interactive GDPR 2016/0679 LT

1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)	duomenų tvarkymo tikslai;

b)	atitinkamų asmens duomenų kategorijos;

c)	duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)	kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)	teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)	teisė pateikti skundą priežiūros institucijai;

g)	kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2. Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 46 straipsnį.

3. Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4. 3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

3 skirsnis

Duomenų ištaisymas ir ištrynimas

30 straipsnis

Duomenų tvarkymo veiklos įrašai

1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)	duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	duomenų tvarkymo tikslai;

c)	duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)	duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e)	kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

f)	kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2. Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)	duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)	kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

d)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3. 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

5. 1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.

35 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2. Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3. 1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4. Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5. Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6. Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7. Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8. Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9. Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10. Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11. Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

40 straipsnis

Elgesio kodeksai

1. Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a)	sąžiningą ir skaidrų duomenų tvarkymą;

b)	teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c)	asmens duomenų rinkimą;

d)	pseudonimų suteikimą asmens duomenims;

e)	visuomenės ir duomenų subjektų informavimą;

f)	naudojimąsi duomenų subjektų teisėmis;

g)	vaikų informavimą ir apsaugą, taip pat būdą gauti vaikų tėvų pareigų turėtojų sutikimą;

h)	24 ir 25 straipsniuose nurodytas priemones bei procedūras ir priemones, kuriomis užtikrinamas 32 straipsnyje nurodytas duomenų tvarkymo saugumas;

i)	pranešimą apie asmens duomenų saugumo pažeidimus priežiūros institucijoms ir pranešima apie tokius asmens duomenų saugumo pažeidimus duomenų subjektams;

j)	asmens duomenų perdavimą į trečiąsias valstybes ir tarptautinėms organizacijoms; ar

k)	neteisminio ginčų nagrinėjimą ir kitų ginčų sprendimo procedūras, pagal kurias sprendžiami su duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nedarant poveikio duomenų subjektų teisėms pagal 77 ir 79 straipsnius.

3. Pagal šio straipsnio 5 dalį patvirtintų ir pagal šio straipsnio 9 dalį visuotinai galiojančių elgesio kodeksų gali laikytis ne tik duomenų valdytojai arba duomenų tvarkytojai, kuriems taikomas šis reglamentas, bet ir duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, kad užtikrintų asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms tinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies e punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, duomenų subjektų teisių atžvilgiu, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

4. Šio straipsnio 2 dalyje nurodytame elgesio kodekse numatomi mechanizmai, leidžiantys 41 straipsnio 1 dalyje nurodytai įstaigai vykdyti privalomą duomenų valdytojų arba duomenų tvarkytojų, kurie įsipareigoja taikyti kodeksą, šio kodekso nuostatų laikymosi stebėseną, nedarant poveikio priežiūros institucijoms, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotimis ir įgaliojimams.

5. Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.

6. Jeigu pagal 5 dalį patvirtinamas elgesio kodekso projektas ar pakeitimas arba išplėtimas, ir jei atitinkamas elgesio kodeksas nėra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija užregistruoja ir paskelbia kodeksą.

7. Jeigu elgesio kodekso projektas yra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį, prieš patvirtindama kodekso projektą, pakeitimą ar išplėtimą, taikydama 63 straipsnyje nurodytą procedūrą, pateikia jį Valdybai, kuri pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant šio straipsnio 3 dalyje nurodytai situacijai, ar jame nustatytos tinkamos apsaugos priemonės.

8. Jeigu 7 dalyje nurodytoje nuomonėje patvirtinama, kad kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant 3 dalyje nurodytai situacijai, jame nustatytos tinkamos apsaugos priemonės, Valdyba pateikia savo nuomonę Komisijai.

9. Komisija įgyvendinimo aktais gali nuspręsti, kad pagal šio straipsnio 8 dalį jai pateiktas patvirtinti elgesio kodeksas, pakeitimas ar išplėtimas visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

10. Komisija užtikrina, kad patvirtinti kodeksai, kurie sprendimu pagal 9 dalį pripažinti visuotinai galiojančiais, būtų tinkamai skelbiami viešai.

11. Valdyba įtraukia į registrą visus patvirtintus elgesio kodeksus, pakeitimus ir išplėtimus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

45 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2. Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu, baudžiamąja teise ir valdžios institucijų prieiga prie asmens duomenų, taip pat tokių teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo į kitą trečiąją valstybę ar kitai tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktikos precedentus, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje šalyje arba kurioms yra pavaldi tarptautinė organizacija ir kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių ir jos būtų vykdomos, įskaitant tinkamus vykdymo įgaliojimus padėti duomenų subjektams naudotis savo teisėmis ir patarti, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis; ir

atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, taip pat dėl jų dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma kiek tai susiję su asmens duomenų apsauga.

3. Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte numatomas periodinės peržiūros, atliekamos bent kas ketverius metus, kuria atsižvelgiama į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje, mechanizmas. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, kai taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4. Komisija nuolat stebi pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų daryti poveikį pagal šio straipsnio 3 dalį priimtų sprendimų ir pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį priimtų sprendimų veikimui.

5. Komisija nusprendžia, kad trečioji valstybė, teritorija arba nurodytas vienas ar keli sektoriai trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, jei tai paaiškėja iš turimos informacijos, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, reikiamu mastu įgyvendinimo aktais panaikina arba iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą, arba sustabdo jo galiojimą nustatydama, kad tai netaikoma atgaline data. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Ypatingos skubos atvejais Komisija priima iš karto taikomus įgyvendinimo aktus laikantis 93 straipsnio 3 dalyje nurodytos procedūros.

6. Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, siekdama, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

7. Sprendimas pagal šio straipsnio 5 dalį nedaro poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą sektorių toje trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 46–49 straipsnius.

8. Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų valstybių, teritorijų ir nurodyto vieno ar kelių sektorių trečiojoje valstybėje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo nebeužtikrina, sąrašą.

9. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 3 ar 5 dalį, jie bus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

62 straipsnis

Priežiūros institucijų bendros operacijos

1. Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2. Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. Priežiūros institucija, kuri yra kompetentinga pagal 56 straipsnio 1 dalį arba 4 dalį, pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo.

3. Priežiūros institucija, laikydamasi valstybės narės teisės ir komandiruojančiajai priežiūros institucijai leidus, gali suteikti įgaliojimus, be kita ko, tyrimo įgaliojimus, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu tai leidžiama priimančiosios priežiūros institucijos valstybės narės teisės aktais, leisti komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo tyrimo įgaliojimais pagal komandiruojančiosios priežiūros institucijos valstybės narės teisės aktus. Tokiais tyrimo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos valstybės narės teisė.

4. Tais atvejais, kai pagal 1 dalį komandiruojančiosios priežiūros institucijos darbuotojai vykdo veiklą kitoje valstybėje narėje, priimančiosios priežiūros institucijos valstybė narė prisiima atsakomybę už jų veiksmus, įskaitant atsakomybę už bet kokią jiems vykdant veiklą padarytą žalą, pagal valstybės narės, kurios teritorijoje jie vykdo veiklą, teisę.

5. Valstybė narė, kurios teritorijoje buvo padaryta žala, ją atlygina tokiomis pačiomis sąlygomis, kuriomis atlygintų savo darbuotojų padarytą žalą. Komandiruojančiosios priežiūros institucijos, kurios darbuotojai kitos valstybės narės teritorijoje padarė žalą bet kuriam asmeniui, valstybė narė grąžina tai kitai valstybei narei visas sumas, jos sumokėtas jų vardu teisę jas gauti turintiems asmenims.

6. Nedarant poveikio naudojimuisi savo teisėmis trečiųjų šalių atžvilgiu ir išskyrus 5 dalyje nurodytą atvejį, 1 dalyje numatytu atveju nė viena valstybė narė nereikalauja kitos valstybės narės atlyginti jos patirtą žalą, nurodytą 4 dalyje.

7. Jeigu ketinama vykdyti bendrą operaciją ir priežiūros institucija per vieną mėnesį neįvykdo šio straipsnio 2 dalies antrame sakinyje nustatytos prievolės, kitos priežiūros institucijos gali pagal 55 straipsnį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės skubiai imtis veiksmų sąlygos ir reikalinga skubi Valdybos nuomonė arba skubus privalomas sprendimas pagal 66 straipsnio 2 dalį.

2 skirsnis

Nuoseklumas

70 straipsnis

Valdybos užduotys

1. Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

a)	stebi ir užtikrina tinkamą šio reglamento taikymą 64 ir 65 straipsniuose nurodytais atvejais, nedarant poveikio nacionalinių priežiūros institucijų užduotims;

b)	konsultuoja Komisiją visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, be kita ko, dėl siūlomų šio reglamento pakeitimų;

c)	konsultuoja Komisiją dėl duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų;

d)	teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, susijusius su procedūromis, kaip ištrinti asmens duomenų saitus, kopijas ar dublikatus iš viešai prieinamų ryšių paslaugų, kaip nurodyta 17 straipsnio 2 dalyje;

e)	savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šio reglamento taikymu, ir teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šį reglamentą taikyti nuosekliai;

f)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad labiau patikslintų profiliavimu grindžiamų sprendimų pagal 22 straipsnio 2 dalį kriterijus ir sąlygas;

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius dėl 33 straipsnio 1 ir 2 dalyse nurodyto asmens duomenų saugumo pažeidimo ir nepagrįsto delsimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą;

h)	pagal šios dalies b punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, susijusius su tokiomis aplinkybėmis, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 34 straipsnio 1 dalyje;

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų kriterijus ir reikalavimus, taikomus asmens duomenų perdavimams, kurie grindžiami įmonei privalomomis taisyklėmis, kurių laikosi duomenų valdytojai, ir įmonei privalomomis taisyklėmis, kurių laikosi duomenų tvarkytojai, ir kitais būtinais reikalavimais, kuriais siekiama užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą, kaip nurodyta 47 straipsnyje;

j)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų asmens duomenų perdavimo remiantis 49 straipsnio 1 dalimi kriterijus ir reikalavimus;

k)	rengia priežiūros institucijoms skirtas gaires dėl 58 straipsnio 1, 2 ir 3 dalyse nurodytų priemonių taikymo ir administracinių baudų pagal 83 straipsnį nustatymo;

l)	peržiūri e ir f punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių praktinį taikymą;

m)	pagal šios e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius siekiant nustatyti bendrą fizinių asmenų teikiamų pranešimų apie šio reglamento pažeidimus pagal 54 straipsnio 2 dalį tvarką;

n)	skatina rengti elgesio kodeksus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus bei duomenų apsaugos ženklus ir žymenis pagal 40 ir 42 straipsnius;

o)	vykdo sertifikavimo įstaigų akreditavimą ir jo periodinę peržiūrą pagal 43 straipsnį ir tvarko viešą akredituotų įstaigų registrą pagal 43 straipsnio 6 dalį ir viešą trečiosiose valstybėse įsisteigusių akredituotų duomenų valdytojų ar duomenų tvarkytojų registrą pagal 42 straipsnio 7 dalį;

p)	tiksliai apibūdina 43 straipsnio 3 dalyje nurodytus reikalavimus siekiant akredituoti sertifikavimo įstaigas pagal 42 straipsnį;

q)	pateikia Komisijai nuomonę dėl 43 straipsnio 8 dalyje nurodytų sertifikavimo reikalavimų;

r)	pateikia Komisijai nuomonę dėl 12 straipsnio 7 dalyje nurodytų piktogramų;

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar trečioji valstybė, teritorija arba tarptautinė organizacija ar nurodytas vienas ar keli sektoriai toje trečiojoje valstybėje nebeužtikrina tinkamo apsaugos lygio. Tuo tikslu Komisija pateikia Valdybai visus būtinus dokumentus, įskaitant korespondenciją su trečiosios valstybės vyriausybe, dėl tos trečiosios šalies, teritorijos ar nurodyto sektoriaus, arba su tarptautine organizacija;

t)	teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 64 straipsnio 1 dalyje nurodytą nuoseklumo užtikrinimo mechanizmą ir dėl klausimų, pateiktų pagal 64 straipsnio 2 dalį, ir priima privalomus sprendimus pagal 65 straipsnį, įskaitant 66 straipsnyje nurodytus atvejus;

u)	skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

v)	skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, ir tam tikrais atvejais darbuotojų mainus su trečiųjų valstybių priežiūros institucijomis arba su tarptautinėmis organizacijomis;

w)	skatina keistis žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

x)	teikia nuomones dėl pagal 40 straipsnio 4 dalį Sąjungos lygmeniu parengtų elgesio kodeksų; ir

y)	tvarko viešai prieinamą priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroninį registrą.

2. Jeigu Komisija prašo Valdybos konsultacijos, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3. Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai bei 93 straipsnyje nurodytam komitetui ir skelbia juos viešai.

4. Valdyba tam tikrais atvejais konsultuojasi su suinteresuotosiomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nedarant poveikio 76 straipsniui, Valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

71 straipsnis

Ataskaitos

1. Valdyba parengia metinę ataskaitą dėl fizinių asmenų apsaugos tvarkant duomenis Sąjungoje ir tam tikrais atvejais trečiosiose valstybėse bei tarptautinėse organizacijose. Ataskaita skelbiama viešai ir perduodama Europos Parlamentui, Tarybai ir Komisijai.

2. Toje metinėje ataskaitoje apžvelgiamas 70 straipsnio 1 dalies l punkte nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių, taip pat 65 straipsnyje nurodytų privalomų sprendimų praktinis taikymas.

99 straipsnis

Įsigaliojimas ir taikymas

1. Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2. Jis taikomas nuo 2018 m. gegužės 25 d.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2016 m. balandžio 27 d.

Europos Parlamento vardu

Pirmininkas

M. SCHULZ

Tarybos vardu

Pirmininkė

J.A. HENNIS-PLASSCHAERT

(1) OL C 229, 2012 7 31, p. 90.

(2) OL C 391, 2012 12 18, p. 127.

(3) 2014 m. kovo 12 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2016 m. balandžio 8 d. Tarybos pozicija, priimta per pirmąjį svarstymą (dar nepaskelbta Oficialiajame leidinyje). 2016 m. balandžio 14 d. Europos Parlamento pozicija.

(4) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

(5) 2003 m. gegužės 6 d. Komisijos rekomendacija dėl labai mažų, mažųjų ir vidutinių įmonių sampratos (C(2003) 1422) (OL L 124, 2003 5 20, p. 36).

(6) 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(7) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (žr. šio Oficialiojo leidinio p. 89).

(8) 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva) (OL L 178, 2000 7 17, p. 1).

(9) 2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45).

(10) 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29).

(11) 2008 m. gruodžio 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1338/2008 dėl Bendrijos statistikos apie visuomenės sveikatą ir sveikatą bei saugą darbe (OL L 354, 2008 12 31, p. 70).

(12) 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai (OL L 55, 2011 2 28, p. 13).

(13) 2012 m. gruodžio 12 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1215/2012 dėl jurisdikcijos ir teismo sprendimų civilinėse ir komercinėse bylose pripažinimo ir vykdymo (OL L 351, 2012 12 20, p. 1).

(14) 2003 m. lapkričio 17 d. Europos Parlamento ir Tarybos direktyva 2003/98/EB dėl viešojo sektoriaus informacijos pakartotinio naudojimo (OL L 345, 2003 12 31, p. 90).

(15) 2014 m. balandžio 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 536/2014 dėl žmonėms skirtų vaistų klinikinių tyrimų, kuriuo panaikinama Direktyva 2001/20/EB (OL L 158, 2014 5 27, p. 1).

(16) 2009 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 223/2009 dėl Europos statistikos, panaikinantis Europos Parlamento ir Tarybos reglamentą (EB, Euratomas) Nr. 1101/2008 dėl konfidencialių statistinių duomenų perdavimo Europos Bendrijų statistikos tarnybai, Tarybos reglamentą (EB) Nr. 322/97 dėl Bendrijos statistikos ir Tarybos sprendimą 89/382/EEB, Euratomas, įsteigiantį Europos Bendrijų statistikos programų komitetą (OL L 87, 2009 3 31, p. 164).

(17) OL C 192, 2012 6 30, p. 7.

(18) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(19) 2015 m. rugsėjo 9 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/1535, kuria nustatoma informacijos apie techninius reglamentus ir informacinės visuomenės paslaugų taisykles teikimo tvarka (OL L 241, 2015 9 17, p. 1).

(20) 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008 nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30).

(21) 2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).

whereas

(9) Direktyvos 95/46/EB tikslai ir principai tebėra pagrįsti, tačiau ji neužkirto kelio suskaidytam duomenų apsaugos įgyvendinimui Sąjungoje, teisiniam netikrumui ar plačiai paplitusiai viešajai nuomonei, kad fizinių asmenų apsaugai kyla didelių pavojų, visų pirma dėl veiklos internete.
Dėl skirtingo fizinių asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje.
Todėl tokie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungos lygmeniu, iškreipti konkurenciją ir trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę.
Tokią skirtingo lygio apsaugą lemia nevienodas Direktyvos 95/46/EB įgyvendinimas ir taikymas;

- = -

(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis.
Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas.
Kalbant apie asmens duomenų tvarkymą siekiant laikytis teisinės prievolės, užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimui valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti nacionalines nuostatas, kuriomis konkrečiau apibrėžiamas šiame reglamente nustatytų taisyklių taikymas.
Kartu su bendraisiais ir horizontaliaisiais teisės aktais dėl duomenų apsaugos, kuriais įgyvendinama Direktyva 95/46/EB, valstybės narės turi keletą konkretiems sektoriams skirtų teisės aktų srityse, kuriose reikia konkretesnių nuostatų. Šiuo reglamentu valstybėms narėms taip pat suteikiama tam tikra veiksmų laisvė nustatyti savo taisykles, be kita ko, dėl specialių kategorijų asmens duomenų (neskelbtini duomenys) tvarkymo.
Todėl šiuo reglamentu neužkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo atvejų aplinkybės, be kita ko, tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas;

- = -

(11) siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, bet ir valstybėse narėse suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir nustatyti lygiavertes sankcijas dėl pažeidimų;

- = -

(13) siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas.
Tam, kad vidaus rinka veiktų tinkamai, reikia užtikrinti, kad laisvas asmens duomenų judėjimas Sąjungoje nebūtų ribojamas ar draudžiamas dėl priežasčių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis.
Kad būtų atsižvelgta į ypatingą labai mažų, mažųjų ir vidutinių įmonių padėtį, šiame reglamente įrašų laikymo atžvilgiu organizacijoms, kuriose dirba mažiau kaip 250 darbuotojų, numatyta nukrypti leidžianti nuostata.
Be to, Sąjungos institucijos ir įstaigos, valstybės narės ir jų priežiūros institucijos raginamos taikant šį reglamentą atsižvelgti į specialius labai mažų, mažųjų ir vidutinių įmonių poreikius.
Labai mažų, mažųjų ir vidutinių įmonių sąvoka turėtų būti grindžiama Komisijos rekomendacijos 2003/361/EB (5) priedo 2 straipsniu;

- = -

(23) kad fiziniams asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal šį reglamentą, šis reglamentas turėtų būti taikomas Sąjungoje esančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, tvarkymui, kai duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu tokiems duomenų subjektams, neatsižvelgiant į tai, ar tai susiję su mokėjimu.
Siekiant nustatyti, ar toks duomenų valdytojas arba duomenų tvarkytojas siūlo prekes ar paslaugas Sąjungoje esantiems duomenų subjektams, turėtų būti įsitikinta, ar akivaizdu, kad tas duomenų valdytojas arba duomenų tvarkytojas numato teikti paslaugas duomenų subjektams vienoje ar keliose valstybėse narėse Sąjungoje.
Kadangi vien tik to, kad Sąjungoje yra prieinami duomenų valdytojo, duomenų tvarkytojo ar tarpininko interneto svetainė ar el.
pašto adresas, ir kiti kontaktiniai duomenys arba kad vartojama kalba, kuri paprastai vartojama trečiojoje valstybėje, kurioje yra įsisteigęs duomenų valdytojas, nepakanka įsitikinti, kad esama tokio ketinimo, tokie veiksniai kaip kalbos ar valiutos, paprastai vartojamų (naudojamų) vienoje ar keliose valstybėse narėse, vartojimas (naudojimas) su galimybe užsisakyti prekes ir paslaugas ta kita kalba, arba Sąjungoje esančių vartotojų ar naudotojų minėjimas gali būti aspektai, iš kurių aišku, kad duomenų valdytojas numato siūlyti prekes ar paslaugas duomenų subjektams Sąjungoje;

- = -

(101) asmens duomenų judėjimas į Sąjungai nepriklausančias valstybes ir tarptautines organizacijas ir iš jų reikalingas tarptautinės prekybos plėtrai ir tarptautiniam bendradarbiavimui.
Išaugus tokiam judėjimui, atsirado naujų asmens duomenų apsaugos sunkumų ir rūpesčių.
Tačiau kai asmens duomenys iš Sąjungos perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis, be kita ko, tais atvejais, kai asmens duomenys toliau perduodami iš tos trečiosios valstybės ar tarptautinės organizacijos duomenų valdytojams, duomenų tvarkytojams toje pačioje arba kitoje trečiojoje valstybėje ar kitai tarptautinei organizacijai.
Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento.
Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas;

- = -

(105) Komisija turėtų atsižvelgti ne tik į trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus, bet ir į įsipareigojimus, kylančius dėl trečiosios valstybės arba tarptautinės organizacijos dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma susijusio su asmens duomenų apsauga, ir į tokių įsipareigojimų įgyvendinimą.
Visų pirma reikėtų atsižvelgti į trečiosios valstybės prisijungimą prie 1981 m.
sausio 28 d.
Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu ir jos papildomo protokolo.
Vertindama apsaugos lygį trečiosiose valstybėse ar tarptautinėse organizacijose, Komisija turėtų konsultuotis su Valdyba;

- = -

(108) jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti.
Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis arba priežiūros institucijos pripažintomis sutarties sąlygomis.
Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje.
Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi.
Valdžios institucijos ar įstaigos taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.
Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas kompetentingos priežiūros institucijos leidimas;

- = -

(115) kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą.
Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis.
Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą.
Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias valstybes taikomos šiame reglamente nustatytos sąlygos.
Taip gali būti, inter alia, jeigu atskleisti duomenis būtina dėl svarbios Sąjungos ar valstybės narės teisėje, taikytinoje duomenų valdytojui, pripažintos viešojo intereso priežasties;

- = -

(116) kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo.
Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų.
Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai.
Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis ir kartu su jais atlikti tyrimus.
Siekiant sukurti tarptautinius bendradarbiavimo mechanizmus, kuriais būtų palengvinama ir teikiama tarptautinė savitarpio pagalba asmens duomenų apsaugai skirtų teisės aktų įgyvendinimo užtikrinimo srityje, Komisija ir priežiūros institucijos turėtų keistis informacija ir bendradarbiauti su kompetentingomis valdžios institucijomis trečiosiose valstybėse vykdant su jų įgaliojimų įgyvendinimu susijusią veiklą, remiantis abipusiškumo principu ir laikantis šio reglamento;

- = -

(117) priežiūros institucijų, įgaliotų visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas valstybėse narėse yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių.
Valstybės narės turėtų galėti įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą;

- = -

(131) kai kita priežiūros institucija turėtų veikti kaip duomenų valdytojo arba duomenų tvarkytojo vykdomos duomenų tvarkymo veiklos vadovaujanti priežiūros institucija, tačiau konkretus skundo dalykas arba galimas pažeidimas yra susijęs tik su duomenų valdytojo arba duomenų tvarkytojo vykdoma duomenų tvarkymo veikla toje valstybėje narėje, kurioje buvo pateiktas skundas arba nustatytas galimas pažeidimas, ir tas dalykas nedaro arba negalėtų daryti didelio poveikio duomenų subjektams kitose valstybėse narėse, priežiūros institucija, kuri gauna skundą dėl situacijų, kurių atveju galbūt yra pažeistas šis reglamentas, arba nustato tokias situacijas, arba yra kitu būdu apie jas informuojama, turėtų siekti draugiško susitarimo su duomenų valdytoju, o jeigu tai nepavyktų – pasinaudoti visais savo įgaliojimais.
Tai turėtų apimti: konkretų duomenų tvarkymą, atliekamą priežiūros institucijos valstybės narės teritorijoje arba tos valstybės narės teritorijoje esančių duomenų subjektų atžvilgiu; duomenų tvarkymą, kuris atliekamas, kai siūlomos prekės ar paslaugos, konkrečiai skirtos duomenų subjektams priežiūros institucijos valstybės narės teritorijoje; ar duomenų tvarkymą, kuris turi būti įvertintas atsižvelgiant į susijusias teisines prievoles pagal valstybės narės teisę;

- = -

(135) siekiant užtikrinti, kad šis reglamentas būtų nuosekliai taikomas visoje Sąjungoje, turėtų būti sukurtas nuoseklumo užtikrinimo mechanizmas, pagal kurį priežiūros institucijos bendradarbiautų tarpusavyje.
Tas mechanizmas visų pirma turėtų būti taikomas, kai priežiūros institucija siekia patvirtinti priemonę, galinčią turėti teisinių padarinių, susijusią su duomenų tvarkymo operacijomis, kuriomis daromas didelis poveikis daugeliui duomenų subjektų keliose valstybėse narėse.
Be to, jis turėtų būti taikomas, kai kuri nors atitinkama priežiūros institucija arba Komisija prašo, kad toks klausimas būtų nagrinėjamas pagal nuoseklumo užtikrinimo mechanizmą.
Tas mechanizmas neturėtų daryti poveikio priemonėms, kurių Komisija gali imtis naudodamasi savo įgaliojimais pagal Sutartis;

- = -

(139) kad būtų skatinama nuosekliai taikyti šį reglamentą, Valdyba turėtų būti įsteigta kaip nepriklausoma Sąjungos įstaiga.
Kad Valdyba galėtų įgyvendinti savo tikslus, ji turėtų turėti juridinio asmens statusą.
Valdybai turėtų atstovauti jos pirmininkas.
Ji turėtų pakeisti Direktyva 95/46/EB įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis.
Ją turėtų sudaryti visų valstybių narių priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba atitinkami jų atstovai.
Komisija turėtų dalyvauti Valdybos veikloje be balsavimo teisių, o Europos duomenų apsaugos priežiūros pareigūnas turėtų turėti specialias balsavimo teises.
Valdyba turėtų padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, be kita ko, patarti Komisijai, visų pirma dėl apsaugos lygio trečiosiose valstybėse arba tarptautinėse organizacijose, ir skatinti priežiūros institucijų bendradarbiavimą visoje Sąjungoje.
Vykdydama savo užduotis Valdyba turėtų veikti nepriklausomai;

- = -

(151) Danijos ir Estijos teisinėse sistemose neleidžiama skirti administracinių baudų, kaip nustatyta šiame reglamente.
Administracines baudas reglamentuojančios taisyklės gali būti taikomos taip, kad Danijoje baudą, kaip baudžiamąją sankciją, skirtų kompetentingi nacionaliniai teismai, o Estijoje pagal nusižengimų procedūrą baudą skirtų priežiūros institucija su sąlyga, kad toks taisyklių taikymas tose valstybėse narėse turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį.
Todėl kompetentingi nacionaliniai teismai turėtų atsižvelgti į baudą inicijuojančios priežiūros institucijos rekomendaciją.
Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos;

- = -

(153) valstybių narių teisėje saviraiškos ir informacijos laisvę, įskaitant žurnalistinę, akademinę, meninę ir (arba) literatūrinę saviraišką, reglamentuojančios taisyklės turėtų būti suderintos su teise į asmens duomenų apsaugą pagal šį reglamentą.
Asmens duomenų tvarkymui vien žurnalistiniais tikslais arba akademinės, meninės ar literatūrinės saviraiškos tikslais prireikus turėtų būti taikomos nuo tam tikrų šio reglamento nuostatų nukrypti leidžiančios nuostatos arba išimtys, kad teisė į asmens duomenų apsaugą būtų suderinta su teise į saviraiškos ir informacijos laisvę, kuri yra įtvirtinta Chartijos 11 straipsnyje.
Tai visų pirma turėtų būti taikoma asmens duomenų tvarkymui audiovizualinėje srityje ir žinių bei spaudos archyvuose.
Todėl valstybės narės turėtų priimti teisėkūros priemones, kuriomis būtų nustatytos išimtys ir nukrypti leidžiančios nuostatos, reikalingos toms pagrindinėms teisėms suderinti.
Valstybės narės turėtų priimti tokias išimtis ir nukrypti leidžiančias nuostatas bendrųjų principų, duomenų subjekto teisių, duomenų valdytojų ir duomenų tvarkytojų, duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms, nepriklausomų priežiūros institucijų, bendradarbiavimo, nuoseklaus teisės taikymo atžvilgiu ir konkretiems asmens duomenų tvarkymo atvejams.
Kai tokios išimtys ar nukrypti leidžiančios nuostatos valstybėse narėse yra skirtingos, turėtų būti taikoma duomenų valdytojui taikytina valstybės narės teisė.
Kad būtų atsižvelgta į teisės į saviraiškos laisvę svarbą demokratinėje visuomenėje, su šia laisve susijusias sąvokas, kaip antai žurnalistika, būtina aiškinti plačiai;

- = -

dal 2004 diritto e informatica