interactive GDPR 2016/0679 LT

1. Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)	duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

b)	duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius;

c)	duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla;

d)	duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.

3. Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas Reglamentas (EB) Nr. 45/2001. Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, pagal 98 straipsnį pritaikomi pagal šio reglamento principus ir taisykles.

4. Šis reglamentas nedaro poveikio Direktyvos 2000/31/EB, visų pirma tos direktyvos 12–15 straipsniuose nustatytų taisyklių dėl tarpininkavimo paslaugų teikėjų atsakomybės, taikymui.

6 straipsnis

Tvarkymo teisėtumas

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

2. Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)	Sąjungos teisėje; arba

b)	duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)	aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)	asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)	numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)	tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

17 straipsnis

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)	asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

b)	asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)	asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;

d)	asmens duomenys buvo tvarkomi neteisėtai;

e)	asmens duomenys turi būti ištrinti laikantis Sąjungos arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;

f)	asmens duomenys buvo surinkti 8 straipsnio 1 dalyje nurodyto informacinės visuomenės paslaugų siūlymo kontekste.

2. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

3. 1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

a)	siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

b)	siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

c)	dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 9 straipsnio 2 dalies h bei i punktus ir 9 straipsnio 3 dalį;

d)	archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalies, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba

e)	siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

20 straipsnis

Teisė į duomenų perkeliamumą

1. Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

a)	duomenų tvarkymas yra grindžiamas sutikimu pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą; ir

b)	duomenys yra tvarkomi automatizuotomis priemonėmis.

2. Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

3. Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 17 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

4. 1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

4 skirsnis

Teisė nesutikti ir automatizuotas atskirų sprendimų priėmimas

31 straipsnis

Bendradarbiavimas su priežiūros institucija

Duomenų valdytojas ir duomenų tvarkytojas, taip pat, jei taikoma, jų atstovai, gavę prašymą bendradarbiauja su priežiūros institucija jai vykdant savo užduotis.

2 skirsnis

Asmens duomenų saugumas

35 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2. Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3. 1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4. Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5. Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6. Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7. Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8. Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9. Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10. Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11. Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

60 straipsnis

Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas

1. Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

2. Vadovaujanti priežiūros institucija bet kuriuo metu gali paprašyti kitų susijusių priežiūros institucijų teikti savitarpio pagalbą pagal 61 straipsnį ir gali vykdyti bendras operacijas pagal 62 straipsnį, visų pirma atliekant tyrimus arba stebint su kitoje valstybėje narėje įsisteigusiu duomenų valdytoju ar duomenų tvarkytoju susijusios priemonės įgyvendinimą.

3. Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

4. Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5. Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

6. Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

7. Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

8. Nukrypstant nuo 7 dalies, jeigu skundas nepriimamas arba atmetamas, priežiūros institucija, kuriai skundas buvo pateiktas, priima sprendimą, praneša jį skundo pateikėjui ir informuoja apie tai duomenų valdytoją.

9. Jeigu vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos sutinka, kad tam tikros skundo dalys turi būti nepriimtos arba atmestos, o dėl kitų to skundo dalių reikia imtis veiksmų, dėl kiekvienos iš tų skundo dalių priimami atskiri sprendimai. Vadovaujanti priežiūros institucija priima sprendimą dėl skundo dalies dėl su duomenų valdytoju susijusių veiksmų, praneša jį duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei savo valstybės narės teritorijoje ir apie tai informuoja skundo pateikėją, o skundo pateikėjo priežiūros institucija priima sprendimą, susijusį su to skundo dalies nepriėmimu arba atmetimu, ir praneša jį tam skundo pateikėjui, taip pat apie tai informuoja duomenų valdytoją arba duomenų tvarkytoją.

10. Duomenų valdytojas arba duomenų tvarkytojas, pagal 7 ir 9 dalis gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.

11. Tais atvejais, kai, išimtinėmis aplinkybėmis, susijusi priežiūros institucija turi priežasčių manyti, kad reikia skubiai imtis veiksmų duomenų subjektų interesams apsaugoti, taikoma 66 straipsnyje nurodyta skubos procedūra.

12. Vadovaujanti priežiūros institucija ir kitos susijusios priežiūros institucijos pagal šį straipsnį privalomą informaciją viena kitai teikia elektroninėmis priemonėmis, naudodamosi standartizuota forma.

62 straipsnis

Priežiūros institucijų bendros operacijos

1. Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2. Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. Priežiūros institucija, kuri yra kompetentinga pagal 56 straipsnio 1 dalį arba 4 dalį, pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo.

3. Priežiūros institucija, laikydamasi valstybės narės teisės ir komandiruojančiajai priežiūros institucijai leidus, gali suteikti įgaliojimus, be kita ko, tyrimo įgaliojimus, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu tai leidžiama priimančiosios priežiūros institucijos valstybės narės teisės aktais, leisti komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo tyrimo įgaliojimais pagal komandiruojančiosios priežiūros institucijos valstybės narės teisės aktus. Tokiais tyrimo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos valstybės narės teisė.

4. Tais atvejais, kai pagal 1 dalį komandiruojančiosios priežiūros institucijos darbuotojai vykdo veiklą kitoje valstybėje narėje, priimančiosios priežiūros institucijos valstybė narė prisiima atsakomybę už jų veiksmus, įskaitant atsakomybę už bet kokią jiems vykdant veiklą padarytą žalą, pagal valstybės narės, kurios teritorijoje jie vykdo veiklą, teisę.

5. Valstybė narė, kurios teritorijoje buvo padaryta žala, ją atlygina tokiomis pačiomis sąlygomis, kuriomis atlygintų savo darbuotojų padarytą žalą. Komandiruojančiosios priežiūros institucijos, kurios darbuotojai kitos valstybės narės teritorijoje padarė žalą bet kuriam asmeniui, valstybė narė grąžina tai kitai valstybei narei visas sumas, jos sumokėtas jų vardu teisę jas gauti turintiems asmenims.

6. Nedarant poveikio naudojimuisi savo teisėmis trečiųjų šalių atžvilgiu ir išskyrus 5 dalyje nurodytą atvejį, 1 dalyje numatytu atveju nė viena valstybė narė nereikalauja kitos valstybės narės atlyginti jos patirtą žalą, nurodytą 4 dalyje.

7. Jeigu ketinama vykdyti bendrą operaciją ir priežiūros institucija per vieną mėnesį neįvykdo šio straipsnio 2 dalies antrame sakinyje nustatytos prievolės, kitos priežiūros institucijos gali pagal 55 straipsnį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės skubiai imtis veiksmų sąlygos ir reikalinga skubi Valdybos nuomonė arba skubus privalomas sprendimas pagal 66 straipsnio 2 dalį.

2 skirsnis

Nuoseklumas

75 straipsnis

Sekretoriatas

1. Valdyba turi sekretoriatą, kurio paslaugas teikia Europos duomenų apsaugos priežiūros pareigūno įstaiga.

2. Sekretoriatas vykdo savo užduotis laikydamasis išmintinai Valdybos pirmininko nurodymų.

3. vykdant šiuo reglamentu Valdybai pavestas užduotis dalyvaujantys Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojai atsiskaito skirtingiems vadovams, nei darbuotojai, vykdantys Europos duomenų apsaugos priežiūros pareigūnui pavestas užduotis.

4. Tam tikrais atvejais Valdyba ir Europos duomenų apsaugos priežiūros pareigūnas parengia ir paskelbia susitarimo memorandumą, kuriuo įgyvendinamas šis straipsnis; jame apibrėžiamos jų bendradarbiavimo sąlygos ir jis taikomas Europos duomenų apsaugos priežiūros pareigūno įstaigos darbuotojams, dalyvaujantiems vykdant šiuo reglamentu Valdybai pavestas užduotis.

5. Sekretoriatas Valdybai teikia analitinę, administracinę ir logistinę paramą.

6. Sekretoriatas visų pirma atsako už:

a)	Valdybos kasdienę veiklą;

b)	Valdybos narių, jos pirmininko ir Komisijos tarpusavio ryšius;

c)	ryšius su kitomis institucijomis ir visuomene;

d)	elektroninių priemonių naudojimą vidaus ir išorės ryšiams palaikyti;

e)	reikšmingos informacijos vertimą;

f)	Valdybos posėdžių rengimą ir su jais susijusią tolesnę veiklą;

g)	su Valdybos priimamomis nuomonėmis, sprendimais dėl priežiūros institucijų ginčų išsprendimo ir kitais tekstais susijusį parengiamąjį darbą, jų rengimą ir paskelbimą.

79 straipsnis

Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją

1. Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.

2. Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, teismuose. Kitu atveju tokia byla gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus.

88 straipsnis

Duomenų tvarkymas su darbo santykiais susijusiame kontekste

1. Valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius.

2. Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje.

3. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

whereas

(3) Europos Parlamento ir Tarybos direktyva 95/46/EB (4) siekiama suderinti fizinių asmenų pagrindinių teisių ir laisvių apsaugą vykdant duomenų tvarkymo veiklą ir užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių;

- = -

(6) dėl sparčios technologinės plėtros ir globalizacijos kyla naujų asmens duomenų apsaugos sunkumų. Žymiai išaugo asmens duomenų rinkimo ir keitimosi jais mastas.
Technologijos leidžia privačioms bendrovėms ir valdžios institucijoms vykdant savo veiklą naudotis asmens duomenimis precedento neturinčiu mastu.
Fiziniai asmenys vis dažniau viešina asmeninę informaciją pasaulio mastu.
Technologijos pakeitė ekonominį ir socialinį gyvenimą ir turėtų sudaryti dar palankesnes sąlygas laisvam asmens duomenų judėjimui Sąjungoje ir jų perdavimui į trečiąsias valstybes bei tarptautinėms organizacijoms, kartu užtikrinant aukštą asmens duomenų apsaugos lygį;

- = -

(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis.
Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas.
Kalbant apie asmens duomenų tvarkymą siekiant laikytis teisinės prievolės, užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimui valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti nacionalines nuostatas, kuriomis konkrečiau apibrėžiamas šiame reglamente nustatytų taisyklių taikymas.
Kartu su bendraisiais ir horizontaliaisiais teisės aktais dėl duomenų apsaugos, kuriais įgyvendinama Direktyva 95/46/EB, valstybės narės turi keletą konkretiems sektoriams skirtų teisės aktų srityse, kuriose reikia konkretesnių nuostatų. Šiuo reglamentu valstybėms narėms taip pat suteikiama tam tikra veiksmų laisvė nustatyti savo taisykles, be kita ko, dėl specialių kategorijų asmens duomenų (neskelbtini duomenys) tvarkymo.
Todėl šiuo reglamentu neužkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo atvejų aplinkybės, be kita ko, tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas;

- = -

(18) šis reglamentas netaikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko vykdydamas grynai asmeninę ar namų ūkio priežiūros veiklą ir nesusiedamas to su profesine ar komercine veikla.
Asmeninę ar namų ūkio priežiūros veiklą gali sudaryti, be kita ko, susirašinėjimas ir adresų saugojimas arba naudojimasis socialiniais tinklais ir internetinė veikla, vykdoma atliekant tokią veiklą.
Tačiau šis reglamentas taikomas duomenų valdytojams arba duomenų tvarkytojams, kurie suteikia priemones asmens duomenų tvarkymui vykdant tokią asmeninę ar namų ūkio priežiūros veiklą;

- = -

(20) nors šis reglamentas, inter alia, taikomas ir teismų bei kitų teisminių institucijų veiklai, Sąjungos ar valstybės narės teisėje galėtų būti nurodytos duomenų tvarkymo operacijos ir duomenų tvarkymo procedūros tvarkant asmens duomenis teismuose bei kitose teisminėse institucijose.
Siekiant apsaugoti teisminių institucijų nepriklausomumą vykdant jų teismines užduotis, įskaitant jų sprendimų priėmimo nepriklausomumą, priežiūros institucijų kompetencijai neturėtų priklausyti asmens duomenų tvarkymas teismams vykdant jų teismines funkcijas.
Tokių duomenų tvarkymo operacijų priežiūrą turėtų būti galima pavesti konkrečioms valstybės narės teismų sistemos įstaigoms; visų pirma jos turėtų užtikrinti, kad būtų laikomasi šiame reglamente nustatytų taisyklių, skatinti teisminių institucijų narių informuotumą apie jų prievoles pagal šį reglamentą ir nagrinėti su tokiomis duomenų tvarkymo operacijomis susijusius skundus;

- = -

(45) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės o Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas.
Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas.
Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos.
Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija;

- = -

(50) asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys.
Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis.
Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos arba valstybės narės teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu.
Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis.
Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas.
Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.

- = -

(51) asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms.
Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą.
Nuotraukų tvarkymas neturėtų būti laikomas sisteminiu specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą.
Tokie asmens duomenys neturėtų būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama šiame reglamente nurodytais konkrečiais atvejais, atsižvelgiant į tai, kad valstybių narių teisėje gali būti numatytos konkrečios nuostatos dėl duomenų apsaugos, siekiant pritaikyti šiame reglamente nustatytų taisyklių dėl teisinės prievolės įvykdymo arba užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimo taikymą.
Kartu su konkrečiais tokio duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis.
Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis;

- = -

(65) duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui.
Visų pirma duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento.
Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti.
Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas.
Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

- = -

(68) kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui.
Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas.
Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį.
Ji neturėtų būti taikoma, jeigu duomenų tvarkymas grindžiamas teisiniu pagrindu nei sutikimas ar sutartis.
Dėl pačios tos teisės esmės ja neturėtų būti naudojamasi prieš duomenų valdytojus, kurie asmens duomenis tvarko vykdydami savo viešąsias pareigas.
Todėl ši teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.
Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos.
Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą.
Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini.
Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

- = -

(69) kai asmens duomenys galėtų būti teisėtai tvarkomi, kadangi duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, arba vadovaujantis duomenų valdytojo arba trečiosios šalies teisėtais interesais, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu.
Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;

- = -

(71) duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas, kuriame gali būti numatyta priemonė, kuria vertinami su juo susiję asmeniniai aspektai, kuri grindžiama tik automatizuotu duomenų tvarkymu, ir kuri jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, tokį kaip automatinio internetinės kredito paraiškos atmetimas ar elektroninio įdarbinimo praktika be žmogaus įsikišimo.
Toks duomenų tvarkymas apima „profiliavimą“, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį.
Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos ar valstybės narės teisėje, kuri taikoma duomenų valdytojui, be kita ko, sukčiavimo ir mokesčių slėpimo stebėsenos ir prevencijos tikslais, laikantis Sąjungos institucijų ar nacionalinių priežiūros įstaigų taisyklių, standartų ir rekomendacijų, ir siekiant užtikrinti duomenų valdytojo suteiktos paslaugos saugumą ir patikimumą, arba kai tai būtina sudarant arba vykdant duomenų subjekto ir duomenų valdytojo sutartį, arba tada, kai duomenų subjektas yra davęs aiškų sutikimą.
Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą.
Tokia priemonė negali būti susijusi su vaiku.

- = -

(77) duomenų valdytojo arba duomenų tvarkytojo atliekamo tinkamų priemonių įgyvendinimo ir šio reglamento laikymosi įrodymo gairės, ypač dėl su duomenų tvarkymu susijusio pavojaus nustatymo, kilmės, pobūdžio, tikimybės ir rimtumo įvertinimo, taip pat geriausios patirties mažinant tą pavojų nustatymo, galėtų būti pateiktos visų pirma patvirtintuose elgesio kodeksuose, patvirtintuose sertifikatuose, Valdybos pateiktose gairėse arba duomenų apsaugos pareigūno pateiktuose nurodymuose.
Valdyba taip pat gali skelbti gaires dėl duomenų tvarkymo operacijų, kurias vykdant neturėtų kilti didelio pavojaus fizinių asmenų teisėms bei laisvėms, ir nurodyti, kokių priemonių gali pakakti norint tokiais atvejais panaikinti tokį pavojų;

- = -

(78) siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant asmens duomenis reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų.
Kad galėtų įrodyti, jog laikosi šio reglamento, duomenų valdytojas turėtų priimti vidaus nuostatas ir įgyvendinti priemones, kuriomis visų pirma būtų paisoma pritaikytosios ir standartizuotosios duomenų apsaugos principų.
Tokios priemonės galėtų apimti, inter alia, kuo mažesnės apimties asmens duomenų tvarkymą, kuo skubesnį pseudonimų suteikimą asmens duomenims, funkcijų ir asmens duomenų tvarkymo skaidrumą, galimybės stebėti duomenų tvarkymą suteikimą duomenų subjektui, galimybės kurti ir tobulinti apsaugos priemones suteikimą duomenų valdytojui.
Plėtojant, kuriant, atrenkant ir naudojant taikomąsias programas, paslaugas ir produktus, kurie grindžiami asmens duomenų tvarkymu arba kurių atveju asmens duomenys yra tvarkomi siekiant įvykdyti tam tikrą užduotį, tokių produktų, paslaugų ir taikomųjų programų gamintojai, kurdami tokius produktus, paslaugas ir taikomąsias programas, turėtų būti skatinami atsižvelgti į teisę į duomenų apsaugą ir, tinkamai atsižvelgiant į techninių galimybių išsivystymo lygį, turėtų būti skatinami užtikrinti, kad duomenų valdytojai ir duomenų tvarkytojai galėtų vykdyti savo duomenų apsaugos prievoles.
vykdant viešuosius konkursus turėtų būti taip pat atsižvelgiama į pritaikytosios ir standartizuotosios duomenų apsaugos principus;

- = -

(80) kai Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kurio duomenų tvarkymo veikla susijusi su prekių ar paslaugų siūlymu, tokiems duomenų subjektams Sąjungoje, nepaisant to, ar reikalaujama, kad duomenų subjektas atliktų mokėjimą, arba jų elgesio, jei jie veikia Sąjungoje, stebėsenai vykdyti, duomenų valdytojas arba duomenų tvarkytojas turėtų paskirti atstovą, nebent duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų asmens duomenų tvarkymo dideliu mastu ar asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojaus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus arba jei duomenų valdytojas yra valdžios institucija ar įstaiga.
Atstovas turėtų veikti duomenų valdytojo arba duomenų tvarkytojo vardu ir į jį gali kreiptis bet kuri priežiūros institucija.
Atstovą duomenų valdytojas arba duomenų tvarkytojas turėtų aiškiai paskirti rašytiniu įgaliojimu veikti jo vardu vykdant jo prievoles pagal šį reglamentą.
Paskiriant tokį atstovą nedaromas poveikis duomenų valdytojo ar duomenų tvarkytojo atsakomybei pagal šį reglamentą.
Toks atstovas turėtų vykdyti užduotis pagal iš duomenų valdytojo ar duomenų tvarkytojo gautą įgaliojimą, be kita ko, bendradarbiauti su kompetentingomis priežiūros institucijomis imantis bet kokių veiksmų, kad būtų užtikrintas šio reglamento laikymasis.
Paskirtam atstovui turėtų būti taikomi reikalavimų laikymosi užtikrinimo veiksmai tais atvejais, kai duomenų valdytojas ar duomenų tvarkytojas nesilaiko reikalavimų;

- = -

(84) siekiant užtikrinti, kad šio reglamento būtų geriau laikomasi, kai vykdant duomenų tvarkymo operacijas gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turėtų būti atsakingas už poveikio duomenų apsaugai vertinimo atlikimą, kad būtų įvertinta visų pirma to pavojaus kilmė, pobūdis, specifika ir rimtumas. Į šio vertinimo rezultatus turėtų būti atsižvelgta nustatant tinkamas priemones, kurių būtų imtasi siekiant įrodyti, kad asmens duomenų tvarkymas vykdomas laikantis šio reglamento.
Kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad duomenų tvarkymo operacijos susijusios su dideliu pavojumi, kurio duomenų valdytojas negali sumažinti tinkamomis priemonėmis, atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymą turėtų būti konsultuojamasi su priežiūros institucija;

- = -

(91) tai visų pirma turėtų būti taikoma didelio masto duomenų tvarkymo operacijoms, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų, pavyzdžiui, dėl jų jautraus pobūdžio, kai atsižvelgiant į pasiektą technologinių žinių lygį nauja technologija yra naudojama dideliu mastu, taip pat taikoma kitoms duomenų tvarkymo operacijoms, kurios kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, visų pirma, kai duomenų subjektams dėl šių operacijų yra sunkiau naudotis savo teisėmis.
Poveikio duomenų apsaugai vertinimas taip pat turėtų būti atliktas tais atvejais, kai asmens duomenys yra tvarkomi siekiant priimti sprendimus dėl konkrečių fizinių asmenų atlikus su fiziniais asmenimis susijusį sistemingą ir plataus masto asmeninių aspektų įvertinimą, remiantis tų duomenų profiliavimu, arba atlikus specialių kategorijų asmens duomenų, biometrinių duomenų ar duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas ar susijusias saugumo priemones tvarkymą.
Poveikio duomenų apsaugai vertinimo taip pat reikalaujama siekiant vykdyti viešų vietų stebėjimą dideliu mastu, ypač naudojant optinius elektroninius prietaisus, arba vykdant kitas operacijas, kurių atveju kompetentinga priežiūros institucija laikosi nuomonės, kad tvarkant duomenis gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, visų pirma dėl to, kad jas vykdant duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis, arba dėl to, kad jos yra vykdomos sistemingai dideliu mastu.
Asmens duomenų tvarkymas neturėtų būti laikomas didelio masto duomenų tvarkymu, jei tai yra atskirų gydytojų, kitų sveikatos priežiūros specialistų pacientų arba teisininko klientų asmens duomenų tvarkymas.
Tokiais atvejais neturėtų būti privaloma atlikti poveikio duomenų apsaugai vertinimo;

- = -

(94) kai iš poveikio duomenų apsaugai vertinimo paaiškėja, kad, nesant apsaugos priemonių, saugumo priemonių ir mechanizmų, skirtų pavojui mažinti, dėl duomenų tvarkymo kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms, ir duomenų valdytojas laikosi nuomonės, jog šis pavojus negali būti sumažintas pagrįstomis priemonėmis atsižvelgiant į turimas technologijas ir įgyvendinimo sąnaudas, prieš pradedant duomenų tvarkymo veiklą turėtų būti konsultuojamasi su priežiūros institucija.
Toks didelis pavojus gali kilti vykdant tam tikros rūšies duomenų tvarkymo veiklą ir tam tikros apimties bei dažnumo duomenų tvarkymo veiklą, dėl kurios taip pat gali būti padaryta žala arba pakenkta fizinio asmens teisėms ir laisvėms.
Priežiūros institucija į prašymą suteikti konsultaciją turėtų atsakyti per nustatytą laikotarpį.
Tačiau tai, kad priežiūros institucija nesureagavo per tą laikotarpį, neturėtų turėti poveikio priežiūros institucijos intervenciniams veiksmams jai vykdant šiame reglamente nustatytas užduotis ir įgaliojimus, įskaitanti įgaliojimą uždrausti duomenų tvarkymo operacijas.
vykdant tą konsultavimosi procesą, priežiūros institucijai gali būti pateikti svarstomo duomenų tvarkymo atžvilgiu atlikto poveikio duomenų apsaugai vertinimo rezultatai, visų pirma priemonės, kuriomis numatoma sumažinti pavojų fizinių asmenų teisėms ir laisvėms;

- = -

(110) įmonių grupė arba bendrą ekonominę veiklą vykdanti įmonių grupė turėtų galėti remtis patvirtintomis įmonėms privalomomis taisyklėmis, taikomomis tarptautiniam duomenų perdavimui iš Sąjungos organizacijoms toje pačioje įmonių grupėje arba bendrą ekonominę veiklą vykdančioje įmonių grupėje, jei tokiose įmonių taisyklėse įtvirtinti visi svarbiausi principai ir vykdytinos teisės, kuriais užtikrinamos tinkamos asmens duomenų perdavimo ar atskirų kategorijų duomenų perdavimo apsaugos priemonės;

- = -

(116) kai asmens duomenys perduodami iš vienos valstybės į kitą už Sąjungos ribų, asmenims gali būti daug sunkiau pasinaudoti teisėmis į duomenų apsaugą, visų pirma apsisaugoti nuo neteisėto tų duomenų naudojimo arba atskleidimo.
Be to, priežiūros institucijos gali nesugebėti nagrinėti skundų ar vykdyti tyrimų, susijusių su veikla už jų valstybės sienų.
Jų pastangoms bendradarbiauti tarpvalstybiniu mastu taip pat gali kliudyti nepakankami įgaliojimai imtis prevencinių ar taisomųjų veiksmų, nenuoseklus teisinis reglamentavimas ir praktinės kliūtys, pavyzdžiui, riboti ištekliai.
Todėl reikia skatinti glaudesnį duomenų apsaugos priežiūros institucijų bendradarbiavimą siekiant padėti joms keistis informacija su užsienio kolegomis ir kartu su jais atlikti tyrimus.
Siekiant sukurti tarptautinius bendradarbiavimo mechanizmus, kuriais būtų palengvinama ir teikiama tarptautinė savitarpio pagalba asmens duomenų apsaugai skirtų teisės aktų įgyvendinimo užtikrinimo srityje, Komisija ir priežiūros institucijos turėtų keistis informacija ir bendradarbiauti su kompetentingomis valdžios institucijomis trečiosiose valstybėse vykdant su jų įgaliojimų įgyvendinimu susijusią veiklą, remiantis abipusiškumo principu ir laikantis šio reglamento;

- = -

(124) jeigu asmens duomenys yra tvarkomi, kai duomenų valdytojo arba duomenų tvarkytojo buveinė vykdo veiklą Sąjungoje ir duomenų valdytojas ar duomenų tvarkytojas yra įsisteigęs daugiau nei vienoje valstybėje narėje, arba jeigu duomenų tvarkymas duomenų valdytojo arba duomenų tvarkytojo vienintelei buveinei vykdant veiklą Sąjungoje daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, duomenų valdytojo ar duomenų tvarkytojo pagrindinės buveinės arba duomenų valdytojo ar duomenų tvarkytojo vienintelės buveinės priežiūros institucija turėtų veikti kaip vadovaujanti institucija.
Ji turėtų bendradarbiauti su kitomis susijusiomis institucijomis dėl to, kad jų valstybės narės teritorijoje yra duomenų valdytojo ar duomenų tvarkytojo buveinė, kad jų teritorijoje gyvenantiems duomenų subjektams daromas didelis poveikis arba kad joms buvo pateiktas skundas.
Be to, jeigu skundą pateikė duomenų subjektas, kuris negyvena toje valstybėje narėje, priežiūros institucija, kuriai buvo pateiktas toks skundas, taip pat turėtų būti susijusi priežiūros institucija.
Vykdydama savo užduotį skelbti gaires bet kuriuo klausimu, susijusiu su šio reglamento taikymu, Valdyba turėtų galėti paskelbti gaires visų pirma dėl kriterijų, į kuriuos turi būti atsižvelgta siekiant įsitikinti, ar atitinkamas duomenų tvarkymas daro didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje, ir dėl to, kas laikoma tinkamu ir pagrįstu prieštaravimu;

- = -

(145) ieškinio duomenų valdytojui arba duomenų tvarkytojui atveju ieškovas turėtų turėti galimybę jį pareikšti valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas turi buveinę arba kurioje duomenų subjektas gyvena, teismuose, nebent duomenų valdytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus;

- = -

dal 2004 diritto e informatica