interactive GDPR 2016/0679 LT

1.   Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)	duomenų valdytojo ir duomenų valdytojo atstovo, jei taikoma, tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	atitinkamų asmens duomenų kategorijas;

e)	jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

f)

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

c)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į į duomenų perkeliamumą;

d)	kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

e)	teisę pateikti skundą priežiūros institucijai;

f)	koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

g)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3.   Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)	per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)	jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

c)	jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4.   Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5.   1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)	duomenų subjektas jau turi informacijos;

b)

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalyje nurodytų sąlygų ir apsaugos priemonių arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;

c)	duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba

d)	kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.

1.   Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)	duomenų tvarkymo tikslai;

b)	atitinkamų asmens duomenų kategorijos;

c)	duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)	kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)	teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)	teisė pateikti skundą priežiūros institucijai;

g)	kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2.   Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 46 straipsnį.

3.   Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4.   3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

1.   Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2.   Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.

3.   Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.

4.   Duomenų subjektas apie 1 ir 2 dalyse nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

5.   Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant Direktyvos 2002/58/EB, duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis, kurioms naudojamos techninės specifikacijos.

6.   Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 straipsnio 1 dalį, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2.   Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3.   Patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

1.   Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2.   Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3.   Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:

a)

tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

b)	užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;

c)	imasi visų priemonių, kurių reikalaujama pagal 32 straipsnį;

d)	laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;

e)	atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;

f)	padeda duomenų valdytojui užtikrinti 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)	pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti;

h)	pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.

Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

4.   Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.

5.   Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse.

6.   Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant kai jos yra pagal 42 ir 43 straipsnius duomenų valdytojui ar duomenų tvarkytojui suteikiamo sertifikavimo dalis.

7.   Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

8.   Priežiūros institucija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

9.   3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, įskaitant elektronine forma.

10.   Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.

1.   Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)	duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	duomenų tvarkymo tikslai;

c)	duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)	duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e)	kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

f)	kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2.   Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)	duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)	kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

d)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3.   1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4.   Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

5.   1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.

1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2.   Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3.   1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

a)

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4.   Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5.   Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6.   Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7.   Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8.   Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9.   Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10.   Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11.   Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

1.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams pagal 57 ir 58 straipsnius, sertifikavimo įstaigos, turinčios tinkamo lygio ekspertinių žinių duomenų apsaugos srityje, informavusios priežiūros instituciją, kad ji prireikus galėtų pasinaudoti savo įgaliojimais pagal 58 straipsnio 2 dalies h punktą, išduoda ir atnaujina sertifikatus. Valstybės narės užtikrina, kad tos sertifikavimo įstaigos yra akredituotos vienos ar abiejų toliau nurodytų subjektų:

a)	priežiūros institucijos, kompetentingos pagal 55 arba 56 straipsnį;

b)	nacionalinės akreditavimo įstaigos, paskelbtos pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (20), laikantis EN-ISO/IEC 17065/2012 ir papildomų reikalavimų, kuriuos nustatė priežiūros institucija, kompetentinga pagal 55 arba 56 straipsnį.

2.   1 dalyje nurodytos sertifikavimo įstaigos akredituojamos pagal tą dalį tik tuo atveju, jei:

a)	yra kompetentingai priežiūros institucijai įtikinamai įrodžiusios savo nepriklausomumą ir ekspertines žinias sertifikavimo dalyko srityje;

b)	įsipareigojo laikytis 42 straipsnio 5 dalyje nurodytų ir priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, laikantis 63 straipsnio, Valdybos patvirtintų kriterijų;

c)	yra nustačiusi duomenų apsaugos sertifikatų, ženklų ir žymenų išdavimo, periodinės peržiūros ir panaikinimo procedūras;

d)	yra nustačiusi procedūras ir struktūras, skirtas skundams dėl sertifikavimo pažeidimų arba dėl to, kaip duomenų valdytojas ar duomenų tvarkytojas įgyvendino ar įgyvendina sertifikavimą, nagrinėti, užtikrindama, kad tos procedūros ir struktūros būtų skaidrios duomenų subjektams ir visuomenei; ir

e)	kompetentingai priežiūros institucijai įtikinamai įrodė, kad dėl jų užduočių ir pareigų nekyla interesų konfliktas.

3.   Sertifikavimo įstaigų akreditavimas, kaip nurodyta šio straipsnio 1 ir 2 dalyse, vykdomas remiantis priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, Valdybos laikantis 63 straipsnyje patvirtintais kriterijais. Jei akreditavimas vykdomas pagal šio straipsnio 1 dalies b punktą, tais reikalavimais papildomi Reglamente (EB) Nr. 765/2008 numatyti reikalavimai ir techninės taisyklės, kuriomis apibūdinami sertifikavimo įstaigų metodai ir procedūros.

4.   1 dalyje nurodytos sertifikavimo įstaigos atsako už tai, kad būtų atliktas tinkamas vertinimas, kuriuo remiantis toks sertifikatas būtų išduodamas arba panaikinamas, nedarant poveikio duomenų valdytojo arba duomenų tvarkytojo atsakomybei už šio reglamento laikymąsi. Akreditacija suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei sertifikavimo įstaiga ir toliau vykdo šiame straipsnyje nustatytus reikalavimus.

5.   1 dalyje nurodytos sertifikavimo įstaigos kompetentingoms priežiūros institucijoms nurodo priežastis, kodėl prašomas sertifikavimas buvo suteiktas arba panaikintas.

6.   Priežiūros institucija šio straipsnio 3 dalyje nurodytus reikalavimus ir 42 straipsnio 5 dalyje nurodytus kriterijus padaro lengvai viešai prieinamus. Priežiūros institucijos tuos reikalavimus ir kriterijus taip pat pateikia Valdybai. Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

7.   Nedarant poveikio VIII skyriui, kompetentinga priežiūros institucija arba nacionalinė akreditavimo įstaiga panaikina pagal šio straipsnio 1 dalį sertifikavimo įstaigai suteiktą akreditaciją, jeigu akreditavimo sąlygos nevykdomos arba nebevykdomos, arba jeigu veiksmai, kurių imasi sertifikavimo įstaiga, pažeidžia šį reglamentą.

8.   Komisijai pagal 92 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus siekiant nustatyti reikalavimus, į kuriuos turi būti atsižvelgta 42 straipsnio 1 dalyje nurodytuose duomenų apsaugos sertifikavimo mechanizmuose.

9.   Komisija gali priimti įgyvendinimo aktus, kuriais nustatomi techniniai sertifikavimo mechanizmai ir duomenų apsaugos ženklų bei žymenų standartai, taip pat tų sertifikavimo mechanizmų, ženklų bei žymenų propagavimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

1.   Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

a)	nurodyti duomenų valdytojui ir duomenų tvarkytojui ir, kai taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovui pateikti visą jos užduotims atlikti reikalingą informaciją;

b)	atlikti tyrimus, kurie atliekami duomenų apsaugos audito forma;

c)	atlikti išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

d)	pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

e)	iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais asmens duomenimis ir visa informacija, kurie būtini jos užduotims atlikti;

f)	laikantis Sąjungos arba valstybės narės proceso teisės, gauti leidimą patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių.

2.   Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

a)	įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

b)	pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

c)	nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

d)	nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

e)	nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

f)	nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

g)	nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 17 straipsnio 2 dalį ir 19 straipsnį;

h)	atšaukti sertifikatą arba nurodyti sertifikavimo įstaigai atšaukti pagal 42 ir 43 straipsnius išduotą sertifikatą, arba nurodyti sertifikavimo įstaigai neišduoti sertifikato, jei nevykdomi arba nebevykdomi sertifikavimo reikalavimai;

i)	skirti administracinę baudą pagal 83 straipsnį, kartu taikydama šioje dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

j)	nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.

3.   Kiekviena priežiūros institucija turi visus šiuos leidimo išdavimo ir patariamuosius įgaliojimus:

a)	patarti duomenų valdytojui pagal 36 straipsnyje nurodytą išankstinių konsultacijų procedūrą;

b)	savo iniciatyva arba gavus prašymą teikti nuomones nacionaliniam parlamentui, valstybės narės vyriausybei arba, vadovaujantis valstybės narės teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais;

c)	suteikti leidimą atlikti 36 straipsnio 5 dalyje nurodytą duomenų tvarkymą, jei pagal valstybės narės teisės aktus reikalaujama tokio išankstinio leidimo;

d)	teikti nuomonę ir tvirtinti elgesio kodeksų projektus pagal 40 straipsnio 5 dalį;

e)	akredituoti sertifikavimo įstaigas pagal 43 straipsnį;

f)	išduoti sertifikatus ir patvirtinti sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

g)	patvirtinti 28 straipsnio 8 dalies ir 46 straipsnio 2 dalies d punkte nurodytas standartines duomenų apsaugos sąlygas;

h)	duoti leidimą taikyti 46 straipsnio 3 dalies a punkte nurodytas sutarčių sąlygas;

i)	duoti leidimą taikyti 46 straipsnio 3 dalies b punkte nurodytus administracinius susitarimus;

j)	patvirtinti įmonei privalomas taisykles pagal 47 straipsnį.

4.   Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje, laikantis Chartijos.

5.   Kiekviena valstybė narė teisės aktais nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti šio reglamento nuostatų vykdymą.

6.   Kiekviena valstybė narė teisės aktais gali nustatyti, kad jos priežiūros institucija be 1, 2 ir 3 dalyse nurodytų įgaliojimų turi papildomų įgaliojimų. Naudojimasis tais įgaliojimais neturi pakenkti veiksmingam VII skyriaus veikimui.

1.   Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

2.   Vadovaujanti priežiūros institucija bet kuriuo metu gali paprašyti kitų susijusių priežiūros institucijų teikti savitarpio pagalbą pagal 61 straipsnį ir gali vykdyti bendras operacijas pagal 62 straipsnį, visų pirma atliekant tyrimus arba stebint su kitoje valstybėje narėje įsisteigusiu duomenų valdytoju ar duomenų tvarkytoju susijusios priemonės įgyvendinimą.

3.   Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

4.   Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.   Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

6.   Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

7.   Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

8.   Nukrypstant nuo 7 dalies, jeigu skundas nepriimamas arba atmetamas, priežiūros institucija, kuriai skundas buvo pateiktas, priima sprendimą, praneša jį skundo pateikėjui ir informuoja apie tai duomenų valdytoją.

9.   Jeigu vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos sutinka, kad tam tikros skundo dalys turi būti nepriimtos arba atmestos, o dėl kitų to skundo dalių reikia imtis veiksmų, dėl kiekvienos iš tų skundo dalių priimami atskiri sprendimai. Vadovaujanti priežiūros institucija priima sprendimą dėl skundo dalies dėl su duomenų valdytoju susijusių veiksmų, praneša jį duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei savo valstybės narės teritorijoje ir apie tai informuoja skundo pateikėją, o skundo pateikėjo priežiūros institucija priima sprendimą, susijusį su to skundo dalies nepriėmimu arba atmetimu, ir praneša jį tam skundo pateikėjui, taip pat apie tai informuoja duomenų valdytoją arba duomenų tvarkytoją.

10.   Duomenų valdytojas arba duomenų tvarkytojas, pagal 7 ir 9 dalis gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.

11.   Tais atvejais, kai, išimtinėmis aplinkybėmis, susijusi priežiūros institucija turi priežasčių manyti, kad reikia skubiai imtis veiksmų duomenų subjektų interesams apsaugoti, taikoma 66 straipsnyje nurodyta skubos procedūra.

12.   Vadovaujanti priežiūros institucija ir kitos susijusios priežiūros institucijos pagal šį straipsnį privalomą informaciją viena kitai teikia elektroninėmis priemonėmis, naudodamosi standartizuota forma.

1.   Valdyba pateikia nuomonę visais atvejais, kai kompetentinga priežiūros institucija ketina patvirtinti bet kurią iš toliau nurodytų priemonių. Tuo tikslu kompetentinga priežiūros institucija pateikia Valdybai sprendimo projektą, kai:

a)	juo siekiama priimti duomenų tvarkymo operacijų, kurioms pagal 35 straipsnio 4 dalį taikomas poveikio duomenų apsaugai vertinimo reikalavimas, sąrašą;

b)	jis yra susijęs su klausimu pagal 40 straipsnio 7 dalį dėl to, ar elgesio kodekso projektas arba elgesio kodekso keitimas ar išplėtimas atitinka šį reglamentą;

c)	juo siekiama patvirtinti įstaigos akreditacijos pagal 41 straipsnio 3 dalį arba sertifikavimo įstaigos akreditacijos pagal 43 straipsnio 3 dalį kriterijus;

d)	juo siekiama nustatyti 46 straipsnio 2 dalies d punkte ir 28 straipsnio 8 dalyje nurodytas standartines duomenų apsaugos sąlygas;

e)	juo siekiama duoti leidimą taikyti sutarčių sąlygas, nurodytas 46 straipsnio 3 dalies a punkte; arba

f)	juo siekiama patvirtinti įmonei privalomas taisykles, kaip apibrėžta 47 straipsnyje.

2.   Bet kuri priežiūros institucija, Valdybos pirmininkas arba Komisija gali prašyti, kad Valdyba išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, ir kad ji pateiktų nuomonę, visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių prievolių pagal 61 straipsnį arba su bendromis operacijomis susijusių prievolių pagal 62 straipsnį.

3.   1 ir 2 dalyse nurodytais atvejais Valdyba pateikia nuomonę dėl jai pateikto klausimo, išskyrus atvejus, kai ji tuo pačiu klausimu jau yra pateikusi nuomonę. Ta nuomonė priimama per aštuonias savaites Valdybos narių paprasta balsų dauguma. Tas laikotarpis gali būti pratęstas dar šešioms savaitėms atsižvelgiant į dalyko sudėtingumą. 1 dalyje nurodyto sprendimo projekto, išplatinto valdybos nariams pagal 5 dalį, atžvilgiu laikoma, kad narys, per pirmininko nurodytą pagrįstą laikotarpį nepareiškęs prieštaravimų, pritaria sprendimo projektui.

4.   Priežiūros institucijos ir Komisija nepagrįstai nedelsdamos, naudodamosi standartizuota forma, elektroninėmis priemonėmis Valdybai pateikia bet kokią reikšmingą informaciją, įskaitant, tam tikrais atvejais, faktų santrauką, sprendimo projektą, priežastis, dėl kurių būtina taikyti tokią priemonę, ir kitų susijusių priežiūros institucijų nuomones.

5.   Valdybos pirmininkas nepagrįstai nedelsdamas elektroninėmis priemonėmis:

a)	Valdybos nariams ir Komisijai pateikia bet kokią reikšmingą informaciją, kuri jam buvo pateikta naudojantis standartizuota forma. Valdybos sekretoriatas prireikus pateikia reikšmingos informacijos vertimą; ir

b)	tam tikrais atvejais 1 ir 2 dalyse nurodytai priežiūros institucijai ir Komisijai pateikia nuomonę ir ją paskelbia.

6.   Kompetentinga priežiūros institucija per 3 dalyje nurodytą laikotarpį nepriima savo sprendimo projekto, nurodyto 1 dalyje.

7.   1 dalyje nurodyta priežiūros institucija kuo labiau atsižvelgia į Valdybos nuomonę ir per dvi savaites nuo nuomonės gavimo elektroninėmis priemonėmis praneša Valdybos pirmininkui apie tai, ar ji nekeis sprendimo projekto, ar jį iš dalies pakeis, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą sprendimo projektą, naudodamasi standartizuota forma.

8.   Jeigu susijusi priežiūros institucija per šio straipsnio 7 dalyje nurodytą laikotarpį informuoja Valdybos pirmininką, kad ji neketina visiškai arba iš dalies atsižvelgti į valdybos nuomonę, pateikdama atitinkamas priežastis, taikoma 65 straipsnio 1 dalis.

1.   Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

a)

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)	jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

c)	jeigu kompetentinga priežiūros institucija neprašo Valdybos pateikti nuomonę 64 straipsnio 1 dalyje nurodytais atvejais arba nesilaiko pagal 64 straipsnį pateiktos Valdybos nuomonės. Tuo atveju bet kuri susijusi priežiūros institucija arba Komisija gali pranešti apie šį klausimą Valdybai.

2.   1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma priimamas per vieną mėnesį nuo dalyko pateikimo. Dėl dalyko sudėtingumo tas laikotarpis gali būti pratęstas dar vienam mėnesiui. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

3.   Jei valdybai nepavyko priimti sprendimo per 2 dalyje nurodytus laikotarpius, ji sprendimą priima paprasta valdybos narių balsų dauguma per dvi savaites nuo 2 dalyje nurodyto antrojo mėnesio pabaigos. Jei valdybos narių balsai pasidalija po lygiai, sprendimą lemia jos pirmininko balsas.

4.   Per 2 ir 3 dalyse nurodytus laikotarpius susijusios priežiūros institucijos nepriima sprendimo dėl pagal 1 dalį valdybai pateikto dalyko.

5.   Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6.   Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, praneša Valdybai jos galutinio sprendimo pranešimo atitinkamai duomenų valdytojui arba duomenų tvarkytojui ir duomenų subjektui datą. Susijusių priežiūros institucijų galutinis sprendimas priimamas laikantis 60 straipsnio 7, 8 ir 9 dalyse išdėstytų sąlygų. Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.

1.   Išimtinėmis aplinkybėmis, jeigu susijusi priežiūros institucija mano, jog būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ji, nukrypdama nuo 63, 64 ir 65 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo arba 60 straipsnyje nurodytos procedūros, gali nedelsdama priimti konkretų ne ilgiau kaip tris mėnesius trunkantį laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios valstybės narės teritorijoje. Priežiūros institucija tas priemones ir jų patvirtinimo priežastis nedelsdama pateikia kitoms susijusioms priežiūros institucijoms, Valdybai ir Komisijai.

2.   Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai patvirtinti galutines priemones, ji gali prašyti, kad Valdyba skubiai pateiktų nuomonę arba skubiai priimtų privalomą sprendimą, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis.

3.   Bet kuri priežiūros institucija gali prašyti Valdybos atitinkamai skubiai pateikti nuomonę arba skubiai priimti privalomą sprendimą, jeigu kompetentinga priežiūros institucija nesiėmė tinkamos priemonės tuo atveju, kai būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis, be kita ko, susijusias su būtinybe imtis skubių veiksmų.

4.   Nukrypstant nuo 64 straipsnio 3 dalies ir 65 straipsnio 2 dalies, šio straipsnio 2 ir 3 dalyse nurodyta skubi nuomonė arba skubus privalomas sprendimas per dvi savaites priimami Valdybos narių paprasta balsų dauguma.

1.   Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

a)	stebi ir užtikrina tinkamą šio reglamento taikymą 64 ir 65 straipsniuose nurodytais atvejais, nedarant poveikio nacionalinių priežiūros institucijų užduotims;

b)	konsultuoja Komisiją visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, be kita ko, dėl siūlomų šio reglamento pakeitimų;

c)	konsultuoja Komisiją dėl duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų;

d)	teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, susijusius su procedūromis, kaip ištrinti asmens duomenų saitus, kopijas ar dublikatus iš viešai prieinamų ryšių paslaugų, kaip nurodyta 17 straipsnio 2 dalyje;

e)	savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šio reglamento taikymu, ir teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šį reglamentą taikyti nuosekliai;

f)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad labiau patikslintų profiliavimu grindžiamų sprendimų pagal 22 straipsnio 2 dalį kriterijus ir sąlygas;

g)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius dėl 33 straipsnio 1 ir 2 dalyse nurodyto asmens duomenų saugumo pažeidimo ir nepagrįsto delsimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą;

h)	pagal šios dalies b punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, susijusius su tokiomis aplinkybėmis, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 34 straipsnio 1 dalyje;

i)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų kriterijus ir reikalavimus, taikomus asmens duomenų perdavimams, kurie grindžiami įmonei privalomomis taisyklėmis, kurių laikosi duomenų valdytojai, ir įmonei privalomomis taisyklėmis, kurių laikosi duomenų tvarkytojai, ir kitais būtinais reikalavimais, kuriais siekiama užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą, kaip nurodyta 47 straipsnyje;

j)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų asmens duomenų perdavimo remiantis 49 straipsnio 1 dalimi kriterijus ir reikalavimus;

k)	rengia priežiūros institucijoms skirtas gaires dėl 58 straipsnio 1, 2 ir 3 dalyse nurodytų priemonių taikymo ir administracinių baudų pagal 83 straipsnį nustatymo;

l)	peržiūri e ir f punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių praktinį taikymą;

m)	pagal šios e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius siekiant nustatyti bendrą fizinių asmenų teikiamų pranešimų apie šio reglamento pažeidimus pagal 54 straipsnio 2 dalį tvarką;

n)	skatina rengti elgesio kodeksus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus bei duomenų apsaugos ženklus ir žymenis pagal 40 ir 42 straipsnius;

o)	vykdo sertifikavimo įstaigų akreditavimą ir jo periodinę peržiūrą pagal 43 straipsnį ir tvarko viešą akredituotų įstaigų registrą pagal 43 straipsnio 6 dalį ir viešą trečiosiose valstybėse įsisteigusių akredituotų duomenų valdytojų ar duomenų tvarkytojų registrą pagal 42 straipsnio 7 dalį;

p)	tiksliai apibūdina 43 straipsnio 3 dalyje nurodytus reikalavimus siekiant akredituoti sertifikavimo įstaigas pagal 42 straipsnį;

q)	pateikia Komisijai nuomonę dėl 43 straipsnio 8 dalyje nurodytų sertifikavimo reikalavimų;

r)	pateikia Komisijai nuomonę dėl 12 straipsnio 7 dalyje nurodytų piktogramų;

s)

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar trečioji valstybė, teritorija arba tarptautinė organizacija ar nurodytas vienas ar keli sektoriai toje trečiojoje valstybėje nebeužtikrina tinkamo apsaugos lygio. Tuo tikslu Komisija pateikia Valdybai visus būtinus dokumentus, įskaitant korespondenciją su trečiosios valstybės vyriausybe, dėl tos trečiosios šalies, teritorijos ar nurodyto sektoriaus, arba su tarptautine organizacija;

t)	teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 64 straipsnio 1 dalyje nurodytą nuoseklumo užtikrinimo mechanizmą ir dėl klausimų, pateiktų pagal 64 straipsnio 2 dalį, ir priima privalomus sprendimus pagal 65 straipsnį, įskaitant 66 straipsnyje nurodytus atvejus;

u)	skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

v)	skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, ir tam tikrais atvejais darbuotojų mainus su trečiųjų valstybių priežiūros institucijomis arba su tarptautinėmis organizacijomis;

w)	skatina keistis žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

x)	teikia nuomones dėl pagal 40 straipsnio 4 dalį Sąjungos lygmeniu parengtų elgesio kodeksų; ir

y)	tvarko viešai prieinamą priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroninį registrą.

2.   Jeigu Komisija prašo Valdybos konsultacijos, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3.   Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai bei 93 straipsnyje nurodytam komitetui ir skelbia juos viešai.

4.   Valdyba tam tikrais atvejais konsultuojasi su suinteresuotosiomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nedarant poveikio 76 straipsniui, Valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)	pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)	tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;

c)	bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

d)	duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;

e)	bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus;

f)	bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

g)	asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

h)	tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu);

i)	jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių;

j)	ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir

k)	kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

3.   Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

4.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	duomenų valdytojo ir duomenų tvarkytojo prievoles 8, 11, 25-39 ir 42 bei 43 straipsnius;

b)	sertifikavimo įstaigos prievoles pagal 42 ir 43 straipsnius;

c)	stebėsenos įstaigos prievoles pagal 41 straipsnio 4 dalį;

5.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

b)	duomenų subjekto teises pagal 12–22 straipsnius;

c)	asmens duomenų perdavimą duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 44–49 straipsnius;

d)	prievoles pagal valstybės narės teisės aktus, priimtus pagal IX skyrių;

e)	jei nesilaikoma priežiūros institucijos nurodymo arba laikino ar nuolatinio duomenų tvarkymo apribojimo arba duomenų srautų sustabdymo pagal 58 straipsnio 2 dalį arba nesuteikiama prieigos galimybė pažeidžiant 58 straipsnio 1 dalį;

6.   Jei nesilaikoma 58 straipsnio 2 dalyje nurodyto priežiūros institucijos nurodymo, pagal šio straipsnio 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

7.   Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsisteigusioms toje valstybėje narėje.

8.   Priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

9.   Jei valstybės narės teisės sistemoje nenumatoma administracinių baudų, šis straipsnis gali būti taikomas taip, kad baudą inicijuotų kompetentinga priežiūros institucija, o ją skirtų kompetentingi nacionaliniai teismai, kartu užtikrinant, kad tos teisių gynimo priemonės būtų veiksmingos ir turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį. Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos. Tos valstybės narės ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias jos priima pagal šią dalį, ir nedelsdamos praneša vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

1.   Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal šį reglamentą taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Tomis apsaugos priemonėmis užtikrinama, kad būtų įdiegtos techninės ir organizacinės priemonės, visų pirma siekiant užtikrinti, kad būtų laikomasi duomenų kiekio mažinimo principo. Tos priemonės gali apimti pseudonimų suteikimą, jeigu tie tikslai gali būti pasiekti tuo būdu. Visais atvejais, kai tuos tikslus galima pasiekti toliau tvarkant duomenis, iš kurių negalima arba nebegalima nustatyti duomenų subjektų tapatybės, tų tikslų siekiama tuo būdu.

2.   Kai asmens duomenys tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, Sąjungos arba valstybės narės teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 15, 16, 18 ir 21 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 1 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

3.   Kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, Sąjungos arba valstybės narės teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 15, 16, 18, 19, 20 ir 21 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 1 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

4.   Kai 2 ir 3 dalyse nurodytas tvarkymas tuo pat metu padeda siekti kito tikslo, nukrypti leidžiančias nuostatas galima taikyti tik duomenų tvarkymui tose dalyse nurodytais tikslais.

1.   Ne vėliau kaip 2020 m. gegužės 25 d. ir vėliau kas ketverius metus Komisija teikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitas. Ataskaitos skelbiamos viešai.

2.   Atlikdama 1 dalyje nurodytus įvertinimus ir peržiūras, Komisija visų pirma išnagrinėja, kaip taikomos ir kaip veikia:

a)	V skyriaus nuostatos dėl asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms, ypatingą dėmesį skiriant sprendimams, priimtiems pagal šio reglamento 45 straipsnio 3 dalį, ir sprendimams, priimtiems remiantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi;

b)	VII skyriaus nuostatos dėl bendradarbiavimo ir nuoseklumo.

3.   1 dalies tikslu Komisija gali prašyti valstybių narių ir priežiūros institucijų pateikti informaciją.

4.   Atlikdama 1 ir 2 dalyse nurodytą vertinimą ir peržiūrą, Komisija atsižvelgia į Europos Parlamento, Tarybos, taip pat kitų svarbių įstaigų ar šaltinių nuomones ir išvadas.

5.   Prireikus Komisija pateikia tinkamus pasiūlymus iš dalies pakeisti šį reglamentą, visų pirma atsižvelgdama į informacinių technologijų raidą ir informacinės visuomenės pažangą.