interactive GDPR 2016/0679 LT

1. Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.

2. Duomenų valdytojas sudaro palankesnes sąlygas naudotis 15–22 straipsniuose nustatytomis duomenų subjekto teisėmis. 11 straipsnio 2 dalyje nurodytais atvejais duomenų valdytojas neatsisako imtis veiksmų pagal duomenų subjekto prašymą pasinaudoti teisėmis pagal 15–22 straipsnius, nebent duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.

3. Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 15–22 straipsnius. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

4. Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.

5. Pagal 13 ir 14 straipsnius teikiama informacija ir visi pranešimai bei visi veiksmai pagal 15–22 ir 34 straipsnius yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali arba:

a)	imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba

b)	gali atsisakyti imtis veiksmų pagal prašymą.

Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

6. Nedarant poveikio 11 straipsniui, kai duomenų valdytojas turi pagrįstų abejonių dėl 15–21 straipsniuose nurodytą prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

7. Informacija, kuri duomenų subjektams turi būti teikiama pagal 13 ir 14 straipsnius, gali būti teikiama su standartizuotomis piktogramomis siekiant, kad numatomas duomenų tvarkymas būtų prasmingai apibendrintas lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Kai piktogramos pateikiamos elektronine forma, jos turi būti kompiuterio skaitomos.

8. Komisijai pagal 92 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, kuriais siekiama nustatyti, kokia informacija turi būti pateikta piktogramomis, ir nustatyti standartizuotų piktogramų pateikimo procedūras.

2 skirsnis

Informavimas ir teisė susipažinti su asmens duomenimis

14 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1. Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)	duomenų valdytojo ir duomenų valdytojo atstovo, jei taikoma, tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	atitinkamų asmens duomenų kategorijas;

e)	jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

c)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į į duomenų perkeliamumą;

d)	kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

e)	teisę pateikti skundą priežiūros institucijai;

f)	koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

g)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)	per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)	jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

c)	jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4. Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5. 1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)	duomenų subjektas jau turi informacijos;

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalyje nurodytų sąlygų ir apsaugos priemonių arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;

c)	duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba

d)	kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.

21 straipsnis

Teisė nesutikti

1. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2. Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.

3. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.

4. Duomenų subjektas apie 1 ir 2 dalyse nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

5. Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant Direktyvos 2002/58/EB, duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis, kurioms naudojamos techninės specifikacijos.

6. Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 straipsnio 1 dalį, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

34 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3. 1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)	duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)	tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 skirsnis

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

36 straipsnis

Išankstinės konsultacijos

1. Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, konsultuojasi su priežiūros institucija, jeigu pagal 35 straipsnį poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.

2. Jeigu priežiūros institucija laikosi nuomonės, kad 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį reglamentą, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, priežiūros institucija ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratesimą per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. Tie laikotarpiai gali būti sustabdyti iki priežiūros institucija gavus informaciją, kurios ji buvo paprašiusi konsultacijų tikslais.

3. Konsultuodamasis su priežiūros institucija pagal 1 dalį, duomenų valdytojas priežiūros institucijai nurodo:

a)	kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis, visų pirma, kai duomenys tvarkomi įmonių grupėje;

b)	numatyto duomenų tvarkymo tikslus ir priemones;

c)	nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal šį reglamentą;

d)	kai taikoma, duomenų apsaugos pareigūno kontaktinius duomenis;

e)	35 straipsnyje numatytą poveikio duomenų apsaugai vertinimą; ir

f)	bet kokią kitą priežiūros institucijos prašomą informaciją.

4. Valstybės narės, rengdamos pasiūlymą dėl teisėkūros priemonės, kurią turi priimti nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su duomenų tvarkymu, konsultuojasi su priežiūros institucija.

5. Nepaisant 1 dalies, pagal valstybės narės teisę gali būti reikalaujama, kad duomenų valdytojai konsultuotųsi su priežiūros institucija ir gautų jos išankstinį leidimą dėl duomenų valdytojo atliekamo duomenų tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas vykdo dėl viešojo intereso, įskaitant duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos srityje.

4 skirsnis

Duomenų apsaugos pareigūnas

51 straipsnis

Priežiūros institucija

1. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – priežiūros institucija).

2. Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija vadovaudamosi VII skyriumi.

3. Jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri turi atstovauti toms institucijoms Valdyboje, ir nustato mechanizmą, kuriuo būtų užtikrinta, kad kitos institucijos laikytųsi su 63 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusių taisyklių.

4. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai apie teisės aktų nuostatas, kurias ji priima pagal šį skyrių, ir nedelsdama praneša apie visus vėlesnius toms nuostatoms įtakos turinčius pakeitimus.

61 straipsnis

Savitarpio pagalba

1. Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir vykdyti konsultacijas, patikrinimus ir tyrimus.

2. Kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad atsakytų į kitos priežiūros institucijos prašymą nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo jo gavimo. Tokios priemonės visų pirma gali būti reikšmingos informacijos apie tyrimo eigą persiuntimas.

3. Pagalbos prašymuose nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Informacija, kuria pasikeista, naudojama tik tam tikslui, kuriam jos buvo prašoma.

4. Prašymą gavusi priežiūros institucija negali atsisakyti prašymo patenkinti, išskyrus atvejus, kai:

a)	ji nėra kompetentinga prašymo dalyko arba priemonių, kurias jos prašoma vykdyti, srityje; arba

b)	prašymo patenkinimas pažeistų šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma prašymą gaunančiai priežiūros institucijai.

5. Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie rezultatus arba, atitinkamai, pažangą arba priemones, kurių imtasi siekiant į jį atsakyti. Prašymą gavusi priežiūros institucija bet kurio atsisakymo pagal 4 dalį atveju pateikia atsisakymo patenkinti prašymą priežastis.

6. Prašymą gavusi priežiūros institucijos paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamosi standartizuota forma.

7. Prašymą gavusios priežiūros institucijos už veiksmus, kurių imamasi gavus savitarpio pagalbos prašymą, mokesčio neima. Priežiūros institucijos gali dėl taisyklių, reglamentuojančių viena kitai mokamą kompensaciją už konkrečias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

8. Jeigu priežiūros institucija nepateikia šio straipsnio 5 dalyje nurodytos informacijos per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, prašymą pateikusi priežiūros institucija gali pagal 55 straipsnio 1 dalį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės imtis skubių veiksmų sąlygos ir reikalingas skubus privalomas Valdybos sprendimas pagal 66 straipsnio 2 dalį.

9. Komisija gali įgyvendinimo aktais nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formą ir procedūras ir priežiūros institucijų tarpusavio, taip pat priežiūros institucijų ir Valdybos keitimosi informacija elektroninėmis priemonėmis tvarką, visų pirma šio straipsnio 6 dalyje nurodytą standartizuotą formą. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

65 straipsnis

Europos duomenų apsaugos valdybos sprendžiami ginčai

1. Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)	jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

c)	jeigu kompetentinga priežiūros institucija neprašo Valdybos pateikti nuomonę 64 straipsnio 1 dalyje nurodytais atvejais arba nesilaiko pagal 64 straipsnį pateiktos Valdybos nuomonės. Tuo atveju bet kuri susijusi priežiūros institucija arba Komisija gali pranešti apie šį klausimą Valdybai.

2. 1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma priimamas per vieną mėnesį nuo dalyko pateikimo. Dėl dalyko sudėtingumo tas laikotarpis gali būti pratęstas dar vienam mėnesiui. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

3. Jei valdybai nepavyko priimti sprendimo per 2 dalyje nurodytus laikotarpius, ji sprendimą priima paprasta valdybos narių balsų dauguma per dvi savaites nuo 2 dalyje nurodyto antrojo mėnesio pabaigos. Jei valdybos narių balsai pasidalija po lygiai, sprendimą lemia jos pirmininko balsas.

4. Per 2 ir 3 dalyse nurodytus laikotarpius susijusios priežiūros institucijos nepriima sprendimo dėl pagal 1 dalį valdybai pateikto dalyko.

5. Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, praneša Valdybai jos galutinio sprendimo pranešimo atitinkamai duomenų valdytojui arba duomenų tvarkytojui ir duomenų subjektui datą. Susijusių priežiūros institucijų galutinis sprendimas priimamas laikantis 60 straipsnio 7, 8 ir 9 dalyse išdėstytų sąlygų. Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.

83 straipsnis

Bendrosios administracinių baudų skyrimo sąlygos

1. Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2. Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)	pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)	tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;

c)	bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

d)	duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;

e)	bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus;

f)	bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

g)	asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

h)	tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu);

i)	jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių;

j)	ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir

k)	kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

3. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

4. Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	duomenų valdytojo ir duomenų tvarkytojo prievoles 8, 11, 25-39 ir 42 bei 43 straipsnius;

b)	sertifikavimo įstaigos prievoles pagal 42 ir 43 straipsnius;

c)	stebėsenos įstaigos prievoles pagal 41 straipsnio 4 dalį;

5. Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

b)	duomenų subjekto teises pagal 12–22 straipsnius;

c)	asmens duomenų perdavimą duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 44–49 straipsnius;

d)	prievoles pagal valstybės narės teisės aktus, priimtus pagal IX skyrių;

e)	jei nesilaikoma priežiūros institucijos nurodymo arba laikino ar nuolatinio duomenų tvarkymo apribojimo arba duomenų srautų sustabdymo pagal 58 straipsnio 2 dalį arba nesuteikiama prieigos galimybė pažeidžiant 58 straipsnio 1 dalį;

6. Jei nesilaikoma 58 straipsnio 2 dalyje nurodyto priežiūros institucijos nurodymo, pagal šio straipsnio 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

7. Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsisteigusioms toje valstybėje narėje.

8. Priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

9. Jei valstybės narės teisės sistemoje nenumatoma administracinių baudų, šis straipsnis gali būti taikomas taip, kad baudą inicijuotų kompetentinga priežiūros institucija, o ją skirtų kompetentingi nacionaliniai teismai, kartu užtikrinant, kad tos teisių gynimo priemonės būtų veiksmingos ir turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį. Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos. Tos valstybės narės ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias jos priima pagal šią dalį, ir nedelsdamos praneša vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

84 straipsnis

Sankcijos

1. Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.

2. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

IX SKYRIUS

Nuostatos, susijusios su konkrečiais duomenų tvarkymo atvejais

88 straipsnis

Duomenų tvarkymas su darbo santykiais susijusiame kontekste

1. Valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius.

2. Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje.

3. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.

90 straipsnis

Prievolės saugoti paslaptį

1. Valstybės narės gali priimti specialias taisykles ir jose išdėstyti 58 straipsnio 1 dalies e ir f punktuose nustatytus priežiūros institucijų įgaliojimus dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma prievolė saugoti profesinę paslaptį arba kitos lygiavertės prievolės saugoti paslaptį, jeigu tai būtina ir proporcinga siekiant suderinti teisę į asmens duomenų apsaugą su prievole saugoti paslaptį. Tos taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma ta prievolė saugoti paslaptį.

2. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai taisykles, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis taisyklėmis susijusius pakeitimus.

97 straipsnis

Komisijos ataskaitos

1. Ne vėliau kaip 2020 m. gegužės 25 d. ir vėliau kas ketverius metus Komisija teikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitas. Ataskaitos skelbiamos viešai.

2. Atlikdama 1 dalyje nurodytus įvertinimus ir peržiūras, Komisija visų pirma išnagrinėja, kaip taikomos ir kaip veikia:

a)	V skyriaus nuostatos dėl asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms, ypatingą dėmesį skiriant sprendimams, priimtiems pagal šio reglamento 45 straipsnio 3 dalį, ir sprendimams, priimtiems remiantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi;

b)	VII skyriaus nuostatos dėl bendradarbiavimo ir nuoseklumo.

3. 1 dalies tikslu Komisija gali prašyti valstybių narių ir priežiūros institucijų pateikti informaciją.

4. Atlikdama 1 ir 2 dalyse nurodytą vertinimą ir peržiūrą, Komisija atsižvelgia į Europos Parlamento, Tarybos, taip pat kitų svarbių įstaigų ar šaltinių nuomones ir išvadas.

5. Prireikus Komisija pateikia tinkamus pasiūlymus iš dalies pakeisti šį reglamentą, visų pirma atsižvelgdama į informacinių technologijų raidą ir informacinės visuomenės pažangą.

whereas

(24) šis reglamentas taip pat turėtų būti taikomas Sąjungoje esančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, tvarkymui, kai duomenų tvarkymas susijęs su tokių duomenų subjektų elgesio tiek, kiek jų elgesys vyksta Sąjungoje, stebėsena.
Siekiant nustatyti, ar duomenų tvarkymo veikla gali būti laikoma duomenų subjektų elgesio stebėsena, reikėtų įsitikinti, ar fiziniai asmenys internete atsekami, be kita ko, vėliau galbūt taikant asmens duomenų tvarkymo metodus, kuriais fiziniam asmeniui suteikiamas profilis, ypač siekiant priimti su juo susijusius sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį ir požiūrius;

- = -

(59) turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis pagal šį reglamentą, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais visų pirma nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti.
Duomenų valdytojas taip pat turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu.
Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų;

- = -

(65) duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui.
Visų pirma duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento.
Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti.
Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas.
Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

- = -

(81) siekiant užtikrinti, kad būtų laikomasi šio reglamento reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo.
Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo, gali būti remiamasi kaip vienu iš aspektų siekiant įrodyti, kad duomenų valdytojas vykdo prievoles.
Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuriais nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.
Duomenų valdytojas ir duomenų tvarkytojas gali pasirinkti naudoti atskirą sutartį arba standartines sutarčių sąlygas, kurias patvirtina tiesiogiai Komisija arba priežiūros institucija pagal nuoseklumo užtikrinimo mechanizmą, o vėliau patvirtina Komisija.
Užbaigęs duomenų tvarkymą duomenų valdytojo vardu, duomenų tvarkytojas turėtų pagal duomenų valdytojo sprendimą grąžinti arba ištrinti asmens duomenis, išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma asmens duomenų tvarkytojui, yra nustatytas reikalavimas šiuos duomenis saugoti;

- = -

(146) bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas.
Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai.
Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo.
Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybėje narės teisėje nustatytas taisykles.
Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją.
Kai duomenų valdytojai ar duomenų tvarkytojai yra susiję su tuo pačiu duomenų tvarkymo atveju, turėtų būti laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingas už visą žalą.
Tačiau kai jie yra įtraukti į tą pačią teismo bylą laikantis valstybės narės teisės, kompensacija gali būti proporcingai padalyta pagal kiekvieno duomenų valdytojo arba duomenų tvarkytojo atsakomybę už žalą, padarytą tvarkant asmens duomenis, su sąlyga, kad užtikrinama visa ir veiksminga kompensacija žalą patyrusiam duomenų subjektui.
Bet kuris duomenų valdytojas ar duomenų tvarkytojas, kuris sumokėjo visą kompensaciją, gali vėliau pareikšti atgręžtinį reikalavimą kitiems su tuo pačiu duomenų tvarkymo atveju susijusiems duomenų valdytojams arba duomenų tvarkytojams;

- = -

dal 2004 diritto e informatica