Līguma par Eiropas Savienību V sadaļu un kuras ir noteiktas attiecīgā pamataktā Finanšu regulas 49. panta nozīmē

¨ Dalīta pārvaldība kopā ar dalībvalstīm

¨ Decentralizēta pārvaldība kopā ar trešām valstīm

¨ Pārvaldība kopā ar starptautiskām organizācijām (precizēt)

Ja norādīti vairāki pārvaldības veidi, sniedziet papildu informāciju iedaļā „Piezīmes”.

Piezīmes

//

2. PĀRVALDĪBAS PASĀKUMI 2.1. Uzraudzības un ziņošanas noteikumi

Norādīt periodiskumu un nosacījumus.

Pirmā izvērtēšana notiks 4 gadus pēc tiesību akta stāšanās spēkā. Tiesību aktā ir skaidri iekļauts noteikums par pārskatīšanu, saskaņā ar kuru Komisija izvērtēs īstenošanu. Komisija par izvērtējumu ziņos Eiropas Parlamentam un Padomei. Turpmāk izvērtēšana notiks ik pēc četriem gadiem. Piemēros Komisijas izvērtēšanas metodoloģiju. Šo izvērtēšanu rīkos, izmantojot īpašus pētījumus par tiesību aktu īstenošanu, aptaujājot valstu datu aizsardzības iestādes, rīkojot ekspertu diskusijas, seminārus, Eirobarometra aptaujas utml.

2.2. Pārvaldības un kontroles sistēma 2.2.1. Apzinātie riski

Ir veikts ES datu aizsardzības regulējuma reformas ietekmes novērtējums un tas ir pievienots regulas un direktīvas priekšlikumiem.

Ar jauno tiesību aktu tiks ieviests konsekvences mehānisms, kas nodrošinās, ka neatkarīgas uzraudzības iestādes dalībvalstīs konsekventi un saskaņoti piemēro regulējumu. Mehānisms darbosies ar Eiropas Datu aizsardzības kolēģijas palīdzību, ko veido valstu uzraudzības iestāžu vadītāji un Eiropas Datu aizsardzības uzraudzītājs (EDAU), kolēģija aizstās 29. panta darba grupu. EDAU nodrošinās sekretariātu šai struktūrai.

Iespējamu atšķirīgu dalībvalstu iestāžu lēmumu gadījumā notiks apspriešanās ar Eiropas Datu aizsardzības kolēģiju, kas izdos atzinumu par konkrēto jautājumu. Ja šī procedūra neizdodas vai ja uzraudzības iestāde atsakās ievērot atzinumu, lai nodrošinātu pareizu un konsekventu šīs regulas piemērošanu, Komisija var izdot atzinumu vai vajadzības gadījumā pieņemt lēmumu, ja tai ir nopietnas šaubas vai pasākuma projekts nodrošina pareizu šīs regulas piemērošanu vai kā citādi neizraisa nekonsekventu piemērošanu.

Konsekvences mehānismam EDAU ir vajadzīgi papildus resursi (12 pilnslodzes ekvivalenti un attiecīgas administratīvās un darbības apropriācijas, piemēram, IT sistēmas un darbības), lai nodrošinātu sekretariātu, un Komisijai (5 pilnslodzes ekvivalenti un attiecīgas administratīvās un darbības apropriācijas), lai izskatītu konsekvences lietas.

2.2.2. Paredzētās kontroles metodes

Esošās un EDAU un Komisijas piemērotās kontroles metodes attieksies arī uz papildu apropriācijām.

2.3. Krāpšanas un pārkāpumu apkarošanas pasākumi

Norādīt esošos vai plānotos novēršanas un aizsardzības pasākumus

Esošās un EDAU un Komisijas piemērotās krāpšanas novēršanas metodes attieksies arī uz papildu apropriācijām.

3. PRIEKŠLIKUMA/INICIATĪVAS PAREDZAMĀ FINANSIĀLĀ IETEKME 3.1. Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu pozīcijas

1. Esošās budžeta izdevumu pozīcijas

Sarindotas pa daudzgadu finanšu shēmas izdevumu kategorijām un budžeta pozīcijām.

Daudzgadu finanšu shēmas izdevumu kategorija || Budžeta pozīcija || Izdevumu veids || Iemaksas

Numurs [Izdevumu kategorija…...….] || Dif./nedif. ([53]) || no EBTA valstīm[54] || no kandidātvalstīm[55] || no trešām valstīm || Finanšu regulas 18. panta 1. punkta aa) apakšpunkta nozīmē

|| || || || || ||

3.2. Paredzamā ietekme uz izdevumiem 3.2.1. Paredzamās ietekmes uz izdevumiem kopsavilkums

Miljonos EUR (3 zīmes aiz komata)

Daudzgadu finanšu shēmas izdevumu kategorija: || Numurs ||

|| || || N gads[56]= 2014 || N+1 gads || N+2 gads || N+3 gads || Iekļaut ietekmes atspoguļošanai vajadzīgo gadu skaitu (skat. 1.6. punktu) || KOPĀ

Ÿ Darbības apropriācijas || || || || || || || ||

Budžeta pozīcijas numurs || Saistības || (1) || || || || || || || ||

Maksājumi || (2) || || || || || || || ||

Budžeta pozīcijas numurs || Saistības || (1a) || || || || || || || ||

Maksājumi || (2a) || || || || || || || ||

Administratīvās apropriācijas, kas tiek finansētas no konkrētu programmu piešķīrumiem[57] || || || || || || || ||

Budžeta pozīcijas numurs || || (3) || || || || || || || ||

KOPĀ — <….> ĢD apropriācijas || Saistības || =1+1a +3 || || || || || || || ||

Maksājumi || =2+2a+3 || || || || || || || ||

Ÿ KOPĀ — Darbības apropriācijas || Saistības || (4) || || || || || || || ||

Maksājumi || (5) || || || || || || || ||

Ÿ KOPĀ — Administratīvās apropriācijas, kas tiek finansētas no konkrētu programmu piešķīrumiem || (6) || || || || || || || ||

KOPĀ — Daudzgadu finanšu shēmas 3. IZDEVUMU KATEGORIJAS apropriācijas || Saistības || =4+ 6 || || || || || || || ||

Maksājumi || =5+ 6 || || || || || || || ||

Gadījumā, ja priekšlikums/iniciatīva ietekmē vairākas izdevumu kategorijas

Ÿ KOPĀ — Darbības apropriācijas || Saistības || (4) || || || || || || || ||

Maksājumi || (5) || || || || || || || ||

Ÿ KOPĀ — Administratīvās apropriācijas, kas tiek finansētas no konkrētu programmu piešķīrumiem || (6) || || || || || || || ||

KOPĀ — Daudzgadu finanšu shēmas 1.–4. IZDEVUMU KATEGORIJAS apropriācijas (Pamatsumma) || Saistības || =4+ 6 || || || || || || || ||

Maksājumi || =5+ 6 || || || || || || || ||

Daudzgadu finanšu shēmas izdevumu kategorija: || 5 || „Administratīvie izdevumi”

Miljonos EUR (3 zīmes aiz komata)

|| || || N gads = 2014 || 2015. gads || 2016. gads || 2017. gads || 2018. gads || 2019. gads || 2020. gads || KOPĀ

JUST ĢD ||

Ÿ Cilvēkresursi || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ÿ Pārējie administratīvie izdevumi || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

KOPĀ — JUST ĢD || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

KOPĀ — Daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJAS apropriācijas || (Saistību summa = maksājumu summa) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Miljonos EUR (3 zīmes aiz komata)

|| || || N gads[58] || N+1 gads || N+2 gads || N+3 gads || Iekļaut ietekmes atspoguļošanai vajadzīgo gadu skaitu (skat. 1.6. punktu) || KOPĀ

KOPĀ — Daudzgadu finanšu shēmas 1.–5. IZDEVUMU KATEGORIJAS apropriācijas || Saistības || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Maksājumi || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.2. Paredzamā ietekme uz darbības apropriācijām

4. þ            Priekšlikums/iniciatīva neparedz darbības apropriāciju izmantošanu

Augsts datu aizsardzības līmenis ir arī viens no Tiesību un pilsonības programmas mērķiem.

5. ¨            Priekšlikums/iniciatīva paredz darbības apropriāciju izmantošanu šādā veidā:

Saistību apropriācijas miljonos EUR (3 zīmes aiz komata)

Norādīt mērķus un rezultātus ò || || || N gads = 2014 || N+1 gads || N+2 gads || N+3 gads || Iekļaut ietekmes atspoguļošanai vajadzīgo gadu skaitu (skat. 1.6. punktu) || KOPĀ

REZULTĀTI

Rezultāta veids[59] || Rezultātu vidējās izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Kopējais rezultātu daudzums || Kopējās izmaksas

KONKRĒTAIS MĒRĶIS NR. 1 ||

Rezultāts || Dokumenti[60] || || || || || || || || || || || || || || || || ||

Starpsumma — 1. konkrētais mērķis || || || || || || || || || || || || || || || ||

KONKRĒTAIS MĒRĶIS NR. 2 ||

Rezultāts || Lietas[61] || || || || || || || || || || || || || || || || ||

Starpsumma — 2. konkrētais mērķis || || || || || || || || || || || || || || || ||

KOPĒJĀS IZMAKSAS || || || || || || || || || || || || || || || ||

3.2.3. Paredzamā ietekme uz administratīvajām apropriācijām 3.2.3.1. Kopsavilkums

6. ¨            Priekšlikums/iniciatīva neparedz administratīvo apropriāciju izmantošanu

7. þ            Priekšlikums/iniciatīva paredz administratīvo apropriāciju izmantošanu šādā veidā:

Miljonos EUR (3 zīmes aiz komata)

|| N gads[62] 2014 || 2015. gads || 2016. gads || 2017. gads || 2018. gads || 2019. gads || 2020. gads || KOPĀ

Daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJA || || || || || || || ||

Cilvēkresursi || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Pārējie administratīvie izdevumi || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

Starpsumma —Daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJA || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Ārpus daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJAS[63] || || || || || || || ||

Cilvēkresursi || || || || || || || ||

Citi administratīvie izdevumi || || || || || || || ||

Starpsumma —Ārpus daudzgadu finanšu shēmas 5. IZDEVUMU KATEGORIJAS || || || || || || || ||

KOPĀ || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.3.2.  Paredzamās cilvēkresursu vajadzības

8. ¨            Priekšlikums/iniciatīva neparedz cilvēkresursu izmantošanu

9. þ            Priekšlikums/iniciatīva paredz cilvēkresursu izmantošanu šādā veidā:

Paredzamais apjoms izsakāms pilna laika ekvivalenta vienībās (vai maksimāli ar vienu zīmi aiz komata)

|| gads 2014 || 2015. gads || 2016. gads || 2017. gads || 2018. gads || 2019. gads || 2020. gads

Ÿ Štatu sarakstā ietvertās amata vietas (ierēdņi un pagaidu darbinieki)

XX 01 01 01 (Galvenā mītne un Komisijas pārstāvniecības) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (Delegācijas) || || || || || || ||

Ÿ Ārštata darbinieki (izsakot ar pilnslodzes ekvivalentu — FTE)[64]

XX 01 02 01 (CA, INT, SNE, ko finansē no vispārīgajām apropriācijām) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (CA, INT, JED, LA un SNE delegācijās) || || || || || || ||

XX 01 04 yy[65] || - Galvenā mītne[66] || || || || || || ||

- Delegācijas || || || || || || ||

XX 01 05 02 (CA, INT, SNE — netiešā pētniecība) || || || || || || ||

10 01 05 02 (CA, INT, SNE — tiešā pētniecība) || || || || || || ||

Citas budžeta pozīcijas (precizēt) || || || || || || ||

KOPĀ || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX ir attiecīgā politikas joma vai budžeta sadaļa.

Saskaņā ar reformu Komisijai papildus jau esošajiem uzdevumiem jomā, kas saistīta ar fizisku personu aizsardzības attiecībā uz personas datu apstrādi, būs jāveic jauni uzdevumi. Papildus uzdevumi galvenokārt saistīti ar jaunā konsekvences mehānisma īstenošanu, kas nodrošinās konsekventu tuvinātā datu aizsardzības tiesiskā regulējuma piemērošanu, trešo valstu aizsardzības līmeņa pietiekamības novērtēšanu, par ko Komisija būs vienīgā atbildīgā, un īstenošanas pasākumu un deleģēto aktu sagatavošanu. Komisija turpinās pildīt arī citus uzdevumus, ko tā veic arī pašlaik (piemēram, politikas izstrāde, transponēšanas uzraudzība, informētības uzlabošana, sūdzību izskatīšana utml.).

Cilvēkresursu vajadzības tiks nodrošinātas, izmantojot attiecīgā ĢD darbiniekus, kuri jau ir iesaistīti konkrētās darbības pārvaldībā un/vai ir pārgrupēti attiecīgajā ģenerāldirektorātā, vajadzības gadījumā izmantojot vadošajam ĢD gada budžeta sadales procedūrā piešķirtos papildu resursus un ņemot vērā budžeta ierobežojumus.

Veicamo uzdevumu apraksts

Ierēdņi un pagaidu darbinieki || Lietu apstrādātāji, kas nodarbosies ar datu aizsardzības konsekvences mehānismu, lai nodrošinātu ES noteikumu vienotu piemērošanu. Uzdevumi ietver dalībvalstu uzraudzības iestāžu iesniegto lietu izmeklēšanu un izpēti, sarunas ar dalībvalstīm un Komisijas lēmumu sagatavošanu. Pamatojoties uz neseno pieredzi, konsekvences mehānismam varētu tikt iesniegtas 5 līdz 10 lietas gadā. Pieprasījumi pieņemt lēmumu par aizsardzības līmeņa pietiekamību ietver tiešu saskarsmi ar attiecīgo valsti, iespējams ekspertu pētījumu pārvaldību par apstākļiem konkrētajā valstī, apstākļu novērtēšanu, attiecīgo Komisijas lēmumu un tā pieņemšanas procedūras sagatavošanu, ietverot komitejas, kas palīdz Komisijai un citu attiecīgo ekspertu darba atbalstu. Pamatojoties uz pašreizējo pieredzi gadā varētu sagaidīt līdz 4 pieprasījumiem. Īstenošanas pasākumu pieņemšanas procedūra ietver sagatavošanās pasākumus, piemēram, dokumentu izsniegšanu, pētījumus un sabiedriskās apspriešanas, kā arī konkrēto aktu projektu sagatavošanu un sarunu procedūras pārvaldību attiecīgajā komitejā un grupās, kā arī saziņu ar ieinteresētajām personām. Dažādajās jomās, kurās nepieciešami precīzāki norādījumi, gadā varētu izskatīt trīs īstenošanas pasākumus un procedūra varētu ilgt 24 mēnešus atkarībā no apspriežu intensitātes.

Ārštata darbinieki || Administratīvais un sekretariāta atbalsts

3.2.4. Saderība ar kārtējo daudzgadu finanšu shēmu

10. ¨            Priekšlikums/iniciatīva atbilst nākamai daudzgadu finanšu shēmai

11. þ            Pieņemot priekšlikumu/iniciatīvu, jāpārplāno attiecīgā izdevumu kategorija daudzgadu finanšu shēmā

Tabulā norādīts finanšu resursu apjoms, kas katru gadu nepieciešams EDAU jauno uzdevumu veikšanai, lai nodrošinātu Eiropas Datu aizsardzības kolēģijas sekretariātu un saistītās procedūras un līdzekļus nākamās daudzgadu finanšu shēmas ietvaros papildus tiem resursiem, kas jau iekļauti plānā.

Gads || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Kopā

Personāls || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Darbības || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Kopā || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

12. ¨            Pieņemot priekšlikumu/iniciatīvu, jāpiemēro elastības instruments vai jāpārskata daudzgadu finanšu shēma[67]

3.2.5. Trešo personu iemaksas

13. þPriekšlikums/iniciatīva neparedz trešo personu līdzfinansējumu

14. ¨Priekšlikums/iniciatīva paredz šādu līdzfinansējumu:

Apropriācijas miljonos EUR (3 zīmes aiz komata)

|| N gads || N+1 gads || N+2 gads || N+3 gads || Iekļaut ietekmes atspoguļošanai vajadzīgo gadu skaitu (skat. 1.6. punktu) || Kopā

Norādīt līdzfinansējuma struktūru || || || || || || || ||

KOPĀ — Līdzfinansējuma apropriācijas || || || || || || || ||

3.3. Paredzamā ietekme uz ieņēmumiem

15. þ            Priekšlikums/iniciatīva finansiāli neietekmē ieņēmumus

16. ¨            Priekšlikums/iniciatīva finansiāli ietekmē:

· ¨         pašu resursus

· ¨         dažādus ieņēmumus

Miljonos EUR (3 zīmes aiz komata)

Budžeta ieņēmumu pozīcija || Kārtējā budžeta gadā pieejamās apropriācijas || Priekšlikuma/iniciatīvas ietekme[68]

N gads || N+1 gads || N+2 gads || N+3 gads || Iekļaut ietekmes ilguma atspoguļošanai vajadzīgo aiļu skaitu (skat. 1.6. punktu)

|| || || || || || || ||

Attiecībā uz īpaši novirzāmiem dažādajiem ieņēmumiem norādīt attiecīgo(-ās) izdevumu pozīciju(-as).

Norādīt ietekmes uz ieņēmumiem aprēķināšanai izmantoto metodi.

Pielikums tiesību akta priekšlikuma finanšu pārskatam pie Regulas par fizisku personu aizsardzību attiecībā uz personas datu apstrādi

Izmantotā metodoloģija un galvenie pieņēmumi

Izmaksas saistībā ar jaunajiem uzdevumiem, kas jāveic Eiropas Datu aizsardzības uzraudzītājam (EDAU) un izriet no abiem priekšlikumiem, ir aplēstas attiecībā uz personāla izdevumiem, pamatojoties uz izmaksām, kas Komisijai pašlaik rodas saistībā ar līdzīgiem uzdevumiem.

EDAU uzturēs sekretariātu Eiropas Datu aizsardzības kolēģijai, ar ko aizvieto 29. panta darba grupu. Pamatojoties uz Komisijas pašreizējo darba slodzi šim uzdevumam, aplēsts, ka ir nepieciešami 3 papildus pilnslodzes ekvivalenti, pieskaitot vēl attiecīgās administratīvās un operatīvās izmaksas. Šī darba slodze sāksies ar regulas spēkā stāšanos.

Turklāt EDAU būs iesaistīts konsekvences mehānismā, kam domājams būs nepieciešami 5 pilnslodzes ekvivalenti, un vienota IT risinājuma izstrādē un attīstībā valstu DAI, kam būs nepieciešami 2 papildus darbinieki.

Tabulā ir sīkāk izklāstīts, kā ir aprēķināts nepieciešamais budžeta palielinājums attiecībā uz personālu pirmajos septiņos gados. Otrā tabulā parādīts nepieciešamais budžets darbībām. Tas atspoguļosies ES budžeta IX iedaļā EDAU.

Izmaksu veids || Aprēķins || Summa (tūkstošos)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Kopā

Algas un piemaksas || || || || || || || || ||

- kolēģijas priekšsēdētājs || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100

- no tām ierēdņi un pagaidu darbinieki || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223

- no tām SNE || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511

- no tām līgumdarbinieki || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896

Izmaksas saistībā ar pieņemšanu darbā || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113

Komandējumu izmaksas || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630

Citas izmaksas, mācības || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350

Kopā administratīvie izdevumi || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Veicamo uzdevumu apraksts

Ierēdņi un pagaidu darbinieki || Referenti, kas vadīs Datu aizsardzības kolēģijas sekretariātu. Papildus loģistikas atbalstam, tostarp budžeta un ar līgumiem saistītiem jautājumiem, tas ietver sanāksmju darba kārtības sagatavošanu un ekspertu uzaicināšanu, izpēti saistībā ar grupu darba kārtības jautājumiem, grupas darba dokumentu pārvaldību, tostarp datu aizsardzības, konfidencialitātes un publiskas piekļuves jautājumus un prasības. Ietverot visas apakšgrupas un ekspertu grupas katru gadu varētu būt jārīko līdz pat 50 sanāksmēm un lēmumu procedūrām. Lietu apstrādātāji, kas nodarbosies ar datu aizsardzības konsekvences mehānismu, lai nodrošinātu ES noteikumu vienotu piemērošanu. Uzdevumi ietver dalībvalstu uzraudzības iestāžu iesniegto lietu izmeklēšanu un izpēti, sarunas ar dalībvalstīm un Komisijas lēmumu sagatavošanu. Pamatojoties uz neseno pieredzi, konsekvences mehānismam varētu tikt iesniegtas 5 līdz 10 lietas gadā. IT risinājums atvieglos operatīvo sadarbību starp valstu DAI un datu pārziņiem, kam ir pienākums sniegt informāciju valsts iestādēm. Atbildīgie darbinieki nodrošinās kvalitātes kontroli, projektu pārvaldību un budžeta uzraudzību IT procesu prasībām, tehnoloģijai, īstenošanai un sistēmu darbībai.

Ārštata darbinieki || Administratīvais un sekretariāta atbalsts

EDAU izdevumi saistībā ar konkrētiem uzdevumiem

Norādīt mērķus un rezultātus ò || || || N gads = 2014 || N+1 gads || N+2 gads || N+3 gads || Iekļaut ietekmes atspoguļošanai vajadzīgo gadu skaitu (skat. 1.6. punktu) || KOPĀ

REZULTĀTI

Rezultāta veids[69] || Rezultātu vidējās izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Daudzums || Izmaksas || Kopējais rezultātu daudzums || Kopējās izmaksas

KONKRĒTAIS MĒRĶIS NR. 1[70] || Datu aizsardzības kolēģijas sekretariāts

Rezultāts || Lietas[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

Starpsumma — 1. konkrētais mērķis || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

KONKRĒTAIS MĒRĶIS NR. 2 || Konsekvences mehānisms

Rezultāts || Dokumenti[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

Starpsumma — 2. konkrētais mērķis || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

KONKRĒTAIS MĒRĶIS NR. 3 || Vienotais IT risinājums DAI (EDAU)

Rezultāts || Lietas[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

[1]               "Aizsargājot privātumu savstarpēji sasaistītā pasaulē – Eiropas datu aizsardzības regulējums 21. gadsimtā" COM(2012) 9 final.

[2]               COM(2012)10 galīgā redakcija.

[3]               Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, OV L 281, 23.11.1995., 31. lpp.

[4]               Padomes Pamatlēmums 2008/977/TI (2008. gada 27. novembris) par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās, OV L 350, 30.12.2008., 60. lpp., (Pamatlēmums).

[5]               COM(2010)245 galīgā redakcija.

[6]               COM(2010)2020 galīgā redakcija.

[7]               "Stokholmas programma – atvērta un droša Eiropa pilsoņu un viņu aizsardzības labā", OV C 115, 4.5.2010., 1. lpp.

[8]               Eiropas Parlamenta 2009. gada 25. novembra rezolūcija par Komisijas paziņojumu Eiropas Parlamentam un Padomei – brīvības, drošības un tiesiskuma telpa pilsoņu interesēs – Stokholmas programma (P7_TA(2009)0090).

[9]               COM(2010)171 galīgā redakcija.

[10]             COM(2010)609 galīgā redakcija.

[11]             Īpašais Eirobarometrs (EB) 359, "Datu aizsardzība un elektroniskā identitāte ES" (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Atbilžu nekonfidenciālās versijas skatīt Komisijas tīmekļa vietnē: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Atbilžu nekonfidenciālās versijas skatīt Komisijas tīmekļa vietnē: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Eiropas Tīklu un informācijas drošības aģentūra, kas nodarbojas ar komunikācijas tīklu un informācijas sistēmu drošības jautājumiem.

[18]             Sk. http://www.enisa.europa.eu/act/it/data-breach-notification.

[19]             Īpašais Eirobarometrs (EB) 359, "Datu aizsardzība un elektroniskā identitāte ES" (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[20]             Sk. Pētījumu par ekonomisko labumu, ko sniedz privātuma aizsardzību veicinošas tehnoloģijas un Salīdzinošo pētījumu par dažādām pieejām jaunajām ar privātumu saistītajām problēmām, jo īpaši ņemot vērā tehnikas attīstību, 2010. gada janvāris.           (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf)..

[21]             Darba grupu izveidoja 1996. gadā (ar Direktīvas 95/46/KE 29. pantu) un tai ir padomdevējas struktūras statuss, to veido valstu datu aizsardzību uzraugošo iestāžu (DAIs), Eiropas Datu aizsardzības uzraudzītāja (EDAU) un Komisijas pārstāvji. Plašāku informāciju par tās darbību sk. šeit: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Jo īpaši sk. šādus atzinumus: par "Privātuma nākotni" (2009. gads, WP 168); par "personas datu apstrādātāja" un "apstrādātāja" jēdzienu (1/2010, WP 169); par biheiviorālo reklāmu tiešsaistē (2/2010, WP 171); par pārskatatbildības principu (3/2010, WP 173); par piemērojamiem tiesību aktiem (8/2010, WP 179); par piekrišanu (15/2011, WP 187). Pēc Komisijas lūguma tā pieņēma šādus konsultējošus dokumentus: par paziņojumiem, par sensitīviem datiem un par Datu aizsardzības direktīvas 28. panta 6. punkta praktisko īstenošanu. Tiem visiem var piekļūt šeit: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Pieejams EDAU tīmekļa vietnē: http://www.edps.europa.eu/EDPSWEB.

[24]             EP 2011. gada 6. jūlija rezolūcija par vispusīgu pieeju personas datu aizsardzībai Eiropas Savienībā (2011/2025(INI)), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=LV&ring=A7-2011-0244 (ziņotājs MEP Axel Voss (EPP/DE).

[25]             CESE 999/2011.

[26]             SEC(2012)72.

[27]             Eiropas Savienības Tiesas 2010. gada 9. novembra spriedums apvienotajās lietās C-92/09 un C-93/09 Volker un Markus Schecke un Eifert [2010], Krājums I-0000.

[28]             Saskaņā ar Hartas 52. panta 1. punktu tiesību uz personas datu aizsardzību izmantošanai var noteikt ierobežojumus, taču tiem ir jābūt noteiktiem tiesību aktos, tajos jārespektē šo tiesību un brīvību būtība un, ievērojot proporcionalitātes principu, ierobežojumus drīkst uzlikt tikai tad, ja tie ir nepieciešami un patiešām atbilst vispārējas nozīmes mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības.

[29]             Eiropas Parlamenta un Padomes 2002. gada 12. jūlija Direktīva 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), OV L 201, 31.7.2002., 37. lpp.

[30]             Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīva 2009/136/EK, ar ko groza Direktīvu 2002/22/EK par universālo pakalpojumu un lietotāju tiesībām attiecībā uz elektronisko sakaru tīkliem un pakalpojumiem, Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē un Regulu (EK) Nr. 2006/2004 par sadarbību starp valstu iestādēm, kas atbildīgas par tiesību aktu īstenošanu patērētāju tiesību aizsardzības jomā (Dokuments attiecas uz EEZ), OV L 337, 18.12.2009., 11. lpp.

[31]             Ar Apvienoto Nāciju Organizācijas Ģenerālās asamblejas 1989. gada 20. novembra Rezolūciju Nr. 44/25 konvencija pieņemta, atvērta parakstīšanai un ratificēšanai, un tai var pievienoties.

[32]             Pieņemta Starptautiskajā datu aizsardzības un privātuma komisāru konferencē 2009. gada 5. novembrī. Sk. arī 13. panta 3. punktu regulas priekšlikumā par Vienotajiem Eiropas tirdzniecības noteikumiem, (COM(2011)635 galīgā redakcija).

[33]             CM/Rec (2010)13.

[34]             Eiropas Savienības Tiesas 2010. gada 9. marta spriedums lietā Komisija pret Vāciju (lieta C-518/07, Krājums 2010, I-1885. lpp.).

[35]             Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regula (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, OV L 008 , 12.1.2001., 1. lpp.

[36]             Sk. 34. zemsvītras piezīmi.

[37]             Padomes 2008. gada 23. jūnija Lēmums 2008/615/TI par pārrobežu sadarbības pastiprināšanu, jo īpaši apkarojot terorismu un pārrobežu noziedzību, OV L 210, 6.8.2008., 1. lpp.

[38]             Par pamatu ņemot, Padomes 2009. gada 30. novembra Pamatlēmumu 2009/948/TI par jurisdikcijas īstenošanas konfliktu novēršanu un atrisināšanu kriminālprocesā, OV L 328, 15.12.2009., 42. lpp. un Padomes 2002. gada 16. decembra Regulu (EK) Nr. 1/2003 par to konkurences noteikumu īstenošanu, kas noteikti Līguma 81. un 82. pantā, OV L 1, 4.1.2003., 1. lpp.

[39]             Par pamatu ņemot 18. panta 1. punktu Eiropas Parlamenta un Padomes 2000. gada 8. jūnija Direktīvā 2000/31/EK par dažiem informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo īpaši elektronisko tirdzniecību, iekšējā tirgū (Direktīva par elektronisko tirdzniecību), OV L 178, 17.7.2000., 1. lpp.

[40]             Attiecībā uz interpretāciju skatīt Eiropas Savienības Tiesas 2008. gada 16. decembra spriedumu lietā Satakunnan Markkinapörssi un Satamedia (C-73/07, Krājums 2008 I-9831. lpp.).

[41]             OV C , , lpp.

[42]             OV C , , lpp.

[43]             OV L 281, 23.11.1995., 31. lpp.

[44]             OV L 8, 12.1.2001., 1. lpp.

[45]             Eiropas Parlamenta un Padomes 2011. gada 16. februāra Regula (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu, OV L 55, 28.2.2011., 13. lpp.

[46]             OV L 176, 10.7.1999., 36. lpp.

[47]             OV L 53, 27.2.2008., 52. lpp.               

[48]             OV L 160, 18.6.2011., 19. lpp.

[49]             ABM — budžeta vadība pa darbības jomām, ABB — budžeta līdzekļu sadale pa darbības jomām.

[50]             Kā paredzēts Finanšu regulas 49. panta 6. punkta attiecīgi a) un b) apakšpunktā.

[51]             Skaidrojumus par pārvaldības veidiem un atsauces uz Finanšu regulu skatīt BudgWeb tīmekļa vietnē: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Kā paredzēts Finanšu regulas 185. pantā.

[53]             Dif. — diferencētās apropriācijas, nedif. — nediferencētās apropriācijas.

[54]             EBTA — Eiropas Brīvās tirdzniecības asociācija.

[55]             Kandidātvalstis un attiecīgā gadījumā potenciālās kandidātvalstis no Rietumbalkāniem.

[56]             N gads ir gads, kurā sāk īstenot priekšlikumu/iniciatīvu.

[57]             Tehniskais un/vai administratīvais atbalsts un ES programmu un/vai darbību īstenošanas atbalsta izdevumi (kādreizējās „BA” pozīcijas), netiešā pētniecība, tiešā pētniecība.

[58]             N gads ir gads, kurā sāk īstenot priekšlikumu/iniciatīvu.

[59]             Rezultāti ir attiecīgie produkti vai pakalpojumi (piemēram, finansēto studentu apmaiņu skaits, uzbūvēto ceļu garums kilometros utt.).

[60]             Atzinumi, lēmumi, kolēģijas sanāksmju procedūras.

[61]             Lietas, kas izskatītas konsekvences mehānisma ietvaros.

[62]             N gads ir gads, kurā sāk īstenot priekšlikumu/iniciatīvu.

[63]             Tehniskais un/vai administratīvais atbalsts un ES programmu un/vai darbību īstenošanas atbalsta izdevumi (kādreizējās „BA” pozīcijas), netiešā pētniecība, tiešā pētniecība.

[64]             CA — līgumdarbinieki, INT — pagaidu darbinieki, JED — jaunākie eksperti delegācijās, LA — vietējie darbinieki, SNE — valstu norīkotie eksperti.

[65]             Saskaņā ar robežlielumiem attiecībā uz ārštata darbiniekiem, ko finansē no darbības apropriācijām (kādreizējām „BA” pozīcijām).

[66]             Galvenokārt struktūrfondi, Eiropas Lauksaimniecības fonds lauku attīstībai (ELFLA) un Eiropas Zivsaimniecības fonds (EZF).

[67]             Skatīt Iestāžu nolīguma 19. un 24. punktu.

[68]             Norādītajām tradicionālo pašu resursu (muitas nodokļi, cukura nodevas) summām jābūt neto summām, t.i., bruto summām, no kurām atskaitītas iekasēšanas izmaksas 25 % apmērā.

[69]             Rezultāti ir attiecīgie produkti vai pakalpojumi (piemēram, finansēto studentu apmaiņu skaits, uzbūvēto ceļu garums kilometros utt.).

[70]             Konkrētie mērķi, kas norādīti 1.4.2. punktā.

[71]             Lietas, kas izskatītas konsekvences mehānisma ietvaros.

[72]             Atzinumi, lēmumi, kolēģijas sanāksmju procedūras.

[73]             Kopējās summas katram gadam ietver aplēses par pasākumiem IT risinājuma izstrādei un darbībai