interactive GDPR 2016/0679 LT

1. Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.

2. Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

3. Laisvas asmens duomenų judėjimas Sąjungoje nėra nei ribojamas, nei draudžiamas dėl su fizinių asmenų apsauga tvarkant jų asmens duomenis susijusių priežasčių.

23 straipsnis

Apribojimai

1. Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

a)	nacionalinį saugumą;

gynybą;

c)	visuomenės saugumą;

d)	nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

e)	kitus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

f)	teismų nepriklausomumo ir teismo proceso apsaugą;

g)	reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos;

h)	stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a- e ir g punktuose nurodytais atvejais;

i)	duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;

j)	civilinių ieškinių vykdymo užtikrinimą.

2. Visų pirma visose 1 dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:

a)	duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis,

b)	asmens duomenų kategorijomis,

c)	nustatytų apribojimų apimtimi,

d)	apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui,

e)	duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimu,

f)	saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus,

g)	pavojais duomenų subjektų teisėms ir laisvėms, ir

h)	duomenų subjektų teise būti informuotiems apie apribojimą, nebent tai pakenktų apribojimo tikslui.

IV SKYRIUS

Duomenų valdytojas ir duomenų tvarkytojas

1 skirsnis

Bendrosios prievolės

36 straipsnis

Išankstinės konsultacijos

1. Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, konsultuojasi su priežiūros institucija, jeigu pagal 35 straipsnį poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.

2. Jeigu priežiūros institucija laikosi nuomonės, kad 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, priežiūros institucija ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratesimą per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. Tie laikotarpiai gali būti sustabdyti iki priežiūros institucija gavus informaciją, kurios ji buvo paprašiusi konsultacijų tikslais.

3. Konsultuodamasis su priežiūros institucija pagal 1 dalį, duomenų valdytojas priežiūros institucijai nurodo:

a)	kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis, visų pirma, kai duomenys tvarkomi įmonių grupėje;

b)	numatyto duomenų tvarkymo tikslus ir priemones;

c)	nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal šį reglamentą;

d)	kai taikoma, duomenų apsaugos pareigūno kontaktinius duomenis;

e)	35 straipsnyje numatytą poveikio duomenų apsaugai vertinimą; ir

f)	bet kokią kitą priežiūros institucijos prašomą informaciją.

4. Valstybės narės, rengdamos pasiūlymą dėl teisėkūros priemonės, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su duomenų tvarkymu, konsultuojasi su priežiūros institucija.

5. Nepaisant 1 dalies, pagal valstybės narės teisę gali būti reikalaujama, kad duomenų valdytojai konsultuotųsi su priežiūros institucija ir gautų jos išankstinį leidimą dėl duomenų valdytojo atliekamo duomenų tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas vykdo dėl viešojo intereso, įskaitant duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos srityje.

4 skirsnis

Duomenų apsaugos pareigūnas

47 straipsnis

Įmonei privalomos taisyklės

1. Kompetentinga priežiūros institucija patvirtina įmonei privalomas taisykles pagal 63 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą, jeigu:

a)	jos yra teisiškai privalomos ir taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, įskaitant jų darbuotojus, ir jie užtikrina jų vykdymą;

b)	jomis duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su jų asmens duomenų tvarkymu; ir

c)	jos atitinka 2 dalyje nustatytus reikalavimus.

2. 1 dalyje nurodytose įmonei privalomose taisyklėse nurodoma bent:

a)	įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės ir kiekvieno jos nario struktūra bei kontaktiniai duomenys;

b)	duomenų perdavimai arba duomenų perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę arba valstybes;

c)	tai, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu;

tai, kad taikomi bendrieji duomenų apsaugos principai, visų pirma tikslų apribojimo, duomenų kiekio mažinimo, ribotų duomenų saugojimo laikotarpių, duomenų kokybės, pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų tvarkymo teisinio pagrindo, specialių kategorijų asmens duomenų tvarkymo principai, duomenų saugumo užtikrinimo priemonės ir reikalavimai dėl tolesnio duomenų perdavimo įstaigoms, kurios neprivalo laikytis įmonei privalomų taisyklių;

duomenų subjektų teisės, susijusios su duomenų tvarkymu, ir naudojimosi tomis teisėmis priemonės, įskaitant teisę į tai, kad nebūtų taikomi tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai pagal 22 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai bei kompetentingiems valstybių narių teismams pagal 79 straipsnį ir teisę naudotis teisių gynimo priemonėmis ir, kai tinkama, reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio atitinkamo nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas visiškai ar iš dalies atleidžiamas nuo tos atsakomybės tik tuo atveju, jei jis įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)	kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams, be to, kas numatyta 13 ir 14 straipsniuose;

h)	pagal 37 straipsnį paskirto bet kurio duomenų apsaugos pareigūno arba bet kurio kito asmens ar subjekto, atsakingo už stebėseną, ar įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo ir skundų nagrinėjimo stebėseną, užduotys;

i)	skundų nagrinėjimo procedūros;

įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje taikomi mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises. Tokio patikrinimo rezultatai turėtų būti perduoti asmeniui arba subjektui, kaip nurodyta h punkte, ir įmonių grupę kontroliuojančiosios įmonės arba bendrą ekonominę veiklą vykdančios įmonių grupės valdybai ir paprašius turėtų būti pateikti kompetentingai priežiūros institucijai;

k)	ataskaitų teikimo ir taisyklių pakeitimų registravimo, taip pat pranešimo apie tuos pakeitimus priežiūros institucijai mechanizmai;

bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant j punkte nurodyto priemonių patikrinimo rezultatus;

mechanizmas, pagal kurį kompetentingai priežiūros institucijai teikiamos ataskaitos apie visus teisinius reikalavimus, taikomus įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariui trečiojoje šalyje, galinčius turėti esminį neigiamą poveikį įmonei privalomomis taisyklėmis užtikrinamoms garantijoms; ir

n)	atitinkami mokymai duomenų apsaugos srityje darbuotojams, kurie turi teisę nuolat ar reguliariai susipažinti su asmens duomenimis.

3. Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

50 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Komisija ir priežiūros institucijos imasi tinkamų veiksmų trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu, kuriais siekiama:

a)	sukurti tarptautinius bendradarbiavimo mechanizmus, kad būtų sudarytos palankesnės sąlygos veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų bei kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c)	atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – prisidėti prie tarptautinio bendradarbiavimo užtikrinant asmens duomenų apsaugos teisės aktų vykdymą;

d)	skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais ir juos dokumentuoti, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis klausimais.

VI SKYRIUS

Nepriklausomos priežiūros institucijos

1 skirsnis

Nepriklausomas statusas

60 straipsnis

Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas

1. Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

2. Vadovaujanti priežiūros institucija bet kuriuo metu gali paprašyti kitų susijusių priežiūros institucijų teikti savitarpio pagalbą pagal 61 straipsnį ir gali vykdyti bendras operacijas pagal 62 straipsnį, visų pirma atliekant tyrimus arba stebint su kitoje valstybėje narėje įsisteigusiu duomenų valdytoju ar duomenų tvarkytoju susijusios priemonės įgyvendinimą.

3. Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

4. Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5. Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

6. Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

7. Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

8. Nukrypstant nuo 7 dalies, jeigu skundas nepriimamas arba atmetamas, priežiūros institucija, kuriai skundas buvo pateiktas, priima sprendimą, praneša jį skundo pateikėjui ir informuoja apie tai duomenų valdytoją.

9. Jeigu vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos sutinka, kad tam tikros skundo dalys turi būti nepriimtos arba atmestos, o dėl kitų to skundo dalių reikia imtis veiksmų, dėl kiekvienos iš tų skundo dalių priimami atskiri sprendimai. Vadovaujanti priežiūros institucija priima sprendimą dėl skundo dalies dėl su duomenų valdytoju susijusių veiksmų, praneša jį duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei savo valstybės narės teritorijoje ir apie tai informuoja skundo pateikėją, o skundo pateikėjo priežiūros institucija priima sprendimą, susijusį su to skundo dalies nepriėmimu arba atmetimu, ir praneša jį tam skundo pateikėjui, taip pat apie tai informuoja duomenų valdytoją arba duomenų tvarkytoją.

10. Duomenų valdytojas arba duomenų tvarkytojas, pagal 7 ir 9 dalis gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.

11. Tais atvejais, kai, išimtinėmis aplinkybėmis, susijusi priežiūros institucija turi priežasčių manyti, kad reikia skubiai imtis veiksmų duomenų subjektų interesams apsaugoti, taikoma 66 straipsnyje nurodyta skubos procedūra.

12. Vadovaujanti priežiūros institucija ir kitos susijusios priežiūros institucijos pagal šį straipsnį privalomą informaciją viena kitai teikia elektroninėmis priemonėmis, naudodamosi standartizuota forma.

65 straipsnis

Europos duomenų apsaugos valdybos sprendžiami ginčai

1. Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)	jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

c)	jeigu kompetentinga priežiūros institucija neprašo Valdybos pateikti nuomonę 64 straipsnio 1 dalyje nurodytais atvejais arba nesilaiko pagal 64 straipsnį pateiktos Valdybos nuomonės. Tuo atveju bet kuri susijusi priežiūros institucija arba Komisija gali pranešti apie šį klausimą Valdybai.

2. 1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma priimamas per vieną mėnesį nuo dalyko pateikimo. Dėl dalyko sudėtingumo tas laikotarpis gali būti pratęstas dar vienam mėnesiui. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

3. Jei valdybai nepavyko priimti sprendimo per 2 dalyje nurodytus laikotarpius, ji sprendimą priima paprasta valdybos narių balsų dauguma per dvi savaites nuo 2 dalyje nurodyto antrojo mėnesio pabaigos. Jei valdybos narių balsai pasidalija po lygiai, sprendimą lemia jos pirmininko balsas.

4. Per 2 ir 3 dalyse nurodytus laikotarpius susijusios priežiūros institucijos nepriima sprendimo dėl pagal 1 dalį valdybai pateikto dalyko.

5. Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, praneša Valdybai jos galutinio sprendimo pranešimo atitinkamai duomenų valdytojui arba duomenų tvarkytojui ir duomenų subjektui datą. Susijusių priežiūros institucijų galutinis sprendimas priimamas laikantis 60 straipsnio 7, 8 ir 9 dalyse išdėstytų sąlygų. Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.

66 straipsnis

Skubos procedūra

1. Išimtinėmis aplinkybėmis, jeigu susijusi priežiūros institucija mano, jog būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ji, nukrypdama nuo 63, 64 ir 65 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo arba 60 straipsnyje nurodytos procedūros, gali nedelsdama priimti konkretų ne ilgiau kaip tris mėnesius trunkantį laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios valstybės narės teritorijoje. Priežiūros institucija tas priemones ir jų patvirtinimo priežastis nedelsdama pateikia kitoms susijusioms priežiūros institucijoms, Valdybai ir Komisijai.

2. Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai patvirtinti galutines priemones, ji gali prašyti, kad Valdyba skubiai pateiktų nuomonę arba skubiai priimtų privalomą sprendimą, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis.

3. Bet kuri priežiūros institucija gali prašyti Valdybos atitinkamai skubiai pateikti nuomonę arba skubiai priimti privalomą sprendimą, jeigu kompetentinga priežiūros institucija nesiėmė tinkamos priemonės tuo atveju, kai būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis, be kita ko, susijusias su būtinybe imtis skubių veiksmų.

4. Nukrypstant nuo 64 straipsnio 3 dalies ir 65 straipsnio 2 dalies, šio straipsnio 2 ir 3 dalyse nurodyta skubi nuomonė arba skubus privalomas sprendimas per dvi savaites priimami Valdybos narių paprasta balsų dauguma.

74 straipsnis

Pirmininko užduotys

1. Pirmininko užduotys yra šios:

a)	šaukti Valdybos posėdžius ir rengti jų darbotvarkę;

b)	pranešti pagal 65 straipsnį Valdybos priimtus sprendimus vadovaujančiai priežiūros institucijai ir susijusioms priežiūros institucijoms;

c)	užtikrinti, kad Valdyba laiku atliktų savo užduotis, visų pirma susijusias su 63 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu.

2. Valdyba savo darbo tvarkos taisyklėse nustato, kaip paskirstomos pirmininko ir jo pavaduotojų užduotys.

81 straipsnis

Bylos nagrinėjimo sustabdymas

1. Kai valstybės narės kompetentingas teismas turi informacijos apie kitos valstybės narės teisme nagrinėjamą bylą dėl to paties dalyko, susijusio su to paties duomenų valdytojo arba duomenų tvarkytojo vykdomu duomenų tvarkymu, jis susisiekia su tuo kitos valstybės narės teismu, kad būtų patvirtintas tokios bylos egzistavimas.

2. Kai kitos valstybės narės teisme yra nagrinėjama byla dėl to paties dalyko, susijusio su to paties duomenų valdytojo arba duomenų tvarkytojo vykdomu duomenų tvarkymu, bet kuris kompetentingas teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, gali sustabdyti tos bylos nagrinėjimą.

3. Kai ta byla nagrinėjama pirmosios instancijos teisme, bet kuris teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, taip pat gali vienos iš šalių prašymu atsisakyti jurisdikcijos, jei teismas, į kurį kreiptasi pirmiausia, turi jurisdikciją atitinkamų ieškinių atžvilgiu ir pagal jo teisės aktus leidžiama tuos ieškinius sujungti.

84 straipsnis

Sankcijos

1. Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.

2. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

IX SKYRIUS

Nuostatos, susijusios su konkrečiais duomenų tvarkymo atvejais

88 straipsnis

Duomenų tvarkymas su darbo santykiais susijusiame kontekste

1. Valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius.

2. Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje.

3. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

89 straipsnis

Apsaugos priemonės ir nukrypti leidžiančios nuostatos, susijusios su duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais

1. Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal šį reglamentą taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės. Tomis apsaugos priemonėmis užtikrinama, kad būtų įdiegtos techninės ir organizacinės priemonės, visų pirma siekiant užtikrinti, kad būtų laikomasi duomenų kiekio mažinimo principo. Tos priemonės gali apimti pseudonimų suteikimą, jeigu tie tikslai gali būti pasiekti tuo būdu. Visais atvejais, kai tuos tikslus galima pasiekti toliau tvarkant duomenis, iš kurių negalima arba nebegalima nustatyti duomenų subjektų tapatybės, tų tikslų siekiama tuo būdu.

2. Kai asmens duomenys tvarkomi mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, Sąjungos arba valstybės narės teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 15, 16, 18 ir 21 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 1 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

3. Kai asmens duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, Sąjungos arba valstybės narės teisės aktais gali būti nustatytos nukrypti leidžiančios nuostatos, susijusios su 15, 16, 18, 19, 20 ir 21 straipsniuose nurodytomis teisėmis, jei taikomos šio straipsnio 1 dalyje nurodytos sąlygos ir apsaugos priemonės, tokiu mastu, kokiu dėl tokių teisių gali tapti neįmanoma pasiekti konkrečių tikslų arba jos gali tapti rimta kliūtimi jiems pasiekti, ir norint pasiekti tuos tikslus yra būtinos tokios nukrypti leidžiančios nuostatos.

4. Kai 2 ir 3 dalyse nurodytas tvarkymas tuo pat metu padeda siekti kito tikslo, nukrypti leidžiančias nuostatas galima taikyti tik duomenų tvarkymui tose dalyse nurodytais tikslais.

98 straipsnis

Kitų Sąjungos duomenų apsaugos teisės aktų peržiūra

Prireikus Komisija teikia pasiūlymus dėl teisėkūros procedūra priimamų aktų, kuriais siekiama iš dalies pakeisti kitas Sąjungos teisės aktus asmens duomenų apsaugos srityje, siekiant užtikrinti vienodą ir nuoseklią fizinių asmenų apsaugą tvarkant duomenis. Tai visų pirma taikoma taisyklėms, susijusioms su fizinių asmenų apsauga Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant duomenis, ir taisyklėms, susijusioms su laisvu tokių duomenų judėjimu.

whereas

(36) duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje; tokiu atveju ta kita buveinė turėtų būti laikoma pagrindine buveine.
Duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią valdymo veiklą, priimdama pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių.
Pagal tą kriterijų neturėtų būti svarbu, ar asmens duomenys faktiškai tvarkomi toje vietoje.
Asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra esminiai pagrindinės buveinės nustatymo kriterijai.
Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungoje, o jeigu jis neturi centrinės administracijos Sąjungoje – vieta, kurioje Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla.
Tais atvejais, kurie yra susiję tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujanti priežiūros institucija turėtų ir toliau būti valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija ir ta priežiūros institucija turėtų dalyvauti šiuo reglamentu numatytoje bendradarbiavimo procedūroje.
Bet kuriuo atveju valstybės narės arba valstybių narių, kuriose yra viena ar kelios duomenų tvarkytojo buveinės, priežiūros institucijos neturėtų būti laikomos susijusiomis priežiūros institucijomis, kai sprendimo projektas yra susijęs tik su duomenų valdytoju.
Kai duomenis tvarko įmonių grupė, tos įmonių grupės pagrindine buveine turėtų būti laikoma kontroliuojančiosios įmonės pagrindinė buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė;

- = -

(37) įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės, finansinio dalyvavimo arba įmonės veiklą reglamentuojančių taisyklių, arba įgaliojimo įgyvendinti asmens duomenų apsaugos taisykles. Įmonė, kuri kontroliuoja asmens duomenų tvarkymą su ja susijusiose įmonėse, su tomis įmonėmis turėtų būtų laikoma „įmonių grupe“;

- = -

(48) duomenų valdytojai, priklausantys įmonių grupėms arba įstaigoms, susijusioms su pagrindine įstaiga, gali turėti teisėtą interesą vidaus administraciniais tikslais, įskaitant klientų ar darbuotojų asmens duomenų tvarkymą, įmonių grupėje persiųsti asmens duomenis.
Tuo nedaromas poveikis bendriesiems principams, reglamentuojantiems asmens duomenų perdavimą įmonių grupės viduje trečiojoje valstybėje esančiai įmonei;

- = -

(51) asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms.
Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą.
Nuotraukų tvarkymas neturėtų būti laikomas sisteminiu specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą.
Tokie asmens duomenys neturėtų būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama šiame reglamente nurodytais konkrečiais atvejais, atsižvelgiant į tai, kad valstybių narių teisėje gali būti numatytos konkrečios nuostatos dėl duomenų apsaugos, siekiant pritaikyti šiame reglamente nustatytų taisyklių dėl teisinės prievolės įvykdymo arba užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimo taikymą.
Kartu su konkrečiais tokio duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis.
Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

- = -

(63) duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą.
Tai apima duomenų subjektų teisę susipažinti su duomenimis apie savo sveikatą, pavyzdžiui, su medicinos kortelės duomenimis, kuriuose pateikta tokia informacija kaip diagnozė, tyrimų rezultatai, gydančių gydytojų išvados ir paskirtas gydymas ar intervencijos.
Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu.
Kai įmanoma, duomenų valdytojas turėtų galėti suteikti nuotolinę prieigą prie saugios sistemos, kurioje duomenų subjektas gali tiesiogiai prieiti prie savo asmens duomenų.
Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga.
Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją.
Tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis turėtų galėti prieš teikdamas informaciją paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas;

- = -

(73) Sąjungos arba valstybės narės teisėje gali būti nustatyti apribojimai, kuriais suvaržomi konkretūs principai ir teisė gauti informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištaisyti ar ištrinti asmens duomenis, teisė į duomenų perkeliamumą, teisė nesutikti, profiliavimu grindžiami sprendimai, taip pat duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės, jeigu toks ribojimas būtinas ir proporcingas demokratinėje visuomenėje siekiant užtikrinti visuomenės saugumą, įskaitant žmonių gyvybių apsaugą, ypač reaguojant į gaivalines ar žmogaus sukeltas nelaimes, nusikalstamų veikų prevenciją, tyrimą ir patraukimą baudžiamojon atsakomybėn už jas ar baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui, reglamentuojamųjų profesijų etikos taisyklių pažeidimų, kitų Sąjungos arba valstybės narės svarbių bendrųjų viešųjų interesų, visų pirma svarbaus Sąjungos arba valstybės narės ekonominio arba finansinio intereso, pažeidimų ir jų prevenciją, teisę turėti viešus registrus bendrojo viešojo intereso tikslais, toliau tvarkyti suarchyvuotus asmens duomenis siekiant pateikti konkrečią informaciją, susijusią su politine elgsena buvusių totalitarinių valstybės režimų metu, arba užtikrinti duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą, įskaitant socialinę apsaugą, visuomenės sveikatą ir humanitarinius tikslus.
Tie apribojimai turėtų atitikti Chartijoje ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje nustatytus reikalavimus;

- = -

(76) pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.
Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;

- = -

(77) duomenų valdytojo arba duomenų tvarkytojo atliekamo tinkamų priemonių įgyvendinimo ir šio reglamento laikymosi įrodymo gairės, ypač dėl su duomenų tvarkymu susijusio pavojaus nustatymo, kilmės, pobūdžio, tikimybės ir rimtumo įvertinimo, taip pat geriausios patirties mažinant tą pavojų nustatymo, galėtų būti pateiktos visų pirma patvirtintuose elgesio kodeksuose, patvirtintuose sertifikatuose, Valdybos pateiktose gairėse arba duomenų apsaugos pareigūno pateiktuose nurodymuose.
Valdyba taip pat gali skelbti gaires dėl duomenų tvarkymo operacijų, kurias vykdant neturėtų kilti didelio pavojaus fizinių asmenų teisėms bei laisvėms, ir nurodyti, kokių priemonių gali pakakti norint tokiais atvejais panaikinti tokį pavojų;

- = -

(84) siekiant užtikrinti, kad šio reglamento būtų geriau laikomasi, kai vykdant duomenų tvarkymo operacijas gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turėtų būti atsakingas už poveikio duomenų apsaugai vertinimo atlikimą, kad būtų įvertinta visų pirma to pavojaus kilmė, pobūdis, specifika ir rimtumas. Į šio vertinimo rezultatus turėtų būti atsižvelgta nustatant tinkamas priemones, kurių būtų imtasi siekiant įrodyti, kad asmens duomenų tvarkymas vykdomas laikantis šio reglamento.
Kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su dideliu pavojumi, kurio duomenų valdytojas negali sumažinti tinkamomis priemonėmis, atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymą turėtų būti konsultuojamasi su priežiūros institucija;

- = -

(101) asmens duomenų judėjimas į Sąjungai nepriklausančias valstybes ir tarptautines organizacijas ir iš jų reikalingas tarptautinės prekybos plėtrai ir tarptautiniam bendradarbiavimui.
Išaugus tokiam judėjimui, atsirado naujų asmens duomenų apsaugos sunkumų ir rūpesčių.
Tačiau kai asmens duomenys iš Sąjungos perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis, be kita ko, tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai.
Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento.
Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

- = -

(105) Komisija turėtų atsižvelgti ne tik į trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus, bet ir į įsipareigojimus, kylančius dėl trečiosios valstybės arba tarptautinės organizacijos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma susijusio su asmens duomenų apsauga, ir į tokių įsipareigojimų įgyvendinimą.
Visų pirma reikėtų atsižvelgti į trečiosios valstybės prisijungimą prie 1981 m.
sausio 28 d.
Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu ir jos papildomo protokolo.
Vertindama apsaugos lygį trečiosiose valstybėse ar tarptautinėse organizacijose, Komisija turėtų konsultuotis su Valdyba;

- = -

(108) jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti.
Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis arba priežiūros institucijos pripažintomis sutarties sąlygomis.
Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje.
Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi.
Valdžios institucijos ar įstaigos taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.
Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas kompetentingos priežiūros institucijos leidimas;

- = -

(113) duomenų perdavimas, kurį galima laikyti nepasikartojančiu ir kuris yra susijęs tik su tam tikru duomenų subjektų skaičiumi, taip pat galėtų būti galimas, kai duomenų valdytojas vadovaujasi įtikinamais teisėtais interesais, jeigu tų interesų neviršija duomenų subjekto interesai ar teisės ir laisvės ir jeigu duomenų valdytojas įvertino visas su duomenų perdavimu susijusias aplinkybes.
Duomenų valdytojas turėtų atsižvelgti visų pirma į asmens duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje valstybėje ir galutinės paskirties šalyje ir turėtų būti nustatytos su asmens duomenų tvarkymu susijusios tinkamos fizinių asmenų pagrindinių teisių ir laisvių apsaugos priemonės.
Toks duomenų perdavimas turėtų būti galimas tik likusiais atvejais, kai nėra taikytinos jokios kitos duomenų perdavimo priežastys.
Tai darant mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius, susijusius su žinių bazės didinimu.
Duomenų valdytojas apie duomenų perdavimą turėtų informuoti priežiūros instituciją ir duomenų subjektą;

- = -

(124) jeigu asmens duomenys yra tvarkomi, kai duomenų valdytojo arba duomenų tvarkytojo buveinė vykdo veiklą Sąjungoje ir duomenų valdytojas ar duomenų tvarkytojas yra įsisteigęs daugiau nei vienoje valstybėje narėje, arba jeigu duomenų tvarkymas duomenų valdytojo arba duomenų tvarkytojo vienintelei buveinei vykdant veiklą Sąjungoje daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, duomenų valdytojo ar duomenų tvarkytojo pagrindinės buveinės arba duomenų valdytojo ar duomenų tvarkytojo vienintelės buveinės priežiūros institucija turėtų veikti kaip vadovaujanti institucija.
Ji turėtų bendradarbiauti su kitomis susijusiomis institucijomis dėl to, kad jų valstybės narės teritorijoje yra duomenų valdytojo ar duomenų tvarkytojo buveinė, kad jų teritorijoje gyvenantiems duomenų subjektams daromas didelis poveikis arba kad joms buvo pateiktas skundas.
Be to, jeigu skundą pateikė duomenų subjektas, kuris negyvena toje valstybėje narėje, priežiūros institucija, kuriai buvo pateiktas toks skundas, taip pat turėtų būti susijusi priežiūros institucija.
Vykdydama savo užduotį skelbti gaires bet kuriuo klausimu, susijusiu su šio reglamento taikymu, Valdyba turėtų galėti paskelbti gaires visų pirma dėl kriterijų, į kuriuos turi būti atsižvelgta siekiant įsitikinti, ar atitinkamas duomenų tvarkymas daro didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, ir dėl to, kas laikoma tinkamu ir pagrįstu prieštaravimu;

- = -

(126) dėl sprendimo turėtų kartu susitarti vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos; jis turėtų būti taikomas duomenų valdytojo arba duomenų tvarkytojo pagrindinei arba vienintelei buveinei ir būti privalomas duomenų valdytojui ir duomenų tvarkytojui.
Duomenų valdytojas arba duomenų tvarkytojas turėtų imtis būtinų priemonių siekdami užtikrinti, kad būtų laikomasi šio reglamento ir būtų įgyvendintas sprendimas dėl duomenų tvarkymo veiklos Sąjungoje, kurį vadovaujanti priežiūros institucija pranešė duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei;

- = -

(127) kiekviena priežiūros institucija, kuri veikia ne kaip vadovaujanti priežiūros institucija, turėtų būti kompetentinga nagrinėti atvejus vietoje, kai duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje, tačiau konkretaus duomenų tvarkymo atvejo dalykas yra susijęs su tik su vienoje valstybėje narėje atliekamu asmens duomenų tvarkymu ir su duomenų subjektais tik toje vienoje valstybėje narėje, pavyzdžiui, kai dalykas yra susijęs su darbuotojų duomenų tvarkymu konkrečiame su darbo santykiais susijusiame kontekste valstybėje narėje.
Tokiais atvejais priežiūros institucija turėtų nedelsdama apie šį dalyką informuoti vadovaujančią priežiūros instituciją.
Gavusi šią informaciją, vadovaujanti priežiūros institucija turėtų nuspręsti, ar atvejį ji nagrinės pagal nuostatą dėl vadovaujančios priežiūros institucijos bendradarbiavimo su kitomis susijusiomis priežiūros institucijomis, (vieno langelio mechanizmas) ar ją informavusi priežiūros institucija turėtų tą atvejį nagrinėti vietos lygiu.
Priimdama sprendimą, ar ji nagrinės atvejį, vadovaujanti priežiūros institucija turėtų atsižvelgti į tai, ar ją informavusios priežiūros institucijos valstybėje narėje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, siekiant užtikrinti veiksmingą sprendimo vykdymą duomenų valdytojo arba duomenų tvarkytojo atžvilgiu.
Tai atvejais, kai vadovaujanti priežiūros institucija nusprendžia atvejį nagrinėti, ją informavusi priežiūros institucija turėtų turėti galimybę pateikti sprendimo projektą, į kurį vadovaujanti priežiūros institucija turėtų kuo labiau atsižvelgti rengdama savo sprendimo projektą pagal tą vieno langelio mechanizmą;

- = -

(138) tais atvejais, kai tokio mechanizmo taikymas yra privalomas, priežiūros institucijos priemonė, galinti turėti teisinių padarinių, laikoma teisėta tik tuo atveju, jeigu buvo taikytas šis mechanizmas.
Kitais tarpvalstybinės svarbos atvejais turėtų būti taikomas vadovaujančios priežiūros institucijos ir susijusių priežiūros institucijų bendradarbiavimo mechanizmas, o susijusios priežiūros institucijos gali teikti savitarpio pagalbą ir vykdyti bendras operacijas dvišaliu arba daugiašaliu pagrindu, nesinaudodamos nuoseklumo užtikrinimo mechanizmu;

- = -

(143) bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Teisingumo Teisme pareikšti ieškinį dėl Valdybos sprendimų panaikinimo.
susijusios priežiūros institucijos, kurioms tokie sprendimai skirti ir kuriuos jos nori užginčyti, turi pareikšti ieškinį per du mėnesius nuo tada, kai joms pranešama apie tuos sprendimus, laikantis SESV 263 straipsnio.
Tuo atveju, jei Valdybos sprendimai yra tiesiogiai ir konkrečiai susiję su duomenų valdytoju, duomenų tvarkytoju ar skundo pateikėju, pastarasis gali pateikti ieškinį dėl tų sprendimų panaikinimo per du mėnesius nuo jų paskelbimo Valdybos interneto svetainėje, laikantis SESV 263 straipsnio.
Nedarant poveikio šiai teisei pagal SESV 263 straipsnį, kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu.
Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu.
Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų.
Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės.
Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi.

- = -

(144) kai teismas, kuriame iškelta byla dėl priežiūros institucijos sprendimo, turi pagrindo manyti, kad kitos valstybės narės kompetentingame teisme yra iškelta byla dėl to paties duomenų tvarkymo atvejo, pavyzdžiui, esama to paties dalyko, susijusio su to paties duomenų valdytojo ar duomenų tvarkytojo, arba remiamasi tuo pačiu ieškinio pagrindu, jis turėtų susisiekti su tuo teismu, kad būtų patvirtintas tokios susijusios bylos egzistavimas.
Jei susijusi byla nagrinėjama kitos valstybės narės teisme, bet kuris teismas, išskyrus teismą, į kurį kreiptasi pirmiausia, gali sustabdyti bylos nagrinėjimą arba vienos iš šalių prašymu atsisakyti jurisdikcijos teismo, į kurį kreiptasi pirmiausia, naudai, jei tas teismas turi jurisdikciją atitinkamos bylos atžvilgiu ir pagal jo teisę leidžiama tokias susijusias bylas sujungti.
Bylos laikomos susijusiomis, kai jos yra taip glaudžiai susijusios, kad jas tikslinga nagrinėti ir spręsti kartu, siekiant išvengti galimo atskirose bylose priimtų teismo sprendimų nesuderinamumo;

- = -

(155) valstybės narės teisėje ar kolektyvinėse sutartyse, įskaitant darbo sutartis, gali būti numatytos specialios taisyklės, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiame kontekste, visų pirma sąlygos, kuriomis asmens duomenys su darbo santykiais susijusiame kontekste gali būti tvarkomi remiantis darbuotojo sutikimu, siekiant įdarbinti, vykdyti darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, taip pat siekiant naudotis su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius;

- = -

dal 2004 diritto e informatica