interactive GDPR 2016/0679 LT

1.   Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2.   Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3.   1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

a)

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4.   Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5.   Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6.   Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7.   Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8.   Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9.   Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10.   Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11.   Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

1.   Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai:

a)	duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b)	duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba

c)	duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

2.   Įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną, jeigu su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos buveinės.

3.   Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms tokioms institucijoms arba įstaigoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4.   Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti arba, jei to reikalaujama Sąjungos ar valstybės narės teisėje, paskiria duomenų apsaugos pareigūną. Duomenų pareigūnas gali veikti tokių asociacijų ir kitų įstaigų, atstovaujančių duomenų valdytojams arba duomenų tvarkytojams, vardu.

5.   Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 39 straipsnyje nurodytas užduotis.

6.   Duomenų apsaugos pareigūnas gali būti duomenų valdytojo arba duomenų tvarkytojo personalo narys arba atlikti užduotis pagal paslaugų teikimo sutartį.

7.   Duomenų valdytojas arba duomenų tvarkytojas paskelbia duomenų apsaugos pareigūno kontaktinius duomenis ir praneša juos priežiūros institucijai.

1.   Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2.   Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a)	sąžiningą ir skaidrų duomenų tvarkymą;

b)	teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c)	asmens duomenų rinkimą;

d)	pseudonimų suteikimą asmens duomenims;

e)	visuomenės ir duomenų subjektų informavimą;

f)	naudojimąsi duomenų subjektų teisėmis;

g)	vaikų informavimą ir apsaugą, taip pat būdą gauti vaikų tėvų pareigų turėtojų sutikimą;

h)	24 ir 25 straipsniuose nurodytas priemones bei procedūras ir priemones, kuriomis užtikrinamas 32 straipsnyje nurodytas duomenų tvarkymo saugumas;

i)	pranešimą apie asmens duomenų saugumo pažeidimus priežiūros institucijoms ir pranešima apie tokius asmens duomenų saugumo pažeidimus duomenų subjektams;

j)	asmens duomenų perdavimą į trečiąsias valstybes ir tarptautinėms organizacijoms; ar

k)	neteisminio ginčų nagrinėjimą ir kitų ginčų sprendimo procedūras, pagal kurias sprendžiami su duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nedarant poveikio duomenų subjektų teisėms pagal 77 ir 79 straipsnius.

3.   Pagal šio straipsnio 5 dalį patvirtintų ir pagal šio straipsnio 9 dalį visuotinai galiojančių elgesio kodeksų gali laikytis ne tik duomenų valdytojai arba duomenų tvarkytojai, kuriems taikomas šis reglamentas, bet ir duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, kad užtikrintų asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms tinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies e punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, duomenų subjektų teisių atžvilgiu, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

4.   Šio straipsnio 2 dalyje nurodytame elgesio kodekse numatomi mechanizmai, leidžiantys 41 straipsnio 1 dalyje nurodytai įstaigai vykdyti privalomą duomenų valdytojų arba duomenų tvarkytojų, kurie įsipareigoja taikyti kodeksą, šio kodekso nuostatų laikymosi stebėseną, nedarant poveikio priežiūros institucijoms, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotimis ir įgaliojimams.

5.   Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.

6.   Jeigu pagal 5 dalį patvirtinamas elgesio kodekso projektas ar pakeitimas arba išplėtimas, ir jei atitinkamas elgesio kodeksas nėra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija užregistruoja ir paskelbia kodeksą.

7.   Jeigu elgesio kodekso projektas yra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį, prieš patvirtindama kodekso projektą, pakeitimą ar išplėtimą, taikydama 63 straipsnyje nurodytą procedūrą, pateikia jį Valdybai, kuri pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant šio straipsnio 3 dalyje nurodytai situacijai, ar jame nustatytos tinkamos apsaugos priemonės.

8.   Jeigu 7 dalyje nurodytoje nuomonėje patvirtinama, kad kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant 3 dalyje nurodytai situacijai, jame nustatytos tinkamos apsaugos priemonės, Valdyba pateikia savo nuomonę Komisijai.

9.   Komisija įgyvendinimo aktais gali nuspręsti, kad pagal šio straipsnio 8 dalį jai pateiktas patvirtinti elgesio kodeksas, pakeitimas ar išplėtimas visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

10.   Komisija užtikrina, kad patvirtinti kodeksai, kurie sprendimu pagal 9 dalį pripažinti visuotinai galiojančiais, būtų tinkamai skelbiami viešai.

11.   Valdyba įtraukia į registrą visus patvirtintus elgesio kodeksus, pakeitimus ir išplėtimus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

1.   Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2.   Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

a)

teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu, baudžiamąja teise ir valdžios institucijų prieiga prie asmens duomenų, taip pat tokių teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo į kitą trečiąją valstybę ar kitai tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktikos precedentus, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

b)

tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje šalyje arba kurioms yra pavaldi tarptautinė organizacija ir kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių ir jos būtų vykdomos, įskaitant tinkamus vykdymo įgaliojimus padėti duomenų subjektams naudotis savo teisėmis ir patarti, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis; ir

c)

atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, taip pat dėl jų dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma kiek tai susiję su asmens duomenų apsauga.

3.   Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte numatomas periodinės peržiūros, atliekamos bent kas ketverius metus, kuria atsižvelgiama į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje, mechanizmas. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, kai taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4.   Komisija nuolat stebi pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų daryti poveikį pagal šio straipsnio 3 dalį priimtų sprendimų ir pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį priimtų sprendimų veikimui.

5.   Komisija nusprendžia, kad trečioji valstybė, teritorija arba nurodytas vienas ar keli sektoriai trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, jei tai paaiškėja iš turimos informacijos, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, reikiamu mastu įgyvendinimo aktais panaikina arba iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą, arba sustabdo jo galiojimą nustatydama, kad tai netaikoma atgaline data. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Ypatingos skubos atvejais Komisija priima iš karto taikomus įgyvendinimo aktus laikantis 93 straipsnio 3 dalyje nurodytos procedūros.

6.   Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, siekdama, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

7.   Sprendimas pagal šio straipsnio 5 dalį nedaro poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą sektorių toje trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 46–49 straipsnius.

8.   Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų valstybių, teritorijų ir nurodyto vieno ar kelių sektorių trečiojoje valstybėje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo nebeužtikrina, sąrašą.

9.   Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 3 ar 5 dalį, jie bus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

1.   Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a)	stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

b)	skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

c)	laikydamasi valstybės narės teisės, pataria nacionaliniam parlamentui, vyriausybei ir kitoms institucijoms bei įstaigoms teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis, klausimais;

d)	skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

e)	bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

f)

nagrinėja skundus, kuriuos pagal 80 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

g)	bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

h)	atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

i)	stebi susijusius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų, taip pat komercinės praktikos raidą;

j)	priima standartines sutarčių sąlygas, nurodytas 28 straipsnio 8 dalyje ir 46 straipsnio 2 dalies d punkte;

k)	sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 35 straipsnio 4 dalį;

l)	teikia konsultacijas dėl 36 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

m)	skatina rengti elgesio kodeksus pagal 40 straipsnio 1dalį, teikia nuomonę ir patvirtina tokius elgesio kodeksus, kuriais užtikrinama pakankamai apsaugos priemonių, pagal 40 straipsnio 5 dalį;

n)	skatina nustatyti duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis pagal 42 straipsnio 1 dalį ir patvirtina sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

o)	kai taikoma, periodiškai atlieka išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

p)	parengia ir paskelbia už elgesio kodeksų stebėseną atsakingos įstaigos akreditacijos pagal 41 straipsnį ir sertifikavimo įstaigos akreditacijos pagal 43 straipsnį kriterijus;

q)	vykdo už elgesio kodeksų stebėseną atsakingos įstaigos akreditaciją pagal 41 straipsnį ir sertifikavimo įstaigos akreditaciją pagal 43 straipsnį;

r)	duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 46 straipsnio 3 dalyje;

s)	tvirtina įmonei privalomas taisykles pagal 47 straipsnį;

t)	prisideda prie Valdybos veiklos;

u)	tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 58 straipsnio 2 dalį; ir

v)	vykdo visas kitas su asmens duomenų apsauga susijusias užduotis.

2.   Kiekviena priežiūros institucija palengvina 1 dalies f punkte nurodytų skundų pateikimą, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

3.   Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir, jei taikoma, duomenų apsaugos pareigūno atžvilgiu vykdo nemokamai.

4.   Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį, nustatomą atsižvelgiant į administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

1.   Valdyba pateikia nuomonę visais atvejais, kai kompetentinga priežiūros institucija ketina patvirtinti bet kurią iš toliau nurodytų priemonių. Tuo tikslu kompetentinga priežiūros institucija pateikia Valdybai sprendimo projektą, kai:

a)	juo siekiama priimti duomenų tvarkymo operacijų, kurioms pagal 35 straipsnio 4 dalį taikomas poveikio duomenų apsaugai vertinimo reikalavimas, sąrašą;

b)	jis yra susijęs su klausimu pagal 40 straipsnio 7 dalį dėl to, ar elgesio kodekso projektas arba elgesio kodekso keitimas ar išplėtimas atitinka šį reglamentą;

c)	juo siekiama patvirtinti įstaigos akreditacijos pagal 41 straipsnio 3 dalį arba sertifikavimo įstaigos akreditacijos pagal 43 straipsnio 3 dalį kriterijus;

d)	juo siekiama nustatyti 46 straipsnio 2 dalies d punkte ir 28 straipsnio 8 dalyje nurodytas standartines duomenų apsaugos sąlygas;

e)	juo siekiama duoti leidimą taikyti sutarčių sąlygas, nurodytas 46 straipsnio 3 dalies a punkte; arba

f)	juo siekiama patvirtinti įmonei privalomas taisykles, kaip apibrėžta 47 straipsnyje.

2.   Bet kuri priežiūros institucija, Valdybos pirmininkas arba Komisija gali prašyti, kad Valdyba išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, ir kad ji pateiktų nuomonę, visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių prievolių pagal 61 straipsnį arba su bendromis operacijomis susijusių prievolių pagal 62 straipsnį.

3.   1 ir 2 dalyse nurodytais atvejais Valdyba pateikia nuomonę dėl jai pateikto klausimo, išskyrus atvejus, kai ji tuo pačiu klausimu jau yra pateikusi nuomonę. Ta nuomonė priimama per aštuonias savaites Valdybos narių paprasta balsų dauguma. Tas laikotarpis gali būti pratęstas dar šešioms savaitėms atsižvelgiant į dalyko sudėtingumą. 1 dalyje nurodyto sprendimo projekto, išplatinto valdybos nariams pagal 5 dalį, atžvilgiu laikoma, kad narys, per pirmininko nurodytą pagrįstą laikotarpį nepareiškęs prieštaravimų, pritaria sprendimo projektui.

4.   Priežiūros institucijos ir Komisija nepagrįstai nedelsdamos, naudodamosi standartizuota forma, elektroninėmis priemonėmis Valdybai pateikia bet kokią reikšmingą informaciją, įskaitant, tam tikrais atvejais, faktų santrauką, sprendimo projektą, priežastis, dėl kurių būtina taikyti tokią priemonę, ir kitų susijusių priežiūros institucijų nuomones.

5.   Valdybos pirmininkas nepagrįstai nedelsdamas elektroninėmis priemonėmis:

a)	Valdybos nariams ir Komisijai pateikia bet kokią reikšmingą informaciją, kuri jam buvo pateikta naudojantis standartizuota forma. Valdybos sekretoriatas prireikus pateikia reikšmingos informacijos vertimą; ir

b)	tam tikrais atvejais 1 ir 2 dalyse nurodytai priežiūros institucijai ir Komisijai pateikia nuomonę ir ją paskelbia.

6.   Kompetentinga priežiūros institucija per 3 dalyje nurodytą laikotarpį nepriima savo sprendimo projekto, nurodyto 1 dalyje.

7.   1 dalyje nurodyta priežiūros institucija kuo labiau atsižvelgia į Valdybos nuomonę ir per dvi savaites nuo nuomonės gavimo elektroninėmis priemonėmis praneša Valdybos pirmininkui apie tai, ar ji nekeis sprendimo projekto, ar jį iš dalies pakeis, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą sprendimo projektą, naudodamasi standartizuota forma.

8.   Jeigu susijusi priežiūros institucija per šio straipsnio 7 dalyje nurodytą laikotarpį informuoja Valdybos pirmininką, kad ji neketina visiškai arba iš dalies atsižvelgti į valdybos nuomonę, pateikdama atitinkamas priežastis, taikoma 65 straipsnio 1 dalis.

1.   Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

a)

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)	jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

c)	jeigu kompetentinga priežiūros institucija neprašo Valdybos pateikti nuomonę 64 straipsnio 1 dalyje nurodytais atvejais arba nesilaiko pagal 64 straipsnį pateiktos Valdybos nuomonės. Tuo atveju bet kuri susijusi priežiūros institucija arba Komisija gali pranešti apie šį klausimą Valdybai.

2.   1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma priimamas per vieną mėnesį nuo dalyko pateikimo. Dėl dalyko sudėtingumo tas laikotarpis gali būti pratęstas dar vienam mėnesiui. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

3.   Jei valdybai nepavyko priimti sprendimo per 2 dalyje nurodytus laikotarpius, ji sprendimą priima paprasta valdybos narių balsų dauguma per dvi savaites nuo 2 dalyje nurodyto antrojo mėnesio pabaigos. Jei valdybos narių balsai pasidalija po lygiai, sprendimą lemia jos pirmininko balsas.

4.   Per 2 ir 3 dalyse nurodytus laikotarpius susijusios priežiūros institucijos nepriima sprendimo dėl pagal 1 dalį valdybai pateikto dalyko.

5.   Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6.   Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, praneša Valdybai jos galutinio sprendimo pranešimo atitinkamai duomenų valdytojui arba duomenų tvarkytojui ir duomenų subjektui datą. Susijusių priežiūros institucijų galutinis sprendimas priimamas laikantis 60 straipsnio 7, 8 ir 9 dalyse išdėstytų sąlygų. Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.

1.   Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

a)	stebi ir užtikrina tinkamą šio reglamento taikymą 64 ir 65 straipsniuose nurodytais atvejais, nedarant poveikio nacionalinių priežiūros institucijų užduotims;

b)	konsultuoja Komisiją visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, be kita ko, dėl siūlomų šio reglamento pakeitimų;

c)	konsultuoja Komisiją dėl duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų;

d)	teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, susijusius su procedūromis, kaip ištrinti asmens duomenų saitus, kopijas ar dublikatus iš viešai prieinamų ryšių paslaugų, kaip nurodyta 17 straipsnio 2 dalyje;

e)	savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šio reglamento taikymu, ir teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šį reglamentą taikyti nuosekliai;

f)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad labiau patikslintų profiliavimu grindžiamų sprendimų pagal 22 straipsnio 2 dalį kriterijus ir sąlygas;

g)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius dėl 33 straipsnio 1 ir 2 dalyse nurodyto asmens duomenų saugumo pažeidimo ir nepagrįsto delsimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą;

h)	pagal šios dalies b punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, susijusius su tokiomis aplinkybėmis, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 34 straipsnio 1 dalyje;

i)

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų kriterijus ir reikalavimus, taikomus asmens duomenų perdavimams, kurie grindžiami įmonei privalomomis taisyklėmis, kurių laikosi duomenų valdytojai, ir įmonei privalomomis taisyklėmis, kurių laikosi duomenų tvarkytojai, ir kitais būtinais reikalavimais, kuriais siekiama užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą, kaip nurodyta 47 straipsnyje;

j)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų asmens duomenų perdavimo remiantis 49 straipsnio 1 dalimi kriterijus ir reikalavimus;

k)	rengia priežiūros institucijoms skirtas gaires dėl 58 straipsnio 1, 2 ir 3 dalyse nurodytų priemonių taikymo ir administracinių baudų pagal 83 straipsnį nustatymo;

l)	peržiūri e ir f punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių praktinį taikymą;

m)	pagal šios e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius siekiant nustatyti bendrą fizinių asmenų teikiamų pranešimų apie šio reglamento pažeidimus pagal 54 straipsnio 2 dalį tvarką;

n)	skatina rengti elgesio kodeksus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus bei duomenų apsaugos ženklus ir žymenis pagal 40 ir 42 straipsnius;

o)	vykdo sertifikavimo įstaigų akreditavimą ir jo periodinę peržiūrą pagal 43 straipsnį ir tvarko viešą akredituotų įstaigų registrą pagal 43 straipsnio 6 dalį ir viešą trečiosiose valstybėse įsisteigusių akredituotų duomenų valdytojų ar duomenų tvarkytojų registrą pagal 42 straipsnio 7 dalį;

p)	tiksliai apibūdina 43 straipsnio 3 dalyje nurodytus reikalavimus siekiant akredituoti sertifikavimo įstaigas pagal 42 straipsnį;

q)	pateikia Komisijai nuomonę dėl 43 straipsnio 8 dalyje nurodytų sertifikavimo reikalavimų;

r)	pateikia Komisijai nuomonę dėl 12 straipsnio 7 dalyje nurodytų piktogramų;

s)

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar trečioji valstybė, teritorija arba tarptautinė organizacija ar nurodytas vienas ar keli sektoriai toje trečiojoje valstybėje nebeužtikrina tinkamo apsaugos lygio. Tuo tikslu Komisija pateikia Valdybai visus būtinus dokumentus, įskaitant korespondenciją su trečiosios valstybės vyriausybe, dėl tos trečiosios šalies, teritorijos ar nurodyto sektoriaus, arba su tarptautine organizacija;

t)	teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 64 straipsnio 1 dalyje nurodytą nuoseklumo užtikrinimo mechanizmą ir dėl klausimų, pateiktų pagal 64 straipsnio 2 dalį, ir priima privalomus sprendimus pagal 65 straipsnį, įskaitant 66 straipsnyje nurodytus atvejus;

u)	skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

v)	skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, ir tam tikrais atvejais darbuotojų mainus su trečiųjų valstybių priežiūros institucijomis arba su tarptautinėmis organizacijomis;

w)	skatina keistis žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

x)	teikia nuomones dėl pagal 40 straipsnio 4 dalį Sąjungos lygmeniu parengtų elgesio kodeksų; ir

y)	tvarko viešai prieinamą priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroninį registrą.

2.   Jeigu Komisija prašo Valdybos konsultacijos, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3.   Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai bei 93 straipsnyje nurodytam komitetui ir skelbia juos viešai.

4.   Valdyba tam tikrais atvejais konsultuojasi su suinteresuotosiomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nedarant poveikio 76 straipsniui, Valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

1.   Valdyba turi sekretoriatą, kurio paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno įstaiga.

2.   Sekretoriatas vykdo savo užduotis laikydamasis išmintinai Valdybos pirmininko nurodymų.

3.   Vykdant šiuo reglamentu Valdybai pavestas užduotis dalyvaujantys Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojai atsiskaito skirtingiems vadovams, nei darbuotojai, vykdantys Europos duomenų apsaugos priežiūros pareigūnui pavestas užduotis.

4.   Tam tikrais atvejais Valdyba ir Europos duomenų apsaugos priežiūros pareigūnas parengia ir paskelbia susitarimo memorandumą, kuriuo įgyvendinamas šis straipsnis; jame apibrėžiamos jų bendradarbiavimo sąlygos ir jis taikomas Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojams, dalyvaujantiems vykdant šiuo reglamentu Valdybai pavestas užduotis.

5.   Sekretoriatas Valdybai teikia analitinę, administracinę ir logistinę paramą.

6.   Sekretoriatas visų pirma atsako už:

a)	Valdybos kasdienę veiklą;

b)	Valdybos narių, jos pirmininko ir Komisijos tarpusavio ryšius;

c)	ryšius su kitomis institucijomis ir visuomene;

d)	elektroninių priemonių naudojimą vidaus ir išorės ryšiams palaikyti;

e)	reikšmingos informacijos vertimą;

f)	Valdybos posėdžių rengimą ir su jais susijusią tolesnę veiklą;

g)	su Valdybos priimamomis nuomonėmis, sprendimais dėl priežiūros institucijų ginčų išsprendimo ir kitais tekstais susijusį parengiamąjį darbą, jų rengimą ir paskelbimą.