interactive GDPR 2016/0679 LT

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

3)	duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

6)	susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

8)	duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

10)	trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

11)	duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

12)	asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

13)	genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

14)

biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

15)	sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

16)

pagrindinė buveinė –

duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine;

duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, arba jeigu duomenų tvarkytojas neturi centrinės administracijos Sąjungoje – duomenų tvarkytojo buveinė Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė vykdydama savo veiklą tvarko duomenis tiek, kiek duomenų tvarkytojui taikomos konkrečios prievolės pagal šį reglamentą;

17)	atstovas – Sąjungoje įsisteigęs, duomenų valdytojo arba duomenų tvarkytojo raštu pagal 27 straipsnį paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su jų atitinkamomis prievolėmis pagal šį reglamentą, atstovauja duomenų valdytojui arba duomenų tvarkytojui;

18)	įmonė – bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;

19)	įmonių grupė – kontroliuojančioji įmonė ir jos kontroliuojamos įmonės;

20)

įmonei privalomos taisyklės – asmens duomenų apsaugos politikos nuostatos, kurių valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas laikosi, perduodamas asmens duomenis arba atlikdamas perdavimų seką vienos ar daugiau trečiųjų valstybių duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei;

21)	priežiūros institucija – valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

22)

susijusi priežiūros institucija – priežiūros institucija, kuri yra susijusi su asmens duomenų tvarkymu dėl to, kad:

a)	duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs tos priežiūros institucijos valstybės narės teritorijoje,

b)	duomenų tvarkymas daro arba gali padaryti didelį poveikį tos priežiūros institucijos valstybėje narėje gyvenantiems duomenų subjektams; arba

c)	skundas buvo pateiktas tai priežiūros institucijai;

23)

tarpvalstybinis duomenų tvarkymas –

vienas iš toliau nurodytų:

a)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

b)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

24)

tinkamas ir pagrįstas prieštaravimas – prieštaravimas sprendimo projektui dėl to, ar buvo padarytas šio reglamento pažeidimas, arba, ar numatomas veiksmas, susijęs su duomenų valdytoju arba duomenų tvarkytoju, atitinka šį reglamentą, kuris aiškiai parodo sprendimo projekto keliamų pavojų duomenų subjektų pagrindinėms teisėms ir laisvėms ir, kai taikoma, laisvam asmens duomenų judėjimui Sąjungoje, reikšmingumą;

25)	informacinės visuomenės paslauga – paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 (19) 1 straipsnio 1 dalies b punkte;

26)	tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, ar bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

II SKYRIUS

Principai

5 straipsnis

Su asmens duomenų tvarkymu susiję principai

1. Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

6 straipsnis

Tvarkymo teisėtumas

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

2. Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)	Sąjungos teisėje; arba

b)	duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)	aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)	asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)	numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)	tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

10 straipsnis

Asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas

Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones remiantis 6 straipsnio 1 dalimi tvarkomi tik prižiūrint valdžios institucijai arba kai duomenų tvarkymas leidžiamas Sąjungos arba valstybės narės teise, kurioje nustatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės. Bet kuris išsamus apkaltinamųjų nuosprendžių duomenų registras tvarkomas tik prižiūrint valdžios institucijai.

13 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto

1. Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

a)	duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

e)	jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;

c)	kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

d)	teisę pateikti skundą priežiūros institucijai;

e)	tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

f)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

4. 1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

14 straipsnis

Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto

1. Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

a)	duomenų valdytojo ir duomenų valdytojo atstovo, jei taikoma, tapatybę ir kontaktinius duomenis;

b)	duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	atitinkamų asmens duomenų kategorijas;

e)	jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti gavėjui trečiojoje valstybėje arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, o 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.

2. Be 1 dalyje nurodytos informacijos, duomenų valdytojas pateikia duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui duomenų subjekto atžvilgiu užtikrinti:

a)	asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

b)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

c)	teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į į duomenų perkeliamumą;

d)	kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

e)	teisę pateikti skundą priežiūros institucijai;

f)	koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;

g)	tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

3. Duomenų valdytojas 1 ir 2 dalyse nurodytą informaciją pateikia:

a)	per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

b)	jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

c)	jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

4. Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją, kaip nurodyta 2 dalyje.

5. 1–4 dalys netaikomos, jeigu ir tiek, kiek:

a)	duomenų subjektas jau turi informacijos;

tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalyje nurodytų sąlygų ir apsaugos priemonių arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;

c)	duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba

d)	kai asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.

17 straipsnis

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)	asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

b)	asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

c)	asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;

d)	asmens duomenys buvo tvarkomi neteisėtai;

e)	asmens duomenys turi būti ištrinti laikantis Sąjungos arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;

f)	asmens duomenys buvo surinkti 8 straipsnio 1 dalyje nurodyto informacinės visuomenės paslaugų siūlymo kontekste.

2. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

3. 1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

a)	siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

b)	siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

c)	dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 9 straipsnio 2 dalies h bei i punktus ir 9 straipsnio 3 dalį;

d)	archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalies, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba

e)	siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

18 straipsnis

Teisė apriboti duomenų tvarkymą

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:

a)	asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;

b)	asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c)	duomenų valdytojui nebereikia asmens duomenų duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba

d)	duomenų subjektas pagal 21 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

2. Kai duomenų tvarkymas yra apribotas pagal 1 dalį, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

3. Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal 1 dalį, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

19 straipsnis

Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal 16 straipsnį, 17 straipsnio 1 dalį ir 18 straipsnį, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.

20 straipsnis

Teisė į duomenų perkeliamumą

1. Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

a)	duomenų tvarkymas yra grindžiamas sutikimu pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą; ir

b)	duomenys yra tvarkomi automatizuotomis priemonėmis.

2. Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

3. Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 17 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

4. 1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

4 skirsnis

Teisė nesutikti ir automatizuotas atskirų sprendimų priėmimas

21 straipsnis

Teisė nesutikti

1. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

2. Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.

3. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.

4. Duomenų subjektas apie 1 ir 2 dalyse nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

5. Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant Direktyvos 2002/58/EB, duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis, kurioms naudojamos techninės specifikacijos.

6. Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 straipsnio 1 dalį, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

22 straipsnis

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1. Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

2. 1 dalis netaikoma, jeigu sprendimas:

a)	yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

b)	yra leidžiamas Sąjungos arba valstybės narės teisėje, kurie taikomi duomenų valdytojui ir kuriais taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba

c)	yra pagrįstas aiškiu duomenų subjekto sutikimu.

3. 2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

4. 2 dalyje nurodyti sprendimai negrindžiami 9 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 9 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

5 skirsnis

Apribojimai

27 straipsnis

Sąjungoje neįsisteigusių duomenų valdytojų ar duomenų tvarkytojų atstovai

1. Jeigu taikoma 3 straipsnio 2 dalis, duomenų valdytojas arba duomenų tvarkytojas raštu paskiria atstovą Sąjungoje.

2. Šio straipsnio 1 dalyje nustatyta prievolė netaikoma:

jei duomenų tvarkymas yra nereguliarus, neapima specialių kategorijų duomenų tvarkymo, kaip nurodyta 9 straipsnio 1 dalyje, dideliu mastu ar 10 straipsnyje nurodyto asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymo ir dėl jo neturėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į duomenų tvarkymo pobūdį, kontekstą, aprėptį ir tikslus; arba

b)	valdžios institucijai arba įstaigai.

3. Atstovas turi būti įsisteigęs vienoje iš tų valstybių narių, kuriose yra duomenų subjektai ir kurių asmens duomenys yra tvarkomi prekių ar paslaugų siūlymo jiems tikslais arba kurių elgesys yra stebimas.

4. Duomenų valdytojas arba duomenų tvarkytojas įgalioja atstovą, kad visų pirma priežiūros institucijos ir duomenų subjektai galėtų kreiptis ne tik į duomenų valdytoją ar duomenų tvarkytoją, bet ir į atstovą, arba tik į atstovą visais klausimais, susijusiais su duomenų tvarkymu, siekiant užtikrinti, kad būtų laikomasi šio reglamento.

5. Tai, kad duomenų valdytojas arba duomenų tvarkytojas paskiria atstovą, nedaro poveikio teisiniams veiksmams, kurių galėtų būti imtasi prieš patį duomenų valdytoją arba duomenų tvarkytoją.

28 straipsnis

Duomenų tvarkytojas

1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:

tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

b)	užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;

c)	imasi visų priemonių, kurių reikalaujama pagal 32 straipsnį;

d)	laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;

e)	atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;

f)	padeda duomenų valdytojui užtikrinti 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

g)	pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti;

h)	pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.

Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

4. Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.

5. Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse.

6. Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant kai jos yra pagal 42 ir 43 straipsnius duomenų valdytojui ar duomenų tvarkytojui suteikiamo sertifikavimo dalis.

7. Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

8. Priežiūros institucija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

9. 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, įskaitant elektronine forma.

10. Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.

30 straipsnis

Duomenų tvarkymo veiklos įrašai

1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)	duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	duomenų tvarkymo tikslai;

c)	duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)	duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e)	kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

f)	kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2. Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)	duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)	kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

d)	kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3. 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

5. 1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.

34 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės.

3. 1 dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

b)	duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;

c)	tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 3 dalyje nurodytų sąlygų.

3 skirsnis

Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos

35 straipsnis

Poveikio duomenų apsaugai vertinimas

1. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

2. Atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas.

3. 1 dalyje nurodytas poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas šiuo atveju:

sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;

b)	9 straipsnio 1 dalyje nurodytų specialių kategorijų duomenų arba 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba

c)	sistemingas viešos vietos stebėjimas dideliu mastu.

4. Priežiūros institucija sudaro ir viešai paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal 1 dalį, sąrašą. Priežiūros institucija šiuos sąrašus pateikia 68 straipsnyje nurodytai Valdybai.

5. Priežiūros institucija taip pat gali sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Priežiūros institucija šiuos sąrašus pateikia Valdybai.

6. Prieš patvirtindama 4 ir 5 dalyse nurodytus sąrašus, kompetentinga priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kai tokiuose sąrašuose nurodoma duomenų tvarkymo veikla, kuri yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams arba su duomenų subjektų elgesio stebėjimu keliose valstybėse narėse, arba kurią vykdant gali būti padarytas didelis poveikis laisvam asmens duomenų judėjimui Sąjungoje.

7. Įvertinime pateikiama bent jau:

a)	sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;

b)	duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

c)	1 dalyje nurodytas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir

d)	pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

8. Vertinant duomenų valdytojų ir duomenų tvarkytojų vykdomų duomenų tvarkymo operacijų poveikį, visų pirma atliekant poveikio duomenų apsaugai vertinimą, deramai atsižvelgiama į tai, ar atitinkami duomenų valdytojai ir duomenų tvarkytojai laikosi 40 straipsnyje nurodytų patvirtintų elgesio kodeksų.

9. Atitinkamais atvejais duomenų valdytojas siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

10. Jeigu duomenų tvarkymas pagal 6 straipsnio 1 dalies c arba e punktą turi teisinį pagrindą Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui, ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, 1–7 dalys netaikomos, išskyrus atvejus, kai valstybės narės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą.

11. Prireikus duomenų valdytojas atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus.

40 straipsnis

Elgesio kodeksai

1. Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina parengti elgesio kodeksus, kuriais būtų siekiama padėti tinkamai taikyti šį reglamentą, atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2. Asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio kodeksus arba iš dalies pakeisti ar išplėsti tokius kodeksus siekdamos nustatyti, kaip turi būti taikomas šis reglamentas, atsižvelgiant į:

a)	sąžiningą ir skaidrų duomenų tvarkymą;

b)	teisėtus interesus, kuriais konkrečiomis aplinkybėmis vadovaujasi duomenų valdytojai;

c)	asmens duomenų rinkimą;

d)	pseudonimų suteikimą asmens duomenims;

e)	visuomenės ir duomenų subjektų informavimą;

f)	naudojimąsi duomenų subjektų teisėmis;

g)	vaikų informavimą ir apsaugą, taip pat būdą gauti vaikų tėvų pareigų turėtojų sutikimą;

h)	24 ir 25 straipsniuose nurodytas priemones bei procedūras ir priemones, kuriomis užtikrinamas 32 straipsnyje nurodytas duomenų tvarkymo saugumas;

i)	pranešimą apie asmens duomenų saugumo pažeidimus priežiūros institucijoms ir pranešima apie tokius asmens duomenų saugumo pažeidimus duomenų subjektams;

j)	asmens duomenų perdavimą į trečiąsias valstybes ir tarptautinėms organizacijoms; ar

k)	neteisminio ginčų nagrinėjimą ir kitų ginčų sprendimo procedūras, pagal kurias sprendžiami su duomenų tvarkymu susiję duomenų valdytojų ir duomenų subjektų ginčai, nedarant poveikio duomenų subjektų teisėms pagal 77 ir 79 straipsnius.

3. Pagal šio straipsnio 5 dalį patvirtintų ir pagal šio straipsnio 9 dalį visuotinai galiojančių elgesio kodeksų gali laikytis ne tik duomenų valdytojai arba duomenų tvarkytojai, kuriems taikomas šis reglamentas, bet ir duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, kad užtikrintų asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms tinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies e punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, duomenų subjektų teisių atžvilgiu, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

4. Šio straipsnio 2 dalyje nurodytame elgesio kodekse numatomi mechanizmai, leidžiantys 41 straipsnio 1 dalyje nurodytai įstaigai vykdyti privalomą duomenų valdytojų arba duomenų tvarkytojų, kurie įsipareigoja taikyti kodeksą, šio kodekso nuostatų laikymosi stebėseną, nedarant poveikio priežiūros institucijoms, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotimis ir įgaliojimams.

5. Šio straipsnio 2 dalyje nurodytos asociacijos ir kitos įstaigos, ketinančios parengti elgesio kodeksą arba iš dalies pakeisti ar išplėsti galiojantį kodeksą, pateikia kodekso projektą, pakeitimą ar išplėtimą priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį. Priežiūros institucija pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, ir patvirtina tokį kodekso projektą, pakeitimą ar išplėtimą, jei nustato, kad jame numatytos pakankamos tinkamos apsaugos priemonės.

6. Jeigu pagal 5 dalį patvirtinamas elgesio kodekso projektas ar pakeitimas arba išplėtimas, ir jei atitinkamas elgesio kodeksas nėra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija užregistruoja ir paskelbia kodeksą.

7. Jeigu elgesio kodekso projektas yra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį, prieš patvirtindama kodekso projektą, pakeitimą ar išplėtimą, taikydama 63 straipsnyje nurodytą procedūrą, pateikia jį Valdybai, kuri pateikia nuomonę dėl to, ar kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant šio straipsnio 3 dalyje nurodytai situacijai, ar jame nustatytos tinkamos apsaugos priemonės.

8. Jeigu 7 dalyje nurodytoje nuomonėje patvirtinama, kad kodekso projektas, pakeitimas ar išplėtimas atitinka šį reglamentą, arba, esant 3 dalyje nurodytai situacijai, jame nustatytos tinkamos apsaugos priemonės, Valdyba pateikia savo nuomonę Komisijai.

9. Komisija įgyvendinimo aktais gali nuspręsti, kad pagal šio straipsnio 8 dalį jai pateiktas patvirtinti elgesio kodeksas, pakeitimas ar išplėtimas visuotinai galioja Sąjungoje. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

10. Komisija užtikrina, kad patvirtinti kodeksai, kurie sprendimu pagal 9 dalį pripažinti visuotinai galiojančiais, būtų tinkamai skelbiami viešai.

11. Valdyba įtraukia į registrą visus patvirtintus elgesio kodeksus, pakeitimus ir išplėtimus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

42 straipsnis

Sertifikavimas

1. Valstybės narės, priežiūros institucijos, Valdyba ir Komisija skatina nustatyti – visų pirma Sąjungos lygmeniu – duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis, kad būtų galima įrodyti, jog duomenų valdytojai ir duomenų tvarkytojai, vykdydami duomenų tvarkymo operacijas, laikosi šio reglamento. Atsižvelgiama į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius.

2. Pagal šio straipsnio 5 dalį patvirtintus duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis galima nustatyti ne tik siekiant įrodyti, kad duomenų valdytojai arba duomenų tvarkytojai laikosi jo nuostatų, bet ir siekiant įrodyti, kad duomenų valdytojai ir duomenų tvarkytojai, kuriems pagal 3 straipsnį šis reglamentas netaikomas, perduodant asmens duomenis į trečiąsias valstybes arba tarptautinėms organizacijoms užtikrina atitinkamas apsaugos priemones, kaip numatyta 46 straipsnio 2 dalies f punkte. Tokie duomenų valdytojai arba duomenų tvarkytojai gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti šias tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis.

3. Sertifikavimas yra savanoriškas ir prieinamas taikant skaidrų procesą.

4. Sertifikavimu pagal šį straipsnį nesumažinama duomenų valdytojo arba duomenų tvarkytojo atsakomybė už šio reglamento laikymąsi ir nedaromas poveikis priežiūros institucijos, kurios yra kompetentingos pagal 55 arba 56 straipsnį, užduotims ir įgaliojimams.

5. Sertifikatus pagal šį straipsnį išduoda 43 straipsnyje nurodytos sertifikavimo įstaigos arba kompetentinga priežiūros institucija, remdamosi kompetentingos priežiūros institucijos ar Valdybos patvirtintais kriterijais pagal 58 straipsnio 3 dalį arba, pagal 63 straipsnį. Jei kriterijai yra patvirtinti Valdybos, gali būti išduodamas bendras sertifikatas – Europos duomenų apsaugos ženklas.

6. Duomenų valdytojas arba duomenų tvarkytojas, kuris kreipiasi, kad jo atliekamam duomenų tvarkymui būtų taikomas sertifikavimo mechanizmas, pateikia 43 straipsnyje nurodytai sertifikavimo įstaigai arba, kai taikoma, kompetentingai priežiūros institucijai, visą informaciją ir suteikia galimybę susipažinti su jo atliekama duomenų tvarkymo veikla, kad būtų galima atlikti sertifikavimo procedūrą.

7. Duomenų valdytojui arba duomenų tvarkytojui sertifikatas išduodamas ne ilgesniam kaip 3 metų laikotarpiui ir gali būti atnaujintas tomis pačiomis sąlygomis, jei ir toliau vykdomi atitinkami reikalavimai. Jei sertifikavimo reikalavimai nevykdomi arba nebevykdomi, kai taikoma, 43 straipsnyje nurodytos sertifikavimo įstaigos arba kompetentinga priežiūros institucija sertifikavimą panaikina.

8. Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

43 straipsnis

Sertifikavimo įstaigos

1. Nedarant poveikio kompetentingos priežiūros institucijos užduotims ir įgaliojimams pagal 57 ir 58 straipsnius, sertifikavimo įstaigos, turinčios tinkamo lygio ekspertinių žinių duomenų apsaugos srityje, informavusios priežiūros instituciją, kad ji prireikus galėtų pasinaudoti savo įgaliojimais pagal 58 straipsnio 2 dalies h punktą, išduoda ir atnaujina sertifikatus. Valstybės narės užtikrina, kad tos sertifikavimo įstaigos yra akredituotos vienos ar abiejų toliau nurodytų subjektų:

a)	priežiūros institucijos, kompetentingos pagal 55 arba 56 straipsnį;

b)	nacionalinės akreditavimo įstaigos, paskelbtos pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (20), laikantis EN-ISO/IEC 17065/2012 ir papildomų reikalavimų, kuriuos nustatė priežiūros institucija, kompetentinga pagal 55 arba 56 straipsnį.

2. 1 dalyje nurodytos sertifikavimo įstaigos akredituojamos pagal tą dalį tik tuo atveju, jei:

a)	yra kompetentingai priežiūros institucijai įtikinamai įrodžiusios savo nepriklausomumą ir ekspertines žinias sertifikavimo dalyko srityje;

b)	įsipareigojo laikytis 42 straipsnio 5 dalyje nurodytų ir priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, laikantis 63 straipsnio, Valdybos patvirtintų kriterijų;

c)	yra nustačiusi duomenų apsaugos sertifikatų, ženklų ir žymenų išdavimo, periodinės peržiūros ir panaikinimo procedūras;

d)	yra nustačiusi procedūras ir struktūras, skirtas skundams dėl sertifikavimo pažeidimų arba dėl to, kaip duomenų valdytojas ar duomenų tvarkytojas įgyvendino ar įgyvendina sertifikavimą, nagrinėti, užtikrindama, kad tos procedūros ir struktūros būtų skaidrios duomenų subjektams ir visuomenei; ir

e)	kompetentingai priežiūros institucijai įtikinamai įrodė, kad dėl jų užduočių ir pareigų nekyla interesų konfliktas.

3. Sertifikavimo įstaigų akreditavimas, kaip nurodyta šio straipsnio 1 ir 2 dalyse, vykdomas remiantis priežiūros institucijos, kuri yra kompetentinga pagal 55 arba 56 straipsnį, arba, Valdybos laikantis 63 straipsnyje patvirtintais kriterijais. Jei akreditavimas vykdomas pagal šio straipsnio 1 dalies b punktą, tais reikalavimais papildomi Reglamente (EB) Nr. 765/2008 numatyti reikalavimai ir techninės taisyklės, kuriomis apibūdinami sertifikavimo įstaigų metodai ir procedūros.

4. 1 dalyje nurodytos sertifikavimo įstaigos atsako už tai, kad būtų atliktas tinkamas vertinimas, kuriuo remiantis toks sertifikatas būtų išduodamas arba panaikinamas, nedarant poveikio duomenų valdytojo arba duomenų tvarkytojo atsakomybei už šio reglamento laikymąsi. Akreditacija suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei sertifikavimo įstaiga ir toliau vykdo šiame straipsnyje nustatytus reikalavimus.

5. 1 dalyje nurodytos sertifikavimo įstaigos kompetentingoms priežiūros institucijoms nurodo priežastis, kodėl prašomas sertifikavimas buvo suteiktas arba panaikintas.

6. Priežiūros institucija šio straipsnio 3 dalyje nurodytus reikalavimus ir 42 straipsnio 5 dalyje nurodytus kriterijus padaro lengvai viešai prieinamus. Priežiūros institucijos tuos reikalavimus ir kriterijus taip pat pateikia Valdybai. Valdyba įtraukia į registrą visus sertifikavimo mechanizmus ir duomenų apsaugos ženklus ir padaro juos viešai prieinamus naudodamasi atitinkamomis priemonėmis.

7. Nedarant poveikio VIII skyriui, kompetentinga priežiūros institucija arba nacionalinė akreditavimo įstaiga panaikina pagal šio straipsnio 1 dalį sertifikavimo įstaigai suteiktą akreditaciją, jeigu akreditavimo sąlygos nevykdomos arba nebevykdomos, arba jeigu veiksmai, kurių imasi sertifikavimo įstaiga, pažeidžia šį reglamentą.

8. Komisijai pagal 92 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus siekiant nustatyti reikalavimus, į kuriuos turi būti atsižvelgta 42 straipsnio 1 dalyje nurodytuose duomenų apsaugos sertifikavimo mechanizmuose.

9. Komisija gali priimti įgyvendinimo aktus, kuriais nustatomi techniniai sertifikavimo mechanizmai ir duomenų apsaugos ženklų bei žymenų standartai, taip pat tų sertifikavimo mechanizmų, ženklų bei žymenų propagavimo ir pripažinimo mechanizmus. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

V SKYRIUS

Asmens duomenų perdavimai į trečiąsias valstybes arba tarptautinėms organizacijoms

45 straipsnis

Duomenų perdavimas remiantis sprendimu dėl tinkamumo

1. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2. Vertindama apsaugos lygio tinkamumą, Komisija visų pirma atsižvelgia į šiuos aspektus:

teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu, baudžiamąja teise ir valdžios institucijų prieiga prie asmens duomenų, taip pat tokių teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo į kitą trečiąją valstybę ar kitai tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktikos precedentus, taip pat veiksmingas ir vykdytinas duomenų subjektų teises ir veiksmingas administracines bei teismines duomenų subjektų, kurių asmens duomenys yra perduodami, teisių gynimo priemones;

tai, ar yra ir ar veiksmingai veikia viena ar kelios nepriklausomos priežiūros institucijos trečiojoje šalyje arba kurioms yra pavaldi tarptautinė organizacija ir kurių atsakomybė yra užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių ir jos būtų vykdomos, įskaitant tinkamus vykdymo įgaliojimus padėti duomenų subjektams naudotis savo teisėmis ir patarti, kaip tai daryti, ir bendradarbiauti su valstybių narių priežiūros institucijomis; ir

atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, taip pat dėl jų dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma kiek tai susiję su asmens duomenų apsauga.

3. Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte numatomas periodinės peržiūros, atliekamos bent kas ketverius metus, kuria atsižvelgiama į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje, mechanizmas. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, kai taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4. Komisija nuolat stebi pokyčius trečiosiose valstybėse ir tarptautinėse organizacijose, kurie galėtų daryti poveikį pagal šio straipsnio 3 dalį priimtų sprendimų ir pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį priimtų sprendimų veikimui.

5. Komisija nusprendžia, kad trečioji valstybė, teritorija arba nurodytas vienas ar keli sektoriai trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, kaip apibrėžta šio straipsnio 2 dalyje, jei tai paaiškėja iš turimos informacijos, visų pirma atlikus šio straipsnio 3 dalyje nurodytą peržiūrą, reikiamu mastu įgyvendinimo aktais panaikina arba iš dalies pakeičia šio straipsnio 3 dalyje nurodytą sprendimą, arba sustabdo jo galiojimą nustatydama, kad tai netaikoma atgaline data. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

Ypatingos skubos atvejais Komisija priima iš karto taikomus įgyvendinimo aktus laikantis 93 straipsnio 3 dalyje nurodytos procedūros.

6. Komisija pradeda konsultacijas su trečiąja valstybe arba tarptautine organizacija, siekdama, kad padėtis, dėl kurios buvo priimtas sprendimas pagal 5 dalį, būtų ištaisyta.

7. Sprendimas pagal šio straipsnio 5 dalį nedaro poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytą sektorių toje trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal 46–49 straipsnius.

8. Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų valstybių, teritorijų ir nurodyto vieno ar kelių sektorių trečiojoje valstybėje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo nebeužtikrina, sąrašą.

9. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 25 straipsnio 6 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 3 ar 5 dalį, jie bus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

46 straipsnis

Duomenų perdavimas taikant tinkamas apsaugos priemones

1. Jeigu nėra priimtas sprendimas pagal 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

2. 1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus priežiūros institucijos leidimo, gali būti nustatomos:

a)	teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

b)	įmonėms privalomomis taisyklėmis pagal 47 straipsnį;

c)	standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

d)	standartinėmis duomenų apsaugos sąlygomis, kurias priima priežiūros institucija ir pagal 93 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

e)	patvirtintu elgesio kodeksu pagal 40 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis; arba

f)	patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis.

3. Gavus kompetentingos priežiūros institucijos leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

a)	duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis; arba

b)	nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

4. Šio straipsnio 3 dalyje nurodytais atvejais priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5. Leidimai, kuriuos valstybė narė arba priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti tol, kol ta priežiūros institucija prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 26 straipsnio 4 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 2 dalį, jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

47 straipsnis

Įmonei privalomos taisyklės

1. Kompetentinga priežiūros institucija patvirtina įmonei privalomas taisykles pagal 63 straipsnyje nustatytą nuoseklumo užtikrinimo mechanizmą, jeigu:

a)	jos yra teisiškai privalomos ir taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, įskaitant jų darbuotojus, ir jie užtikrina jų vykdymą;

b)	jomis duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su jų asmens duomenų tvarkymu; ir

c)	jos atitinka 2 dalyje nustatytus reikalavimus.

2. 1 dalyje nurodytose įmonei privalomose taisyklėse nurodoma bent:

a)	įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės ir kiekvieno jos nario struktūra bei kontaktiniai duomenys;

b)	duomenų perdavimai arba duomenų perdavimų seka, įskaitant asmens duomenų kategorijas, duomenų tvarkymo rūšį ir jo tikslus, duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę arba valstybes;

c)	tai, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu;

tai, kad taikomi bendrieji duomenų apsaugos principai, visų pirma tikslų apribojimo, duomenų kiekio mažinimo, ribotų duomenų saugojimo laikotarpių, duomenų kokybės, pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų tvarkymo teisinio pagrindo, specialių kategorijų asmens duomenų tvarkymo principai, duomenų saugumo užtikrinimo priemonės ir reikalavimai dėl tolesnio duomenų perdavimo įstaigoms, kurios neprivalo laikytis įmonei privalomų taisyklių;

duomenų subjektų teisės, susijusios su duomenų tvarkymu, ir naudojimosi tomis teisėmis priemonės, įskaitant teisę į tai, kad nebūtų taikomi tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai pagal 22 straipsnį, teisę pateikti skundą kompetentingai priežiūros institucijai bei kompetentingiems valstybių narių teismams pagal 79 straipsnį ir teisę naudotis teisių gynimo priemonėmis ir, kai tinkama, reikalauti atlyginti žalą už įmonei privalomų taisyklių pažeidimą;

tai, kad duomenų valdytojas arba duomenų tvarkytojas, įsisteigęs valstybės narės teritorijoje, prisiima atsakomybę už visus bet kurio Sąjungoje neįsisteigusio atitinkamo nario padarytus įmonei privalomų taisyklių pažeidimus; duomenų valdytojas arba duomenų tvarkytojas visiškai ar iš dalies atleidžiamas nuo tos atsakomybės tik tuo atveju, jei jis įrodo, kad tas narys nėra atsakingas už įvykį, dėl kurio patirta žala;

g)	kaip informacija apie įmonei privalomas taisykles, visų pirma apie šios dalies d, e ir f punktuose nurodytas nuostatas, teikiama duomenų subjektams, be to, kas numatyta 13 ir 14 straipsniuose;

h)	pagal 37 straipsnį paskirto bet kurio duomenų apsaugos pareigūno arba bet kurio kito asmens ar subjekto, atsakingo už stebėseną, ar įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje laikomasi įmonei privalomų taisyklių, taip pat mokymo ir skundų nagrinėjimo stebėseną, užduotys;

i)	skundų nagrinėjimo procedūros;

įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje taikomi mechanizmai, kuriais siekiama užtikrinti, kad būtų tikrinama, ar laikomasi įmonei privalomų taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises. Tokio patikrinimo rezultatai turėtų būti perduoti asmeniui arba subjektui, kaip nurodyta h punkte, ir įmonių grupę kontroliuojančiosios įmonės arba bendrą ekonominę veiklą vykdančios įmonių grupės valdybai ir paprašius turėtų būti pateikti kompetentingai priežiūros institucijai;

k)	ataskaitų teikimo ir taisyklių pakeitimų registravimo, taip pat pranešimo apie tuos pakeitimus priežiūros institucijai mechanizmai;

bendradarbiavimo su priežiūros institucija mechanizmas, kuriuo siekiama užtikrinti, kad visi įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariai laikytųsi įmonei privalomų taisyklių, visų pirma priežiūros institucijai teikiant j punkte nurodyto priemonių patikrinimo rezultatus;

mechanizmas, pagal kurį kompetentingai priežiūros institucijai teikiamos ataskaitos apie visus teisinius reikalavimus, taikomus įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariui trečiojoje šalyje, galinčius turėti esminį neigiamą poveikį įmonei privalomomis taisyklėmis užtikrinamoms garantijoms; ir

n)	atitinkami mokymai duomenų apsaugos srityje darbuotojams, kurie turi teisę nuolat ar reguliariai susipažinti su asmens duomenimis.

3. Komisija gali nustatyti duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles, kaip apibrėžta šiame straipsnyje, formatą ir procedūras. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

49 straipsnis

Nukrypti leidžiančios nuostatos konkrečiais atvejais

1. Jeigu nepriimtas sprendimas dėl tinkamumo pagal 45 straipsnio 3 dalį arba nenustatytos tinkamos apsaugos priemonės pagal 46 straipsnį, įskaitant įmonei privalomas taisykles, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atliekami tik su viena iš šių sąlygų:

a)	duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

b)	duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;

c)	duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

d)	duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;

e)	duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

f)	duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

duomenys perduodami iš registro, pagal Sąjungos arba valstybės narės teisę skirto teikti informaciją visuomenei, su kuria gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, tačiau tik tiek, kiek konkrečiu atveju laikomasi pagal Sąjungos arba valstybės narės teisę nustatytų susipažinimo su tokiame registre esančia informacija sąlygų.

Kai perdavimas negali būti grindžiamas 45 arba 46 straipsnio nuostata, įskaitant nuostatas dėl įmonei privalomų taisyklių, ir netaikoma jokia pirmoje pastraipoje nurodyta konkrečioje situacijoje nukrypti leidžianti nuostata, perdavimas nėra kartojamas, yra susijęs tik su ribotu duomenų subjektų skaičiumi, yra būtinas įtikinamų duomenų valdytojo ginamų teisėtų interesų, kai nėra už juos viršesnių duomenų subjekto interesų ar teisių ir laisvių, tikslais, jeigu duomenų valdytojas yra įvertinęs visas su duomenų perdavimu susijusias aplinkybes ir, remdamasis tuo vertinimu, yra nustatęs tinkamas su asmens duomenų apsauga susijusias apsaugos priemones. Duomenų valdytojas praneša priežiūros institucijai apie duomenų perdavimą. Be 13 ir 14 straipsniuose nurodytos informacijos, duomenų valdytojas praneša duomenų subjektui apie duomenų perdavimą ir apie įtikinamus ginamus teisėtus interesus.

2. Jeigu duomenys perduodami pagal 1 dalies pirmos pastraipos g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai.

3. 1 dalies pirmos pastraipos a, b ir c punktai bei jos antra pastraipa netaikomi veiklai, kurią valdžios institucijos atlieka vykdydamos savo viešuosius įgaliojimus.

4. 1 dalies pirmos pastraipos d punkte nurodytas viešasis interesas turi būti pripažintas Sąjungos teise arba duomenų valdytojui taikomos valstybės narės teise.

5. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų asmens duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Valstybės narės tokias nuostatas praneša Komisijai.

6. Duomenų valdytojas arba duomenų tvarkytojas 30 straipsnyje nurodytuose įrašuose dokumentais pagrindžia vertinimą ir šio straipsnio 1 dalies antroje pastraipoje nurodytas tinkamas apsaugos priemones.

55 straipsnis

Kompetencija

1. Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

2. Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.

3. Priežiūros institucijos nėra kompetentingos prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami savo teismines funkcijas.

56 straipsnis

Vadovaujančios priežiūros institucijos kompetencija

1. Nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą, vadovaujantis 60 straipsnyje nustatyta procedūra.

2. Nukrypstant nuo 1 dalies, kiekviena priežiūros institucija turi kompetenciją nagrinėti jai pateiktą skundą arba galimą šio reglamento pažeidimą, jeigu dalykas yra susijęs tik su buveine jos valstybėje narėje arba daro didelį poveikį duomenų subjektams tik jos valstybėje narėje.

3. Šio straipsnio 2 dalyje nurodytais atvejais priežiūros institucija tuo klausimu nedelsdama informuoja vadovaujančią priežiūros instituciją. Per tris savaites nuo informacijos gavimo vadovaujanti priežiūros institucija nusprendžia, ar ji nagrinės šį atvejį vadovaudamasi 60 straipsnyje numatyta procedūra, ar ne, atsižvelgdama į tai, ar ją informavusios priežiūros institucijos valstybėje narėje yra duomenų valdytojo arba duomenų tvarkytojo buveinė.

4. Tuo atveju, jei vadovaujanti priežiūros institucija nusprendžia atvejį nagrinėti, taikoma 60 straipsnyje numatyta procedūra. Vadovaujančią priežiūros instituciją informavusi priežiūros institucija gali vadovaujančiai priežiūros institucijai pateikti sprendimo projektą. Rengdama 60 straipsnio 3 dalyje nurodytą sprendimo projektą vadovaujanti priežiūros institucija kuo labiau atsižvelgia į pirmiau minėtą projektą.

5. Tuo atveju, jei vadovaujanti priežiūros institucija nusprendžia šio atvejo nenagrinėti, vadovaujančią priežiūros instituciją informavusi priežiūros institucija atvejį nagrinėja vadovaudamasi 61 ir 62 straipsniais.

6. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.

57 straipsnis

Užduotys

1. Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a)	stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

b)	skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises bei jų supratimą. Veiklai, konkrečiai susijusiai su vaikais, skiriamas ypatingas dėmesys;

c)	laikydamasi valstybės narės teisės, pataria nacionaliniam parlamentui, vyriausybei ir kitoms institucijoms bei įstaigoms teisėkūros ir administracinių priemonių, susijusių su fizinių asmenų teisių ir laisvių apsauga tvarkant duomenis, klausimais;

d)	skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį reglamentą;

e)	bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame reglamente nustatytomis jo teisėmis ir prireikus tuo tikslu bendradarbiauja su kitų valstybių narių priežiūros institucijomis;

nagrinėja skundus, kuriuos pagal 80 straipsnį pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija;

g)	bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

h)	atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;

i)	stebi susijusius įvykius, jei jie turi įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų, taip pat komercinės praktikos raidą;

j)	priima standartines sutarčių sąlygas, nurodytas 28 straipsnio 8 dalyje ir 46 straipsnio 2 dalies d punkte;

k)	sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal 35 straipsnio 4 dalį;

l)	teikia konsultacijas dėl 36 straipsnio 2 dalyje nurodytų duomenų tvarkymo operacijų;

m)	skatina rengti elgesio kodeksus pagal 40 straipsnio 1dalį, teikia nuomonę ir patvirtina tokius elgesio kodeksus, kuriais užtikrinama pakankamai apsaugos priemonių, pagal 40 straipsnio 5 dalį;

n)	skatina nustatyti duomenų apsaugos sertifikavimo mechanizmus ir duomenų apsaugos ženklus bei žymenis pagal 42 straipsnio 1 dalį ir patvirtina sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

o)	kai taikoma, periodiškai atlieka išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

p)	parengia ir paskelbia už elgesio kodeksų stebėseną atsakingos įstaigos akreditacijos pagal 41 straipsnį ir sertifikavimo įstaigos akreditacijos pagal 43 straipsnį kriterijus;

q)	vykdo už elgesio kodeksų stebėseną atsakingos įstaigos akreditaciją pagal 41 straipsnį ir sertifikavimo įstaigos akreditaciją pagal 43 straipsnį;

r)	duoda leidimą taikyti sutarčių sąlygas ir nuostatas, nurodytas 46 straipsnio 3 dalyje;

s)	tvirtina įmonei privalomas taisykles pagal 47 straipsnį;

t)	prisideda prie Valdybos veiklos;

u)	tvarko vidaus įrašus apie šio reglamento pažeidimus ir apie priemones, kurių buvo imtasi pagal 58 straipsnio 2 dalį; ir

v)	vykdo visas kitas su asmens duomenų apsauga susijusias užduotis.

2. Kiekviena priežiūros institucija palengvina 1 dalies f punkte nurodytų skundų pateikimą, pavyzdžiui, pateikdama skundo pateikimo formą, kurią taip pat galima užpildyti elektroniniu būdu, suteikdama galimybę naudotis ir kitomis ryšio priemonėmis.

3. Kiekviena priežiūros institucija savo užduotis duomenų subjekto ir, jei taikoma, duomenų apsaugos pareigūno atžvilgiu vykdo nemokamai.

4. Jeigu prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, priežiūros institucija gali imti mokestį, nustatomą atsižvelgiant į administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą. Priežiūros institucijai tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

58 straipsnis

Įgaliojimai

1. Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

a)	nurodyti duomenų valdytojui ir duomenų tvarkytojui ir, kai taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovui pateikti visą jos užduotims atlikti reikalingą informaciją;

b)	atlikti tyrimus, kurie atliekami duomenų apsaugos audito forma;

c)	atlikti išduotų sertifikatų peržiūrą pagal 42 straipsnio 7 dalį;

d)	pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

e)	iš duomenų valdytojo ir duomenų tvarkytojo gauti leidimą susipažinti su visais asmens duomenimis ir visa informacija, kurie būtini jos užduotims atlikti;

f)	laikantis Sąjungos arba valstybės narės proceso teisės, gauti leidimą patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių.

2. Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

a)	įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

b)	pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

c)	nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

d)	nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

e)	nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

f)	nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

g)	nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 17 straipsnio 2 dalį ir 19 straipsnį;

h)	atšaukti sertifikatą arba nurodyti sertifikavimo įstaigai atšaukti pagal 42 ir 43 straipsnius išduotą sertifikatą, arba nurodyti sertifikavimo įstaigai neišduoti sertifikato, jei nevykdomi arba nebevykdomi sertifikavimo reikalavimai;

i)	skirti administracinę baudą pagal 83 straipsnį, kartu taikydama šioje dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

j)	nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.

3. Kiekviena priežiūros institucija turi visus šiuos leidimo išdavimo ir patariamuosius įgaliojimus:

a)	patarti duomenų valdytojui pagal 36 straipsnyje nurodytą išankstinių konsultacijų procedūrą;

b)	savo iniciatyva arba gavus prašymą teikti nuomones nacionaliniam parlamentui, valstybės narės vyriausybei arba, vadovaujantis valstybės narės teise, kitoms institucijoms ir įstaigoms, taip pat visuomenei, visais su asmens duomenų apsauga susijusiais klausimais;

c)	suteikti leidimą atlikti 36 straipsnio 5 dalyje nurodytą duomenų tvarkymą, jei pagal valstybės narės teisės aktus reikalaujama tokio išankstinio leidimo;

d)	teikti nuomonę ir tvirtinti elgesio kodeksų projektus pagal 40 straipsnio 5 dalį;

e)	akredituoti sertifikavimo įstaigas pagal 43 straipsnį;

f)	išduoti sertifikatus ir patvirtinti sertifikavimo kriterijus pagal 42 straipsnio 5 dalį;

g)	patvirtinti 28 straipsnio 8 dalies ir 46 straipsnio 2 dalies d punkte nurodytas standartines duomenų apsaugos sąlygas;

h)	duoti leidimą taikyti 46 straipsnio 3 dalies a punkte nurodytas sutarčių sąlygas;

i)	duoti leidimą taikyti 46 straipsnio 3 dalies b punkte nurodytus administracinius susitarimus;

j)	patvirtinti įmonei privalomas taisykles pagal 47 straipsnį.

4. Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje, laikantis Chartijos.

5. Kiekviena valstybė narė teisės aktais nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti šio reglamento nuostatų vykdymą.

6. Kiekviena valstybė narė teisės aktais gali nustatyti, kad jos priežiūros institucija be 1, 2 ir 3 dalyse nurodytų įgaliojimų turi papildomų įgaliojimų. Naudojimasis tais įgaliojimais neturi pakenkti veiksmingam VII skyriaus veikimui.

61 straipsnis

Savitarpio pagalba

1. Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir vykdyti konsultacijas, patikrinimus ir tyrimus.

2. Kiekviena priežiūros institucija imasi visų būtinų tinkamų priemonių, kad atsakytų į kitos priežiūros institucijos prašymą nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo jo gavimo. Tokios priemonės visų pirma gali būti reikšmingos informacijos apie tyrimo eigą persiuntimas.

3. Pagalbos prašymuose nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Informacija, kuria pasikeista, naudojama tik tam tikslui, kuriam jos buvo prašoma.

4. Prašymą gavusi priežiūros institucija negali atsisakyti prašymo patenkinti, išskyrus atvejus, kai:

a)	ji nėra kompetentinga prašymo dalyko arba priemonių, kurias jos prašoma vykdyti, srityje; arba

b)	prašymo patenkinimas pažeistų šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma prašymą gaunančiai priežiūros institucijai.

5. Prašymą gavusi priežiūros institucija informuoja prašymą pateikusią priežiūros instituciją apie rezultatus arba, atitinkamai, pažangą arba priemones, kurių imtasi siekiant į jį atsakyti. Prašymą gavusi priežiūros institucija bet kurio atsisakymo pagal 4 dalį atveju pateikia atsisakymo patenkinti prašymą priežastis.

6. Prašymą gavusi priežiūros institucijos paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamosi standartizuota forma.

7. Prašymą gavusios priežiūros institucijos už veiksmus, kurių imamasi gavus savitarpio pagalbos prašymą, mokesčio neima. Priežiūros institucijos gali dėl taisyklių, reglamentuojančių viena kitai mokamą kompensaciją už konkrečias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

8. Jeigu priežiūros institucija nepateikia šio straipsnio 5 dalyje nurodytos informacijos per vieną mėnesį nuo kitos priežiūros institucijos prašymo gavimo, prašymą pateikusi priežiūros institucija gali pagal 55 straipsnio 1 dalį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės imtis skubių veiksmų sąlygos ir reikalingas skubus privalomas Valdybos sprendimas pagal 66 straipsnio 2 dalį.

9. Komisija gali įgyvendinimo aktais nustatyti šiame straipsnyje nurodytos savitarpio pagalbos formą ir procedūras ir priežiūros institucijų tarpusavio, taip pat priežiūros institucijų ir Valdybos keitimosi informacija elektroninėmis priemonėmis tvarką, visų pirma šio straipsnio 6 dalyje nurodytą standartizuotą formą. Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

62 straipsnis

Priežiūros institucijų bendros operacijos

1. Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2. Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. Priežiūros institucija, kuri yra kompetentinga pagal 56 straipsnio 1 dalį arba 4 dalį, pakviečia kiekvienos iš tų valstybių narių priežiūros instituciją dalyvauti vykdant bendras operacijas ir nedelsdama atsako į priežiūros institucijos prašymą dėl dalyvavimo.

3. Priežiūros institucija, laikydamasi valstybės narės teisės ir komandiruojančiajai priežiūros institucijai leidus, gali suteikti įgaliojimus, be kita ko, tyrimo įgaliojimus, komandiruojančiosios priežiūros institucijos nariams arba darbuotojams, dalyvaujantiems vykdant bendras operacijas, arba, jeigu tai leidžiama priimančiosios priežiūros institucijos valstybės narės teisės aktais, leisti komandiruojančiosios priežiūros institucijos nariams arba darbuotojams naudotis savo tyrimo įgaliojimais pagal komandiruojančiosios priežiūros institucijos valstybės narės teisės aktus. Tokiais tyrimo įgaliojimais gali būti naudojamasi tik vadovaujant priimančiosios priežiūros institucijos nariams arba darbuotojams ir jiems dalyvaujant. Komandiruojančiosios priežiūros institucijos nariams arba darbuotojams taikoma priimančiosios priežiūros institucijos valstybės narės teisė.

4. Tais atvejais, kai pagal 1 dalį komandiruojančiosios priežiūros institucijos darbuotojai vykdo veiklą kitoje valstybėje narėje, priimančiosios priežiūros institucijos valstybė narė prisiima atsakomybę už jų veiksmus, įskaitant atsakomybę už bet kokią jiems vykdant veiklą padarytą žalą, pagal valstybės narės, kurios teritorijoje jie vykdo veiklą, teisę.

5. Valstybė narė, kurios teritorijoje buvo padaryta žala, ją atlygina tokiomis pačiomis sąlygomis, kuriomis atlygintų savo darbuotojų padarytą žalą. Komandiruojančiosios priežiūros institucijos, kurios darbuotojai kitos valstybės narės teritorijoje padarė žalą bet kuriam asmeniui, valstybė narė grąžina tai kitai valstybei narei visas sumas, jos sumokėtas jų vardu teisę jas gauti turintiems asmenims.

6. Nedarant poveikio naudojimuisi savo teisėmis trečiųjų šalių atžvilgiu ir išskyrus 5 dalyje nurodytą atvejį, 1 dalyje numatytu atveju nė viena valstybė narė nereikalauja kitos valstybės narės atlyginti jos patirtą žalą, nurodytą 4 dalyje.

7. Jeigu ketinama vykdyti bendrą operaciją ir priežiūros institucija per vieną mėnesį neįvykdo šio straipsnio 2 dalies antrame sakinyje nustatytos prievolės, kitos priežiūros institucijos gali pagal 55 straipsnį patvirtinti laikinąją priemonę savo valstybės narės teritorijoje. Tuo atveju laikoma, kad patenkinamos 66 straipsnio 1 dalyje numatytos būtinybės skubiai imtis veiksmų sąlygos ir reikalinga skubi Valdybos nuomonė arba skubus privalomas sprendimas pagal 66 straipsnio 2 dalį.

2 skirsnis

Nuoseklumas

64 straipsnis

Valdybos nuomonė

1. Valdyba pateikia nuomonę visais atvejais, kai kompetentinga priežiūros institucija ketina patvirtinti bet kurią iš toliau nurodytų priemonių. Tuo tikslu kompetentinga priežiūros institucija pateikia Valdybai sprendimo projektą, kai:

a)	juo siekiama priimti duomenų tvarkymo operacijų, kurioms pagal 35 straipsnio 4 dalį taikomas poveikio duomenų apsaugai vertinimo reikalavimas, sąrašą;

b)	jis yra susijęs su klausimu pagal 40 straipsnio 7 dalį dėl to, ar elgesio kodekso projektas arba elgesio kodekso keitimas ar išplėtimas atitinka šį reglamentą;

c)	juo siekiama patvirtinti įstaigos akreditacijos pagal 41 straipsnio 3 dalį arba sertifikavimo įstaigos akreditacijos pagal 43 straipsnio 3 dalį kriterijus;

d)	juo siekiama nustatyti 46 straipsnio 2 dalies d punkte ir 28 straipsnio 8 dalyje nurodytas standartines duomenų apsaugos sąlygas;

e)	juo siekiama duoti leidimą taikyti sutarčių sąlygas, nurodytas 46 straipsnio 3 dalies a punkte; arba

f)	juo siekiama patvirtinti įmonei privalomas taisykles, kaip apibrėžta 47 straipsnyje.

2. Bet kuri priežiūros institucija, Valdybos pirmininkas arba Komisija gali prašyti, kad Valdyba išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, ir kad ji pateiktų nuomonę, visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių prievolių pagal 61 straipsnį arba su bendromis operacijomis susijusių prievolių pagal 62 straipsnį.

3. 1 ir 2 dalyse nurodytais atvejais Valdyba pateikia nuomonę dėl jai pateikto klausimo, išskyrus atvejus, kai ji tuo pačiu klausimu jau yra pateikusi nuomonę. Ta nuomonė priimama per aštuonias savaites Valdybos narių paprasta balsų dauguma. Tas laikotarpis gali būti pratęstas dar šešioms savaitėms atsižvelgiant į dalyko sudėtingumą. 1 dalyje nurodyto sprendimo projekto, išplatinto valdybos nariams pagal 5 dalį, atžvilgiu laikoma, kad narys, per pirmininko nurodytą pagrįstą laikotarpį nepareiškęs prieštaravimų, pritaria sprendimo projektui.

4. Priežiūros institucijos ir Komisija nepagrįstai nedelsdamos, naudodamosi standartizuota forma, elektroninėmis priemonėmis Valdybai pateikia bet kokią reikšmingą informaciją, įskaitant, tam tikrais atvejais, faktų santrauką, sprendimo projektą, priežastis, dėl kurių būtina taikyti tokią priemonę, ir kitų susijusių priežiūros institucijų nuomones.

5. Valdybos pirmininkas nepagrįstai nedelsdamas elektroninėmis priemonėmis:

a)	Valdybos nariams ir Komisijai pateikia bet kokią reikšmingą informaciją, kuri jam buvo pateikta naudojantis standartizuota forma. Valdybos sekretoriatas prireikus pateikia reikšmingos informacijos vertimą; ir

b)	tam tikrais atvejais 1 ir 2 dalyse nurodytai priežiūros institucijai ir Komisijai pateikia nuomonę ir ją paskelbia.

6. Kompetentinga priežiūros institucija per 3 dalyje nurodytą laikotarpį nepriima savo sprendimo projekto, nurodyto 1 dalyje.

7. 1 dalyje nurodyta priežiūros institucija kuo labiau atsižvelgia į Valdybos nuomonę ir per dvi savaites nuo nuomonės gavimo elektroninėmis priemonėmis praneša Valdybos pirmininkui apie tai, ar ji nekeis sprendimo projekto, ar jį iš dalies pakeis, ir jei jį iš dalies pakeičia, pateikia iš dalies pakeistą sprendimo projektą, naudodamasi standartizuota forma.

8. Jeigu susijusi priežiūros institucija per šio straipsnio 7 dalyje nurodytą laikotarpį informuoja Valdybos pirmininką, kad ji neketina visiškai arba iš dalies atsižvelgti į valdybos nuomonę, pateikdama atitinkamas priežastis, taikoma 65 straipsnio 1 dalis.

65 straipsnis

Europos duomenų apsaugos valdybos sprendžiami ginčai

1. Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)	jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

c)	jeigu kompetentinga priežiūros institucija neprašo Valdybos pateikti nuomonę 64 straipsnio 1 dalyje nurodytais atvejais arba nesilaiko pagal 64 straipsnį pateiktos Valdybos nuomonės. Tuo atveju bet kuri susijusi priežiūros institucija arba Komisija gali pranešti apie šį klausimą Valdybai.

2. 1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma priimamas per vieną mėnesį nuo dalyko pateikimo. Dėl dalyko sudėtingumo tas laikotarpis gali būti pratęstas dar vienam mėnesiui. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

3. Jei valdybai nepavyko priimti sprendimo per 2 dalyje nurodytus laikotarpius, ji sprendimą priima paprasta valdybos narių balsų dauguma per dvi savaites nuo 2 dalyje nurodyto antrojo mėnesio pabaigos. Jei valdybos narių balsai pasidalija po lygiai, sprendimą lemia jos pirmininko balsas.

4. Per 2 ir 3 dalyse nurodytus laikotarpius susijusios priežiūros institucijos nepriima sprendimo dėl pagal 1 dalį valdybai pateikto dalyko.

5. Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, praneša Valdybai jos galutinio sprendimo pranešimo atitinkamai duomenų valdytojui arba duomenų tvarkytojui ir duomenų subjektui datą. Susijusių priežiūros institucijų galutinis sprendimas priimamas laikantis 60 straipsnio 7, 8 ir 9 dalyse išdėstytų sąlygų. Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.

66 straipsnis

Skubos procedūra

1. Išimtinėmis aplinkybėmis, jeigu susijusi priežiūros institucija mano, jog būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ji, nukrypdama nuo 63, 64 ir 65 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo arba 60 straipsnyje nurodytos procedūros, gali nedelsdama priimti konkretų ne ilgiau kaip tris mėnesius trunkantį laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios valstybės narės teritorijoje. Priežiūros institucija tas priemones ir jų patvirtinimo priežastis nedelsdama pateikia kitoms susijusioms priežiūros institucijoms, Valdybai ir Komisijai.

2. Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai patvirtinti galutines priemones, ji gali prašyti, kad Valdyba skubiai pateiktų nuomonę arba skubiai priimtų privalomą sprendimą, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis.

3. Bet kuri priežiūros institucija gali prašyti Valdybos atitinkamai skubiai pateikti nuomonę arba skubiai priimti privalomą sprendimą, jeigu kompetentinga priežiūros institucija nesiėmė tinkamos priemonės tuo atveju, kai būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis, be kita ko, susijusias su būtinybe imtis skubių veiksmų.

4. Nukrypstant nuo 64 straipsnio 3 dalies ir 65 straipsnio 2 dalies, šio straipsnio 2 ir 3 dalyse nurodyta skubi nuomonė arba skubus privalomas sprendimas per dvi savaites priimami Valdybos narių paprasta balsų dauguma.

67 straipsnis

Keitimasis informacija

Komisija gali priimti bendro pobūdžio įgyvendinimo aktus, tam kad būtų nustatyti priežiūros institucijų tarpusavio, taip pat priežiūros institucijų ir Valdybos keitimosi informacija elektroninėmis priemonėmis tvarka, visų pirma 64 straipsnyje nurodyta standartizuota forma.

Tie įgyvendinimo aktai priimami laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

3 skirsnis

Europos duomenų apsaugos valdyba

69 straipsnis

Nepriklausomumas

1. Atlikdama savo užduotis arba naudodamasi savo įgaliojimais pagal 70 ir 71 straipsnius Valdyba veikia nepriklausomai.

2. Nedarant poveikio Komisijos galimybei teikti 70 straipsnio 1 dalies b punkte ir 70 straipsnio 2 dalyje nurodytus prašymus, Valdyba, atlikdama savo užduotis arba naudodamasi savo įgaliojimais, neprašo ir nepriima jokių nurodymų.

70 straipsnis

Valdybos užduotys

1. Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

a)	stebi ir užtikrina tinkamą šio reglamento taikymą 64 ir 65 straipsniuose nurodytais atvejais, nedarant poveikio nacionalinių priežiūros institucijų užduotims;

b)	konsultuoja Komisiją visais su asmens duomenų apsauga Sąjungoje susijusiais klausimais, be kita ko, dėl siūlomų šio reglamento pakeitimų;

c)	konsultuoja Komisiją dėl duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formato ir procedūrų;

d)	teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, susijusius su procedūromis, kaip ištrinti asmens duomenų saitus, kopijas ar dublikatus iš viešai prieinamų ryšių paslaugų, kaip nurodyta 17 straipsnio 2 dalyje;

e)	savo iniciatyva, vieno iš savo narių prašymu arba Komisijos prašymu nagrinėja klausimus, susijusius su šio reglamento taikymu, ir teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad paskatintų šį reglamentą taikyti nuosekliai;

f)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius, kad labiau patikslintų profiliavimu grindžiamų sprendimų pagal 22 straipsnio 2 dalį kriterijus ir sąlygas;

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius dėl 33 straipsnio 1 ir 2 dalyse nurodyto asmens duomenų saugumo pažeidimo ir nepagrįsto delsimo nustatymo, taip pat konkrečių aplinkybių, kuriomis duomenų valdytojas arba duomenų tvarkytojas turi pranešti apie asmens duomenų pažeidimą;

h)	pagal šios dalies b punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, susijusius su tokiomis aplinkybėmis, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, kaip nurodyta 34 straipsnio 1 dalyje;

pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų kriterijus ir reikalavimus, taikomus asmens duomenų perdavimams, kurie grindžiami įmonei privalomomis taisyklėmis, kurių laikosi duomenų valdytojai, ir įmonei privalomomis taisyklėmis, kurių laikosi duomenų tvarkytojai, ir kitais būtinais reikalavimais, kuriais siekiama užtikrinti atitinkamų duomenų subjektų asmens duomenų apsaugą, kaip nurodyta 47 straipsnyje;

j)	pagal šios dalies e punktą teikia gaires, rekomendacijas ir gerosios praktikos pavyzdžius, kad labiau patikslintų asmens duomenų perdavimo remiantis 49 straipsnio 1 dalimi kriterijus ir reikalavimus;

k)	rengia priežiūros institucijoms skirtas gaires dėl 58 straipsnio 1, 2 ir 3 dalyse nurodytų priemonių taikymo ir administracinių baudų pagal 83 straipsnį nustatymo;

l)	peržiūri e ir f punktuose nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių praktinį taikymą;

m)	pagal šios e punktą teikia gaires, rekomendacijas ir geriausios praktikos pavyzdžius siekiant nustatyti bendrą fizinių asmenų teikiamų pranešimų apie šio reglamento pažeidimus pagal 54 straipsnio 2 dalį tvarką;

n)	skatina rengti elgesio kodeksus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus bei duomenų apsaugos ženklus ir žymenis pagal 40 ir 42 straipsnius;

o)	vykdo sertifikavimo įstaigų akreditavimą ir jo periodinę peržiūrą pagal 43 straipsnį ir tvarko viešą akredituotų įstaigų registrą pagal 43 straipsnio 6 dalį ir viešą trečiosiose valstybėse įsisteigusių akredituotų duomenų valdytojų ar duomenų tvarkytojų registrą pagal 42 straipsnio 7 dalį;

p)	tiksliai apibūdina 43 straipsnio 3 dalyje nurodytus reikalavimus siekiant akredituoti sertifikavimo įstaigas pagal 42 straipsnį;

q)	pateikia Komisijai nuomonę dėl 43 straipsnio 8 dalyje nurodytų sertifikavimo reikalavimų;

r)	pateikia Komisijai nuomonę dėl 12 straipsnio 7 dalyje nurodytų piktogramų;

pateikia Komisijai nuomonę dėl apsaugos lygio trečiojoje valstybėje arba tarptautinėje organizacijoje tinkamumo įvertinimo, įskaitant įvertinimą, ar trečioji valstybė, teritorija arba tarptautinė organizacija ar nurodytas vienas ar keli sektoriai toje trečiojoje valstybėje nebeužtikrina tinkamo apsaugos lygio. Tuo tikslu Komisija pateikia Valdybai visus būtinus dokumentus, įskaitant korespondenciją su trečiosios valstybės vyriausybe, dėl tos trečiosios šalies, teritorijos ar nurodyto sektoriaus, arba su tarptautine organizacija;

t)	teikia nuomones dėl priežiūros institucijų sprendimų projektų pagal 64 straipsnio 1 dalyje nurodytą nuoseklumo užtikrinimo mechanizmą ir dėl klausimų, pateiktų pagal 64 straipsnio 2 dalį, ir priima privalomus sprendimus pagal 65 straipsnį, įskaitant 66 straipsnyje nurodytus atvejus;

u)	skatina priežiūros institucijų bendradarbiavimą ir veiksmingą dvišalį bei daugiašalį keitimąsi informacija ir geriausios praktikos pavyzdžiais;

v)	skatina vykdyti bendras mokymo programas ir palengvina priežiūros institucijų darbuotojų mainus, ir tam tikrais atvejais darbuotojų mainus su trečiųjų valstybių priežiūros institucijomis arba su tarptautinėmis organizacijomis;

w)	skatina keistis žiniomis ir dokumentais apie duomenų apsaugos teisės aktus ir praktiką su duomenų apsaugos priežiūros institucijomis visame pasaulyje;

x)	teikia nuomones dėl pagal 40 straipsnio 4 dalį Sąjungos lygmeniu parengtų elgesio kodeksų; ir

y)	tvarko viešai prieinamą priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroninį registrą.

2. Jeigu Komisija prašo Valdybos konsultacijos, ji gali nurodyti terminą, atsižvelgdama į klausimo skubumą.

3. Valdyba savo nuomones, gaires, rekomendacijas ir geriausios praktikos pavyzdžius teikia Komisijai bei 93 straipsnyje nurodytam komitetui ir skelbia juos viešai.

4. Valdyba tam tikrais atvejais konsultuojasi su suinteresuotosiomis šalimis ir suteikia joms galimybę per pagrįstą laikotarpį pateikti pastabų. Nedarant poveikio 76 straipsniui, Valdyba viešai paskelbia konsultavimosi procedūros rezultatus.

71 straipsnis

Ataskaitos

1. Valdyba parengia metinę ataskaitą dėl fizinių asmenų apsaugos tvarkant duomenis Sąjungoje ir tam tikrais atvejais trečiosiose valstybėse bei tarptautinėse organizacijose. Ataskaita skelbiama viešai ir perduodama Europos Parlamentui, Tarybai ir Komisijai.

2. Toje metinėje ataskaitoje apžvelgiamas 70 straipsnio 1 dalies l punkte nurodytų gairių, rekomendacijų ir geriausios praktikos pavyzdžių, taip pat 65 straipsnyje nurodytų privalomų sprendimų praktinis taikymas.

82 straipsnis

Teisė į kompensaciją ir atsakomybė

1. Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

2. Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. Duomenų tvarkytojas už dėl duomenų tvarkymo sukeltą žalą atsako tik tuo atveju, jei jis nesilaikė šiame reglamente konkrečiai duomenų tvarkytojams nustatytų prievolių arba jei jis veikė nepaisydamas teisėtų duomenų valdytojo nurodymų arba juos pažeisdamas.

3. Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.

4. Jei tame pačiame duomenų tvarkymo procese dalyvauja daugiau nei vienas duomenų valdytojas ar duomenų tvarkytojas arba dalyvauja abu – duomenų valdytojas ir duomenų tvarkytojas – ir kai jie pagal 2 ir 3 dalis yra atsakingi už bet kokią dėl tokio tvarkymo sukeltą žalą, laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingi už visą žalą, kad būtų užtikrinta veiksminga kompensacija duomenų subjektui.

5. Kai duomenų valdytojas arba duomenų tvarkytojas pagal 4 dalį sumokėjo visą kompensaciją už patirtą žalą, tas duomenų valdytojas arba duomenų tvarkytojas turi teisę reikalauti iš kitų tame pačiame duomenų tvarkymo procese dalyvavusių duomenų valdytojų arba duomenų tvarkytojų, kad jie sugrąžintų jam kompensacijos dalį, atitinkančią jų atsakomybės dalį, laikantis 2 dalyje išdėstytų sąlygų.

6. Bylos dėl naudojimosi teise gauti kompensaciją iškeliamos pagal valstybės narės valstybės narės teisės aktus kompetentinguose teismuose, kaip nurodyta 79 straipsnio 2 dalyje.

83 straipsnis

Bendrosios administracinių baudų skyrimo sąlygos

1. Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2. Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)	pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)	tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;

c)	bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;

d)	duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;

e)	bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus;

f)	bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;

g)	asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;

h)	tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu);

i)	jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių;

j)	ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir

k)	kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

3. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

4. Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	duomenų valdytojo ir duomenų tvarkytojo prievoles 8, 11, 25-39 ir 42 bei 43 straipsnius;

b)	sertifikavimo įstaigos prievoles pagal 42 ir 43 straipsnius;

c)	stebėsenos įstaigos prievoles pagal 41 straipsnio 4 dalį;

5. Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

b)	duomenų subjekto teises pagal 12–22 straipsnius;

c)	asmens duomenų perdavimą duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 44–49 straipsnius;

d)	prievoles pagal valstybės narės teisės aktus, priimtus pagal IX skyrių;

e)	jei nesilaikoma priežiūros institucijos nurodymo arba laikino ar nuolatinio duomenų tvarkymo apribojimo arba duomenų srautų sustabdymo pagal 58 straipsnio 2 dalį arba nesuteikiama prieigos galimybė pažeidžiant 58 straipsnio 1 dalį;

6. Jei nesilaikoma 58 straipsnio 2 dalyje nurodyto priežiūros institucijos nurodymo, pagal šio straipsnio 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

7. Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsisteigusioms toje valstybėje narėje.

8. Priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą.

9. Jei valstybės narės teisės sistemoje nenumatoma administracinių baudų, šis straipsnis gali būti taikomas taip, kad baudą inicijuotų kompetentinga priežiūros institucija, o ją skirtų kompetentingi nacionaliniai teismai, kartu užtikrinant, kad tos teisių gynimo priemonės būtų veiksmingos ir turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį. Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos. Tos valstybės narės ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai savo teisės aktų nuostatas, kurias jos priima pagal šią dalį, ir nedelsdamos praneša vėlesnius tas nuostatas keičiančius teisės aktus ar su jomis susijusius pakeitimus.

90 straipsnis

Prievolės saugoti paslaptį

1. Valstybės narės gali priimti specialias taisykles ir jose išdėstyti 58 straipsnio 1 dalies e ir f punktuose nustatytus priežiūros institucijų įgaliojimus dėl duomenų valdytojų arba duomenų tvarkytojų, kuriems pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma prievolė saugoti profesinę paslaptį arba kitos lygiavertės prievolės saugoti paslaptį, jeigu tai būtina ir proporcinga siekiant suderinti teisę į asmens duomenų apsaugą su prievole saugoti paslaptį. Tos taisyklės taikomos tik asmens duomenims, kuriuos duomenų valdytojas arba duomenų tvarkytojas gavo arba įgijo vykdydamas veiklą, kuriai taikoma ta prievolė saugoti paslaptį.

2. Kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Komisijai taisykles, kurias ji priima pagal 1 dalį, ir nedelsdama praneša vėlesnius su tomis taisyklėmis susijusius pakeitimus.

92 straipsnis

Įgaliojimų delegavimas

1. Įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami šiame straipsnyje nustatytomis sąlygomis.

2. 12 straipsnio 8 dalyje ir 43 straipsnio 8 dalyje nurodyti įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami neribotam laikotarpiui nuo 2016 m. gegužės 24 d.

3. Europos Parlamentas arba Taryba gali bet kada atšaukti 12 straipsnio 8 dalyje ir 43 straipsnio 8 dalyje nurodytus deleguotuosius įgaliojimus. Sprendimu dėl įgaliojimų atšaukimo nutraukiami tame sprendime nurodyti įgaliojimai priimti deleguotuosius aktus. Jis įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba vėlesnę jame nurodytą dieną. Jis nedaro poveikio jau galiojančių deleguotųjų aktų galiojimui.

4. Apie priimtą deleguotąjį aktą Komisija nedelsdama vienu metu praneša Europos Parlamentui ir Tarybai.

5. Pagal 12 straipsnio 8 dalį ir 43 straipsnio 8 dalį priimtas deleguotasis aktas įsigalioja tik tuo atveju, jeigu per tris mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie šį aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimų arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba praneša Komisijai, kad prieštaravimų nereikš. Europos Parlamento arba Tarybos iniciatyva šis laikotarpis pratęsiamas trim mėnesiais.

97 straipsnis

Komisijos ataskaitos

1. Ne vėliau kaip 2020 m. gegužės 25 d. ir vėliau kas ketverius metus Komisija teikia Europos Parlamentui ir Tarybai šio reglamento vertinimo ir peržiūros ataskaitas. Ataskaitos skelbiamos viešai.

2. Atlikdama 1 dalyje nurodytus įvertinimus ir peržiūras, Komisija visų pirma išnagrinėja, kaip taikomos ir kaip veikia:

a)	V skyriaus nuostatos dėl asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms, ypatingą dėmesį skiriant sprendimams, priimtiems pagal šio reglamento 45 straipsnio 3 dalį, ir sprendimams, priimtiems remiantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi;

b)	VII skyriaus nuostatos dėl bendradarbiavimo ir nuoseklumo.

3. 1 dalies tikslu Komisija gali prašyti valstybių narių ir priežiūros institucijų pateikti informaciją.

4. Atlikdama 1 ir 2 dalyse nurodytą vertinimą ir peržiūrą, Komisija atsižvelgia į Europos Parlamento, Tarybos, taip pat kitų svarbių įstaigų ar šaltinių nuomones ir išvadas.

5. Prireikus Komisija pateikia tinkamus pasiūlymus iš dalies pakeisti šį reglamentą, visų pirma atsižvelgdama į informacinių technologijų raidą ir informacinės visuomenės pažangą.

whereas

(1) fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė.
Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

- = -

(106) Komisija turėtų stebėti, kaip vykdomi sprendimai dėl apsaugos lygio trečiojoje valstybėje ar teritorijoje arba nurodytame sektoriuje trečiojoje valstybėje, arba tarptautinėje organizacijoje, ir stebėti sprendimų, priimtų remiantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi arba 26 straipsnio 4 dalimi, vykdymą.
Komisija sprendimuose dėl tinkamumo turėtų numatyti jų vykdymo periodinės peržiūros mechanizmą.
Ta periodinė peržiūra turėtų būti atliekama konsultuojantis su atitinkama trečiąja valstybe ar tarptautine organizacija ir atsižvelgiant į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje.
Stebėsenos ir periodinių peržiūrų tikslais Komisija turėtų atsižvelgti į Europos Parlamento ir Tarybos, taip pat kitų svarbių įstaigų ir šaltinių nuomones ir išvadas.
Komisija turėtų per pagrįstą laikotarpį įvertinti pastarųjų sprendimų vykdymą ir atitinkamas išvadas pateikti komitetui, kaip apibrėžta Europos Parlamento ir Tarybos reglamente (ES) Nr. 182/2011 (12) ir kaip nustatyta šiuo reglamentu, Europos Parlamentui ir Tarybai;

- = -

(143) bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Teisingumo Teisme pareikšti ieškinį dėl Valdybos sprendimų panaikinimo.
Susijusios priežiūros institucijos, kurioms tokie sprendimai skirti ir kuriuos jos nori užginčyti, turi pareikšti ieškinį per du mėnesius nuo tada, kai joms pranešama apie tuos sprendimus, laikantis SESV 263 straipsnio.
Tuo atveju, jei Valdybos sprendimai yra tiesiogiai ir konkrečiai susiję su duomenų valdytoju, duomenų tvarkytoju ar skundo pateikėju, pastarasis gali pateikti ieškinį dėl tų sprendimų panaikinimo per du mėnesius nuo jų paskelbimo Valdybos interneto svetainėje, laikantis SESV 263 straipsnio.
Nedarant poveikio šiai teisei pagal SESV 263 straipsnį, kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu.
Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu.
Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų.
Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės.
Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi.

- = -

(159) jei asmens duomenys tvarkomi mokslinių tyrimų tikslais, šis reglamentas taip pat turėtų būti taikomas tokiam tvarkymui. Šio reglamento tikslais asmens duomenų tvarkymas mokslinių tyrimų tikslais turėtų būti aiškinamas plačiai, įskaitant, pavyzdžiui, technologinę plėtrą ir demonstravimą, fundamentinius tyrimus, taikomuosius mokslinius tyrimus ir privačiojo sektoriaus lėšomis finansuojamus mokslinius tyrimus.
Taip tvarkant duomenis taip pat turėtų būti atsižvelgta į SESV 179 straipsnio 1 dalyje nustatytą Sąjungos tikslą sukurti Europos mokslinių tyrimų erdvę.
Mokslinių tyrimų tikslai taip pat turėtų apimti viešojo intereso labui atliekamus tyrimus visuomenės sveikatos srityje.
Kad būtų įvykdyti asmens duomenų tvarkymo mokslinių tyrimų tikslais specifiniai reikalavimai, turėtų būti taikomos specialios sąlygos visų pirma dėl skelbimo arba, kitais atvejais, dėl asmens duomenų atskleidimo mokslinių tyrimų tikslų kontekste.
Jeigu mokslinių tyrimų rezultatai, visų pirma sveikatos srityje, sudaro prielaidas imtis tolesnių priemonių duomenų subjekto interesų labui, tokių priemonių atžvilgiu turėtų būti taikomos šio reglamento bendros taisyklės;

- = -

(163) konfidenciali informacija, kurią Sąjungos ir nacionalinės statistikos institucijos renka oficialiai Europos ir oficialiai nacionalinei statistikai rengti, turėtų būti apsaugota.
Europos statistika turėtų būti plėtojama, rengiama ir skleidžiama laikantis statistikos principų, nustatytų SESV 338 straipsnio 2 dalyje, o nacionalinė statistika taip pat turėtų atitikti valstybės narės teisę.
Europos Parlamento ir Tarybos reglamente (EB) Nr. 223/2009 (16) pateikiama papildoma patikslinta informacija apie Europos statistikos konfidencialumą;

- = -

dal 2004 diritto e informatica