interactive GDPR 2016/0679 LT

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

6 straipsnis

Tvarkymo teisėtumas

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

2. Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)	Sąjungos teisėje; arba

b)	duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)	aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)	asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)	numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)	tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

13 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto

1. Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

a)	duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

e)	jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;

c)	kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)	teisę pateikti skundą priežiūros institucijai;

e)	tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

f)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

4. 1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

14 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1. Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)	duomenų valdytojo ir duomenų valdytojo atstovo, jei taikoma, tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	atitinkamų asmens duomenų kategorijas;

e)	jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

c)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į į duomenų perkeliamumą;

d)	kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

e)	teisę pateikti skundą priežiūros institucijai;

f)	koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

g)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)	per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)	jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

c)	jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4. Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5. 1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)	duomenų subjektas jau turi informacijos;

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalyje nurodytų sąlygų ir apsaugos priemonių arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;

c)	duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba

d)	kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.

15 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)	duomenų tvarkymo tikslai;

b)	atitinkamų asmens duomenų kategorijos;

c)	duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)	kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)	teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)	teisė pateikti skundą priežiūros institucijai;

g)	kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2. Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 46 straipsnį.

3. Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4. 3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

3 skirsnis

Duomenų ištaisymas ir ištrynimas

23 straipsnis

Apribojimai

1. Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

a)	nacionalinį saugumą;

gynybą;

c)	visuomenės saugumą;

d)	nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

e)	kitus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

f)	teismų nepriklausomumo ir teismo proceso apsaugą;

g)	reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos;

h)	stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a- e ir g punktuose nurodytais atvejais;

i)	duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;

j)	civilinių ieškinių vykdymo užtikrinimą.

2. Visų pirma visose 1 dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:

a)	duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis,

b)	asmens duomenų kategorijomis,

c)	nustatytų apribojimų apimtimi,

d)	apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui,

e)	duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimu,

f)	saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus,

g)	pavojais duomenų subjektų teisėms ir laisvėms, ir

h)	duomenų subjektų teise būti informuotiems apie apribojimą, nebent tai pakenktų apribojimo tikslui.

IV SKYRIUS

Duomenų valdytojas ir duomenų tvarkytojas

1 skirsnis

Bendrosios prievolės

25 straipsnis

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.

2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

3. Patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

47 straipsnis

Įmonei privalomos taisyklės

1. Kompetentinga priežiūros institucija patvirtina įmonei privalomas taisykles pagal 63 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą, jeigu:

a)	jos yra teisiškai privalomos ir taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, įskaitant jų darbuotojus, ir jie užtikrina jų vykdymą;

b)	jomis duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su jų asmens duomenų tvarkymu; ir

c)	jos atitinka 2 dalyje nustatytus reikalavimus.

2. 1 dalyje nurodytose įmonei privalomose taisyklėse nurodoma bent:

a)	įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės ir kiekvieno jos nario struktūra bei kontaktiniai duomenys;

b)	duomenų perdavimai arba duomenų perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę arba valstybes;

c)	tai, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu;

tai, kad taikomi bendrieji duomenų apsaugos principai, visų pirma tikslų apribojimo, duomenų kiekio mažinimo, ribotų duomenų saugojimo laikotarpių, duomenų kokybės, pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų tvarkymo teisinio pagrindo, specialių kategorijų asmens duomenų tvarkymo principai, duomenų saugumo užtikrinimo priemonės ir reikalavimai dėl tolesnio duomenų perdavimo įstaigoms, kurios neprivalo laikytis įmonei privalomų taisyklių;

duomenų subjektų teisės, susijusios su duomenų tvarkymu, ir naudojimosi tomis teisėmis priemonės, įskaitant teisę į tai, kad nebūtų taikomi tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai pagal 22 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai bei kompetentingiems valstybių narių teismams pagal 79 straipsnį ir teisę naudotis teisių gynimo priemonėmis ir, kai tinkama, reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio atitinkamo nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas visiškai ar iš dalies atleidžiamas nuo tos atsakomybės tik tuo atveju, jei jis įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)	kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams, be to, kas numatyta 13 ir 14 straipsniuose;

h)	pagal 37 straipsnį paskirto bet kurio duomenų apsaugos pareigūno arba bet kurio kito asmens ar subjekto, atsakingo už stebėseną, ar įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo ir skundų nagrinėjimo stebėseną, užduotys;

i)	skundų nagrinėjimo procedūros;

įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje taikomi mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises. Tokio patikrinimo rezultatai turėtų būti perduoti asmeniui arba subjektui, kaip nurodyta h punkte, ir įmonių grupę kontroliuojančiosios įmonės arba bendrą ekonominę veiklą vykdančios įmonių grupės valdybai ir paprašius turėtų būti pateikti kompetentingai priežiūros institucijai;

k)	ataskaitų teikimo ir taisyklių pakeitimų registravimo, taip pat pranešimo apie tuos pakeitimus priežiūros institucijai mechanizmai;

bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant j punkte nurodyto priemonių patikrinimo rezultatus;

mechanizmas, pagal kurį kompetentingai priežiūros institucijai teikiamos ataskaitos apie visus teisinius reikalavimus, taikomus įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariui trečiojoje šalyje, galinčius turėti esminį neigiamą poveikį įmonei privalomomis taisyklėmis užtikrinamoms garantijoms; ir

n)	atitinkami mokymai duomenų apsaugos srityje darbuotojams, kurie turi teisę nuolat ar reguliariai susipažinti su asmens duomenimis.

3. Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

whereas

(39) bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas.
Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi.
Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba.
Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti.
Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje.
Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu.
Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus.
Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis.
Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus.
Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti.
Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui;

- = -

(45) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės o Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas.
Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas.
Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos.
Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija;

- = -

dal 2004 diritto e informatica