interactive GDPR 2016/0679 LT

1. Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.

2. Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3. Laisvas asmens duomenų judėjimas Sąjungoje nėra nei ribojamas, nei draudžiamas dėl su fizinių asmenų apsauga tvarkant jų asmens duomenis susijusių priežasčių.

9 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)	duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos arba valstybės narės teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos arba valstybės narės teisėje arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

c)	tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydama teisėtą veiklą ir taikydama tinkamas apsaugos priemones, ir su sąlyga, kad tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su ja dėl jos siekiamų tikslų, duomenys ir kad asmens duomenys neatskleidžiami už organizacijos ribų be duomenų subjektų sutikimo;

e)	tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)	tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai vykdo savo teisminius įgaliojimus;

tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos arba valstybės narės teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis Sąjungos arba valstybės narės teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma profesinė paslaptis;

tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

3. 1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį.

4. Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.

24 straipsnis

Duomenų valdytojo atsakomybė

1. Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.

3. Tuo, kad laikomasi patvirtintų elgesio kodeksų, kaip nurodyta 40 straipsnyje, arba patvirtintų sertifikavimo mechanizmų, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad duomenų valdytojas vykdo prievoles.

25 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3. Patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

27 straipsnis

Sąjungoje neįsisteigusių duomenų valdytojų ar duomenų tvarkytojų atstovai

1. Jeigu taikoma 3 straipsnio 2 dalis, duomenų valdytojas arba duomenų tvarkytojas raštu paskiria atstovą Sąjungoje.

2. Šio straipsnio 1 dalyje nustatyta prievolė netaikoma:

jei duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų duomenų tvarkymo, kaip nurodyta 9 straipsnio 1 dalyje, dideliu mastu ar 10 straipsnyje nurodyto asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus; arba

b)	valdžios institucijai arba įstaigai.

3. Atstovas turi būti įsisteigęs vienoje iš tų valstybių narių, kuriose yra duomenų subjektai ir kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo jiems tikslais arba kurių elgesys yra stebimas.

4. Duomenų valdytojas arba duomenų tvarkytojas įgalioja atstovą, kad visų pirma priežiūros institucijos ir duomenų subjektai galėtų kreiptis ne tik į duomenų valdytoją ar duomenų tvarkytoją, bet ir į atstovą, arba tik į atstovą visais klausimais, susijusiais su duomenų tvarkymu, siekiant užtikrinti, kad būtų laikomasi šio reglamento.

5. Tai, kad duomenų valdytojas arba duomenų tvarkytojas paskiria atstovą, nedaro poveikio teisiniams veiksmams, kurių galėtų būti imtasi prieš patį duomenų valdytoją arba duomenų tvarkytoją.

32 straipsnis

Duomenų tvarkymo saugumas

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

a)	pseudonimų suteikimą asmens duomenims ir jų šifravimą;

b)	gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

c)	gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

d)	reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

2. Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

3. Tuo, kad laikomasi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad laikomasi šio straipsnio 1 dalyje nustatytų reikalavimų.

4. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.

33 straipsnis

Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą

1. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.

3. 1 dalyje nurodytame pranešime turi būti bent:

a)	aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

b)	nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

c)	aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

d)	aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

4. Kai ir jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

5. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi tais dokumentais, priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio.

34 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3. 1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)	duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)	tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 skirsnis

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

35 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2. Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3. 1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4. Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5. Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6. Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7. Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8. Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9. Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10. Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11. Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

44 straipsnis

Bendras duomenų perdavimo principas

Asmens duomenys, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją valstybę arba tarptautinei organizacijai, perduodami tik tuo atveju, jei duomenų valdytojas ir duomenų tvarkytojas, laikydamiesi kitų šio reglamento nuostatų, laikosi šiame skyriuje nustatytų sąlygų, be kita ko, susijusių su tolesniu asmens duomenų perdavimu iš tos trečiosios valstybės ar tarptautinės organizacijos į kitą trečiąją šalį ar kitai tarptautinei organizacijai. Visos šio skyriaus nuostatos taikomos siekiant užtikrinti, kad nebūtų pakenkta šiuo reglamentu garantuojamam fizinių asmenų apsaugos lygiui.

49 straipsnis

Nukrypti leidžiančios nuostatos konkrečiais atvejais

1. Jeigu nepriimtas sprendimas dėl tinkamumo pagal 45 straipsnio 3 dalį arba nenustatytos tinkamos apsaugos priemonės pagal 46 straipsnį, įskaitant įmonei privalomas taisykles, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atliekami tik su viena iš šių sąlygų:

a)	duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

b)	duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;

c)	duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

d)	duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;

e)	duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

f)	duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

duomenys perduodami iš registro, pagal Sąjungos arba valstybės narės teisę skirto teikti informaciją visuomenei, su kuria gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, tačiau tik tiek, kiek konkrečiu atveju laikomasi pagal Sąjungos arba valstybės narės teisę nustatytų susipažinimo su tokiame registre esančia informacija sąlygų.

Kai perdavimas negali būti grindžiamas 45 arba 46 straipsnio nuostata, įskaitant nuostatas dėl įmonei privalomų taisyklių, ir netaikoma jokia pirmoje pastraipoje nurodyta konkrečioje situacijoje nukrypti leidžianti nuostata, perdavimas nėra kartojamas, yra susijęs tik su ribotu duomenų subjektų skaičiumi, yra būtinas įtikinamų duomenų valdytojo ginamų teisėtų interesų, kai nėra už juos viršesnių duomenų subjekto interesų ar teisių ir laisvių, tikslais, jeigu duomenų valdytojas yra įvertinęs visas su duomenų perdavimu susijusias aplinkybes ir, remdamasis tuo vertinimu, yra nustatęs tinkamas su asmens duomenų apsauga susijusias apsaugos priemones. Duomenų valdytojas praneša priežiūros institucijai apie duomenų perdavimą. Be 13 ir 14 straipsniuose nurodytos informacijos, duomenų valdytojas praneša duomenų subjektui apie duomenų perdavimą ir apie įtikinamus ginamus teisėtus interesus.

2. Jeigu duomenys perduodami pagal 1 dalies pirmos pastraipos g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai.

3. 1 dalies pirmos pastraipos a, b ir c punktai bei jos antra pastraipa netaikomi veiklai, kurią valdžios institucijos atlieka vykdydamos savo viešuosius įgaliojimus.

4. 1 dalies pirmos pastraipos d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teise arba duomenų valdytojui taikomos valstybės narės teise.

5. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų asmens duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Valstybės narės tokias nuostatas praneša Komisijai.

6. Duomenų valdytojas arba duomenų tvarkytojas 30 straipsnyje nurodytuose įrašuose dokumentais pagrindžia vertinimą ir šio straipsnio 1 dalies antroje pastraipoje nurodytas tinkamas apsaugos priemones.

51 straipsnis

Priežiūros institucija

1. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – priežiūros institucija).

2. Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija vadovaudamosi VII skyriumi.

3. Jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri turi atstovauti toms institucijoms Valdyboje, ir nustato mechanizmą, kuriuo būtų užtikrinta, kad kitos institucijos laikytųsi su 63 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusių taisyklių.

4. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal šį skyrių, ir nedelsdama praneša apie visus vėlesnius toms nuostatoms įtakos turinčius pakeitimus.

54 straipsnis

Priežiūros institucijos įsteigimo taisyklės

1. Kiekviena valstybė narė teisės aktais nustato visus šiuos elementus:

a)	kiekvienos priežiūros institucijos įsteigimą;

b)	kiekvienos priežiūros institucijos nario pareigoms užimti būtiną kvalifikaciją ir taikomus tinkamumo reikalavimus;

c)	kiekvienos priežiūros institucijos nario ar narių skyrimo taisykles ir procedūras;

kiekvienos priežiūros institucijos nario arba narių kadencijos trukmę, kuri negali būti trumpesnė kaip ketveri metai, išskyrus dalį pirmųjų narių, skiriamų po 2016 m. gegužės 24 d., kurių kadencija gali būti trumpesnė, jeigu siekiant išsaugoti priežiūros institucijos nepriklausomumą nariai turi būti skiriami keliais etapais;

e)	tai, ar kiekvienos priežiūros institucijos nario arba narių kadencija gali būti atnaujinama, ir jei taip – kelioms kadencijoms;

f)	sąlygas, reglamentuojančias kiekvienos priežiūros institucijos nario arba narių ir darbuotojų prievoles, draudimą kadencijos metu ir jai pasibaigus imtis su tomis prievolėmis nesuderinamų veiksmų, dirbti darbą ir gauti išmokas ir darbo nutraukimą reglamentuojančias taisykles.

2. Kiekvienos priežiūros institucijos narys arba nariai ir darbuotojai įpareigojami kadencijos metu ir jai pasibaigus pagal Sąjungos ar valstybės narės teisę saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais. Jų kadencijos metu tas įpareigojimas saugoti profesinę paslaptį visų pirma taikomas fizinių asmenų teikiamiems parnešimams apie šio reglamento pažeidimus.

2 skirsnis

Kompetencija, užduotys ir įgaliojimai

57 straipsnis

Užduotys

1. Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a)	stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

b)	skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

c)	laikydamasi valstybės narės teisės, pataria nacionaliniam parlamentui, vyriausybei ir kitoms institucijoms bei įstaigoms teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis, klausimais;

d)	skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

e)	bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

nagrinėja skundus, kuriuos pagal 80 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

g)	bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

h)	atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

i)	stebi susijusius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų, taip pat komercinės praktikos raidą;

j)	priima standartines sutarčių sąlygas, nurodytas 28 straipsnio 8 dalyje ir 46 straipsnio 2 dalies d punkte;

k)	sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 35 straipsnio 4 dalį;

l)	teikia konsultacijas dėl 36 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

m)	skatina rengti elgesio kodeksus pagal 40 straipsnio 1dalį, teikia nuomonę ir patvirtina tokius elgesio kodeksus, kuriais užtikrinama pakankamai apsaugos priemonių, pagal 40 straipsnio 5 dalį;

n)	skatina nustatyti duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis pagal 42 straipsnio 1 dalį ir patvirtina sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

o)	kai taikoma, periodiškai atlieka išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

p)	parengia ir paskelbia už elgesio kodeksų stebėseną atsakingos įstaigos akreditacijos pagal 41 straipsnį ir sertifikavimo įstaigos akreditacijos pagal 43 straipsnį kriterijus;

q)	vykdo už elgesio kodeksų stebėseną atsakingos įstaigos akreditaciją pagal 41 straipsnį ir sertifikavimo įstaigos akreditaciją pagal 43 straipsnį;

r)	duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 46 straipsnio 3 dalyje;

s)	tvirtina įmonei privalomas taisykles pagal 47 straipsnį;

t)	prisideda prie Valdybos veiklos;

u)	tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 58 straipsnio 2 dalį; ir

v)	vykdo visas kitas su asmens duomenų apsauga susijusias užduotis.

2. Kiekviena priežiūros institucija palengvina 1 dalies f punkte nurodytų skundų pateikimą, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

3. Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir, jei taikoma, duomenų apsaugos pareigūno atžvilgiu vykdo nemokamai.

4. Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį, nustatomą atsižvelgiant į administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

70 straipsnis

Valdybos užduotys

1. Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

a)	stebi ir užtikrina tinkamą šio reglamento taikymą 64 ir 65 straipsniuose nurodytais atvejais, nedarant poveikio nacionalinių priežiūros institucijų užduotims;

b)	konsultuoja Komisiją visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, be kita ko, dėl siūlomų šio reglamento pakeitimų;

c)	konsultuoja Komisiją dėl duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų;

d)	teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, susijusius su procedūromis, kaip ištrinti asmens duomenų saitus, kopijas ar dublikatus iš viešai prieinamų ryšių paslaugų, kaip nurodyta 17 straipsnio 2 dalyje;

e)	savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šio reglamento taikymu, ir teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šį reglamentą taikyti nuosekliai;

f)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad labiau patikslintų profiliavimu grindžiamų sprendimų pagal 22 straipsnio 2 dalį kriterijus ir sąlygas;

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius dėl 33 straipsnio 1 ir 2 dalyse nurodyto asmens duomenų saugumo pažeidimo ir nepagrįsto delsimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą;

h)	pagal šios dalies b punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, susijusius su tokiomis aplinkybėmis, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 34 straipsnio 1 dalyje;

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų kriterijus ir reikalavimus, taikomus asmens duomenų perdavimams, kurie grindžiami įmonei privalomomis taisyklėmis, kurių laikosi duomenų valdytojai, ir įmonei privalomomis taisyklėmis, kurių laikosi duomenų tvarkytojai, ir kitais būtinais reikalavimais, kuriais siekiama užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą, kaip nurodyta 47 straipsnyje;

j)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų asmens duomenų perdavimo remiantis 49 straipsnio 1 dalimi kriterijus ir reikalavimus;

k)	rengia priežiūros institucijoms skirtas gaires dėl 58 straipsnio 1, 2 ir 3 dalyse nurodytų priemonių taikymo ir administracinių baudų pagal 83 straipsnį nustatymo;

l)	peržiūri e ir f punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių praktinį taikymą;

m)	pagal šios e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius siekiant nustatyti bendrą fizinių asmenų teikiamų pranešimų apie šio reglamento pažeidimus pagal 54 straipsnio 2 dalį tvarką;

n)	skatina rengti elgesio kodeksus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus bei duomenų apsaugos ženklus ir žymenis pagal 40 ir 42 straipsnius;

o)	vykdo sertifikavimo įstaigų akreditavimą ir jo periodinę peržiūrą pagal 43 straipsnį ir tvarko viešą akredituotų įstaigų registrą pagal 43 straipsnio 6 dalį ir viešą trečiosiose valstybėse įsisteigusių akredituotų duomenų valdytojų ar duomenų tvarkytojų registrą pagal 42 straipsnio 7 dalį;

p)	tiksliai apibūdina 43 straipsnio 3 dalyje nurodytus reikalavimus siekiant akredituoti sertifikavimo įstaigas pagal 42 straipsnį;

q)	pateikia Komisijai nuomonę dėl 43 straipsnio 8 dalyje nurodytų sertifikavimo reikalavimų;

r)	pateikia Komisijai nuomonę dėl 12 straipsnio 7 dalyje nurodytų piktogramų;

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar trečioji valstybė, teritorija arba tarptautinė organizacija ar nurodytas vienas ar keli sektoriai toje trečiojoje valstybėje nebeužtikrina tinkamo apsaugos lygio. Tuo tikslu Komisija pateikia Valdybai visus būtinus dokumentus, įskaitant korespondenciją su trečiosios valstybės vyriausybe, dėl tos trečiosios šalies, teritorijos ar nurodyto sektoriaus, arba su tarptautine organizacija;

t)	teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 64 straipsnio 1 dalyje nurodytą nuoseklumo užtikrinimo mechanizmą ir dėl klausimų, pateiktų pagal 64 straipsnio 2 dalį, ir priima privalomus sprendimus pagal 65 straipsnį, įskaitant 66 straipsnyje nurodytus atvejus;

u)	skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

v)	skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, ir tam tikrais atvejais darbuotojų mainus su trečiųjų valstybių priežiūros institucijomis arba su tarptautinėmis organizacijomis;

w)	skatina keistis žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

x)	teikia nuomones dėl pagal 40 straipsnio 4 dalį Sąjungos lygmeniu parengtų elgesio kodeksų; ir

y)	tvarko viešai prieinamą priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroninį registrą.

2. Jeigu Komisija prašo Valdybos konsultacijos, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3. Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai bei 93 straipsnyje nurodytam komitetui ir skelbia juos viešai.

4. Valdyba tam tikrais atvejais konsultuojasi su suinteresuotosiomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nedarant poveikio 76 straipsniui, Valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

71 straipsnis

Ataskaitos

1. Valdyba parengia metinę ataskaitą dėl fizinių asmenų apsaugos tvarkant duomenis Sąjungoje ir tam tikrais atvejais trečiosiose valstybėse bei tarptautinėse organizacijose. Ataskaita skelbiama viešai ir perduodama Europos Parlamentui, Tarybai ir Komisijai.

2. Toje metinėje ataskaitoje apžvelgiamas 70 straipsnio 1 dalies l punkte nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių, taip pat 65 straipsnyje nurodytų privalomų sprendimų praktinis taikymas.

98 straipsnis

Kitų Sąjungos duomenų apsaugos teisės aktų peržiūra

Prireikus Komisija teikia pasiūlymus dėl teisėkūros procedūra priimamų aktų, kuriais siekiama iš dalies pakeisti kitas Sąjungos teisės aktus asmens duomenų apsaugos srityje, siekiant užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant duomenis. Tai visų pirma taikoma taisyklėms, susijusioms su fizinių asmenų apsauga Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant duomenis, ir taisyklėms, susijusioms su laisvu tokių duomenų judėjimu.

99 straipsnis

Įsigaliojimas ir taikymas

1. Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2. Jis taikomas nuo 2018 m. gegužės 25 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2016 m. balandžio 27 d.

Europos Parlamento vardu

Pirmininkas

M. SCHULZ

Tarybos vardu

Pirmininkė

J.A. HENNIS-PLASSCHAERT

(1) OL C 229, 2012 7 31, p. 90.

(2) OL C 391, 2012 12 18, p. 127.

(3) 2014 m. kovo 12 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2016 m. balandžio 8 d. Tarybos pozicija, priimta per pirmąjį svarstymą (dar nepaskelbta Oficialiajame leidinyje). 2016 m. balandžio 14 d. Europos Parlamento pozicija.

(4) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

(5) 2003 m. gegužės 6 d. Komisijos rekomendacija dėl labai mažų, mažųjų ir vidutinių įmonių sampratos (C(2003) 1422) (OL L 124, 2003 5 20, p. 36).

(6) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(7) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (žr. šio Oficialiojo leidinio p. 89).

(8) 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva) (OL L 178, 2000 7 17, p. 1).

(9) 2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45).

(10) 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

(11) 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70).

(12) 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(13) 2012 m. gruodžio 12 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1215/2012 dėl jurisdikcijos ir teismo sprendimų civilinėse ir komercinėse bylose pripažinimo ir vykdymo (OL L 351, 2012 12 20, p. 1).

(14) 2003 m. lapkričio 17 d. Europos Parlamento ir Tarybos direktyva 2003/98/EB dėl viešojo sektoriaus informacijos pakartotinio naudojimo (OL L 345, 2003 12 31, p. 90).

(15) 2014 m. balandžio 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 536/2014 dėl žmonėms skirtų vaistų klinikinių tyrimų, kuriuo panaikinama Direktyva 2001/20/EB (OL L 158, 2014 5 27, p. 1).

(16) 2009 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 223/2009 dėl Europos statistikos, panaikinantis Europos Parlamento ir Tarybos reglamentą (EB, Euratomas) Nr. 1101/2008 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai, Tarybos reglamentą (EB) Nr. 322/97 dėl Bendrijos statistikos ir Tarybos sprendimą 89/382/EEB, Euratomas, įsteigiantį Europos Bendrijų statistikos programų komitetą (OL L 87, 2009 3 31, p. 164).

(17) OL C 192, 2012 6 30, p. 7.

(18) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(19) 2015 m. rugsėjo 9 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/1535, kuria nustatoma informacijos apie techninius reglamentus ir informacinės visuomenės paslaugų taisykles teikimo tvarka (OL L 241, 2015 9 17, p. 1).

(20) 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008 nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30).

(21) 2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).

whereas

(1) fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė.
Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

- = -

(2) fizinių asmenų apsaugos tvarkant jų asmens duomenis principais ir taisyklėmis turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma jų teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Šiuo reglamentu siekiama padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą, skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką ir siekti jų ekonomikos konvergencijos vidaus rinkoje ir fizinių asmenų gerovės;

- = -

(3) Europos Parlamento ir Tarybos direktyva 95/46/EB (4) siekiama suderinti fizinių asmenų pagrindinių teisių ir laisvių apsaugą vykdant duomenų tvarkymo veiklą ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių;

- = -

(9) Direktyvos 95/46/EB tikslai ir principai tebėra pagrįsti, tačiau ji neužkirto kelio suskaidytam duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ar plačiai paplitusiai viešajai nuomonei, kad fizinių asmenų apsaugai kyla didelių pavojų, visų pirma dėl veiklos internete.
Dėl skirtingo fizinių asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje.
Todėl tokie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungos lygmeniu, iškreipti konkurenciją ir trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę.
Tokią skirtingo lygio apsaugą lemia nevienodas Direktyvos 95/46/EB įgyvendinimas ir taikymas;

- = -

(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis.
Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas.
Kalbant apie asmens duomenų tvarkymą siekiant laikytis teisinės prievolės, užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimui valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti nacionalines nuostatas, kuriomis konkrečiau apibrėžiamas šiame reglamente nustatytų taisyklių taikymas.
Kartu su bendraisiais ir horizontaliaisiais teisės aktais dėl duomenų apsaugos, kuriais įgyvendinama Direktyva 95/46/EB, valstybės narės turi keletą konkretiems sektoriams skirtų teisės aktų srityse, kuriose reikia konkretesnių nuostatų. Šiuo reglamentu valstybėms narėms taip pat suteikiama tam tikra veiksmų laisvė nustatyti savo taisykles, be kita ko, dėl specialių kategorijų asmens duomenų (neskelbtini duomenys) tvarkymo.
Todėl šiuo reglamentu neužkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo atvejų aplinkybės, be kita ko, tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas;

- = -

(12) SESV 16 straipsnio 2 dalimi Europos Parlamentas ir Taryba įgaliojami nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo asmens duomenų judėjimo taisykles;

- = -

(13) siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas.
Tam, kad vidaus rinka veiktų tinkamai, reikia užtikrinti, kad laisvas asmens duomenų judėjimas Sąjungoje nebūtų ribojamas ar draudžiamas dėl priežasčių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis.
Kad būtų atsižvelgta į ypatingą labai mažų, mažųjų ir vidutinių įmonių padėtį, šiame reglamente įrašų laikymo atžvilgiu organizacijoms, kuriose dirba mažiau kaip 250 darbuotojų, numatyta nukrypti leidžianti nuostata.
Be to, Sąjungos institucijos ir įstaigos, valstybės narės ir jų priežiūros institucijos raginamos taikant šį reglamentą atsižvelgti į specialius labai mažų, mažųjų ir vidutinių įmonių poreikius.
Labai mažų, mažųjų ir vidutinių įmonių sąvoka turėtų būti grindžiama Komisijos rekomendacijos 2003/361/EB (5) priedo 2 straipsniu;

- = -

(15) siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų.
fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Šis reglamentas neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams;

- = -

(19) fizinių asmenų apsauga kompetentingoms valdžios institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu.
Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymo veiklai tokiais tikslais.
Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami tais tikslais, jų tvarkymas turėtų būti reglamentuojamas konkretesniu Sąjungos teisės aktu, tai yra Europos Parlamento ir Tarybos direktyva (ES) 2016/680 (7).
Valstybės narės gali kompetentingoms valdžios institucijoms, kaip apibrėžta Direktyvoje (ES) 2016/680, pavesti užduotis, kurios nebūtinai atliekamos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, kad tais kitais tikslais atliekamas asmens duomenų tvarkymas tiek, kiek jis patenka į Sąjungos teisės taikymo sritį, patektų į šio reglamento taikymo sritį.

- = -

(30) fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais, slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis.
Taip gali likti pėdsakų, kurie visų pirma kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

- = -

(39) bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas.
Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi.
Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba.
Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti.
Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje.
Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu.
Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus.
Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis.
Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus.
Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti.
Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui;

- = -

(53) specialių kategorijų asmens duomenys, kuriems taikytina aukštesnio lygio apsauga, galėtų būti tvarkomi tik su sveikata susijusiais tikslais, kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas, be kita ko, kai tokius duomenis tvarko valdymo ir centrinės nacionalinės sveikatos apsaugos institucijos kokybės kontrolės, valdymo informacijos ir sveikatos apsaugos arba socialinės rūpybos sistemos bendros priežiūros nacionaliniu ir vietos lygiu tikslais, ir užtikrinant sveikatos apsaugos arba socialinės rūpybos ir tarpvalstybinės sveikatos priežiūros tęstinumą arba sveikatos saugumo, stebėsenos ir įspėjimo tikslais, arba archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, remiantis Sąjungos arba valstybės narės teise, pagal kuriuos reikia pasiekti viešojo intereso tikslą, taip pat dėl viešojo intereso atliekant tyrimus visuomenės sveikatos srityje.
Todėl šiame reglamente turėtų būti numatytos suderintos specialių kategorijų asmens sveikatos duomenų tvarkymo sąlygos, atsižvelgiant į specialius poreikius, visų pirma kai tokius duomenis tam tikrais su sveikata susijusiais tikslais tvarko asmenys, kuriems taikoma teisinė prievolė saugoti profesinę paslaptį.
Sąjungos ar valstybės narės teisėje turėtų būti numatytos konkrečios ir tinkamos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti.
Valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, taikomas genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymui.
Tačiau šias sąlygas taikant tarpvalstybiniam tokių asmens duomenų tvarkymui neturėtų būti trikdomas laisvas duomenų judėjimas Sąjungoje;

- = -

(54) visuomenės sveikatos srityje gali reikėti specialių kategorijų asmens duomenis dėl viešojo intereso priežasčių tvarkyti be duomenų subjekto sutikimo.
Tokie duomenys turėtų būti tvarkomi taikant tinkamas ir specialias priemones, kad būtų apsaugotos fizinių asmenų teisės ir laisvės.
Todėl sąvoka „visuomenės sveikata“ turėtų būti aiškinama, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1338/2008 (11) ir reikšti visus elementus, susijusius su sveikata, t. y.
sveikatos būklę, įskaitant sergamumą ir neįgalumą, veiksnius, darančius poveikį tai sveikatos būklei, sveikatos priežiūros poreikius, sveikatos priežiūrai skirtus išteklius, sveikatos priežiūros paslaugų teikimą ir jų visuotinį prieinamumą, taip pat sveikatos priežiūros išlaidos ir finansavimą, taip pat mirtingumo priežastis.
Dėl to, kad sveikatos duomenys tvarkomi dėl viešojo intereso priežasčių, trečiosios šalys, pavyzdžiui, darbdaviai ar draudimo bendrovės ir bankai, neturėtų tvarkyti asmens duomenų kitais tikslais;

- = -

(74) turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą.
Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą.
Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms;

- = -

(75) įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

- = -

(77) duomenų valdytojo arba duomenų tvarkytojo atliekamo tinkamų priemonių įgyvendinimo ir šio reglamento laikymosi įrodymo gairės, ypač dėl su duomenų tvarkymu susijusio pavojaus nustatymo, kilmės, pobūdžio, tikimybės ir rimtumo įvertinimo, taip pat geriausios patirties mažinant tą pavojų nustatymo, galėtų būti pateiktos visų pirma patvirtintuose elgesio kodeksuose, patvirtintuose sertifikatuose, Valdybos pateiktose gairėse arba duomenų apsaugos pareigūno pateiktuose nurodymuose.
Valdyba taip pat gali skelbti gaires dėl duomenų tvarkymo operacijų, kurias vykdant neturėtų kilti didelio pavojaus fizinių asmenų teisėms bei laisvėms, ir nurodyti, kokių priemonių gali pakakti norint tokiais atvejais panaikinti tokį pavojų;

- = -

(78) siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų.
Kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų.
Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui.
Plėtojant, kuriant, atrenkant ir naudojant taikomąsias programas, paslaugas ir produktus, kurie grindžiami asmens duomenų tvarkymu arba kurių atveju asmens duomenys yra tvarkomi siekiant įvykdyti tam tikrą užduotį, tokių produktų, paslaugų ir taikomųjų programų gamintojai, kurdami tokius produktus, paslaugas ir taikomąsias programas, turėtų būti skatinami atsižvelgti į teisę į duomenų apsaugą ir, tinkamai atsižvelgiant į techninių galimybių išsivystymo lygį, turėtų būti skatinami užtikrinti, kad duomenų valdytojai ir duomenų tvarkytojai galėtų vykdyti savo duomenų apsaugos prievoles.
Vykdant viešuosius konkursus turėtų būti taip pat atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

- = -

(80) kai Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kurio duomenų tvarkymo veikla susijusi su prekių ar paslaugų siūlymu, tokiems duomenų subjektams Sąjungoje, nepaisant to, ar reikalaujama, kad duomenų subjektas atliktų mokėjimą, arba jų elgesio, jei jie veikia Sąjungoje, stebėsenai vykdyti, duomenų valdytojas arba duomenų tvarkytojas turėtų paskirti atstovą, nebent duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų asmens duomenų tvarkymo dideliu mastu ar asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojaus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus arba jei duomenų valdytojas yra valdžios institucija ar įstaiga.
Atstovas turėtų veikti duomenų valdytojo arba duomenų tvarkytojo vardu ir į jį gali kreiptis bet kuri priežiūros institucija.
Atstovą duomenų valdytojas arba duomenų tvarkytojas turėtų aiškiai paskirti rašytiniu įgaliojimu veikti jo vardu vykdant jo prievoles pagal šį reglamentą.
Paskiriant tokį atstovą nedaromas poveikis duomenų valdytojo ar duomenų tvarkytojo atsakomybei pagal šį reglamentą.
Toks atstovas turėtų vykdyti užduotis pagal iš duomenų valdytojo ar duomenų tvarkytojo gautą įgaliojimą, be kita ko, bendradarbiauti su kompetentingomis priežiūros institucijomis imantis bet kokių veiksmų, kad būtų užtikrintas šio reglamento laikymasis.
Paskirtam atstovui turėtų būti taikomi reikalavimų laikymosi užtikrinimo veiksmai tais atvejais, kai duomenų valdytojas ar duomenų tvarkytojas nesilaiko reikalavimų;

- = -

(84) siekiant užtikrinti, kad šio reglamento būtų geriau laikomasi, kai vykdant duomenų tvarkymo operacijas gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turėtų būti atsakingas už poveikio duomenų apsaugai vertinimo atlikimą, kad būtų įvertinta visų pirma to pavojaus kilmė, pobūdis, specifika ir rimtumas. Į šio vertinimo rezultatus turėtų būti atsižvelgta nustatant tinkamas priemones, kurių būtų imtasi siekiant įrodyti, kad asmens duomenų tvarkymas vykdomas laikantis šio reglamento.
Kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su dideliu pavojumi, kurio duomenų valdytojas negali sumažinti tinkamomis priemonėmis, atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymą turėtų būti konsultuojamasi su priežiūros institucija;

- = -

(85) dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui.
Todėl, vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, duomenų valdytojas turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, apie asmens duomenų saugumo pažeidimą, nebent duomenų valdytojas gali pagal atskaitomybės principą įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.
Kai to neįmanoma pranešti per 72 valandas, pranešant turėtų būti pateiktos vėlavimo priežastys ir informacija gali būti pateikiama etapais daugiau nepagrįstai nedelsiant;

- = -

(89) Direktyvoje 95/46/EB numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą.
Ta prievolė susijusi su administracine ir finansine našta, tačiau ji ne visada padėdavo gerinti asmens duomenų apsaugą.
Todėl tokias bendras visuotines pranešimo prievoles reikėtų panaikinti ir jas pakeisti veiksmingomis procedūromis ir mechanizmais, kurie būtų labiau orientuoti į tų rūšių duomenų tvarkymo operacijas, dėl kurių pobūdžio, aprėpties, konteksto ir tikslų gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.
Tokios duomenų tvarkymo operacijų rūšys gali būti tos rūšys, kurios visų pirma apima naujų technologijų naudojimą arba yra naujos rūšies operacijos ir kurių atveju duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo, arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką;

- = -

(91) tai visų pirma turėtų būti taikoma didelio masto duomenų tvarkymo operacijoms, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų, pavyzdžiui, dėl jų jautraus pobūdžio, kai atsižvelgiant į pasiektą technologinių žinių lygį nauja technologija yra naudojama dideliu mastu, taip pat taikoma kitoms duomenų tvarkymo operacijoms, kurios kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, visų pirma, kai duomenų subjektams dėl šių operacijų yra sunkiau naudotis savo teisėmis.
Poveikio duomenų apsaugai vertinimas taip pat turėtų būti atliktas tais atvejais, kai asmens duomenys yra tvarkomi siekiant priimti sprendimus dėl konkrečių fizinių asmenų atlikus su fiziniais asmenimis susijusį sistemingą ir plataus masto asmeninių aspektų įvertinimą, remiantis tų duomenų profiliavimu, arba atlikus specialių kategorijų asmens duomenų, biometrinių duomenų ar duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas ar susijusias saugumo priemones tvarkymą.
Poveikio duomenų apsaugai vertinimo taip pat reikalaujama siekiant vykdyti viešų vietų stebėjimą dideliu mastu, ypač naudojant optinius elektroninius prietaisus, arba vykdant kitas operacijas, kurių atveju kompetentinga priežiūros institucija laikosi nuomonės, kad tvarkant duomenis gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, visų pirma dėl to, kad jas vykdant duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis, arba dėl to, kad jos yra vykdomos sistemingai dideliu mastu.
Asmens duomenų tvarkymas neturėtų būti laikomas didelio masto duomenų tvarkymu, jei tai yra atskirų gydytojų, kitų sveikatos priežiūros specialistų pacientų arba teisininko klientų asmens duomenų tvarkymas.
Tokiais atvejais neturėtų būti privaloma atlikti poveikio duomenų apsaugai vertinimo;

- = -

(94) kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su priežiūros institucija.
Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms.
Priežiūros institucija į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį.
Tačiau tai, kad priežiūros institucija nesureagavo per tą laikotarpį, neturėtų turėti poveikio priežiūros institucijos intervenciniams veiksmams jai vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitanti įgaliojimą uždrausti duomenų tvarkymo operacijas.
Vykdant tą konsultavimosi procesą, priežiūros institucijai gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

- = -

(98) asociacijos ar kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, turėtų būti skatinamos neviršijant šio reglamento nuostatų parengti elgesio kodeksus, kad palengvintų veiksmingą šio reglamento taikymą, atsižvelgiant į tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus ir konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.
Tokiuose elgesio kodeksuose visų pirma galėtų būti nustatomos duomenų valdytojų ir duomenų tvarkytojų prievolės, atsižvelgiant į pavojų, kuris tvarkant duomenis gali kilti fizinių asmenų teisėms ir laisvėms;

- = -

(112) šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamas ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte.
Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo.
Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos.
Valstybės narės apie tokias nuostatas turėtų pranešti Komisijai.
Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;

- = -

(113) duomenų perdavimas, kurį galima laikyti nepasikartojančiu ir kuris yra susijęs tik su tam tikru duomenų subjektų skaičiumi, taip pat galėtų būti galimas, kai duomenų valdytojas vadovaujasi įtikinamais teisėtais interesais, jeigu tų interesų neviršija duomenų subjekto interesai ar teisės ir laisvės ir jeigu duomenų valdytojas įvertino visas su duomenų perdavimu susijusias aplinkybes.
Duomenų valdytojas turėtų atsižvelgti visų pirma į asmens duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje valstybėje ir galutinės paskirties šalyje ir turėtų būti nustatytos su asmens duomenų tvarkymu susijusios tinkamos fizinių asmenų pagrindinių teisių ir laisvių apsaugos priemonės.
Toks duomenų perdavimas turėtų būti galimas tik likusiais atvejais, kai nėra taikytinos jokios kitos duomenų perdavimo priežastys.
Tai darant mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius, susijusius su žinių bazės didinimu.
Duomenų valdytojas apie duomenų perdavimą turėtų informuoti priežiūros instituciją ir duomenų subjektą;

- = -

(115) kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą.
Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis.
Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą.
Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias valstybes taikomos šiame reglamente nustatytos sąlygos.
Taip gali būti, inter alia, jeigu atskleisti duomenis būtina dėl svarbios Sąjungos ar valstybės narės teisėje, taikytinoje duomenų valdytojui, pripažintos viešojo intereso priežasties;

- = -

(117) priežiūros institucijų, įgaliotų visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas valstybėse narėse yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių.
Valstybės narės turėtų galėti įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą;

- = -

(129) siekiant užtikrinti nuoseklią šio reglamento taikymo stebėseną ir jo vykdymą visoje Sąjungoje, priežiūros institucijos kiekvienoje valstybėje narėje turėtų vykdyti tas pačias užduotis ir naudotis tais pačiais veiksmingais įgaliojimais, įskaitant tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų ir skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir, nedarant poveikio baudžiamojo persekiojimo institucijų įgaliojimams pagal valstybės narės teisę, atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir (arba) būti teismo proceso šalimi.
Tokie įgaliojimai turėtų apimti ir įgaliojimą nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant jo draudimą.
Valstybės narės gali nustatyti kitas užduotis, susijusias su asmens duomenų apsauga pagal šį reglamentą.
Priežiūros institucijų įgaliojimais turėtų būti naudojamasi laikantis atitinkamų procedūrinių apsaugos priemonių, nustatytų Sąjungos ir valstybės narės teisėje, nešališkai, sąžiningai ir per pagrįstą laikotarpį.
Visų pirma kiekviena priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti šio reglamento laikymąsi, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, ja turėtų būti gerbiama kiekvieno asmens teisė būti išklausytam prieš imantis konkrečios priemonės, kuri jam padarytų neigiamą poveikį, ir taikoma taip, kad atitinkami asmenys nepatirtų bereikalingų išlaidų ir pernelyg didelių nepatogumų.
Tyrimo įgaliojimais, susijusiais su leidimu patekti į patalpas, turėtų būti naudojamasi laikantis valstybės narės proceso teisėje nustatytų konkrečių reikalavimų, pavyzdžiui, reikalavimo iš anksto gauti teismo leidimą.
Kiekviena teisiškai privaloma priežiūros institucijos priemonė turėtų būti parengta raštu, būti aiški ir nedviprasmiška, joje turėtų būti nurodyta priemonę paskelbusi priežiūros institucija, priemonės paskelbimo data, ją turėtų būti pasirašęs priežiūros institucijos vadovas arba jo įgaliotas priežiūros institucijos narys, turėtų būti išdėstytos priemonės priežastys ir nurodyta teisė į veiksmingą teisių gynimo priemonę.
Tai neturėtų kliudyti taikyti papildomų reikalavimų pagal valstybės narės proceso teisę.
Tai, kad priimamas teisiškai privalomas sprendimas, reiškia, kad juo remiantis gali būti vykdoma teisminė peržiūra sprendimą priėmusios priežiūros institucijos valstybėje narėje;

- = -

(154) šiuo reglamentu sudaroma galimybė taikant šį reglamentą atsižvelgti į visuomenės teisės susipažinti su oficialiais dokumentais principą.
Visuomenės teisė susipažinti su oficialiais dokumentais gali būti laikoma viešuoju interesu.
Valdžios institucija ar viešoji įstaiga savo turimuose dokumentuose esančius asmens duomenis turėtų turėti galimybę viešai atskleisti tada, kai toks atskleidimas yra numatytas Sąjungos ar valstybės narės teisėje, kuri yra taikoma tai valdžios institucijai ar viešajai įstaigai.
Tokiuose teisės aktuose visuomenės teisė susipažinti su oficialiais dokumentais ir viešojo sektoriaus informacijos pakartotinis naudojimas turėtų būti suderinti su teise į asmens duomenų apsaugą, taigi, jais gali būti užtikrintas būtinas suderinimas su asmens duomenų apsauga pagal šį reglamentą.
Nuoroda į valdžios institucijas ir įstaigas tame kontekste turėtų apimti visas valdžios institucijas ar kitas įstaigas, kurioms taikomi valstybės narės teisės aktai dėl visuomenės teisės susipažinti su dokumentais.
Europos Parlamento ir Tarybos direktyva 2003/98/EB (14) nekeičiama fizinių asmenų apsauga tvarkant asmens duomenis pagal Sąjungos ir valstybės narės teisės nuostatas ir ji neturi jokios įtakos tokiai apsaugai, visų pirma ja nekeičiamos šiame reglamente nustatytos prievolės ir teisės.
Visų pirma ta direktyva neturėtų būti taikoma dokumentams, su kuriais susipažinti neleidžiama arba tokia galimybė ribojama dėl asmens duomenų apsaugos priežasčių pagal susipažinimo su dokumentais taisykles, taip pat dokumentų dalims, su kuriomis susipažinti galima pagal tas taisykles, kai jose yra asmens duomenų, kurių pakartotinis naudojimas pagal teisės aktus yra nesuderinamas su teisės aktu dėl fizinių asmenų apsaugos tvarkant asmens duomenis;

- = -

(166) siekiant įgyvendinti šio reglamento tikslus, t. y.
apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą, ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus.
Visų pirma deleguotieji aktai turėtų būti priimti dėl sertifikavimo mechanizmų kriterijų ir reikalavimų, standartizuotomis piktogramomis pateikiamos informacijos ir tokių piktogramų pateikimo tvarkos.
Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais.
Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai;

- = -

(170) kadangi šio reglamento tikslo, t. y.
užtikrinti lygiavertį fizinių asmenų apsaugos lygį ir laisvą asmens duomenų judėjimą Sąjungoje, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo masto arba poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties (toliau – ES sutartis) 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones.
Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytam tikslui pasiekti;

- = -

(173) šis reglamentas turėtų būti taikomas visiems su pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis susijusiems klausimams, kuriems negalioja Europos Parlamento ir Tarybos direktyvoje 2002/58/EB (18) nustatytos konkrečios prievolės, kuriomis siekiama to paties tikslo, įskaitant duomenų valdytojo prievoles ir fizinių asmenų teises.
Siekiant aiškiai apibrėžti šio reglamento ir Direktyvos 2002/58/EB santykį, ta direktyva turėtų būti atitinkamai iš dalies pakeista.
Kai šis reglamentas bus priimtas, turėtų būti atlikta Direktyvos 2002/58/EB peržiūra, visų pirma siekiant užtikrinti jos ir šio reglamento suderinamumą,

- = -

dal 2004 diritto e informatica