interactive GDPR 2016/0679 LT

1. Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

3. Tuo, kad laikomasi patvirtintų elgesio kodeksų, kaip nurodyta 40 straipsnyje, arba patvirtintų sertifikavimo mechanizmų, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad duomenų valdytojas vykdo prievoles.

27 straipsnis

Sąjungoje neįsisteigusių duomenų valdytojų ar duomenų tvarkytojų atstovai

1. Jeigu taikoma 3 straipsnio 2 dalis, duomenų valdytojas arba duomenų tvarkytojas raštu paskiria atstovą Sąjungoje.

2. Šio straipsnio 1 dalyje nustatyta prievolė netaikoma:

jei duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų duomenų tvarkymo, kaip nurodyta 9 straipsnio 1 dalyje, dideliu mastu ar 10 straipsnyje nurodyto asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus; arba

b)	valdžios institucijai arba įstaigai.

3. Atstovas turi būti įsisteigęs vienoje iš tų valstybių narių, kuriose yra duomenų subjektai ir kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo jiems tikslais arba kurių elgesys yra stebimas.

4. Duomenų valdytojas arba duomenų tvarkytojas įgalioja atstovą, kad visų pirma priežiūros institucijos ir duomenų subjektai galėtų kreiptis ne tik į duomenų valdytoją ar duomenų tvarkytoją, bet ir į atstovą, arba tik į atstovą visais klausimais, susijusiais su duomenų tvarkymu, siekiant užtikrinti, kad būtų laikomasi šio reglamento.

5. Tai, kad duomenų valdytojas arba duomenų tvarkytojas paskiria atstovą, nedaro poveikio teisiniams veiksmams, kurių galėtų būti imtasi prieš patį duomenų valdytoją arba duomenų tvarkytoją.

30 straipsnis

Duomenų tvarkymo veiklos įrašai

1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)	duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	duomenų tvarkymo tikslai;

c)	duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)	duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e)	kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

f)	kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2. Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)	duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)	kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

d)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3. 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

5. 1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.

47 straipsnis

Įmonei privalomos taisyklės

1. Kompetentinga priežiūros institucija patvirtina įmonei privalomas taisykles pagal 63 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą, jeigu:

a)	jos yra teisiškai privalomos ir taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, įskaitant jų darbuotojus, ir jie užtikrina jų vykdymą;

b)	jomis duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su jų asmens duomenų tvarkymu; ir

c)	jos atitinka 2 dalyje nustatytus reikalavimus.

2. 1 dalyje nurodytose įmonei privalomose taisyklėse nurodoma bent:

a)	įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės ir kiekvieno jos nario struktūra bei kontaktiniai duomenys;

b)	duomenų perdavimai arba duomenų perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę arba valstybes;

c)	tai, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu;

tai, kad taikomi bendrieji duomenų apsaugos principai, visų pirma tikslų apribojimo, duomenų kiekio mažinimo, ribotų duomenų saugojimo laikotarpių, duomenų kokybės, pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų tvarkymo teisinio pagrindo, specialių kategorijų asmens duomenų tvarkymo principai, duomenų saugumo užtikrinimo priemonės ir reikalavimai dėl tolesnio duomenų perdavimo įstaigoms, kurios neprivalo laikytis įmonei privalomų taisyklių;

duomenų subjektų teisės, susijusios su duomenų tvarkymu, ir naudojimosi tomis teisėmis priemonės, įskaitant teisę į tai, kad nebūtų taikomi tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai pagal 22 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai bei kompetentingiems valstybių narių teismams pagal 79 straipsnį ir teisę naudotis teisių gynimo priemonėmis ir, kai tinkama, reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio atitinkamo nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas visiškai ar iš dalies atleidžiamas nuo tos atsakomybės tik tuo atveju, jei jis įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)	kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams, be to, kas numatyta 13 ir 14 straipsniuose;

h)	pagal 37 straipsnį paskirto bet kurio duomenų apsaugos pareigūno arba bet kurio kito asmens ar subjekto, atsakingo už stebėseną, ar įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo ir skundų nagrinėjimo stebėseną, užduotys;

i)	skundų nagrinėjimo procedūros;

įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje taikomi mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises. Tokio patikrinimo rezultatai turėtų būti perduoti asmeniui arba subjektui, kaip nurodyta h punkte, ir įmonių grupę kontroliuojančiosios įmonės arba bendrą ekonominę veiklą vykdančios įmonių grupės valdybai ir paprašius turėtų būti pateikti kompetentingai priežiūros institucijai;

k)	ataskaitų teikimo ir taisyklių pakeitimų registravimo, taip pat pranešimo apie tuos pakeitimus priežiūros institucijai mechanizmai;

bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant j punkte nurodyto priemonių patikrinimo rezultatus;

mechanizmas, pagal kurį kompetentingai priežiūros institucijai teikiamos ataskaitos apie visus teisinius reikalavimus, taikomus įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariui trečiojoje šalyje, galinčius turėti esminį neigiamą poveikį įmonei privalomomis taisyklėmis užtikrinamoms garantijoms; ir

n)	atitinkami mokymai duomenų apsaugos srityje darbuotojams, kurie turi teisę nuolat ar reguliariai susipažinti su asmens duomenimis.

3. Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

88 straipsnis

Duomenų tvarkymas su darbo santykiais susijusiame kontekste

1. Valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius.

2. Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje.

3. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

whereas

(14) šiuo reglamentu užtikrinama apsauga turėtų būti taikoma fiziniams asmenims tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Šis reglamentas neapimama juridinių asmenų ir visų pirma su juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo;

- = -

(35) prie asmens sveikatos duomenų turėtų būti priskirti visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinę ar psichinę sveikatą.
Tai apima informaciją apie fizinį asmenį, surinktą registruojantis sveikatos priežiūros paslaugoms gauti ar jas teikiant tam fiziniam asmeniui, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje 2011/24/ES (9); fiziniam asmeniui priskirtą numerį, simbolį ar žymę, pagal kurią galima konkrečiai nustatyti fizinio asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar medžiagos tyrimus ar analizę, įskaitant genetinius duomenis ir biologinius mėginius; ir bet kurią informaciją apie, pavyzdžiui, ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pavyzdžiui, ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos priemonės ar in vitro diagnostinio tyrimo;

- = -

(63) duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą.
Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos.
Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu.
Kai įmanoma, duomenų valdytojas turėtų galėti suteikti nuotolinę prieigą prie saugios sistemos, kurioje duomenų subjektas gali tiesiogiai prieiti prie savo asmens duomenų.
Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga.
Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją.
Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

- = -

(71) duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas, kuriame gali būti numatyta priemonė, kuria vertinami su juo susiję asmeniniai aspektai, kuri grindžiama tik automatizuotu duomenų tvarkymu, ir kuri jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, tokį kaip automatinio internetinės kredito paraiškos atmetimas ar elektroninio įdarbinimo praktika be žmogaus įsikišimo.
Toks duomenų tvarkymas apima „profiliavimą“, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį.
Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos ar valstybės narės teisėje, kuri taikoma duomenų valdytojui, be kita ko, sukčiavimo ir mokesčių slėpimo stebėsenos ir prevencijos tikslais, laikantis Sąjungos institucijų ar nacionalinių priežiūros įstaigų taisyklių, standartų ir rekomendacijų, ir siekiant užtikrinti duomenų valdytojo suteiktos paslaugos saugumą ir patikimumą, arba kai tai būtina sudarant arba vykdant duomenų subjekto ir duomenų valdytojo sutartį, arba tada, kai duomenų subjektas yra davęs aiškų sutikimą.
Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą.
Tokia priemonė negali būti susijusi su vaiku.

- = -

(75) įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

- = -

(80) kai Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kurio duomenų tvarkymo veikla susijusi su prekių ar paslaugų siūlymu, tokiems duomenų subjektams Sąjungoje, nepaisant to, ar reikalaujama, kad duomenų subjektas atliktų mokėjimą, arba jų elgesio, jei jie veikia Sąjungoje, stebėsenai vykdyti, duomenų valdytojas arba duomenų tvarkytojas turėtų paskirti atstovą, nebent duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų asmens duomenų tvarkymo dideliu mastu ar asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojaus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus arba jei duomenų valdytojas yra valdžios institucija ar įstaiga.
Atstovas turėtų veikti duomenų valdytojo arba duomenų tvarkytojo vardu ir į jį gali kreiptis bet kuri priežiūros institucija.
Atstovą duomenų valdytojas arba duomenų tvarkytojas turėtų aiškiai paskirti rašytiniu įgaliojimu veikti jo vardu vykdant jo prievoles pagal šį reglamentą.
Paskiriant tokį atstovą nedaromas poveikis duomenų valdytojo ar duomenų tvarkytojo atsakomybei pagal šį reglamentą.
Toks atstovas turėtų vykdyti užduotis pagal iš duomenų valdytojo ar duomenų tvarkytojo gautą įgaliojimą, be kita ko, bendradarbiauti su kompetentingomis priežiūros institucijomis imantis bet kokių veiksmų, kad būtų užtikrintas šio reglamento laikymasis.
Paskirtam atstovui turėtų būti taikomi reikalavimų laikymosi užtikrinimo veiksmai tais atvejais, kai duomenų valdytojas ar duomenų tvarkytojas nesilaiko reikalavimų;

- = -

(89) Direktyvoje 95/46/EB numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą.
Ta prievolė susijusi su administracine ir finansine našta, tačiau ji ne visada padėdavo gerinti asmens duomenų apsaugą.
Todėl tokias bendras visuotines pranešimo prievoles reikėtų panaikinti ir jas pakeisti veiksmingomis procedūromis ir mechanizmais, kurie būtų labiau orientuoti į tų rūšių duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.
Tokios duomenų tvarkymo operacijų rūšys gali būti tos rūšys, kurios visų pirma apima naujų technologijų naudojimą arba yra naujos rūšies operacijos ir kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo, arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką;

- = -

(102) šiuo reglamentu nedaromas poveikis Sąjungos ir trečiųjų valstybių sudarytiems tarptautiniams susitarimams, kuriais reglamentuojamas asmens duomenų perdavimas, įskaitant tinkamas duomenų subjektų apsaugos priemones.
Valstybės narės gali sudaryti tarptautinius susitarimus, apimančius asmens duomenų perdavimą į trečiąsias valstybes ar tarptautinėms organizacijoms, jeigu tokie susitarimai neturi poveikio šiam reglamentui arba kitoms Sąjungos teisės nuostatoms ir jais numatoma tinkamo lygio duomenų subjektų pagrindinių teisių apsauga;

- = -

(143) bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Teisingumo Teisme pareikšti ieškinį dėl Valdybos sprendimų panaikinimo.
Susijusios priežiūros institucijos, kurioms tokie sprendimai skirti ir kuriuos jos nori užginčyti, turi pareikšti ieškinį per du mėnesius nuo tada, kai joms pranešama apie tuos sprendimus, laikantis SESV 263 straipsnio.
Tuo atveju, jei Valdybos sprendimai yra tiesiogiai ir konkrečiai susiję su duomenų valdytoju, duomenų tvarkytoju ar skundo pateikėju, pastarasis gali pateikti ieškinį dėl tų sprendimų panaikinimo per du mėnesius nuo jų paskelbimo Valdybos interneto svetainėje, laikantis SESV 263 straipsnio.
Nedarant poveikio šiai teisei pagal SESV 263 straipsnį, kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu.
Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu.
Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų.
Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės.
Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi.

- = -

(146) bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas.
Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai.
Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo.
Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybėje narės teisėje nustatytas taisykles.
Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją.
Kai duomenų valdytojai ar duomenų tvarkytojai yra susiję su tuo pačiu duomenų tvarkymo atveju, turėtų būti laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingas už visą žalą.
Tačiau kai jie yra įtraukti į tą pačią teismo bylą laikantis valstybės narės teisės, kompensacija gali būti proporcingai padalyta pagal kiekvieno duomenų valdytojo arba duomenų tvarkytojo atsakomybę už žalą, padarytą tvarkant asmens duomenis, su sąlyga, kad užtikrinama visa ir veiksminga kompensacija žalą patyrusiam duomenų subjektui.
Bet kuris duomenų valdytojas ar duomenų tvarkytojas, kuris sumokėjo visą kompensaciją, gali vėliau pareikšti atgręžtinį reikalavimą kitiems su tuo pačiu duomenų tvarkymo atveju susijusiems duomenų valdytojams arba duomenų tvarkytojams;

- = -

dal 2004 diritto e informatica