interactive GDPR 2016/0679 LT

1. Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)	duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

b)	duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius;

c)	duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla;

d)	duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.

3. Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas Reglamentas (EB) Nr. 45/2001. Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, pagal 98 straipsnį pritaikomi pagal šio reglamento principus ir taisykles.

4. Šis reglamentas nedaro poveikio Direktyvos 2000/31/EB, visų pirma tos direktyvos 12–15 straipsniuose nustatytų taisyklių dėl tarpininkavimo paslaugų teikėjų atsakomybės, taikymui.

3 straipsnis

Teritorinė taikymo sritis

1. Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.

2. Šis reglamentas taikomas asmens duomenų tvarkymui, kai Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla yra susijusi su:

a)	prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje, nepaisant to, ar už šias prekes arba paslaugas duomenų subjektui reikia mokėti; arba

b)	elgesio, kai jie veikia Sąjungoje, stebėsena.

3. Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko duomenų valdytojas, įsisteigęs ne Sąjungoje, o vietoje, kurioje pagal viešąją tarptautinę teisę taikoma valstybės narės teisė.

4 straipsnis

Apibrėžtys

Šiame reglamente:

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

3)	duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

6)	susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

8)	duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

10)	trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

11)	duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

12)	asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

13)	genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

14)

biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

15)	sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

16)

pagrindinė buveinė –

duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine;

duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, arba jeigu duomenų tvarkytojas neturi centrinės administracijos Sąjungoje – duomenų tvarkytojo buveinė Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė vykdydama savo veiklą tvarko duomenis tiek, kiek duomenų tvarkytojui taikomos konkrečios prievolės pagal šį reglamentą;

17)	atstovas – Sąjungoje įsisteigęs, duomenų valdytojo arba duomenų tvarkytojo raštu pagal 27 straipsnį paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su jų atitinkamomis prievolėmis pagal šį reglamentą, atstovauja duomenų valdytojui arba duomenų tvarkytojui;

18)	įmonė – bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;

19)	įmonių grupė – kontroliuojančioji įmonė ir jos kontroliuojamos įmonės;

20)

įmonei privalomos taisyklės – asmens duomenų apsaugos politikos nuostatos, kurių valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas laikosi, perduodamas asmens duomenis arba atlikdamas perdavimų seką vienos ar daugiau trečiųjų valstybių duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei;

21)	priežiūros institucija – valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

22)

susijusi priežiūros institucija – priežiūros institucija, kuri yra susijusi su asmens duomenų tvarkymu dėl to, kad:

a)	duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs tos priežiūros institucijos valstybės narės teritorijoje,

b)	duomenų tvarkymas daro arba gali padaryti didelį poveikį tos priežiūros institucijos valstybėje narėje gyvenantiems duomenų subjektams; arba

c)	skundas buvo pateiktas tai priežiūros institucijai;

23)

tarpvalstybinis duomenų tvarkymas –

vienas iš toliau nurodytų:

a)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

b)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

24)

tinkamas ir pagrįstas prieštaravimas – prieštaravimas sprendimo projektui dėl to, ar buvo padarytas šio reglamento pažeidimas, arba, ar numatomas veiksmas, susijęs su duomenų valdytoju arba duomenų tvarkytoju, atitinka šį reglamentą, kuris aiškiai parodo sprendimo projekto keliamų pavojų duomenų subjektų pagrindinėms teisėms ir laisvėms ir, kai taikoma, laisvam asmens duomenų judėjimui Sąjungoje, reikšmingumą;

25)	informacinės visuomenės paslauga – paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 (19) 1 straipsnio 1 dalies b punkte;

26)	tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, ar bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

II SKYRIUS

Principai

9 straipsnis

Specialių kategorijų asmens duomenų tvarkymas

1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)	duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos arba valstybės narės teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos arba valstybės narės teisėje arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

c)	tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

duomenis tvarko politinių, filosofinių, religinių ar profesinių sąjungų tikslų siekiantis fondas, asociacija ar kita pelno nesiekianti organizacija, vykdydama teisėtą veiklą ir taikydama tinkamas apsaugos priemones, ir su sąlyga, kad tvarkomi tik tos organizacijos narių ar buvusių narių arba asmenų, kurie reguliariai palaiko ryšius su ja dėl jos siekiamų tikslų, duomenys ir kad asmens duomenys neatskleidžiami už organizacijos ribų be duomenų subjektų sutikimo;

e)	tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)	tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai vykdo savo teisminius įgaliojimus;

tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos arba valstybės narės teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis Sąjungos arba valstybės narės teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma profesinė paslaptis;

tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.

3. 1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį.

4. Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.

35 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2. Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3. 1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4. Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5. Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6. Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7. Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8. Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9. Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10. Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11. Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

47 straipsnis

Įmonei privalomos taisyklės

1. Kompetentinga priežiūros institucija patvirtina įmonei privalomas taisykles pagal 63 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą, jeigu:

a)	jos yra teisiškai privalomos ir taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, įskaitant jų darbuotojus, ir jie užtikrina jų vykdymą;

b)	jomis duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su jų asmens duomenų tvarkymu; ir

c)	jos atitinka 2 dalyje nustatytus reikalavimus.

2. 1 dalyje nurodytose įmonei privalomose taisyklėse nurodoma bent:

a)	įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės ir kiekvieno jos nario struktūra bei kontaktiniai duomenys;

b)	duomenų perdavimai arba duomenų perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę arba valstybes;

c)	tai, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu;

tai, kad taikomi bendrieji duomenų apsaugos principai, visų pirma tikslų apribojimo, duomenų kiekio mažinimo, ribotų duomenų saugojimo laikotarpių, duomenų kokybės, pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų tvarkymo teisinio pagrindo, specialių kategorijų asmens duomenų tvarkymo principai, duomenų saugumo užtikrinimo priemonės ir reikalavimai dėl tolesnio duomenų perdavimo įstaigoms, kurios neprivalo laikytis įmonei privalomų taisyklių;

duomenų subjektų teisės, susijusios su duomenų tvarkymu, ir naudojimosi tomis teisėmis priemonės, įskaitant teisę į tai, kad nebūtų taikomi tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai pagal 22 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai bei kompetentingiems valstybių narių teismams pagal 79 straipsnį ir teisę naudotis teisių gynimo priemonėmis ir, kai tinkama, reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio atitinkamo nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas visiškai ar iš dalies atleidžiamas nuo tos atsakomybės tik tuo atveju, jei jis įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)	kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams, be to, kas numatyta 13 ir 14 straipsniuose;

h)	pagal 37 straipsnį paskirto bet kurio duomenų apsaugos pareigūno arba bet kurio kito asmens ar subjekto, atsakingo už stebėseną, ar įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo ir skundų nagrinėjimo stebėseną, užduotys;

i)	skundų nagrinėjimo procedūros;

įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje taikomi mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises. Tokio patikrinimo rezultatai turėtų būti perduoti asmeniui arba subjektui, kaip nurodyta h punkte, ir įmonių grupę kontroliuojančiosios įmonės arba bendrą ekonominę veiklą vykdančios įmonių grupės valdybai ir paprašius turėtų būti pateikti kompetentingai priežiūros institucijai;

k)	ataskaitų teikimo ir taisyklių pakeitimų registravimo, taip pat pranešimo apie tuos pakeitimus priežiūros institucijai mechanizmai;

bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant j punkte nurodyto priemonių patikrinimo rezultatus;

mechanizmas, pagal kurį kompetentingai priežiūros institucijai teikiamos ataskaitos apie visus teisinius reikalavimus, taikomus įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariui trečiojoje šalyje, galinčius turėti esminį neigiamą poveikį įmonei privalomomis taisyklėmis užtikrinamoms garantijoms; ir

n)	atitinkami mokymai duomenų apsaugos srityje darbuotojams, kurie turi teisę nuolat ar reguliariai susipažinti su asmens duomenimis.

3. Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

50 straipsnis

Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

Komisija ir priežiūros institucijos imasi tinkamų veiksmų trečiųjų valstybių ir tarptautinių organizacijų atžvilgiu, kuriais siekiama:

a)	sukurti tarptautinius bendradarbiavimo mechanizmus, kad būtų sudarytos palankesnės sąlygos veiksmingai užtikrinti asmens duomenų apsaugos teisės aktų vykdymą;

teikti tarptautinę savitarpio pagalbą užtikrinant asmens duomenų apsaugos teisės aktų vykdymą, be kita ko, teikiant pranešimus, perduodant nagrinėti skundus, padedant atlikti tyrimus ir keičiantis informacija, jeigu taikomos su asmens duomenų bei kitų pagrindinių teisių ir laisvių apsauga susijusios tinkamos apsaugos priemonės;

c)	atitinkamus suinteresuotuosius subjektus įtraukti į diskusijas ir veiklą, kurių tikslas – prisidėti prie tarptautinio bendradarbiavimo užtikrinant asmens duomenų apsaugos teisės aktų vykdymą;

d)	skatinti keistis asmens duomenų apsaugos teisės aktais bei šios srities praktikos pavyzdžiais ir juos dokumentuoti, be kita ko, jurisdikcijos konfliktų su trečiosiomis valstybėmis klausimais.

VI SKYRIUS

Nepriklausomos priežiūros institucijos

1 skirsnis

Nepriklausomas statusas

60 straipsnis

Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas

1. Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

2. Vadovaujanti priežiūros institucija bet kuriuo metu gali paprašyti kitų susijusių priežiūros institucijų teikti savitarpio pagalbą pagal 61 straipsnį ir gali vykdyti bendras operacijas pagal 62 straipsnį, visų pirma atliekant tyrimus arba stebint su kitoje valstybėje narėje įsisteigusiu duomenų valdytoju ar duomenų tvarkytoju susijusios priemonės įgyvendinimą.

3. Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

4. Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5. Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

6. Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

7. Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

8. Nukrypstant nuo 7 dalies, jeigu skundas nepriimamas arba atmetamas, priežiūros institucija, kuriai skundas buvo pateiktas, priima sprendimą, praneša jį skundo pateikėjui ir informuoja apie tai duomenų valdytoją.

9. Jeigu vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos sutinka, kad tam tikros skundo dalys turi būti nepriimtos arba atmestos, o dėl kitų to skundo dalių reikia imtis veiksmų, dėl kiekvienos iš tų skundo dalių priimami atskiri sprendimai. Vadovaujanti priežiūros institucija priima sprendimą dėl skundo dalies dėl su duomenų valdytoju susijusių veiksmų, praneša jį duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei savo valstybės narės teritorijoje ir apie tai informuoja skundo pateikėją, o skundo pateikėjo priežiūros institucija priima sprendimą, susijusį su to skundo dalies nepriėmimu arba atmetimu, ir praneša jį tam skundo pateikėjui, taip pat apie tai informuoja duomenų valdytoją arba duomenų tvarkytoją.

10. Duomenų valdytojas arba duomenų tvarkytojas, pagal 7 ir 9 dalis gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.

11. Tais atvejais, kai, išimtinėmis aplinkybėmis, susijusi priežiūros institucija turi priežasčių manyti, kad reikia skubiai imtis veiksmų duomenų subjektų interesams apsaugoti, taikoma 66 straipsnyje nurodyta skubos procedūra.

12. Vadovaujanti priežiūros institucija ir kitos susijusios priežiūros institucijos pagal šį straipsnį privalomą informaciją viena kitai teikia elektroninėmis priemonėmis, naudodamosi standartizuota forma.

62 straipsnis

Priežiūros institucijų bendros operacijos

1. Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2. Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. Priežiūros institucija, kuri yra kompetentinga pagal 56 straipsnio 1 dalį arba 4 dalį, pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo.

3. Priežiūros institucija, laikydamasi valstybės narės teisės ir komandiruojančiajai priežiūros institucijai leidus, gali suteikti įgaliojimus, be kita ko, tyrimo įgaliojimus, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu tai leidžiama priimančiosios priežiūros institucijos valstybės narės teisės aktais, leisti komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo tyrimo įgaliojimais pagal komandiruojančiosios priežiūros institucijos valstybės narės teisės aktus. Tokiais tyrimo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos valstybės narės teisė.

4. Tais atvejais, kai pagal 1 dalį komandiruojančiosios priežiūros institucijos darbuotojai vykdo veiklą kitoje valstybėje narėje, priimančiosios priežiūros institucijos valstybė narė prisiima atsakomybę už jų veiksmus, įskaitant atsakomybę už bet kokią jiems vykdant veiklą padarytą žalą, pagal valstybės narės, kurios teritorijoje jie vykdo veiklą, teisę.

5. Valstybė narė, kurios teritorijoje buvo padaryta žala, ją atlygina tokiomis pačiomis sąlygomis, kuriomis atlygintų savo darbuotojų padarytą žalą. Komandiruojančiosios priežiūros institucijos, kurios darbuotojai kitos valstybės narės teritorijoje padarė žalą bet kuriam asmeniui, valstybė narė grąžina tai kitai valstybei narei visas sumas, jos sumokėtas jų vardu teisę jas gauti turintiems asmenims.

6. Nedarant poveikio naudojimuisi savo teisėmis trečiųjų šalių atžvilgiu ir išskyrus 5 dalyje nurodytą atvejį, 1 dalyje numatytu atveju nė viena valstybė narė nereikalauja kitos valstybės narės atlyginti jos patirtą žalą, nurodytą 4 dalyje.

7. Jeigu ketinama vykdyti bendrą operaciją ir priežiūros institucija per vieną mėnesį neįvykdo šio straipsnio 2 dalies antrame sakinyje nustatytos prievolės, kitos priežiūros institucijos gali pagal 55 straipsnį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės skubiai imtis veiksmų sąlygos ir reikalinga skubi Valdybos nuomonė arba skubus privalomas sprendimas pagal 66 straipsnio 2 dalį.

2 skirsnis

Nuoseklumas

68 straipsnis

Europos duomenų apsaugos valdyba

1. Europos duomenų apsaugos valdyba (toliau – Valdyba) įsteigiama kaip Sąjungos įstaiga, turinti juridinio asmens statusą.

2. Valdybai atstovauja jos pirmininkas.

3. Valdybą sudaro kiekvienos valstybės narės vienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jų atitinkami atstovai.

4. Jeigu valstybėje narėje už nuostatų taikymo stebėseną pagal šį reglamentą yra atsakinga daugiau kaip viena priežiūros institucija, pagal tos valstybės narės teisę paskiriamas bendras atstovas.

5. Komisija turi teisę dalyvauti Valdybos veikloje bei posėdžiuose be balsavimo teisės. Komisija paskiria atstovą. Valdybos pirmininkas praneša Komisijai apie Valdybos veiklą.

6. Su 65 straipsnyje nurodytais atvejais Europos duomenų apsaugos priežiūros pareigūnas balsavimo teisę turi priimant tik tuos sprendimus, kurie yra susiję su Sąjungos institucijoms, įstaigoms organams ir agentūroms taikomais principais ir taisyklėmis, kurie iš esmės atitinka šiame reglamente nustatytus principus ir taisykles.

75 straipsnis

Sekretoriatas

1. Valdyba turi sekretoriatą, kurio paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno įstaiga.

2. Sekretoriatas vykdo savo užduotis laikydamasis išmintinai Valdybos pirmininko nurodymų.

3. Vykdant šiuo reglamentu Valdybai pavestas užduotis dalyvaujantys Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojai atsiskaito skirtingiems vadovams, nei darbuotojai, vykdantys Europos duomenų apsaugos priežiūros pareigūnui pavestas užduotis.

4. Tam tikrais atvejais Valdyba ir Europos duomenų apsaugos priežiūros pareigūnas parengia ir paskelbia susitarimo memorandumą, kuriuo įgyvendinamas šis straipsnis; jame apibrėžiamos jų bendradarbiavimo sąlygos ir jis taikomas Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojams, dalyvaujantiems vykdant šiuo reglamentu Valdybai pavestas užduotis.

5. Sekretoriatas Valdybai teikia analitinę, administracinę ir logistinę paramą.

6. Sekretoriatas visų pirma atsako už:

a)	Valdybos kasdienę veiklą;

b)	Valdybos narių, jos pirmininko ir Komisijos tarpusavio ryšius;

c)	ryšius su kitomis institucijomis ir visuomene;

d)	elektroninių priemonių naudojimą vidaus ir išorės ryšiams palaikyti;

e)	reikšmingos informacijos vertimą;

f)	Valdybos posėdžių rengimą ir su jais susijusią tolesnę veiklą;

g)	su Valdybos priimamomis nuomonėmis, sprendimais dėl priežiūros institucijų ginčų išsprendimo ir kitais tekstais susijusį parengiamąjį darbą, jų rengimą ir paskelbimą.

88 straipsnis

Duomenų tvarkymas su darbo santykiais susijusiame kontekste

1. Valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius.

2. Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje.

3. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

90 straipsnis

Prievolės saugoti paslaptį

1. Valstybės narės gali priimti specialias taisykles ir jose išdėstyti 58 straipsnio 1 dalies e ir f punktuose nustatytus priežiūros institucijų įgaliojimus dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma prievolė saugoti profesinę paslaptį arba kitos lygiavertės prievolės saugoti paslaptį, jeigu tai būtina ir proporcinga siekiant suderinti teisę į asmens duomenų apsaugą su prievole saugoti paslaptį. Tos taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma ta prievolė saugoti paslaptį.

2. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai taisykles, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis taisyklėmis susijusius pakeitimus.

whereas

(3) Europos Parlamento ir Tarybos direktyva 95/46/EB (4) siekiama suderinti fizinių asmenų pagrindinių teisių ir laisvių apsaugą vykdant duomenų tvarkymo veiklą ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių;

- = -

(6) dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Žymiai išaugo asmens duomenų rinkimo ir keitimosi jais mastas.
Technologijos leidžia privačioms bendrovėms ir valdžios institucijoms vykdant savo veiklą naudotis asmens duomenimis precedento neturinčiu mastu.
Fiziniai asmenys vis dažniau viešina asmeninę informaciją pasaulio mastu.
Technologijos pakeitė ekonominį ir socialinį gyvenimą ir turėtų sudaryti dar palankesnes sąlygas laisvam asmens duomenų judėjimui Sąjungoje ir jų perdavimui į trečiąsias valstybes bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį;

- = -

(16) šis reglamentas netaikomas nei pagrindinių teisių ir laisvių apsaugai ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, pavyzdžiui, su nacionaliniu saugumu susijusia veikla, judėjimo klausimams. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko valstybės narės, vykdydamos su Sąjungos bendra užsienio ir saugumo politika susijusią veiklą;

- = -

(18) šis reglamentas netaikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko vykdydamas grynai asmeninę ar namų ūkio priežiūros veiklą ir nesusiedamas to su profesine ar komercine veikla.
Asmeninę ar namų ūkio priežiūros veiklą gali sudaryti, be kita ko, susirašinėjimas ir adresų saugojimas arba naudojimasis socialiniais tinklais ir internetinė veikla, vykdoma atliekant tokią veiklą.
Tačiau šis reglamentas taikomas duomenų valdytojams arba duomenų tvarkytojams, kurie suteikia priemones asmens duomenų tvarkymui vykdant tokią asmeninę ar namų ūkio priežiūros veiklą;

- = -

(22) bet koks asmens duomenų tvarkymas, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, turėtų vykti pagal šį reglamentą, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama Sąjungoje.
Buveinė reiškia, kad per stabilias struktūras vykdoma veiksminga ir reali veikla.
Teisinė tokių struktūrų forma, neatsižvelgiant į tai, ar tai filialas ar patronuojamoji bendrovė, turinti juridinio asmens statusą, tuo požiūriu nėra lemiamas veiksnys;

- = -

(32) sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis,, arba žodinis pareiškimas.
Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu.
Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu.
Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais.
Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų.
Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

- = -

(36) duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje; tokiu atveju ta kita buveinė turėtų būti laikoma pagrindine buveine.
Duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią valdymo veiklą, priimdama pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių.
Pagal tą kriterijų neturėtų būti svarbu, ar asmens duomenys faktiškai tvarkomi toje vietoje.
Asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra esminiai pagrindinės buveinės nustatymo kriterijai.
Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungoje, o jeigu jis neturi centrinės administracijos Sąjungoje – vieta, kurioje Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla.
Tais atvejais, kurie yra susiję tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujanti priežiūros institucija turėtų ir toliau būti valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija ir ta priežiūros institucija turėtų dalyvauti šiuo reglamentu numatytoje bendradarbiavimo procedūroje.
Bet kuriuo atveju valstybės narės arba valstybių narių, kuriose yra viena ar kelios duomenų tvarkytojo buveinės, priežiūros institucijos neturėtų būti laikomos susijusiomis priežiūros institucijomis, kai sprendimo projektas yra susijęs tik su duomenų valdytoju.
Kai duomenis tvarko įmonių grupė, tos įmonių grupės pagrindine buveine turėtų būti laikoma kontroliuojančiosios įmonės pagrindinė buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė;

- = -

(37) įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės, finansinio dalyvavimo arba įmonės veiklą reglamentuojančių taisyklių, arba įgaliojimo įgyvendinti asmens duomenų apsaugos taisykles. Įmonė, kuri kontroliuoja asmens duomenų tvarkymą su ja susijusiose įmonėse, su tomis įmonėmis turėtų būtų laikoma „įmonių grupe“;

- = -

(51) asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms.
Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą.
Nuotraukų tvarkymas neturėtų būti laikomas sisteminiu specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą.
Tokie asmens duomenys neturėtų būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama šiame reglamente nurodytais konkrečiais atvejais, atsižvelgiant į tai, kad valstybių narių teisėje gali būti numatytos konkrečios nuostatos dėl duomenų apsaugos, siekiant pritaikyti šiame reglamente nustatytų taisyklių dėl teisinės prievolės įvykdymo arba užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimo taikymą.
Kartu su konkrečiais tokio duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis.
Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

- = -

(81) siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo.
Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš aspektų siekiant įrodyti, kad duomenų valdytojas vykdo prievoles.
Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.
Duomenų valdytojas ir duomenų tvarkytojas gali pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba priežiūros institucija pagal nuoseklumo užtikrinimo mechanizmą, o vėliau patvirtina Komisija.
Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

- = -

(94) kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su priežiūros institucija.
Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms.
Priežiūros institucija į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį.
Tačiau tai, kad priežiūros institucija nesureagavo per tą laikotarpį, neturėtų turėti poveikio priežiūros institucijos intervenciniams veiksmams jai vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitanti įgaliojimą uždrausti duomenų tvarkymo operacijas.
Vykdant tą konsultavimosi procesą, priežiūros institucijai gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

- = -

(97) kai duomenis tvarko valdžios institucija, išskyrus teismus ar nepriklausomas teismines institucijas, vykdančias savo teisminius įgaliojimus, kai privačiajame sektoriuje duomenis tvarko duomenų valdytojas, kurio pagrindinę veiklą sudaro duomenų tvarkymo operacijos, kurioms atlikti reikia reguliariai ir sistemingai stebėti duomenų subjektus dideliu mastu, arba kai duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu ir duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas, duomenų valdytojui ar duomenų tvarkytojui stebėti, kaip viduje laikomasi šio reglamento, turėtų padėti asmuo, turintis ekspertinių duomenų apsaugos teisės ir praktikos žinių.
Privačiajame sektoriuje duomenų valdytojo pagrindinė veikla yra susijusi su jo svarbiausia veikla ir nesusijusi su asmens duomenų tvarkymu kaip papildoma veikla.
Būtinas ekspertinių žinių lygis turėtų būti nustatomas visų pirma atsižvelgiant į atliekamas duomenų tvarkymo operacijas ir duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų reikiamą apsaugą.
Tokie duomenų apsaugos pareigūnai, nepriklausomai nuo to, ar jie yra duomenų valdytojo darbuotojai, savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;

- = -

(104) atsižvelgdama į pagrindines vertybes, kuriomis grindžiama Sąjunga, visų pirma į žmogaus teisių apsaugą, Komisija, vertindama trečiąją šalį arba teritoriją, arba nurodytą sektorių trečiojoje šalyje, turėtų atsižvelgti į tai, kaip atitinkama trečioji šalis laikosi teisinės valstybės, teisės kreiptis į teismą principų, tarptautinių žmogaus teisių normų ir standartų, taip pat savo bendros ir sektorių teisės, įskaitant visuomenės saugumą, gynybą ir nacionalinį saugumą reglamentuojančius teisės aktus, ir viešosios tvarkos bei baudžiamosios teisės.
Priimant teritorijai arba nurodytam sektoriui trečiojoje šalyje skirtą sprendimą dėl tinkamumo turėtų būti atsižvelgiama į aiškius ir objektyvius kriterijus, pavyzdžiui, konkrečią duomenų tvarkymo veiklą ir trečiojoje šalyje taikytinų teisinių standartų bei galiojančių teisės aktų taikymo sritį.
Trečioji šalis turėtų suteikti garantijas, kuriomis būtų užtikrinama atitinkamo lygio apsauga, iš esmės lygiavertė Sąjungoje garantuojamai apsaugai, visų pirma tada, kai asmens duomenys tvarkomi viename ar keliuose nurodytuose sektoriuose.
Visų pirma trečioji valstybė turėtų užtikrinti veiksmingą nepriklausomą duomenų apsaugos priežiūrą ir turėtų nustatyti bendradarbiavimo su valstybių narių duomenų apsaugos institucijomis mechanizmus, o duomenų subjektams turėtų būti užtikrintos veiksmingos bei įgyvendinamos teisės ir galimybė naudotis veiksmingomis administracinėmis ir teisminėmis teisių gynimo priemonėmis;

- = -

(110) įmonių grupė arba bendrą ekonominę veiklą vykdanti įmonių grupė turėtų galėti remtis patvirtintomis įmonėms privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos organizacijoms toje pačioje įmonių grupėje arba bendrą ekonominę veiklą vykdančioje įmonių grupėje, jei tokiose įmonių taisyklėse įtvirtinti visi svarbiausi principai ir vykdytinos teisės, kuriais užtikrinamos tinkamos asmens duomenų perdavimo ar atskirų kategorijų duomenų perdavimo apsaugos priemonės;

- = -

(115) kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą.
Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis.
Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą.
Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias valstybes taikomos šiame reglamente nustatytos sąlygos.
Taip gali būti, inter alia, jeigu atskleisti duomenis būtina dėl svarbios Sąjungos ar valstybės narės teisėje, taikytinoje duomenų valdytojui, pripažintos viešojo intereso priežasties;

- = -

(116) kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo.
Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų.
Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai.
Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis ir kartu su jais atlikti tyrimus.
Siekiant sukurti tarptautinius bendradarbiavimo mechanizmus, kuriais būtų palengvinama ir teikiama tarptautinė savitarpio pagalba asmens duomenų apsaugai skirtų teisės aktų įgyvendinimo užtikrinimo srityje, Komisija ir priežiūros institucijos turėtų keistis informacija ir bendradarbiauti su kompetentingomis valdžios institucijomis trečiosiose valstybėse vykdant su jų įgaliojimų įgyvendinimu susijusią veiklą, remiantis abipusiškumo principu ir laikantis šio reglamento;

- = -

(122) kiekviena priežiūros institucija savo valstybės narės teritorijoje turėtų turėti kompetenciją naudotis pagal šį reglamentą jai suteiktais įgaliojimais ir vykdyti pagal šį reglamentą jai pavestas užduotis.
Visų pirma tai turėtų apimti duomenų tvarkymą, kai duomenų valdytojo arba duomenų tvarkytojo buveinė vykdo veiklą jo valstybės narės teritorijoje, asmens duomenų tvarkymą, kurį atlieka viešajam interesui atstovaujančios valdžios institucijos arba privačios įstaigos, duomenų tvarkymą, darantį poveikį duomenų subjektams jos teritorijoje, arba duomenų tvarkymą, kurį atlieka Sąjungoje neįsisteigęs duomenų valdytojas ar duomenų tvarkytojas, kai imasi veiksmų jos teritorijoje gyvenančių duomenų subjektų atžvilgiu.
Taip turėtų būti nagrinėjami duomenų subjekto pateikti skundai, atliekami tyrimai dėl šio reglamento taikymo, ir skatinamas visuomenės informuotumas apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises;

- = -

(124) jeigu asmens duomenys yra tvarkomi, kai duomenų valdytojo arba duomenų tvarkytojo buveinė vykdo veiklą Sąjungoje ir duomenų valdytojas ar duomenų tvarkytojas yra įsisteigęs daugiau nei vienoje valstybėje narėje, arba jeigu duomenų tvarkymas duomenų valdytojo arba duomenų tvarkytojo vienintelei buveinei vykdant veiklą Sąjungoje daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, duomenų valdytojo ar duomenų tvarkytojo pagrindinės buveinės arba duomenų valdytojo ar duomenų tvarkytojo vienintelės buveinės priežiūros institucija turėtų veikti kaip vadovaujanti institucija.
Ji turėtų bendradarbiauti su kitomis susijusiomis institucijomis dėl to, kad jų valstybės narės teritorijoje yra duomenų valdytojo ar duomenų tvarkytojo buveinė, kad jų teritorijoje gyvenantiems duomenų subjektams daromas didelis poveikis arba kad joms buvo pateiktas skundas.
Be to, jeigu skundą pateikė duomenų subjektas, kuris negyvena toje valstybėje narėje, priežiūros institucija, kuriai buvo pateiktas toks skundas, taip pat turėtų būti susijusi priežiūros institucija.
Vykdydama savo užduotį skelbti gaires bet kuriuo klausimu, susijusiu su šio reglamento taikymu, Valdyba turėtų galėti paskelbti gaires visų pirma dėl kriterijų, į kuriuos turi būti atsižvelgta siekiant įsitikinti, ar atitinkamas duomenų tvarkymas daro didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, ir dėl to, kas laikoma tinkamu ir pagrįstu prieštaravimu;

- = -

(125) vadovaujanti institucija turėtų būti kompetentinga priimti privalomus sprendimus dėl priemonių, taikydama pagal šį reglamentą jai suteiktus įgaliojimus.
Vykdydama vadovaujančios institucijos funkcijas, priežiūros institucija turėtų į sprendimo priėmimo procesą aktyviai įtraukti susijusias priežiūros institucijas ir koordinuoti jų veiklą.
Kai nusprendžiama visiškai arba iš dalies atmesti duomenų subjekto skundą, tą sprendimą turėtų priimti ta priežiūros institucija, kuriai skundas buvo pateiktas;

- = -

dal 2004 diritto e informatica