interactive GDPR 2016/0679 LT

jei duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų duomenų tvarkymo, kaip nurodyta 9 straipsnio 1 dalyje, dideliu mastu ar 10 straipsnyje nurodyto asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus; arba

b)	valdžios institucijai arba įstaigai.

3. Atstovas turi būti įsisteigęs vienoje iš tų valstybių narių, kuriose yra duomenų subjektai ir kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo jiems tikslais arba kurių elgesys yra stebimas.

4. Duomenų valdytojas arba duomenų tvarkytojas įgalioja atstovą, kad visų pirma priežiūros institucijos ir duomenų subjektai galėtų kreiptis ne tik į duomenų valdytoją ar duomenų tvarkytoją, bet ir į atstovą, arba tik į atstovą visais klausimais, susijusiais su duomenų tvarkymu, siekiant užtikrinti, kad būtų laikomasi šio reglamento.

5. Tai, kad duomenų valdytojas arba duomenų tvarkytojas paskiria atstovą, nedaro poveikio teisiniams veiksmams, kurių galėtų būti imtasi prieš patį duomenų valdytoją arba duomenų tvarkytoją.

34 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3. 1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)	duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)	tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 skirsnis

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

38 straipsnis

Duomenų apsaugos pareigūno statusas

1. Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2. Duomenų valdytojas ir duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti 39 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinus išteklius, taip pat suteikdamas galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

3. Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl tų užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.

4. Duomenų subjektai gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais jų asmeninių duomenų tvarkymu ir naudojimusi savo teisėmis pagal šį reglamentą.

5. Duomenų apsaugos pareigūnas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Sąjungos ar valstybės narės teisės.

6. Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

whereas

(33) dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais.
Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų.
Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

- = -

(47) teisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu.
Toks teisėtas interesas galėtų būti, pavyzdžiui, kai egzistuoja susijęs ir atitinkamas santykis tarp duomenų subjekto ir duomenų valdytojo, pavyzdžiui, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje.
Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu.
Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo.
Atsižvelgiant į tai, kad teisinį asmens duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, tas teisinis pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas.
Asmens duomenų tvarkymas tik tiek, kiek tai yra būtina sukčiavimo prevencijos tikslais, yra ir atitinkamo.
Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu;

- = -

(68) kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui.
Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas.
Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį.
Ji neturėtų būti taikoma, jeigu duomenų tvarkymas grindžiamas teisiniu pagrindu nei sutikimas ar sutartis.
Dėl pačios tos teisės esmės ja neturėtų būti naudojamasi prieš duomenų valdytojus, kurie asmens duomenis tvarko vykdydami savo viešąsias pareigas.
Todėl ši teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.
Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos.
Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą.
Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini.
Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

- = -

(75) įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;

- = -

(99) rengdamos elgesio kodeksą arba jį iš dalies keisdamos ar išplėsdamos, asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, turėtų konsultuotis su atitinkamais suinteresuotaisiais subjektais, be kita ko, jei įmanoma – su duomenų subjektais, ir atsižvelgti į tokių konsultacijų metu gautus atsakymus ir pareikštas nuomones;

- = -

(100) siekiant didesnio skaidrumo ir geresnio šio reglamento laikymosi, reikėtų skatinti nustatyti sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad duomenų subjektai galėtų greitai įvertinti konkretaus produkto ar paslaugos duomenų apsaugos lygį;

- = -

(127) kiekviena priežiūros institucija, kuri veikia ne kaip vadovaujanti priežiūros institucija, turėtų būti kompetentinga nagrinėti atvejus vietoje, kai duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, tačiau konkretaus duomenų tvarkymo atvejo dalykas yra susijęs su tik su vienoje valstybėje narėje atliekamu asmens duomenų tvarkymu ir su duomenų subjektais tik toje vienoje valstybėje narėje, pavyzdžiui, kai dalykas yra susijęs su darbuotojų duomenų tvarkymu konkrečiame su darbo santykiais susijusiame kontekste valstybėje narėje.
Tokiais atvejais priežiūros institucija turėtų nedelsdama apie šį dalyką informuoti vadovaujančią priežiūros instituciją.
Gavusi šią informaciją, vadovaujanti priežiūros institucija turėtų nuspręsti, ar atvejį ji nagrinės pagal nuostatą dėl vadovaujančios priežiūros institucijos bendradarbiavimo su kitomis susijusiomis priežiūros institucijomis, (vieno langelio mechanizmas) ar ją informavusi priežiūros institucija turėtų tą atvejį nagrinėti vietos lygiu.
Priimdama sprendimą, ar ji nagrinės atvejį, vadovaujanti priežiūros institucija turėtų atsižvelgti į tai, ar ją informavusios priežiūros institucijos valstybėje narėje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, siekiant užtikrinti veiksmingą sprendimo vykdymą duomenų valdytojo arba duomenų tvarkytojo atžvilgiu.
Tai atvejais, kai vadovaujanti priežiūros institucija nusprendžia atvejį nagrinėti, ją informavusi priežiūros institucija turėtų turėti galimybę pateikti sprendimo projektą, į kurį vadovaujanti priežiūros institucija turėtų kuo labiau atsižvelgti rengdama savo sprendimo projektą pagal tą vieno langelio mechanizmą;

- = -

(146) bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas.
Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai.
Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo.
Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybėje narės teisėje nustatytas taisykles.
Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją.
Kai duomenų valdytojai ar duomenų tvarkytojai yra susiję su tuo pačiu duomenų tvarkymo atveju, turėtų būti laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingas už visą žalą.
Tačiau kai jie yra įtraukti į tą pačią teismo bylą laikantis valstybės narės teisės, kompensacija gali būti proporcingai padalyta pagal kiekvieno duomenų valdytojo arba duomenų tvarkytojo atsakomybę už žalą, padarytą tvarkant asmens duomenis, su sąlyga, kad užtikrinama visa ir veiksminga kompensacija žalą patyrusiam duomenų subjektui.
Bet kuris duomenų valdytojas ar duomenų tvarkytojas, kuris sumokėjo visą kompensaciją, gali vėliau pareikšti atgręžtinį reikalavimą kitiems su tuo pačiu duomenų tvarkymo atveju susijusiems duomenų valdytojams arba duomenų tvarkytojams;

- = -

dal 2004 diritto e informatica