interactive GDPR 2016/0679 LT

1.   Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2.   Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a)	sąžiningą ir skaidrų duomenų tvarkymą;

b)	teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c)	asmens duomenų rinkimą;

d)	pseudonimų suteikimą asmens duomenims;

e)	visuomenės ir duomenų subjektų informavimą;

f)	naudojimąsi duomenų subjektų teisėmis;

g)	vaikų informavimą ir apsaugą, taip pat būdą gauti vaikų tėvų pareigų turėtojų sutikimą;

h)	24 ir 25 straipsniuose nurodytas priemones bei procedūras ir priemones, kuriomis užtikrinamas 32 straipsnyje nurodytas duomenų tvarkymo saugumas;

i)	pranešimą apie asmens duomenų saugumo pažeidimus priežiūros institucijoms ir pranešima apie tokius asmens duomenų saugumo pažeidimus duomenų subjektams;

j)	asmens duomenų perdavimą į trečiąsias valstybes ir tarptautinėms organizacijoms; ar

k)	neteisminio ginčų nagrinėjimą ir kitų ginčų sprendimo procedūras, pagal kurias sprendžiami su duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nedarant poveikio duomenų subjektų teisėms pagal 77 ir 79 straipsnius.

3.   Pagal šio straipsnio 5 dalį patvirtintų ir pagal šio straipsnio 9 dalį visuotinai galiojančių elgesio kodeksų gali laikytis ne tik duomenų valdytojai arba duomenų tvarkytojai, kuriems taikomas šis reglamentas, bet ir duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, kad užtikrintų asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms tinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies e punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, duomenų subjektų teisių atžvilgiu, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

4.   Šio straipsnio 2 dalyje nurodytame elgesio kodekse numatomi mechanizmai, leidžiantys 41 straipsnio 1 dalyje nurodytai įstaigai vykdyti privalomą duomenų valdytojų arba duomenų tvarkytojų, kurie įsipareigoja taikyti kodeksą, šio kodekso nuostatų laikymosi stebėseną, nedarant poveikio priežiūros institucijoms, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotimis ir įgaliojimams.

5.   Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.

6.   Jeigu pagal 5 dalį patvirtinamas elgesio kodekso projektas ar pakeitimas arba išplėtimas, ir jei atitinkamas elgesio kodeksas nėra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija užregistruoja ir paskelbia kodeksą.

7.   Jeigu elgesio kodekso projektas yra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį, prieš patvirtindama kodekso projektą, pakeitimą ar išplėtimą, taikydama 63 straipsnyje nurodytą procedūrą, pateikia jį Valdybai, kuri pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant šio straipsnio 3 dalyje nurodytai situacijai, ar jame nustatytos tinkamos apsaugos priemonės.

8.   Jeigu 7 dalyje nurodytoje nuomonėje patvirtinama, kad kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant 3 dalyje nurodytai situacijai, jame nustatytos tinkamos apsaugos priemonės, Valdyba pateikia savo nuomonę Komisijai.

9.   Komisija įgyvendinimo aktais gali nuspręsti, kad pagal šio straipsnio 8 dalį jai pateiktas patvirtinti elgesio kodeksas, pakeitimas ar išplėtimas visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

10.   Komisija užtikrina, kad patvirtinti kodeksai, kurie sprendimu pagal 9 dalį pripažinti visuotinai galiojančiais, būtų tinkamai skelbiami viešai.

11.   Valdyba įtraukia į registrą visus patvirtintus elgesio kodeksus, pakeitimus ir išplėtimus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

1.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams pagal 57 ir 58 straipsnius, elgesio kodekso laikymosi stebėseną pagal 40 straipsnį gali atlikti įstaiga, turinti tinkamo lygio ekspertinių žinių kodekso dalyko srityje ir tuo tikslu akredituota kompetentingos priežiūros institucijos.

2.   Įstaiga, kaip nurodyta 1 dalyje, gali būti akredituota stebėti elgesio kodekso laikymąsi, jeigu ta įstaiga:

a)	kompetentingai priežiūros institucijai įtikinamai įrodė savo nepriklausomumą ir ekspertines žinias kodekso dalyko srityje;

b)	nustatė procedūras, kurios jai suteikia galimybę vertinti atitinkamų duomenų valdytojų ir duomenų tvarkytojų tinkamumą taikyti kodeksą, stebėti, kaip jie laikosi kodekso nuostatų, ir periodiškai peržiūrėti kodekso veikimą;

c)	nustatė procedūras ir struktūras, skirtas skundams dėl kodekso pažeidimų arba dėl to, kaip duomenų valdytojas arba duomenų tvarkytojas įgyvendino ar įgyvendina kodeksą, nagrinėti, užtikrindama, kad tos procedūros ir struktūros būtų skaidrios duomenų subjektams ir visuomenei; ir

d)	kompetentingai priežiūros institucijai įtikinamai įrodė, kad dėl jos užduočių ir pareigų nekyla interesų konfliktas.

3.   Kompetentinga priežiūros institucija pateikia įstaigos, kaip nurodyta šio straipsnio 1 dalyje, akreditavimo kriterijų projektą Valdybai, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

4.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams ir VIII skyriaus nuostatoms, įstaiga, kaip nurodyta šio straipsnio 1 dalyje, jeigu taikomos tinkamos apsaugos priemonės, imasi atitinkamų veiksmų tais atvejais, kai duomenų valdytojas arba duomenų tvarkytojas pažeidžia kodeksą, įskaitant atitinkamo duomenų valdytojo arba duomenų tvarkytojo teisės užsiimti su kodeksu susijusia veikla sustabdymą ar jų nušalinimą nuo su kodeksu susijusių pareigų. Apie tokius veiksmus ir jų vykdymo priežastis ji informuoja kompetentingą priežiūros instituciją.

5.   Kompetentinga priežiūros institucija panaikina įstaigos akreditaciją, kaip nurodyta 1 dalyje, jeigu akreditavimo sąlygos nevykdomos arba nebevykdomos, arba jeigu veiksmai, kurių imasi ta įstaiga, pažeidžia šį reglamentą.

6.   Šis straipsnis netaikomas valdžios institucijų ir įstaigų atliekamam duomenų tvarkymui.

1.   Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina nustatyti – visų pirma Sąjungos lygmeniu – duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad būtų galima įrodyti, jog duomenų valdytojai ir duomenų tvarkytojai, vykdydami duomenų tvarkymo operacijas, laikosi šio reglamento. Atsižvelgiama į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2.   Pagal šio straipsnio 5 dalį patvirtintus duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis galima nustatyti ne tik siekiant įrodyti, kad duomenų valdytojai arba duomenų tvarkytojai laikosi jo nuostatų, bet ir siekiant įrodyti, kad duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, perduodant asmens duomenis į trečiąsias valstybes arba tarptautinėms organizacijoms užtikrina atitinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies f punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

3.   Sertifikavimas yra savanoriškas ir prieinamas taikant skaidrų procesą.

4.   Sertifikavimu pagal šį straipsnį nesumažinama duomenų valdytojo arba duomenų tvarkytojo atsakomybė už šio reglamento laikymąsi ir nedaromas poveikis priežiūros institucijos, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotims ir įgaliojimams.

5.   Sertifikatus pagal šį straipsnį išduoda 43 straipsnyje nurodytos sertifikavimo įstaigos arba kompetentinga priežiūros institucija, remdamosi kompetentingos priežiūros institucijos ar Valdybos patvirtintais kriterijais pagal 58 straipsnio 3 dalį arba, pagal 63 straipsnį. Jei kriterijai yra patvirtinti Valdybos, gali būti išduodamas bendras sertifikatas – Europos duomenų apsaugos ženklas.

6.   Duomenų valdytojas arba duomenų tvarkytojas, kuris kreipiasi, kad jo atliekamam duomenų tvarkymui būtų taikomas sertifikavimo mechanizmas, pateikia 43 straipsnyje nurodytai sertifikavimo įstaigai arba, kai taikoma, kompetentingai priežiūros institucijai, visą informaciją ir suteikia galimybę susipažinti su jo atliekama duomenų tvarkymo veikla, kad būtų galima atlikti sertifikavimo procedūrą.

7.   Duomenų valdytojui arba duomenų tvarkytojui sertifikatas išduodamas ne ilgesniam kaip 3 metų laikotarpiui ir gali būti atnaujintas tomis pačiomis sąlygomis, jei ir toliau vykdomi atitinkami reikalavimai. Jei sertifikavimo reikalavimai nevykdomi arba nebevykdomi, kai taikoma, 43 straipsnyje nurodytos sertifikavimo įstaigos arba kompetentinga priežiūros institucija sertifikavimą panaikina.

8.   Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

1.   Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams pagal 57 ir 58 straipsnius, sertifikavimo įstaigos, turinčios tinkamo lygio ekspertinių žinių duomenų apsaugos srityje, informavusios priežiūros instituciją, kad ji prireikus galėtų pasinaudoti savo įgaliojimais pagal 58 straipsnio 2 dalies h punktą, išduoda ir atnaujina sertifikatus. Valstybės narės užtikrina, kad tos sertifikavimo įstaigos yra akredituotos vienos ar abiejų toliau nurodytų subjektų:

a)	priežiūros institucijos, kompetentingos pagal 55 arba 56 straipsnį;

b)	nacionalinės akreditavimo įstaigos, paskelbtos pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (20), laikantis EN-ISO/IEC 17065/2012 ir papildomų reikalavimų, kuriuos nustatė priežiūros institucija, kompetentinga pagal 55 arba 56 straipsnį.

2.   1 dalyje nurodytos sertifikavimo įstaigos akredituojamos pagal tą dalį tik tuo atveju, jei:

a)	yra kompetentingai priežiūros institucijai įtikinamai įrodžiusios savo nepriklausomumą ir ekspertines žinias sertifikavimo dalyko srityje;

b)	įsipareigojo laikytis 42 straipsnio 5 dalyje nurodytų ir priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, laikantis 63 straipsnio, Valdybos patvirtintų kriterijų;

c)	yra nustačiusi duomenų apsaugos sertifikatų, ženklų ir žymenų išdavimo, periodinės peržiūros ir panaikinimo procedūras;

d)	yra nustačiusi procedūras ir struktūras, skirtas skundams dėl sertifikavimo pažeidimų arba dėl to, kaip duomenų valdytojas ar duomenų tvarkytojas įgyvendino ar įgyvendina sertifikavimą, nagrinėti, užtikrindama, kad tos procedūros ir struktūros būtų skaidrios duomenų subjektams ir visuomenei; ir

e)	kompetentingai priežiūros institucijai įtikinamai įrodė, kad dėl jų užduočių ir pareigų nekyla interesų konfliktas.

3.   Sertifikavimo įstaigų akreditavimas, kaip nurodyta šio straipsnio 1 ir 2 dalyse, vykdomas remiantis priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, Valdybos laikantis 63 straipsnyje patvirtintais kriterijais. Jei akreditavimas vykdomas pagal šio straipsnio 1 dalies b punktą, tais reikalavimais papildomi Reglamente (EB) Nr. 765/2008 numatyti reikalavimai ir techninės taisyklės, kuriomis apibūdinami sertifikavimo įstaigų metodai ir procedūros.

4.   1 dalyje nurodytos sertifikavimo įstaigos atsako už tai, kad būtų atliktas tinkamas vertinimas, kuriuo remiantis toks sertifikatas būtų išduodamas arba panaikinamas, nedarant poveikio duomenų valdytojo arba duomenų tvarkytojo atsakomybei už šio reglamento laikymąsi. Akreditacija suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei sertifikavimo įstaiga ir toliau vykdo šiame straipsnyje nustatytus reikalavimus.

5.   1 dalyje nurodytos sertifikavimo įstaigos kompetentingoms priežiūros institucijoms nurodo priežastis, kodėl prašomas sertifikavimas buvo suteiktas arba panaikintas.

6.   Priežiūros institucija šio straipsnio 3 dalyje nurodytus reikalavimus ir 42 straipsnio 5 dalyje nurodytus kriterijus padaro lengvai viešai prieinamus. Priežiūros institucijos tuos reikalavimus ir kriterijus taip pat pateikia Valdybai. Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

7.   Nedarant poveikio VIII skyriui, kompetentinga priežiūros institucija arba nacionalinė akreditavimo įstaiga panaikina pagal šio straipsnio 1 dalį sertifikavimo įstaigai suteiktą akreditaciją, jeigu akreditavimo sąlygos nevykdomos arba nebevykdomos, arba jeigu veiksmai, kurių imasi sertifikavimo įstaiga, pažeidžia šį reglamentą.

8.   Komisijai pagal 92 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus siekiant nustatyti reikalavimus, į kuriuos turi būti atsižvelgta 42 straipsnio 1 dalyje nurodytuose duomenų apsaugos sertifikavimo mechanizmuose.

9.   Komisija gali priimti įgyvendinimo aktus, kuriais nustatomi techniniai sertifikavimo mechanizmai ir duomenų apsaugos ženklų bei žymenų standartai, taip pat tų sertifikavimo mechanizmų, ženklų bei žymenų propagavimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

1.   Jeigu nėra priimtas sprendimas pagal 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

2.   1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus priežiūros institucijos leidimo, gali būti nustatomos:

a)	teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

b)	įmonėms privalomomis taisyklėmis pagal 47 straipsnį;

c)	standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

d)	standartinėmis duomenų apsaugos sąlygomis, kurias priima priežiūros institucija ir pagal 93 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

e)	patvirtintu elgesio kodeksu pagal 40 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis; arba

f)	patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis.

3.   Gavus kompetentingos priežiūros institucijos leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

a)	duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis; arba

b)	nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

4.   Šio straipsnio 3 dalyje nurodytais atvejais priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.   Leidimai, kuriuos valstybė narė arba priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti tol, kol ta priežiūros institucija prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 26 straipsnio 4 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 2 dalį, jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

1.   Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

2.   Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.

3.   Priežiūros institucijos nėra kompetentingos prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami savo teismines funkcijas.