interactive GDPR 2016/0679 LV

3. Personas datu brīvu apriti Savienībā neierobežo un neaizliedz tādu iemeslu dēļ, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.

4. pants

Definīcijas

Šajā regulā:

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)	“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu;

6)	“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;

8)	“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

10)	“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

11)	datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

12)	“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

13)	“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

14)	“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

15)	“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

16)

“galvenā uzņēmējdarbības vieta”:

attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi;

attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi;

17)	“pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti šajā regulā;

18)	“uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību;

19)	“uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;

20)

“saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā;

21)	“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot51. pantu;

22)

“attiecīgā uzraudzības iestāde” ir uzraudzības iestāde, uz kuru personas datu apstrāde attiecas tāpēc, ka:

a)	pārzinis vai apstrādātājs veic uzņēmējdarbību minētās uzraudzības iestādes dalībvalsts teritorijā;

b)	apstrāde būtiski ietekmē vai var būtiski ietekmēt datu subjektus, kas dzīvo minētās uzraudzības iestādes dalībvalstī; vai

c)	sūdzība ir iesniegta minētajai uzraudzības iestādei;

23)

“pārrobežu apstrāde” ir vai nu:

a)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai

b)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī;

24)

“būtisks un motivēts iebildums” ir iebildums lēmuma projektam par to, vai šī regula ir pārkāpta, vai par to, vai iecerētā darbība attiecībā uz pārzini vai apstrādātāju atbilst šai regulai, skaidri parādot to risku nozīmīgumu, ko lēmuma projekts rada datu subjektu pamattiesībām un pamatbrīvībām un attiecīgā gadījumā – personas datu brīvai apritei Savienībā;

25)	“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (19) 1. panta 1. punkta b) apakšpunktā;

26)	“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata.

II NODAĻA

Principi

5. pants

Personas datu apstrādes principi

1. Personas dati:

a)	tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);

c)	ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)	ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);

tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).

6. pants

Apstrādes likumīgums

1. Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)	datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)	apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)	apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

d)	apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;

e)	apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;

f)	apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.

2. Dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai šīs regulas noteikumu piemērošanu pielāgotu attiecībā uz apstrādi, ko veic, lai ievērotu 1. punkta c) un e) apakšpunktu, nosakot precīzāk konkrētas prasības apstrādei un citus pasākumus, ar ko nodrošina likumīgu un godprātīgu apstrādi, tostarp citās konkrētās apstrādes situācijās, kas paredzētas IX nodaļā.

3. Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar:

a)	Savienības tiesību aktiem; vai

b)	dalībvalsts tiesību aktiem, kas piemērojami pārzinim.

Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Minētajā juridiskajā pamatā var būt ietverti konkrēti noteikumi, lai pielāgotu šīs regulas noteikumu piemērošanu, cita starpā vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; un apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās konkrētās datu apstrādes situācijās, kas paredzētas IX nodaļā. Savienības vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi.

4. Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 23. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

a)	jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem;

b)	kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām;

c)	personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 9. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 10. pantu;

d)	paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem;

e)	atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju.

9. pants

Īpašu kategoriju personas datu apstrāde

1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

a)	datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt;

apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesību akti vai koplīgums atbilstīgi dalībvalsts tiesību aktiem, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm;

c)	apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic fonds, apvienība vai jebkura cita bezpeļņas struktūra, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras;

e)	apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis;

f)	apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad tiesas pilda savus uzdevumus;

g)	apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai;

apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai.

3. Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

4. Dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.

13. pants

Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta

1. Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami;

2. Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

c)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)	tiesības iesniegt sūdzību uzraudzības iestādei;

e)	informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

f)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

4. Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

14. pants

Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta

1. Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	attiecīgo personas datu kategorijas;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

2. Papildus 1. punktā minētajai informācijai, pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

c)	tas, ka pastāv tiesības pieprasīt no pārziņa piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu un tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

d)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

e)	tiesības iesniegt sūdzību uzraudzības iestādei;

f)	informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem;

g)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Pārzinis 1. un 2. punktā minēto informāciju sniedz:

a)	saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;

b)	ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai

c)	vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.

4. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

5. Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

a)	informācija jau ir datu subjekta rīcībā;

izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ievērojot 89. panta 1. punktā minētos nosacījumus un garantijas, vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus. Šādos gadījumos pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu;

c)	iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai

d)	ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības vai dalībvalsts tiesību aktiem, ieskaitot statūtos noteiktu pienākumu glabāt noslēpumu.

25. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas prasības un aizsargāt datu subjektu tiesības.

2. Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.

3. Apstiprināts sertifikācijas mehānisms atbilstoši 42. pantam var tikt izmantots kā elements, ar ko apliecina atbilstību šā panta 1. un 2. punktā izklāstītajām prasībām.

28. pants

Apstrādātājs

1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)	nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)	īsteno visus pasākumus, kas nepieciešami saskaņā ar 32. pantu;

d)	ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;

e)	ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)	palīdz pārzinim nodrošināt 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)	pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)	pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.

5. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu.

7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

8. Uzraudzības iestāde var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā.

9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10. Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

30. pants

Apstrādes darbību reģistrēšana

1. Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;

b)	apstrādes nolūki;

c)	datu subjektu kategoriju un personas datu kategoriju apraksts;

d)	to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

e)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

f)	ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

g)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2. Katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

apstrādātāja vai apstrādātāju vārdi un uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds un uzvārds vai nosaukums un kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija;

b)	katra pārziņa vārdā veiktās apstrādes kategorijas;

c)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

d)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4. Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.

5. Pienākumus, kas minēti 1. un 2. punktā, nepiemēro uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas, izņemot, ja uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas, kas minētas 9. panta 1. punktā, vai personas datus par sodāmību un pārkāpumiem, kas minēti 10. pantā.

33. pants

Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei

1. Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, kas ir kompetenta saskaņā ar 55. pantu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana uzraudzības iestādei nav notikusi 72 stundu laikā, paziņojumam pievieno kavēšanās iemeslus.

2. Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.

3. Paziņojumā, kas minēts 1. punktā, vismaz:

a)	apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b)	paziņo datu aizsardzības speciālista vārdu un uzvārdu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju;

c)	apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)	apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.

4. Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

5. Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu.

34. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1. Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2. Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 33. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.

3. Paziņojums datu subjektam, kā minēts 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem:

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)	pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)	tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4. Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

3. iedaļa

Novērtējums par ietekmi uz datu aizsardzību un iepriekšēja apspriešanās

35. pants

Novērtējums par ietekmi uz datu aizsardzību

1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts.

3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)	ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)	9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)	publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.

5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai.

6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu.

7. Novērtējumā ietver vismaz:

a)	plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu;

b)	novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)	novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)	pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums.

11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

36. pants

Iepriekšēja apspriešanās

1. Pārzinis pirms apstrādes apspriežas ar uzraudzības iestādi, ja novērtējumā par ietekmi uz datu aizsardzību saskaņā ar 35. pantu ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku.

2. Ja uzraudzības iestāde uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, uzraudzības iestāde laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot savas 58. pantā minētās pilnvaras. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Uzraudzības iestāde informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kamēr uzraudzības iestāde saņem informāciju, ko tā pieprasījusi apspriešanās nolūkiem.

3. Apspriežoties ar uzraudzības iestādi saskaņā ar 1. punktu, pārzinis iesniedz uzraudzības iestādei:

a)	attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus, jo īpaši, lai veiktu apstrādi uzņēmumu grupā;

b)	paredzētās apstrādes nolūkus un līdzekļus;

c)	pasākumus un garantijas, lai nodrošinātu datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu;

d)	attiecīgā gadījumā datu aizsardzības speciālista kontaktinformāciju;

e)	35. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un

f)	jebkādu citu uzraudzības iestādes prasītu informāciju.

4. Dalībvalstis apspriežas ar uzraudzības iestādi, kamēr tiek gatavots priekšlikums leģislatīvam pasākumam, ko pieņems valsts parlaments, vai regulatīvs pasākums, kas balstās uz šādu leģislatīvu pasākumu, kurš attiecas uz apstrādi.

5. Neatkarīgi no 1. punkta – dalībvalsts tiesību aktos var būt noteikts, ka pārziņiem ir jāapspriežas ar uzraudzības iestādi un jāsaņem no tās iepriekšēja atļauja saistībā ar apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad minēto apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību.

4. iedaļa

Datu aizsardzības speciālists

37. pants

Datu aizsardzības speciālista iecelšana

1. Pārzinis un apstrādātājs ieceļ datu aizsardzības speciālistu katrā gadījumā, kad:

a)	apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;

b)	pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai

c)	pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9. pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.

2. Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu.

3. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu.

4. Gadījumos, kas nav minēti 1. punktā, pārzinis vai apstrādātājs, vai apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var iecelt vai – ja tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem – ieceļ datu aizsardzības speciālistu. Datu aizsardzības speciālists var rīkoties šādu apvienību un citu struktūru, kas pārstāv pārziņus vai apstrādātājus, uzdevumā.

5. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.

6. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.

7. Pārzinis vai apstrādātājs publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei.

38. pants

Datu aizsardzības speciālista statuss

1. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

2. Pārzinis un apstrādātājs atbalsta datu aizsardzības speciālistu 39. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas.

3. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības speciālists nesaņem nekādus norādījumus attiecībā uz minēto uzdevumu veikšanu. Pārzinis vai apstrādātājs viņu neatlaiž vai viņam nepiemēro sankcijas par viņa uzdevumu veikšanu. Datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā.

4. Datu subjekti var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu.

5. Datu aizsardzības speciālistam ir saistoša slepenības vai konfidencialitātes ievērošana saistībā ar viņa uzdevumu pildīšanu, kā paredzēts Savienības vai dalībvalstu tiesību aktos.

6. Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus. Pārzinis vai apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu.

39. pants

Datu aizsardzības speciālista uzdevumi

1. Datu aizsardzības speciālistam ir vismaz šādi uzdevumi:

a)	informēt un konsultēt pārzini vai apstrādātāju un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo regulu un ar citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību;

uzraudzīt, vai tiek ievērota šī regula, citi Savienības vai dalībvalstu noteikumi par datu aizsardzību un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c)	pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 35. pantu;

d)	sadarboties ar uzraudzības iestādi;

e)	būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, tostarp 36. pantā minēto iepriekšējo apspriešanos, un attiecīgā gadījumā konsultēt par jebkuru citu jautājumu.

2. Datu aizsardzības speciālists, pildot savus uzdevumus, pienācīgi ņem vērā ar apstrādes darbībām saistīto risku, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūku.

5. iedaļa

Rīcības kodeksi un sertifikācija

40. pants

Rīcības kodeksi

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:

a)	godprātīgu un pārredzamu apstrādi;

b)	pārziņu leģitīmajām interesēm konkrētos gadījumos;

c)	personas datu vākšanu;

d)	personas datu pseidonimizāciju;

e)	informāciju, ko sniedz sabiedrībai un datu subjektiem;

f)	datu subjektu tiesību īstenošanu;

g)	informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;

h)	pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;

i)	uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;

j)	personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai

k)	ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.

3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.

5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.

6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.

7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.

8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.

9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.

11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

42. pants

Sertifikācija

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Papildus tam, ka saskaņā ar šā panta 5. punktu apstiprinātus datu aizsardzības sertifikācijas mehānismus, zīmogus vai marķējumus izmanto pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, ievērojot 3. pantu, šī regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešām valstīm vai starptautiskajām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta f) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Sertifikācija ir brīvprātīga un pieejama procesā, kas ir pārredzams.

4. Sertifikācija, ko veic saskaņā ar šo pantu, nemazina pārziņa vai apstrādātāja atbildību attiecībā uz šīs regulas ievērošanu, un tā neskar uzraudzības iestāžu, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, uzdevumus un pilnvaras.

5. Šajā pantā paredzētu sertifikātu izdod 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde, pamatojoties uz kritērijiem, ko – ievērojot 58. panta 3. punktu – apstiprinājusi minētā kompetentā uzraudzības iestāde vai – ievērojot 63. pantu – kolēģija. Ja kritērijus apstiprinājusi kolēģija, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu.

6. Pārzinis vai apstrādātājs, kas savas apstrādes darbības pakļauj minētajam sertifikācijas mehānismam, sniedz visu informāciju 43. pantā paredzētajai sertifikācijas struktūrai vai attiecīgā gadījumā kompetentajai uzraudzības iestādei un nodrošina piekļuvi savām apstrādes darbībām, kas vajadzīga, lai veiktu minēto sertifikācijas procedūru.

7. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot ar tādiem pašiem nosacījumiem, ar noteikumu, ka attiecīgās prasības joprojām ir izpildītas. Attiecīgā gadījumā 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde atsauc sertifikātu, ja sertifikācijas prasības nav izpildītas vai vairs netiek pildītas.

8. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

43. pants

Sertifikācijas struktūras

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras saskaņā ar 57. un 58. pantu, sertifikātu izdod un atjauno sertifikācijas struktūras, kam ir atbilstīgas specializētās zināšanas datu aizsardzības jomā, pēc tam, kad tās ir informējušas uzraudzības iestādi, lai tā vajadzības gadījumā varētu īstenot savas pilnvaras saskaņā ar 58. panta 2. punkta h) apakšpunktu. Dalībvalstis nodrošina, ka minētās sertifikācijas struktūras akreditē viena vai abas no turpmāk minētajām:

a)	uzraudzības iestāde, kas ir kompetenta, ievērojot 55. vai 56. pantu;

b)	valsts akreditācijas struktūra, kas norādīta saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (20) atbilstīgi EN-ISO/IEC 17065/2012 un papildu prasībām, ko paredzējusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu.

2. Šā panta 1. punktā minētās sertifikācijas struktūras akreditē saskaņā ar minēto punktu tikai tad, ja tās:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka darbojas neatkarīgi un pārzina sertifikācijas tematiku;

b)	ir apņēmušās ievērot 42. panta 5. punktā minētos kritērijus un to ir apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai – ievērojot 63. pantu – kolēģija;

c)	ir izstrādājušas procedūru, kādā piešķir, periodiski pārskata un atsauc datu aizsardzības sertifikātu, zīmogus un marķējumus;

d)	ir izstrādājušas procedūru un izveidojušas struktūras, lai izskatītu sūdzības par attiecīgās sertifikācijas pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno sertifikāciju, un lai nodrošinātu, ka minētā procedūra un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

e)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka to uzdevumi un pienākumi nerada interešu konfliktu.

3. Šā panta 1. un 2. punktā minēto sertifikācijas struktūru akreditāciju veic, pamatojoties uz kritērijiem, ko apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai kolēģija, ievērojot 63. pantu. Ja akreditāciju veic, ievērojot šā panta 1. punkta b) apakšpunktu, minētās prasības papildina prasības, kas paredzētas Regulā (EK) Nr. 765/2008, un tehniskos noteikumus, kuros aprakstītas sertifikācijas struktūru metodes un procedūras.

4. Šā panta 1. punktā minētās sertifikācijas struktūras ir atbildīgas par to, lai sertifikāts tiktu piešķirts vai šāds sertifikāts tiktu atsaukts pēc pienācīgi veikta novērtējuma, neskarot pārziņa vai apstrādātāja pienākumu ievērot šo regulu. Akreditāciju piešķir uz laikposmu, kas nepārsniedz piecus gadus, un to var atjaunot ar tādiem pašiem nosacījumiem ar noteikumu, ka sertifikācijas struktūra atbilst šajā pantā izklāstītajām prasībām.

5. Šā panta 1. punktā minētās sertifikācijas struktūras sniedz kompetentajām uzraudzības iestādēm informāciju par prasītā sertifikāta piešķiršanas vai atsaukšanas iemesliem.

6. Uzraudzības iestāde viegli pieejamā veidā publisko šā panta 3. punktā minētās prasības un 42. panta 5. punktā minētos kritērijus. Uzraudzības iestādes minētās prasības un kritērijus iesniedz arī kolēģijai. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

7. Neskarot VIII nodaļu, kompetentā uzraudzības iestāde vai valsts akreditācijas struktūra atsauc sertifikācijas struktūras akreditāciju, ievērojot šā panta 1. punktu, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja sertifikācijas struktūras veiktās darbības pārkāpj šo regulu.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu nolūkā precizēt prasības, kas jāņem vērā attiecībā uz 42. panta 1. punktā minētajiem datu aizsardzības sertifikācijas mehānismiem.

9. Komisija var pieņemt īstenošanas aktus, ar ko nosaka tehniskos standartus sertifikācijas mehānismiem un datu aizsardzības zīmogiem un marķējumiem, un mehānismus minēto sertifikācijas mehānismu, zīmogu un marķējumu popularizēšanai un atzīšanai. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

V NODAĻA

Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

44. pants

Nosūtīšanas vispārīgie principi

Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā citus šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.

45. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)	starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību.

5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties.

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7. Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam.

8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis.

9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.

46. pants

Nosūtīšana, pamatojoties uz atbilstošām garantijām

1. Ja nav pieņemts lēmums saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.

2. Šā panta 1. punktā minētās atbilstošās garantijas, uzraudzības iestādei neprasot īpašu atļauju, var tikt nodrošinātas ar:

a)	starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu instrumentu;

b)	saistošiem uzņēmuma noteikumiem saskaņā ar 47. pantu;

c)	standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru;

d)	standarta datu aizsardzības klauzulām, ko pieņem uzraudzības iestāde un apstiprina Komisija saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru;

e)	saskaņā ar 40. pantu apstiprinātu rīcības kodeksu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošās garantijas, tostarp attiecībā uz datu subjekta tiesībām; vai

f)	saskaņā ar 42. pantu apstiprinātu sertifikācijas mehānismu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošas garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Ja kompetentā uzraudzības iestāde dod tādu atļauju, tad 1. punktā minētās atbilstošās garantijas var arī nodrošināt jo īpaši ar:

a)	starp pārzini vai apstrādātāju un trešā valstī vai starptautiskā organizācijā esošu pārzini, apstrādātāju vai personas datu saņēmēju noslēgtu līgumu klauzulām; vai

b)	noteikumiem, kuri iekļaujami administratīvajās vienošanās starp publiskām iestādēm vai struktūrām un kuri ietver īstenojamas un efektīvas datu subjektu tiesības.

4. Uzraudzības iestāde šā panta 3. punktā minētajos gadījumos piemēro konsekvences mehānismu, kas minēts 63. pantā.

5. Dalībvalsts vai uzraudzības iestādes atļaujas, kas izsniegtas saskaņā ar Direktīvas 95/46/EK 26. panta 2. punktu, ir spēkā, kamēr minētā uzraudzības iestāde tās vajadzības gadījumā negroza, neaizstāj vai neatceļ. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 26. panta 4. punktu, ir spēkā, kamēr tos vajadzības gadījumā negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 2. punktu.

47. pants

Saistoši uzņēmuma noteikumi

1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie:

a)	ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki;

b)	skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un

c)	atbilst 2. punktā izklāstītajām prasībām.

2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz:

a)	katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju;

b)	datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)	to juridiski gan iekšēji, gan ārēji saistošo raksturu;

vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi;

datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums;

g)	kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu;

i)	sūdzību procedūras;

uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei;

k)	mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei;

l)	sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus;

mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un

n)	piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem.

3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

49. pants

Atkāpes īpašās situācijās

1. Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu vai nav nodrošinātas atbilstošas garantijas saskaņā ar 46. pantu, tostarp saistoši uzņēmuma noteikumi, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju notiek tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem:

a)	datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)	nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)	nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)	nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs;

e)	nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

f)	nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi.

Ja nosūtīšanu nevar balstīt uz 45. vai 46. pantā ietvertu noteikumu, tostarp noteikumu par saistošiem uzņēmuma noteikumiem, un nav piemērojama neviena no atkāpēm īpašās situācijās saskaņā ar šā punkta pirmo daļu, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja nosūtīšana neatkārtojas, attiecas vienīgi uz ierobežotu skaitu datu subjektu, ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību. Pārzinis par nosūtīšanu informē uzraudzības iestādi. Papildus 13. un 14. pantā minētās informācijas sniegšanai pārzinis informē datu subjektu par nosūtīšanu un par pārliecinošām leģitīmām interesēm.

2. Nosūtot datus saskaņā ar 1. punkta pirmās daļas g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datus vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3. Šā panta 1. punkta pirmās daļas a), b) un c) apakšpunktu un otro daļu nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras.

4. Sabiedrības intereses, kas minētas 1. punkta pirmās daļas d) apakšpunktā, ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim.

5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju. Dalībvalstis par jebkādiem šādiem noteikumiem paziņo Komisijai.

6. Pārzinis vai apstrādātājs 30. pantā minētajos datu reģistros dokumentē novērtējumu, kā arī šā panta 1. punkta otrajā daļā izklāstītās atbilstošās garantijas.

50. pants

Starptautiskā sadarbība personas datu aizsardzības jomā

Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un uzraudzības iestādes veic atbilstošus pasākumus, lai:

a)	izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņošanu, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas attiecībā uz personas datu aizsardzību un citas pamattiesības un pamatbrīvības;

c)	iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir padziļināt starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)	veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz jurisdikcijas konfliktiem ar trešām valstīm.

VI NODAĻA

Neatkarīgas uzraudzības iestādes

1. iedaļa

Neatkarība

53. pants

Vispārīgi noteikumi par uzraudzības iestādes locekļiem

1. Dalībvalstis paredz, ka katru to uzraudzības iestāžu locekli, izmantojot pārredzamu procedūru, amatā ieceļ:

—	to parlamenti,

—	to valdības,

—	to valsts vadītāji vai

—	neatkarīga struktūra, kurai saskaņā ar dalībvalsts tiesību aktiem ir uzticēta iecelšana amatā.

2. Katram loceklim ir tāda kvalifikācija, pieredze un prasmes, jo īpaši personas datu aizsardzības jomā, kuras vajadzīgas, lai pildītu savus pienākumus un īstenotu savas pilnvaras.

3. Locekļa pienākumi beidzas līdz ar amata pilnvaru termiņa beigām, atkāpjoties no amata vai atlaišanas gadījumā, saskaņā ar attiecīgās dalībvalsts tiesību aktiem.

4. Locekli atbrīvo no amata tikai amata pienākumu smaga pārkāpuma gadījumos vai tad, ja viņš vairs neatbilst nosacījumiem, kas izvirzīti, lai pildītu pienākumus.

57. pants

Uzdevumi

1. Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:

a)	uzrauga un īsteno šīs regulas piemērošanu;

b)	veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem;

c)	saskaņā ar dalībvalsts tiesību aktiem konsultē valsts parlamentu, valdību un citas iestādes un struktūras par likumdošanas un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi;

d)	veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uztic saskaņā ar šo regulu;

e)	pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņu tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar citu dalībvalstu uzraudzības iestādēm;

izskata kāda datu subjekta, struktūras vai organizācijas, vai apvienības iesniegtās sūdzības saskaņā ar 80. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

g)	sadarbojas ar citām uzraudzības iestādēm, tostarp apmainās ar informāciju un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs regulas piemērošanu un izpildi;

h)	veic izmeklēšanu par šīs regulas piemērošanu, tostarp, pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

i)	pārrauga attiecīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikācijas tehnoloģiju un komercprakses attīstību;

j)	apstiprina 28. panta 8. punktā un 46. panta 2. punkta d) apakšpunktā minētās līguma standartklauzulas;

k)	izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

l)	sniedz padomus par 36. panta 2. punktā minētajām apstrādes darbībām;

m)	veicina rīcības kodeksu izstrādi saskaņā ar 40. panta 1. punktu un saskaņā ar 40. panta 5. punktu sniedz atzinumu un apstiprina šādus rīcības kodeksus, kas sniedz pietiekamas garantijas;

n)	veicina datu aizsardzības sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu izveidi saskaņā ar 42. panta 1. punktu un apstiprina sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

o)	attiecīgā gadījumā veic periodisku pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

p)	izstrādā un publicē akreditācijas kritērijus, lai akreditētu struktūru, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūru saskaņā ar 43. pantu;

q)	veic akreditāciju struktūrai, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūrai saskaņā ar 43. pantu;

r)	apstiprina 46. panta 3. punktā minētās līguma klauzulas un noteikumus;

s)	apstiprina saistošos uzņēmuma noteikumus saskaņā ar 47. pantu;

t)	veicina kolēģijas darbības;

u)	uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 58. panta 2. punktu veiktajiem pasākumiem; un

v)	pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību.

2. Katra uzraudzības iestāde atvieglo 1. punkta f) apakšpunktā minēto sūdzību iesniegšanu ar tādiem pasākumiem kā, piemēram, sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3. Attiecībā uz datu subjektu un attiecīgā gadījumā datu aizsardzības speciālistu katra uzraudzības iestāde savus uzdevumus veic bez maksas.

4. Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, vai atteikties veikt pieprasīto darbību. Uzraudzības iestādes pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

58. pants

Pilnvaras

1. Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:

a)	izdot rīkojumu pārzinim un apstrādātājam, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai;

b)	veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas;

c)	veikt pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

d)	paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

e)	iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās uzdevumu veikšanai;

f)	iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības vai dalībvalsts procesuālajiem tiesību aktiem.

2. Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

a)	brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi;

b)	izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c)	izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

d)	izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

e)	izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

f)	uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

g)	izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 17. panta 2. punktu un 19. pantu;

h)	atsaukt sertifikātu vai izdot rīkojumu sertifikācijas struktūrai atsaukt sertifikātu, kurš izsniegts, ievērojot 42. un 43. pantu, vai izdot rīkojumu sertifikācijas struktūrai neizsniegt sertifikātu, ja nav izpildītas vai vairs netiek pildītas sertifikācijas prasības;

i)	piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem;

j)	izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas.

3. Katrai uzraudzības iestādei ir visas šādas atļauju izsniegšanas un padomdevēja pilnvaras:

a)	konsultēt pārzini saskaņā ar 36. pantā minēto iepriekšējas apspriešanās procedūru;

b)	pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, dalībvalsts valdībai vai – saskaņā ar dalībvalsts tiesību aktiem – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību;

c)	dot atļauju uzsākt apstrādi, kas minēta 36. panta 5. punktā, ja dalībvalsts tiesību aktos ir paredzēta šāda iepriekšēja atļauja;

d)	saskaņā ar 40. panta 5. punktu sniegt atzinumu par rīcības kodeksa projektu un to apstiprināt;

e)	akreditēt sertifikācijas struktūras saskaņā ar 43. pantu;

f)	izsniegt sertifikātus un apstiprināt sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

g)	pieņemt standarta datu aizsardzības klauzulas, kas minētas 28. panta 8. punktā un 4. panta 2. punkta d) apakšpunktā;

h)	apstiprināt līguma klauzulas, kas minētas 46. panta 3. punkta a) apakšpunktā;

i)	apstiprināt administratīvās vienošanās, kas minētas 46. panta 3. punkta b) apakšpunktā;

j)	apstiprināt saistošos uzņēmuma noteikumus saskaņā ar 47. pantu.

4. Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar hartu.

5. Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.

6. Katra dalībvalsts var ar tiesību aktiem paredzēt, ka tās uzraudzības iestādei ir vēl citas pilnvaras papildus tām, kas minētas 1., 2. un 3. punktā. Minēto pilnvaru īstenošana netraucē VII nodaļas efektīvai darbībai.

64. pants

Kolēģijas atzinums

1. Kolēģija sniedz atzinumu, ja kompetentā uzraudzības iestāde gatavojas pieņemt jebkuru no turpmāk minētajiem pasākumiem. Šādā nolūkā kompetentā uzraudzības iestāde kolēģijai nosūta lēmuma projektu, kad:

a)	tā ir paredzējusi pieņemt sarakstu ar apstrādes darbībām, kam piemēro prasību par novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

b)	tas attiecas uz jautājumu saskaņā ar 40. panta 7. punktu par to, vai rīcības kodeksa projekts vai tā grozījums vai papildinājums atbilst šai regulai;

c)	tā ir paredzējusi apstiprināt kritērijus struktūras akreditācijai saskaņā ar 41. panta 3. punktu vai sertifikācijas struktūrai saskaņā ar 43. panta 3. punktu;

d)	tā ir paredzējusi noteikt standarta datu aizsardzības klauzulas, kas minētas 46. panta 2. punkta d) apakšpunktā un 28. panta 8. punktā;

e)	tā ir paredzējusi apstiprināt 46. panta 3. punkta a) apakšpunktā minētās līguma klauzulas; vai

f)	tā ir paredzējusi apstiprināt saistošos uzņēmuma noteikumus 47. panta nozīmē.

2. Jebkura uzraudzības iestāde, kolēģijas priekšsēdētājs vai Komisija var pieprasīt, lai kolēģija izskata jebkuru jautājumu par vispārējo piemērošanu vai kas rada sekas vairāk nekā vienā dalībvalstī nolūkā saņemt atzinumu, jo īpaši, ja kompetentā uzraudzības iestāde neievēro savstarpējas palīdzības pienākumu saskaņā ar 61. pantu vai kopīgu operāciju pienākumu saskaņā ar 62. pantu.

3. Gadījumos, kas minēti 1. un 2. punktā, kolēģija sniedz atzinumu par tai iesniegto jautājumu ar noteikumu, ka tā par to pašu jautājumu nav jau sniegusi atzinumu. Minēto atzinumu pieņem astoņu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu. Minēto termiņu var pagarināt vēl par sešām nedēļām, ņemot vērā jautājuma sarežģītību. Attiecībā uz 1. punktā minēto lēmuma projektu, kas saskaņā ar 5. punktu izplatīts kolēģijas locekļiem, uzskata, ka loceklis, kas priekšsēdētāja norādītā saprātīgā termiņā nav paudis iebildumus, piekrīt lēmuma projektam.

4. Uzraudzības iestādes un Komisija, izmantojot standarta formātu, bez nepamatotas kavēšanās elektroniski paziņo kolēģijai visu attiecīgo informāciju, ietverot attiecīgā gadījumā arī faktu kopsavilkumu, lēmuma projektu, pamatojumu, kāpēc šāds pasākums ir nepieciešams, un citu attiecīgo uzraudzības iestāžu viedokļus.

5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās elektroniski informē:

a)	kolēģijas locekļus un Komisiju par visu attiecīgo informāciju, kas paziņota kolēģijai, izmantojot standarta formātu. Ja nepieciešams, kolēģijas sekretariāts nodrošina attiecīgās informācijas tulkojumus; un

b)	uzraudzības iestādi, kas attiecīgā gadījumā minēta 1. un 2. punktā, un Komisiju par atzinumu un to publisko.

6. Kompetentā uzraudzības iestāde nepieņem 1. punktā minēto lēmuma projektu 3. punktā minētajā laikposmā.

7. Uzraudzības iestāde, kas minēta 1. punktā, vislielākajā mērā ņem vērā kolēģijas atzinumu un divu nedēļu laikā pēc atzinuma saņemšanas, izmantojot standarta formātu, elektroniski paziņo kolēģijas priekšsēdētājam, vai tā paturēs spēkā vai grozīs savu lēmuma projektu un grozījumu gadījumā informē par grozīto lēmuma projektu.

8. Ja attiecīgā uzraudzības iestāde šā panta 7. punktā minētajā termiņā informē kolēģijas priekšsēdētāju, ka ir nolēmusi pilnībā vai daļēji neievērot kolēģijas atzinumu, sniedzot attiecīgo pamatojumu, tiek piemērots 65. panta 1. punkts.

67. pants

Informācijas apmaiņa

Komisija var pieņemt vispārēji piemērojamus īstenošanas aktus, lai noteiktu kārtību, kādā, izmantojot elektroniskus līdzekļus, uzraudzības iestādes apmainās ar informāciju savā starpā un ar kolēģiju, jo īpaši nosakot standarta formātu, kas minēts 64. pantā.

Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

3. iedaļa

Eiropas Datu aizsardzības kolēģija

68. pants

Eiropas Datu aizsardzības kolēģija

1. Ar šo tiek izveidota Eiropas Datu aizsardzības kolēģija (“kolēģija”) kā Savienības struktūra, un tā ir tiesību subjekts.

2. Kolēģiju pārstāv tās priekšsēdētājs.

3. Kolēģija sastāv no katras dalībvalsts vienas uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja vai viņu attiecīgajiem pārstāvjiem.

4. Ja dalībvalstī par šīs regulas noteikumu piemērošanas uzraudzību atbild vairāk nekā viena uzraudzības iestāde, saskaņā ar minētās dalībvalsts tiesību aktiem ieceļ kopīgu pārstāvi.

5. Komisijai ir tiesības piedalīties kolēģijas darbībā un sanāksmēs bez balsošanas tiesībām. Komisija norīko pārstāvi. Kolēģijas priekšsēdētājs paziņo Komisijai par kolēģijas darbībām.

6. Gadījumos, kas minēti 65. pantā, Eiropas Datu aizsardzības uzraudzītājam ir balsošanas tiesības vienīgi par lēmumiem, kas attiecas uz principiem un noteikumiem, kuri ir piemērojami Savienības iestādēm, struktūrām, birojiem un aģentūrām un kuri pēc būtības atbilst šīs regulas principiem un noteikumiem.

70. pants

Kolēģijas uzdevumi

1. Kolēģija nodrošina šīs regulas konsekventu piemērošanu. Šim nolūkam kolēģija pēc savas iniciatīvas vai attiecīgā gadījumā pēc Komisijas pieprasījuma jo īpaši:

a)	pārrauga un nodrošina šīs regulas pareizu piemērošanu gadījumos, kas paredzēti 64 un 65. pantā, neskarot valstu uzraudzības iestāžu uzdevumus;

b)	sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs regulas grozījumiem, kas tiek ierosināti;

c)	sniedz padomus Komisijai par formātu un procedūrām informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem;

d)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz procedūrām saišu uz personas datiem, datu kopiju un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem, kā minēts 17. panta 2. punktā;

e)	pēc pašas kolēģijas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādus jautājumus, kas attiecas uz šīs regulas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs regulas konsekventu piemērošanu;

f)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi saskaņā ar šā punkta e) apakšpunktu, kā sīkāk noteikt kritērijus un nosacījumus uz profilēšanu balstītiem lēmumiem saskaņā ar 22. panta 2. punktu;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 33. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

h)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, kā minēts 34. panta 1. punktā;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības personas datu nosūtīšanai, pamatojoties uz saistošiem uzņēmuma noteikumiem, kurus ievēro pārzinis, un saistošiem uzņēmuma noteikumiem, kurus ievēro apstrādātāji, un uz sīkākām nepieciešamām prasībām, lai nodrošinātu attiecīgo datu subjektu personas datu aizsardzību, kas minētas 47. pantā;

j)	saskaņā ar šā panta 1. punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības attiecībā uz datu personas nosūtīšanu, pamatojoties uz 49. panta 1. punktu;

k)	izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 58. panta 1., 2. un 3. punktā minēto pasākumu piemērošanu un par administratīvo naudas sodu noteikšanu saskaņā ar 83. pantu;

l)	pārskata e) un fa) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu;

m)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā izveidot kopīgas procedūras attiecībā uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem saskaņā ar 54. panta 2. punktu;

n)	mudina izstrādāt rīcības kodeksus un izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus saskaņā ar 40. un 42. pantu;

veic sertifikācijas struktūru akreditāciju un tās periodisku pārskatīšanu saskaņā ar 43. pantu un uztur publisku reģistru par akreditētām struktūrām saskaņā ar 43. panta 6. punktu un par akreditētiem pārziņiem un apstrādātājiem, kas veic uzņēmējdarbību trešās valstīs, saskaņā ar 42. panta 7. punktu;

p)	precizē prasības, kas minētas 43. panta 3. punktā, lai akreditētu sertifikācijas struktūras saskaņā ar 42. pantu;

q)	sniedz Komisijai atzinumu par 43. panta 8. punktā minētajām sertifikācijas prasībām;

r)	sniedz Komisijai atzinumu par 12. panta 7. punktā minētajām ikonām;

sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros minētajā trešā valstī, vai starptautiskā organizācijā vairs netiek nodrošināts pietiekams aizsardzības līmenis. Šim nolūkam Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, attiecībā uz minēto trešo valsti, teritoriju vai konkrētu sektoru, vai starptautisku organizāciju;

t)	sniedz atzinumus par uzraudzības iestāžu lēmumiem saskaņā ar 64. panta 1. punktā minēto konsekvences mehānismu un par jautājumiem, kas iesniegti saskaņā ar 64. panta 2. punktu, un izdod saistošus lēmumus saskaņā ar 65. pantu, tostarp 66. pantā minētajos gadījumos;

u)	veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

v)	veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

w)	veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesību aktiem un praksi ar uzraudzības iestādēm visā pasaulē;

x)	sniedz atzinumus par Savienības līmenī izstrādātiem rīcības kodeksiem saskaņā ar 40. panta 9. punktu; un

y)	uztur publiski pieejamu elektronisku reģistru ar uzraudzības iestāžu un tiesu pieņemtiem lēmumiem par jautājumiem, kas risināti ar konsekvences mehānismu.

2. Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību.

3. Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 93. pantā norādītajai komitejai un publisko tos.

4. Kolēģija attiecīgā gadījumā apspriežas ar ieinteresētajām personām un dod tām iespēju saprātīgā termiņā izteikties. Kolēģija, neskarot 76. pantu, dara publiski pieejamus apspriešanās procedūras rezultātus.

75. pants

Sekretariāts

1. Kolēģijai ir sekretariāts, kuru nodrošina Eiropas Datu aizsardzības uzraudzītājs.

2. Sekretariāts pilda uzdevumus tikai pēc kolēģijas priekšsēdētāja norādēm.

3. Uz Eiropas Datu aizsardzības uzraudzītāja personālu, kas ir iesaistīts tādu uzdevumu veikšanā, kuri ar šo regulu ir uzticēti kolēģijai, attiecas pakļautības kārtība, kas ir atsevišķa no tā personāla, kurš ir iesaistīts tādu uzdevumu veikšanā, kurus devis Eiropas Datu aizsardzības uzraudzītājs.

4. Attiecīgā gadījumā kolēģija un Eiropas Datu aizsardzības uzraudzītājs izveido un publicē saprašanas memorandu, ar ko tiek īstenots šis pants, noteikta sadarbības kārtība un ko piemēro tam Eiropas Datu aizsardzības uzraudzītāja personālam, kas iesaistīts tādu uzdevumu veikšanā, kuri ar šo regulu ir uzticēti kolēģijai.

5. Sekretariāts sniedz analītisku, administratīvu un loģistikas atbalstu kolēģijai.

6. Sekretariāts jo īpaši ir atbildīgs par:

a)	Kolēģijas ikdienas darbu;

b)	saziņu starp Kolēģijas locekļiem, priekšsēdētāju un Komisiju;

c)	saziņu ar citām institūcijām un sabiedrību;

d)	elektronisko līdzekļu izmantošanu iekšējai un ārējai saziņai;

e)	attiecīgās informācijas tulkošanu;

f)	kolēģijas sanāksmju sagatavošanu un turpmākiem pasākumiem;

g)	kolēģijas pieņemto atzinumu, lēmumu par strīdu izšķiršanu starp uzraudzības iestādēm un citu dokumentu sagatavošanu, izstrādi un publicēšanu.

76. pants

Konfidencialitāte

1. Kolēģijas apspriedes ir konfidenciālas, ja kolēģija to uzskata par nepieciešamu, kā paredzēts tās reglamentā.

2. Piekļuvi dokumentiem, kas iesniegti kolēģijas locekļiem, ekspertiem un trešo personu pārstāvjiem, nosaka Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1049/2001 (21).

VIII NODAĻA

Tiesību aizsardzības līdzekļi, atbildība un sankcijas

77. pants

Tiesības iesniegt sūdzību uzraudzības iestādē

1. Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.

2. Uzraudzības iestāde, kurā ir iesniegta sūdzība, informē sūdzības iesniedzēju par sūdzības izskatīšanas virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 78. pantu.

78. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi

1. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.

2. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 55. un 56. pantu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 77. pantu, izskatīšanas virzību vai rezultātiem.

3. Tiesvedību pret uzraudzības iestādi uzsāk tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

4. Ja tiesvedību sāk par uzraudzības iestādes lēmumu, pirms kura pieņemšanas kolēģija saistībā ar konsekvences mehānismu bija nākusi klajā ar atzinumu vai pieņēmusi lēmumu, tad uzraudzības iestāde minēto atzinumu vai lēmumu nosūta tiesai.

79. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju

1. Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.

2. Prasību pret pārzini vai apstrādātāju ceļ tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta. Alternatīvi šādu prasību var celt tās dalībvalsts tiesās, kur atrodas datu subjekta pastāvīgā dzīvesvieta, izņemot, ja pārzinis vai apstrādātājs ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras.

80. pants

Datu subjektu pārstāvība

1. Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.

2. Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu.

83. pants

Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu

1. Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2. Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)	pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)	to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

c)	jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem;

d)	pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu;

e)	jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus;

f)	sadarbības pakāpi ar uzraudzības iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas;

g)	to, kādu kategoriju personas datus ietekmējis pārkāpums;

h)	veidu, kādā par pārkāpumu uzzināja uzraudzības iestāde, jo īpaši to, vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un šādā gadījumā – kādā apjomā;

i)	ja 58. panta 2. punktā minētie pasākumi iepriekš par šo pašu priekšmetu jau ir tikuši vērsti pret attiecīgo pārzini vai apstrādātāju, kā minētie pasākumi ir tikuši pildīti;

j)	apstiprināto rīcības kodeksu ievērošanu saskaņā ar 40. pantu vai apstiprināto sertifikācijas mehānismu ievērošanu saskaņā ar 42. pantu; un

k)	jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3. Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

4. Administratīvus naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	pārziņa un apstrādātāja pienākumi saskaņā ar 8., 11., 25.–39., 42. un 43. pantu;

b)	sertifikācijas struktūras pienākumi saskaņā ar 42. un 43. pantu;

c)	pārraudzības struktūras pienākumi saskaņā ar 41. panta 4. punktu.

5. Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu;

b)	datu subjekta tiesības saskaņā ar 12.–22. pantu;

c)	personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 44.–49. pantu;

d)	visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX nodaļu;

e)	ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve, pārkāpjot 58. panta 1. punktu.

6. Saskaņā ar šā panta 2. punktu par 58. panta 2. punktā minētā uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

7. Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī.

8. Uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas saskaņā ar Savienības un dalībvalsts tiesību aktiem, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu.

9. Ja dalībvalsts tiesību sistēmā nav paredzēti administratīvi naudas sodi, šo pantu var piemērot tā, ka naudas sodu ierosina kompetentā uzraudzības iestāde, bet uzliek kompetentās valsts tiesas, vienlaikus nodrošinot, ka minētie tiesību aizsardzības līdzekļi ir efektīvi un tiem ir līdzvērtīga iedarbība ar uzraudzības iestāžu uzliktiem administratīviem naudas sodiem. Jebkurā gadījumā uzliktie naudas sodi ir iedarbīgi, samērīgi un atturoši. Līdz 2018. gada 25. maijam minētās dalībvalstis paziņo Komisijai to tiesību aktu noteikumus, ko tās pieņem, ievērojot šo punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu vai jebkuriem turpmākiem šo noteikumu grozījumiem.

88. pants

Apstrāde saistībā ar nodarbinātību

1. Ar tiesību aktiem vai ar koplīgumiem dalībvalstis var paredzēt konkrētākus noteikumus, lai nodrošinātu tiesību un brīvību aizsardzību attiecībā uz darbinieku personas datu apstrādi saistībā ar nodarbinātību, jo īpaši darbā pieņemšanas nolūkos, darba līguma izpildei, ietverot likumā vai koplīgumā paredzētu saistību izpildi, darba vadībai, plānošanai un organizēšanai, vienlīdzībai un daudzveidībai darbavietā, veselībai un drošībai darbavietā, darba devēja vai klienta īpašuma aizsardzībai un individuālu vai kolektīvu ar nodarbinātību saistītu tiesību vai priekšrocību izmantošanas vai baudīšanas nolūkos un darba attiecību izbeigšanas nolūkos.

2. Minētie noteikumi ietver piemērotus un konkrētus pasākumus nolūkā aizsargāt datu subjekta cilvēka cieņu, leģitīmas intereses un pamattiesības, jo īpaši attiecībā uz apstrādes pārredzamību, personas datu nosūtīšanu uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, ietvaros un uzraudzības sistēmām darba vietā.

3. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņem, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

91. pants

Esošie baznīcu un reliģisko apvienību datu aizsardzības noteikumi

1. Ja baznīca un reliģiska apvienība vai kopiena kādā dalībvalstī šīs regulas spēkā stāšanās laikā piemēro vispusīgus noteikumus par fizisku personu aizsardzību attiecībā uz apstrādi, šādus noteikumus var turpināt piemērot ar noteikumu, ka tos saskaņo ar šo regulu.

2. Baznīcas un reliģiskas apvienības, kas piemēro vispusīgus noteikumus saskaņā ar šā panta 1. punktu, ir pakļautas neatkarīgas pārraudzības iestādes pārraudzībai, kura var būt specifiska, ar noteikumu, ka tā atbilst nosacījumiem, kas paredzēti šīs regulas VI nodaļā.

X NODAĻA

Deleģētie akti un īstenošanas akti

94. pants

Direktīvas 95/46/EK atcelšana

1. Direktīvu 95/46/EK atceļ no 2018. gada 25. maija.

2. Atsauces uz atcelto direktīvu uzskata par atsaucēm uz šo regulu. Atsauces uz Darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvas 95/46/EK 29. pantu, uzskata par atsaucēm uz Eiropas Datu aizsardzības kolēģiju, kas izveidota ar šo regulu.

98. pants

Citu Savienības tiesību aktu datu aizsardzības jomā pārskatīšana

Komisija attiecīgā gadījumā iesniedz leģislatīvu aktu priekšlikumus, lai izdarītu grozījumus citos Savienības tiesību aktos personas datu aizsardzības jomā nolūkā nodrošināt fizisku personu vienādu un konsekventu aizsardzību attiecībā uz apstrādi. Tas jo īpaši attiecas uz noteikumiem par fizisku personu aizsardzību attiecībā uz apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un uz šādu datu brīvu apriti.

whereas

(1) Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības.
Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.

- = -

(4) Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam.
Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti hartā un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramība, personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu un kultūru, reliģiju un valodu daudzveidība.

- = -

(6) Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā.
Personas datu vākšanas un apmaiņas apjoms ir būtiski pieaudzis.
Tehnoloģija ļauj gan privātām uzņēmējsabiedrībām, gan publiskām iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus.
Fiziskas personas aizvien biežāk personiska rakstura informāciju dara publiski un globāli pieejamu.
Tehnoloģija ir pārveidojusi gan ekonomiku, gan sociālo dzīvi, un tai arī turpmāk būtu jāuzlabo personas datu brīva aprite Savienībā un nosūtīšana uz trešām valstīm un starptautiskām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību.

- = -

(7) Šī notikumu gaita nozīmē, ka ir vajadzīgs stingrāks un saskaņotāks datu aizsardzības regulējums Savienībā, ko stiprina pienācīga izpilde, ņemot vērā to, cik nozīmīgi ir veidot uzticību, kas ļaus iekšējā tirgū uzplaukt digitālajai ekonomikai.
Fiziskām personām būtu jāspēj kontrolēt savus personas datus.
Būtu jāstiprina juridiskā un praktiskā noteiktība fizisku personu, ekonomikas dalībnieku un publisko iestāžu labā.

- = -

(9) Direktīvas 95/46/EK mērķi un principi joprojām ir spēkā, taču tā nav spējusi novērst datu aizsardzības īstenošanas sadrumstalotību Savienībā, juridisko nenoteiktību vai tāda uzskata plašu izplatību sabiedrībā, ka pastāv ievērojams risks fizisku personu aizsardzībai, jo īpaši attiecībā uz tiešsaistes aktivitātēm.
Fizisku personu tiesību un brīvību aizsardzības līmeņa atšķirības, jo īpaši tiesību uz personas datu aizsardzību atšķirības dalībvalstīs attiecībā uz personas datu apstrādi, var kavēt personas datu brīvu apriti Savienībā.
Minētās atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī, var radīt konkurences izkropļojumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Savienības tiesību aktos. Šāda atšķirība aizsardzības līmeņos ir radusies tāpēc, ka Direktīva 95/46/EK tiek īstenota un piemērota dažādi.

- = -

(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam.
Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamtbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana.
Attiecībā uz personas datu apstrādi, kuru veic, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras, būtu jāļauj dalībvalstīm saglabāt vai ieviest valsts noteikumus, ar ko vēl vairāk precizē šīs regulas noteikumu piemērošanu.
Saistībā ar vispārējiem un horizontāliem tiesību aktiem par datu aizsardzību, ar kuriem īsteno Direktīvu 95/46/EK, dalībvalstīm ir vairāki uz konkrētām nozarēm attiecināmi tiesību akti jomās, kurās ir vajadzīgi precīzāki noteikumi. Šajā regulā dalībvalstīm ir arī paredzēta rīcības brīvība precizēt tās noteikumus, tostarp attiecībā uz īpašu kategoriju personas datu (“sensitīvu datu”) apstrādi. Šajā ziņā ar šo regulu neizslēdz dalībvalstu tiesību aktus, kuros nosaka konkrētu apstrādes situāciju apstākļus, tostarp precīzāk nosakot apstākļus, kādos personas datu apstrāde ir likumīga.

- = -

(11) Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs.

- = -

(14) Šajā regulā noteiktajai aizsardzībai attiecībā uz personas datu apstrādi būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas. Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju.

- = -

(15) Lai izvairītos no likuma apiešanas nopietna riska radīšanas, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem.
Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs regulas darbības jomai nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem.

- = -

(17) Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (6) piemēro personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās.
Regula (EK) Nr. 45/2001 un citi Savienības tiesību akti, ko piemēro šādai personas datu apstrādei, būtu jāpielāgo principiem un noteikumiem, kas noteikti šajā regulā, un jāpiemēro saskaņā ar šo regulu.
Lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā, pēc šīs regulas pieņemšanas būtu jāveic vajadzīgie pielāgojumi Regulā (EK) Nr. 45/2001, lai tos varētu piemērot vienlaikus ar šo regulu.

- = -

(19) Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai lai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un šādu datu brīva aprite ir konkrēta Savienības tiesību akta priekšmets.
Tāpēc šī regula nebūtu jāpiemēro apstrādes darbībām, kas veiktas minētajos nolūkos.
Tomēr personas datu apstrāde, ko minētajos nolūkos saskaņā ar šo regulu veic publiskas iestādes, būtu jāreglamentē konkrētākā Savienības tiesību aktā, proti, Eiropas Parlamenta un Padomes Direktīvā (ES) 2016/680 (7). Dalībvalstis kompetentajām iestādēm Direktīvas (ES) 2016/680 nozīmē var uzticēt uzdevumus, kas nav obligāti saistīti ar darbībām, ko veic nolūkā novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem vai nolūkā izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst, tādējādi šajos citos nolūkos veiktā personas datu apstrāde, ciktāl tā ietilpst Savienības tiesību aktu darbības jomā,

- = -

(23) Lai nodrošinātu, ka fiziskām personām netiek liegta aizsardzība, kas tām pienākas saskaņā ar šo regulu, Savienībā esošu datu subjektu personas datu apstrāde, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, būtu jāveic saskaņā ar šo regulu, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem neatkarīgi no tā, vai tā ir saistīta ar samaksu.
Lai noteiktu, vai šāds pārzinis vai apstrādātājs piedāvā preces vai pakalpojumus datu subjektiem, kuri ir Savienībā, būtu jāpārliecinās, vai ir acīmredzams, ka pārzinis vai apstrādātājs ir iecerējis piedāvāt pakalpojumus datu subjektiem vienā vai vairākās Savienības dalībvalstīs.
Tā kā, lai pārliecinātos par šādu ieceri, nepietiek tikai ar to, ka ir pieejama pārziņa, apstrādātāja vai starpnieka tīmekļa vietne Savienībā, e-pasta adrese vai cita kontaktinformācija, vai ka tiek izmantota valoda, ko parasti izmanto trešā valstī, kurā pārzinis veic uzņēmējdarbību, faktori, piemēram, tādas valodas vai valūtas izmantošana, kuru parasti izmanto vienā vai vairākās dalībvalstīs, piedāvājot pasūtīt preces un pakalpojumus minētajā citā valodā, vai Savienībā esošu klientu vai lietotāju pieminēšana var liecināt par to, ka pārzinis ir iecerējis piedāvāt preces vai pakalpojumus datu subjektiem Savienībā.

- = -

(26) Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu.
Personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu.
Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu.
Lai pārliecinātos, vai līdzekļus varētu saprātīgi izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību.
Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams.
Tādēļ šī regula neattiecas uz šādas anonīmas informācijas apstrādi, tostarp statistikas vai pētniecības nolūkos.

- = -

(28) Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus.
Tādējādi skaidra “pseidonimizācijas” ieviešana šajā regulā nav paredzēta tādēļ, lai izslēgtu jebkurus citus datu aizsardzības pasākumus.

- = -

(31) Publiskas iestādes, kam personas datus izpauž saskaņā ar juridisku pienākumu, lai tās varētu pildīt savus oficiālos uzdevumus, piemēram, nodokļu iestādes un muitas dienesti, finanšu izmeklēšanas vienības, neatkarīgas administratīvās iestādes, vai finanšu tirgus iestādes, kuras atbild par vērtspapīru tirgu regulējumu un uzraudzību, nebūtu jāuzskata par saņēmējām, ja tās saņem personas datus, kas ir vajadzīgi, lai veiktu konkrētu izmeklēšanu vispārējās interesēs, saskaņā ar Savienības vai dalībvalsts tiesību aktiem.
Publisko iestāžu nosūtītiem informācijas pieprasījumiem vienmēr vajadzētu būt rakstiskiem, motivētiem un neregulāriem, un tiem nebūtu jāattiecas uz visu kartotēku kopumā vai jārada kartotēku savstarpēji savienojumi.
Personas datu apstrādei, ko veic minētās publiskās iestādes, būtu jāatbilst piemērojamajiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem.

- = -

(37) Uzņēmumu grupai būtu jāietver kontrolējošais uzņēmums un tā kontrolētie uzņēmumi, turklāt par kontrolējošu uzņēmumu būtu jāuzskata uzņēmums, kam var būt dominējoša ietekme uz citu uzņēmumu, piemēram, īpašumtiesību, finanšu līdzdalības vai reglamentējošu noteikumu dēļ, vai pilnvaras panākt personas datu aizsardzības noteikumu īstenošanu.
Uzņēmums, kas kontrolē personas datu apstrādi ar to saistītos uzņēmumos, kopā ar minētajiem uzņēmumiem būtu jāuzskata par uzņēmumu grupu.

- = -

(38) Bērniem pienākas īpaša personas datu aizsardzība, jo viņi var pietiekami neapzināties attiecīgos riskus, sekas un aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Šāda īpaša aizsardzība jo īpaši būtu jāpiemēro bērnu personas datu izmantošanai tirgvedības vajadzībām vai tādēļ, lai veidotu personu vai lietotāju profilus, un uz bērnu personas datu vākšanu, kad tiek izmantoti bērnam tiešā veidā piedāvāti pakalpojumi.
Saistībā ar preventīviem vai konsultāciju pakalpojumiem, ko tiešā veidā piedāvā bērnam, tādas personas piekrišana, kurai ir vecāku atbildība par bērnu, nebūtu vajadzīga.

- = -

(39) Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai.
Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti.
Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda.
Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti.
Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi.
Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā.
Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti.
Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam.
Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem.
Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata.
Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti.
Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

- = -

(42) Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai.
Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās to, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara.
Saskaņā ar Padomes Direktīvu 93/13/EEK (10) piekrišanas deklarācija, ko pārzinis ir iepriekš noformulējis, būtu jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, un tajā nevajadzētu būt negodīgiem noteikumiem.
Lai piekrišanu būtu apzināta, datu subjektam vajadzētu būt informētam vismaz par pārziņa identitāti un paredzētās personas datu apstrādes nolūkiem.
Piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles, vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām.

- = -

(45) Ja apstrādi veic saskaņā ar uz pārzini attiecināmu juridisku pienākumu, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, apstrādes pamatam vajadzētu būt noteiktam Savienības vai dalībvalsts tiesību aktos. Šajā regulā katrai atsevišķai apstrādei nav prasīts konkrēts tiesību akts.
Var pietikt ar tiesību aktu, uz ko balstās vairākas apstrādes darbības, pamatojoties uz juridisku pienākumu, kas pārzinim jāpilda, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras.
Arī apstrādes nolūkam vajadzētu būt noteiktam Savienības vai dalībvalstu tiesību aktos.
Turklāt minētajā tiesību aktā varētu precizēt vispārējos nosacījumus, kas paredzēti šajā regulā, kura reglamentē personas datu apstrādes likumīgumu, izstrādāt norādes, kā noteikt pārzini, apstrādājamo personas datu veidu, attiecīgos datu subjektus, vienības, kurām personas dati var tikt izpausti, apstrādes nolūka ierobežojumus, glabāšanas laikposmu un citus pasākumus, lai nodrošinātu likumīgu un godprātīgu apstrādi.
Tāpat Savienības vai dalībvalstu tiesību aktos būtu jānosaka, vai pārzinim, kurš pilda uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, vajadzētu būt publiskai iestādei vai citai fiziskai vai juridiskai personai, kas ir publisko tiesību subjekts vai – ja tas ir sabiedrības interesēs, tostarp veselības nolūkos, piemēram, sabiedrības veselība, sociālā aizsardzība un veselības aprūpes pakalpojumu pārvaldība – privāttiesību subjekts, kā, piemēram, profesionāla apvienība.

- = -

(51) Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām.
Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmatošana šajā regulā nenozīmē, ka Savienība atzīst teorijas, ar kuru palīdzību notiek mēģinājumi noteikt dažādu cilvēku rasu pastāvēšanu.
Fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrisko datu definīcija attiecas tikai tad, kad tās apstrādās ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju. Šādi personas dati nebūtu jāapstrādā, ja vien apstrāde nav atļauta konkrētos, šajā regulā precizētos gadījumos, ņemot vērā, ka dalībvalstu tiesību aktos var būt paredzēti konkrēti noteikumi par datu aizsardzību, lai pieņemtu šīs regulas noteikumu piemērošanu juridisku pienākumu izpildei vai sabiedrības interesēs veiktu uzdevumu izpildei, vai pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanai.
Papildus konkrētajām prasībām attiecībā uz šādu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem.
Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības.

- = -

(52) Atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus būtu jāatļauj arī tad, ja tas paredzēts Savienības vai dalībvalsts tiesību aktos un ja ir paredzētas atbilstošas garantijas personas datu un citu pamattiesību aizsardzībai, ja to darīt ir sabiedrības interesēs, jo īpaši personas datu apstrāde nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā, tostarp attiecībā uz pensijām un veselības drošības, uzraudzības un brīdināšanas nolūkos, lipīgu infekcijas slimību un citu nopietnu veselības apdraudējumu profilaksei vai kontrolei. Šādu atkāpi var veikt ar veselību saistītos nolūkos, tostarp sabiedrības veselības un veselības aprūpes pakalpojumu pārvaldības nolūkos, jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību vai lai veiktu arhivēšanu sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos.
Atkāpei būtu jāpieļauj arī tādu personas datu apstrāde, kas vajadzīgi, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai nu tiesas procesā, vai administratīvā vai ārpustiesas procedūrā.

- = -

(53) Īpašu kategoriju personas datus, kuriem pienākas augstāka aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību, tostarp šādu datu apstrādi, ko kvalitātes kontroles nolūkos veic pārvaldības un centrālās valsts veselības iestādes, informāciju par pārvaldību un veselības vai sociālās aprūpes sistēmas vispārēju valsts mēroga un vietēju pārraudzību, un lai nodrošinātu veselības vai sociālās aprūpes un pārrobežu veselības aprūpes nepārtrauktību vai veselības drošību, pārraudzības vai brīdināšanas nolūkos vai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kam jāatbilst sabiedrības interešu mērķim, kā arī pētījumiem, kurus sabiedrības veselības jomā veic sabiedrības interesēs.
Tāpēc šai regulai būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridiskais pienākums ievērot dienesta noslēpumu.
Savienības vai dalībvalsts tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus.
Būtu jāļauj dalībvalstīm saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.
Tomēr tam nevajadzētu kavēt personas datu brīvo plūsmu Savienībā gadījumos, kad minētos nosacījumus piemēro šādu datu pārrobežu apstrādei.

- = -

(54) Īpašu kategoriju personas datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomās.
Uz šādu apstrādi būtu jāattiecas atbilstošiem un konkrētiem pasākumiem fizisku personu tiesību un brīvību aizsardzībai.
Minētajā kontekstā “sabiedrības veselība” būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1338/2008 (11), proti, kā visi elementi, kas saistīti ar veselību, proti, veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums, un nāves cēloņi. Šādai veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka trešās personas, piemēram, darba devēji vai apdrošināšanas sabiedrības un kredītiestādes, apstrādā personas datus citos nolūkos.

- = -

(56) Ja dalībvalstī vēlēšanu pasākumu laikā demokrātiskās sistēmas darbība prasa, lai politiskās partijas vāktu personas datus par cilvēku politiskajiem uzskatiem, šādu datu apstrādi var pieļaut sabiedrības interešu dēļ, ar noteikumu, ka ir noteikti atbilstoši aizsardzības pasākumi.

- = -

(58) Pārredzamības principa pamatā ir prasība, ka visa informācija, kas adresēta sabiedrībai vai datu subjektam, ir kodolīga, viegli pieejama un viegli saprotama un ka tiek izmantota skaidra un vienkārša valoda un papildus – vajadzības gadījumā – vizualizācija. Šādu informāciju var sniegt elektroniski, piemēram, darot to pieejamu sabiedrībai tīmekļa vietnē.
Tas ir jo īpaši svarīgi situācijās, kad iesaistīto personu skaits un praksē izmantoto tehnoloģiju sarežģītība apgrūtina datu subjekta iespējas zināt un saprast, vai tiek vākti viņa personas dati, kas to dara un kādā nolūkā – kā piemēram, tiešsaistes reklāmas gadījumā. Ņemot vērā, ka bērniem pienākas īpaša aizsardzība, ja apstrāde attiecas uz bērnu, informācija būtu jāsniedz un saziņa jāveic tik skaidrā un vienkāršā valodā, lai bērns to varētu viegli saprast.

- = -

(72) Profilēšanai piemēro šīs regulas noteikumus, ar ko reglamentē personas datu apstrādi, piemēram, apstrādes juridisko pamatu vai datu aizsardzības principus.
Eiropas Datu aizsardzības kolēģijai, kas izveidota ar šo regulu (“kolēģija”), būtu jāspēj sniegt norādes minētajā sakarībā.

- = -

(73) Ar Savienības vai dalībvalsts tiesību aktiem var piemērot ierobežojumus attiecībā uz konkrētiem principiem un tiesībām uz informāciju, piekļuvi personas datiem, to labošanu vai dzēšanu, tiesībām uz datu pārnešanu, tiesībām iebilst, lēmumiem, kas pamatojas uz profilēšanu, kā arī attiecībā uz ziņošanu datu subjektam par personas datu aizsardzības pārkāpumiem un attiecībā uz dažiem ar to saistītiem pārziņu pienākumiem, ciktāl tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību, tostarp cilvēka dzīvības aizsardzību, jo īpaši reaģējot uz dabas vai cilvēka izraisītām katastrofām, lai garantētu noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vai lai garantētu reglamentēto profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši svarīgas Savienības vai dalībvalsts ekonomiskās vai finanšu intereses, tādu publisku reģistru uzturēšanu, kuri vajadzīgi vispārēju sabiedrības interešu dēļ, arhivētu personas datu turpmāku apstrādi, lai sniegtu konkrētu informāciju saistībā ar politisko izturēšanos bijušo totalitāro valsts režīmu laikā, vai datu subjekta vai citu personu tiesību un brīvību aizsardzību, tostarp sociālo aizsardzību, sabiedrības veselību un humanitārus mērķus.
Minētajiem ierobežojumiem vajadzētu būt saskaņā ar prasībām, kas izklāstītas hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā.

- = -

(77) Norādījumus par piemērotu pasākumu īstenošanu un par pārziņa vai apstrādātāja atbilstības uzskatāmu parādīšanu, sevišķi attiecībā uz tāda riska identificēšanu, kas saistīts ar apstrādi, tā novērtēšanu, ņemot vērā avotus, raksturu, iespējamību un nopietnību, un paraugprakses apzināšanu, lai mazinātu risku, varētu sniegt, jo īpaši izmantojot apstiprinātus rīcības kodeksus, apstiprinātus sertifikātus, kolēģijas sniegtas pamatnostādnes vai aizsardzības speciālista sniegtas norādes.
Kolēģija var sniegt arī pamatnostādnes par apstrādes darbībām, kuras uzskata par tādām, kas nevarētu radīt augstu risku fizisku personu tiesībām un brīvībām, un norāda, kādi pasākumi var būt pietiekami šādos gadījumos, lai novērstu šādu risku.

- = -

(78) Personu tiesību un brīvību aizsardzībai attiecībā uz fiziskas personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi.
Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, viņam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.
Starp šādiem pasākumiem cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus.
Attīstot, izstrādājot, atlasot un izmantojot lietojumprogrammas, pakalpojumus un preces, kas balstās uz personas datu apstrādi vai apstrādā personas datus savu pienākumu veikšanai, preču, pakalpojumu un lietojumprogrammu ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, kad attīsta un izstrādā šādas preces, pakalpojumus un lietojumprogrammas, un pienācīgi ņemt vērā tehnikas līmeni, lai nodrošinātu, ka pārziņi un apstrādātāji spēj izpildīt savus datu aizsardzības pienākumus.
Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

- = -

(79) Datu subjekta tiesību un brīvību aizsardzība un pārziņu un apstrādātāju pienākumi un atbildība, arī saistībā ar uzraudzības iestāžu uzraudzību un īstenotajiem pasākumiem, prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

- = -

(85) Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija.
Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām.
Ja šādu paziņojumu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās.

- = -

(86) Ja ir iespējams, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, pārzinim bez liekas kavēšanās būtu jāpaziņo datu subjektam par personas datu pārkāpumu, lai viņš varētu veikt nepieciešamos piesardzības pasākumus.
Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs, kā arī ieteikumi, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas. Šāda paziņošana datu subjektam būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar uzraudzības iestādi, ievērojot tās vai citas attiecīgas iestādes, piemēram, tiesībaizsardzības iestādes, sniegtos norādījumus.
Piemēram, ja nepieciešams mazināt tūlītēju kaitējuma risku, būtu ātri jāsniedz paziņojums datu subjektam, taču nepieciešamība īstenot piemērotus pasākumus, lai novērstu datu aizsardzības pārkāpuma turpināšanos vai līdzīgus personas datu pārkāpumus, var attaisnot vēlāku paziņošanu.

- = -

(87) Būtu jāpārliecinās, vai ir īstenoti visi attiecīgie tehniskie un organizatoriskie aizsardzības pasākumi, lai nekavējoties konstatētu, vai ir noticis personas datu aizsardzības pārkāpums, un ātri informētu uzraudzības iestādi un datu subjektu.
Paziņošana bez nepamatotas kavēšanās būtu jānosaka, jo īpaši, ņemot vērā personas datu aizsardzības pārkāpuma raksturu un smagumu, kā arī tā sekas un nelabvēlīgo ietekmi uz datu subjektu. Šāda paziņošana var izraisīt uzraudzības iestādes iejaukšanos atbilstīgi tās uzdevumiem un pilnvarām, kas noteiktas šajā regulā.

- = -

(88) Nosakot sīki izstrādātus noteikumus par formātu un kārtību, kādā jāpaziņo par personas datu aizsardzības pārkāpumiem, būtu pienācīgi jāņem vērā apstākļi, kādos noticis minētais pārkāpums, tostarp tas, vai personas dati ir bijuši aizsargāti ar piemērotiem tehniskiem aizsardzības pasākumiem, ar kuru palīdzību var efektīvi ierobežot identitātes viltošanas vai cita veida ļaunprātīgas izmantošanas iespējamību.
Turklāt, izstrādājot šādus noteikumus un kārtību, būtu jāņem vērā tiesībaizsardzības iestāžu leģitīmās intereses, ja priekšlaicīga informācijas atklāšana varētu nevajadzīgi kavēt personas datu pārkāpuma apstākļu izmeklēšanu.

- = -

(90) Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus.
Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, aizsardzības pasākumi un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti.

- = -

(97) Ja datu apstrādi veic publiska iestāde, izņemot tiesas vai neatkarīgas tiesu iestādes, kad tās pilda tiesas funkciju, ja privātajā sektorā apstrādi veic pārzinis, kura pamatdarbības sastāv no apstrādes darbībām, kam nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā, vai ja datu pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju personas datu un datu par sodāmību un pārkāpumiem apstrādi plašā mērogā, personai ar speciālām zināšanām datu aizsardzības tiesību un prakses jomā būtu jāpalīdz pārzinim vai apstrādātājam uzraudzīt to, kā iekšēji tiek ievērota šī regula.
Privātajā sektorā pārziņa pamatdarbības ir saistītas ar tā galvenajām darbībām, un tās nav saistītas ar personas datu apstrādi kā palīgdarbības.
Nepieciešamais speciālo zināšanu līmenis būtu jānosaka jo īpaši saskaņā ar veiktajām datu apstrādes darbībām un aizsardzību, kas nepieciešama personas datiem, kurus pārzinis vai apstrādātājs apstrādā. Šādiem datu aizsardzības speciālistiem neatkarīgi no tā, vai pārzinis ir to darba devējs, būtu jāspēj neatkarīgi pildīt savus pienākumus un uzdevumus.

- = -

(100) Lai uzlabotu pārredzamību un šīs regulas ievērošanu, būtu jāiedrošina izstrādāt sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, kas ļautu datu subjektam ātri novērtēt datu aizsardzības līmeni saistībā ar konkrētiem produktiem un pakalpojumiem.

- = -

(101) Personas datu plūsmas uz valstīm ārpus Savienības un starptautiskām organizācijām un no tām ir vajadzīgas starptautiskās tirdzniecības un starptautiskās sadarbības paplašināšanai. Šādu plūsmu palielināšanās ir radījusi jaunas problēmas un bažas par personas datu aizsardzību.
Taču gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā.
Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievēroti šīs regulas noteikumi.
Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām.

- = -

(103) Komisija attiecībā uz visu Savienību var nolemt, ka trešā valsts, teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija nodrošina datu aizsardzību pietiekamā līmenī, tādējādi nodrošinot juridisko noteiktību un vienotību visā Savienībā attiecībā uz trešo valsti vai starptautisko organizāciju, par kuru uzskata, ka tā nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz minēto trešo valsti vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju.
Komisija pēc paziņojuma sniegšanas un pilnvērtīga paziņojuma, kurā izklāstīti iemesli nosūtīšanas trešai valstij vai starptautiskai organizācijai var arī nolemt atsaukt šādu lēmumu.

- = -

(104) Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai, novērtējot trešo valsti vai kādu teritoriju vai konkrētu sektoru trešā valstī, būtu jāņem vērā tas, kā konkrēta trešā valsts ievēro tiesiskumu, tiesu pieejamību, kā arī starptautiskās cilvēktiesību normas un standartus, un tās vispārējie un nozaru tiesību akti, tostarp tiesību akti attiecībā uz sabiedrisko drošību, aizsardzību un valsts drošību, kā arī sabiedrisko kārtību un krimināltiesībām.
Pieņemot lēmumu par aizsardzības līmeņa pietiekamību kādā teritorijā vai konkrētā nozarē trešā valstī, būtu jāņem vērā skaidri un objektīvi kritēriji, piemēram, konkrētas apstrādes darbības un piemērojamo juridisko standartu un attiecīgajā trešā valstī spēkā esošo tiesību aktu darbības joma.
Trešai valstij būtu jāpiedāvā garantijas, kas nodrošina pietiekamu aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Savienībā nodrošinātajam, jo īpaši, ja personas datus apstrādā vienā vai vairākos konkrētos sektoros.
Trešai valstij jo īpaši būtu jānodrošina efektīva neatkarīga datu aizsardzības uzraudzība un būtu jāparedz sadarbības mehānismi ar dalībvalstu datu aizsardzības iestādēm, un priekš datu subjektiem būtu jāparedz efektīvas un īstenojamas tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā.

- = -

(105) Papildus starptautiskām saistībām, ko uzņēmusies trešā valsts vai starptautiskā organizācija, Komisijai būtu jāņem vērā pienākumi, kas izriet no trešās valsts vai starptautiskās organizācijas dalības daudzpusējās vai reģionālās sistēmās, jo īpaši attiecībā uz personas datu aizsardzību, kā arī šo pienākumu izpilde.
Jo īpaši būtu jāņem vērā trešās valsts pievienošanās Eiropas Padomes 1981. gada 28. janvāra Konvencijai par personu aizsardzību attiecībā uz personas datu automātisko apstrādi un tās Papildu protokolam.
Izvērtējot aizsardzības līmeni trešās valstīs vai starptautiskās organizācijās, Komisijai būtu jākonsultējas ar kolēģiju.

- = -

(106) Komisijai būtu jāuzrauga, kā darbojas lēmumi par aizsardzības līmeni trešā valstī, kādā teritorijā vai konkrētā nozarē trešā valstī, vai starptautiskā organizācijā, un jāuzrauga, kā darbojas lēmumi, kas pieņemti, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu vai 26. panta 4. punktu.
Savos lēmumos par aizsardzības līmeņa pietiekamību Komisijai būtu jāparedz periodiskas pārskatīšanas mehānisms attiecībā uz to darbību.
Minētā periodiskā pārskatīšana būtu jāveic, apspriežoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajā būtu jāņem vērā visi būtiskie notikumi trešā valstī vai starptautiskajā organizācijā.
Uzraudzības nolūkā un lai veiktu periodisko pārskatīšanu, Komisijai būtu jāņem vērā Eiropas Parlamenta un Padomes viedokļi un atzinumi, kā arī tie, kas iegūti no citām attiecīgajām struktūrām un avotiem.
Komisijai saprātīgā laikposmā būtu jāizvērtē pēdējo minēto lēmumu darbība un par visiem attiecīgajiem atzinumiem jāziņo komitejai Eiropas Parlamenta un Padomes Regulas (ES) Nr. 182/2011 (12) nozīmē, kā noteikts saskaņā ar šo regulu, Eiropas Parlamentam un Padomei.

- = -

(107) Komisija var atzīt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija vairs nenodrošina pietiekamu datu aizsardzības līmeni.
Līdz ar to personas datu nosūtīšana uz šo trešo valsti vai starptautisko organizāciju būtu jāaizliedz, ja vien nav izpildītas šīs regulas prasības attiecībā uz nosūtīšanu, kam piemēro atbilstošas garantijas, tostarp saistošus uzņēmuma noteikumus, un atkāpēm īpašās situācijās. Šādā gadījumā būtu jāparedz noteikumi par apspriešanās procesu starp Komisiju un šādu trešo valsti vai starptautisko organizāciju.
Komisijai būtu laikus jāinformē attiecīgā trešā valsts vai starptautiskā organizācija par iemesliem un jāapspriežas ar to, lai šo situāciju atrisinātu.

- = -

(108) Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, paredzot atbilstošas garantijas datu subjektam. Šādas atbilstošas garantijas varētu nozīmēt, ka tiek izmantoti saistošie uzņēmuma noteikumi, Komisijas pieņemtās standarta datu aizsardzības klauzulas, uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas vai uzraudzības iestādes apstiprinātās līguma klauzulas.
Minētajām garantijām būtu jānodrošina, lai tiktu ievērotas datu aizsardzības prasības un datu subjektu tiesības atbilstīgi Savienībā veiktai apstrādei, tostarp īstenojamu datu subjekta tiesību un efektīvu tiesiskās aizsardzības līdzekļu pieejamība, ieskaitot iespēju saņemt efektīvu aizsardzību administratīvā kārtā vai tiesā un pieprasīt kompensāciju Savienībā un trešā valstī.
Tiem jo īpaši būtu jāattiecas uz atbilstību vispārīgiem principiem, kuri saistīti ar personas datu apstrādi, un “integrētas datu aizsardzības” un “datu aizsardzības pēc noklusējuma” principiem.
Arī publiskās iestādes vai struktūras var veikt datu nosūtīšanu uz trešo valstu publiskām iestādēm vai struktūrām vai starptautiskām organizācijām, kurām ir atbilstoši pienākumi vai funkcijas, tostarp pamatojoties uz noteikumiem, kuri iekļaujami administratīvos pasākumos, piemēram, saprašanās memorandā, datu subjektiem paredzot īstenojamas un efektīvas tiesības.
Ja garantijas ir paredzētas administratīvos noteikumos, kas nav juridiski saistoši, būtu jāsaņem kompetentās uzraudzības iestādes atļauja.

- = -

(109) Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas, nebūtu jāizslēdz ne tas, ka pārzinis vai apstrādātājs var iekļaut standarta datu aizsardzības klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, ne arī tas, ka pārzinis vai apstrādātājs var pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Komisijas vai uzraudzības iestādes pieņemtajām līguma standartklauzulām vai neierobežo datu subjekta pamattiesības vai brīvības.
Pārziņi un apstrādātāji būtu jāmudina nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina standarta aizsardzības klauzulas.

- = -

(112) Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad starptautiska datu apmaiņa notiek starp konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm, dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai novērstu dopingu sportā.
Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot savu piekrišanu.
Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai.
Dalībvalstīm par šādiem lēmumiem būtu jāpaziņo Komisijai.
Varētu uzskatīt, ka jebkādu datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot starptautiskās humanitārās tiesības, kas piemērojamas bruņotos konfliktos, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs.

- = -

(113) Nosūtīšana, ko var kvalificēt kā tādu, kas neatkārtojas un kas tikai attiecas uz ierobežotu datu subjektu skaitu, varētu būt iespējama arī, pamatojoties uz pārziņa pārliecinošām leģitīmām interesēm, kad minētās intereses ir svarīgākas par datu subjekta interesēm vai tiesībām un brīvībām un kad pārzinis ir novērtējis visus ar datu nosūtīšanu saistītos apstākļus.
Pārzinim būtu īpaši jāapsver personas datu būtība, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, kā arī situācija datu izcelsmes valstī, trešā valstī un galamērķa valstī un būtu jānodrošina piemērotas garantijas fizisku personu pamattiesību un pamatbrīvību aizsardzībai attiecībā uz viņu personas datu apstrādi. Šādai nosūtīšanai vajadzētu būt iespējamai tikai atsevišķos gadījumos, ja nepiemēro nevienu no pārējiem iemesliem attiecībā uz nosūtīšanu.
Zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos būtu jāņem vērā, ka sabiedrībai ir leģitīmas tiesības sagaidīt zināšanu uzlabošanos.
Pārzinim būtu jāinformē uzraudzības iestāde un datu subjekts par minēto nosūtīšanu.

- = -

(114) Jebkurā gadījumā, ja Komisija nav pieņēmusi lēmumu par datu aizsardzības līmeņa pietiekamību trešā valstī, pārzinim vai apstrādātājam būtu jāizmanto risinājumi, kas datu subjektiem sniedz īstenojamas un efektīvas tiesības attiecībā uz viņu datu apstrādi Savienībā arī pēc tam, kad minētie dati ir nosūtīti, lai tādējādi viņi joprojām varētu baudīt savas pamattiesības un garantijas.

- = -

(116) Personas datu pārvietošanās pāri robežām ārpus Savienības var ievērojami ietekmēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, jo īpaši, lai aizsargātu sevi pret nelikumīgu izmantošanu vai šādas informācijas atklāšanu.
Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās robežu otrā pusē.
To pūles kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras, tiesisko regulējumu atšķirības un tādi praktiski šķēršļi kā, piemēram, ierobežoti līdzekļi.
Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām apmainīties ar informāciju un veikt izmeklēšanas kopā ar kolēģiem citās valstīs.
Lai izstrādātu starptautiskās sadarbības mehānismus, kas veicina un sniedz starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildē, Komisijai un uzraudzības iestādēm būtu jāapmainās ar informāciju un jāsadarbojas ar kompetentajām iestādēm trešās valstīs attiecībā uz darbībām, kuras saistītas ar to pilnvaru īstenošanu, pamatojoties uz savstarpējību un saskaņā ar šo regulu.

- = -

(122) Katrai uzraudzības iestādei vajadzētu būt kompetentai savas dalībvalsts teritorijā īstenot pilnvaras un pildīt uzdevumus, kas tai piešķirti saskaņā ar šo regulu.
Tam būtu jāattiecas jo īpaši uz apstrādi saistībā ar darbībām pārziņa vai apstrādātāja uzņēmējdarbības vietā savas dalībvalsts teritorijā, tādu personas datu apstādi, ko sabiedrības interesēs veic publiskas iestādes vai privātas struktūras, apstrādi, kas ietekmē datu subjektus tās teritorijā, vai apstrādi, ko veic pārzinis vai apstrādātājs, kurš neveic uzņēmējdarbību Savienībā, bet strādā ar datu subjektiem, kas dzīvo tās teritorijā.
Tam būtu jāaptver datu subjekta iesniegtu sūdzību izskatīšana, izmeklēšanas veikšana par šīs regulas piemērošanu un sabiedrības informētības veicināšana par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi.

- = -

(139) Lai nodrošinātu šīs regulas konsekventu piemērošanu, kolēģija būtu jāveido kā neatkarīga Savienības struktūra.
Kolēģijai tās mērķu izpildei būtu jānosaka juridiskas personas statuss.
Kolēģiju vajadzētu pārstāvēt tās priekšsēdētājam.
Ar to būtu jāaizstāj Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvu 95/46/EK.
Tai būtu jāsastāv no katras dalībvalsts uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja vai to attiecīgajiem pārstāvjiem.
Komisijai būtu jāpiedalās kolēģijas darbā bez balsošanas tiesībām, un Eiropas Datu aizsardzības uzraudzītājam vajadzētu būt īpašām balsošanas tiesībām.
Kolēģijai būtu jāpalīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā, tostarp jāsniedz padomi Komisijai jo īpaši par aizsardzības līmeni trešās valstīs vai starptautiskās organizācijās, un jāveicina uzraudzības iestāžu sadarbība visā Savienībā.
Kolēģijai, pildot savus uzdevumus, būtu jārīkojas neatkarīgi.

- = -

(140) Kolēģijai būtu jāsaņem palīdzība no sekretariāta, kuru nodrošina Eiropas Datu aizsardzības uzraudzītājs.
Eiropas Datu aizsardzības uzraudzītāja personālam, kas ir iesaistīts to uzdevumu īstenošanā, kuri kolēģijai uzticēti ar šo regulu, savi uzdevumi būtu jāveic tikai saskaņā ar kolēģijas priekšsēdētāja norādījumiem un viņa pakļautībā.

- = -

(142) Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību viņa vārdā uzraudzības iestādē, īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai – ja to paredz dalībvalsts tiesību akti – īstenot tiesības saņemt kompensāciju datu subjektu vārdā.
Dalībvalsts var paredzēt, ka šādai struktūrai, organizācijai vai apvienībai ir tiesības neatkarīgi no datu subjekta pilnvarojuma minētajā dalībvalstī iesniegt sūdzību un tiesības uz efektīvu tiesību aizsardzību tiesā, ja tai ir iemesls uzskatīt, ka datu subjekta tiesības ir pārkāptas tādas personas datu apstrādes rezultātā, kas pārkāpj šo regulu.
Minētajai struktūrai, organizācijai vai apvienībai var nebūt tiesību prasīt kompensāciju datu subjekta vārdā bez datu subjekta pilnvarojuma.

- = -

(143) Jebkurai fiziskai vai juridiskai personai ir tiesības saskaņā ar LESD 263. pantā paredzētajiem nosacījumiem celt Tiesā prasību par to, lai tiktu atcelts kolēģijas lēmums.
Kā šādu lēmumu adresātiem attiecīgajām uzraudzības iestādēm, kuras vēlas tos apstrīdēt, prasība ir jāceļ divos mēnešos pēc tam, kad lēmumi tām ir paziņoti, ievērojot LESD 263. pantu.
Ja kolēģijas lēmumi tieši un individuāli skar pārzini, apstrādātāju vai sūdzības iesniedzēju, saskaņā ar LESD 263. pantu tie var celt prasību par minēto lēmumu atcelšanu divu mēnešu laikā pēc minēto lēmumu publicēšanas kolēģijas tīmekļa vietnē.
Neskarot minētās tiesības saskaņā ar LESD 263. pantu, katrai fiziskai vai juridiskai personai vajadzētu būt pieejamiem efektīviem tiesību aizsardzības līdzekļiem kompetentajā valsts tiesā pret uzraudzības iestādes lēmumu, kas rada tiesiskas sekas attiecībā uz minēto personu. Šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu.
Tomēr tiesības uz efektīvu tiesību aizsardzību tiesā neattiecas uz tādiem uzraudzības iestāžu veiktiem pasākumiem, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotiem atzinumiem vai sniegtiem padomiem.
Prasība pret uzraudzības iestādi būtu jāceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde, un tā būtu jāizskata saskaņā ar minētās dalībvalsts procesuālajām tiesībām. Šādām tiesām vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu.
Ja uzraudzības iestāde ir noraidījusi sūdzību,

- = -

(148) Lai stiprinātu šīs regulas noteikumu izpildi, papildus atbilstošiem pasākumiem, ko uzraudzības iestāde piemēro saskaņā ar šo regulu, vai to vietā, par šīs regulas pārkāpumiem būtu jāpiemēro sankcijas, tostarp administratīvi naudas sodi.
Nenozīmīgu pārkāpumu gadījumā vai ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā var izteikt rājienu.
Tomēr būtu pienācīgi jāņem vērā pārkāpuma būtība, smagums un ilgums, tas, vai pārkāpums izdarīts tīši, darbības, kas veiktas, lai mazinātu ciesto kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, veids, kādā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas vērsti pret uzraudzītāju vai apstrādātāju, rīcības kodeksa ievērošana un jebkādi citi pastiprinoši vai mīkstinoši apstākļi.
Sankciju, tostarp administratīvu naudas sodu, uzlikšanai būtu jāpiemēro atbilstošas procesuālās garantijas saskaņā ar vispārīgiem Savienības tiesību principiem un hartu, tostarp efektīva tiesību aizsardzība tiesā un pienācīgas procedūras.

- = -

(154) Šī regula atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot šo regulu.
Publisku piekļuvi oficiāliem dokumentiem var uzskatīt par tādu, kas ir sabiedrības interesēs.
Publiskas iestādes vai publiskas struktūras rīcībā esošajos dokumentos ietvertos personas datus minētajai iestādei vai struktūrai būtu jāspēj izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri attiecas uz publisko iestādi vai publisko struktūru.
Ar šādiem tiesību aktiem publiska piekļuve oficiāliem dokumentiem un publiskā sektora informācijas atkalizmantošana būtu jāsaskaņo ar tiesībām uz personas datu aizsardzību, un tāpēc tajos var paredzēt nepieciešamo saskaņošanu ar tiesībām uz personas datu aizsardzību, ievērojot šo regulu.
Atsaucē uz publiskām iestādēm vai publiskām struktūrām minētajā kontekstā būtu jāiekļauj visas iestādes vai citas struktūras, uz kurām attiecas dalībvalstu tiesību akti par publisku piekļuvi dokumentiem.
Eiropas Parlamenta un Padomes Direktīva 2003/98/EK (14) nemaina un nekādā veidā neskar fizisku personu aizsardzības līmeni saistībā ar personas datu apstrādi saskaņā ar Savienības un dalībvalstu tiesību aktu noteikumiem, un jo īpaši tā neizmaina pienākumus un tiesības, kādi noteikti ar šo regulu.
Jo īpaši minētā direktīva nebūtu jāpiemēro dokumentiem, kuriem piekļuve ir liegta vai ierobežota ar piekļuves režīmiem, kas tiek pamatoti ar personas datu aizsardzību, un dokumentu daļām, kurām var piekļūt saskaņā ar minētajiem režīmiem un kas satur personas datus, kuru atkalizmantošana tiesību aktos ir noteikta kā nesavienojama ar tiesību aktiem par fizisku personu aizsardzību saistībā ar personas datu apstrādi.

- = -

(162) Ja personas datus apstrādā statistikas nolūkos, minētajai apstrādei būtu jāpiemēro šī regula.
Savienības vai dalībvalstu tiesību aktos, ievērojot šajā regulā noteiktos ierobežojumus, būtu jānosaka statistikas saturs, piekļuves kontrole, specifikācijas personas datu apstrādei statistikas nolūkos un piemēroti pasākumi datu subjekta tiesību un brīvību aizsardzībai un statistikas konfidencialitātes nodrošināšanai.
Statistikas nolūki ir jebkura tādu personas datu vākšanas un apstrādes darbība, kuri nepieciešami statistikas apsekojumiem vai statistikas rezultātu izstrādei.
Minētos statistikas rezultātus var tālāk izmantot dažādiem nolūkiem, tostarp zinātniskās pētniecības nolūkā.
Statistikas nolūks nozīmē, ka statistikas nolūkos veiktas apstrādes rezultāts nav personas dati, bet gan apkopoti dati un ka šo rezultātu vai personas datus neizmanto, lai pamatotu pasākumus vai lēmumus, kuri attiecas uz kādu konkrētu fizisku personu.

- = -

(168) Pārbaudes procedūra būtu jāizmanto, lai pieņemtu īstenošanas aktus par līguma standartklauzulām starp pārziņiem un apstrādātājiem un starp apstrādātājiem; par rīcības kodeksiem; sertifikācijas tehniskajiem standartiem un mehānismiem; pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts, kāda teritorija, vai konkrēts sektors minētajā trešā valstī, vai starptautiska organizācija; standarta aizsardzības klauzulas; formātiem un procedūrām elektroniskai informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem; savstarpēju palīdzību; un kārtību elektroniskai informācijas apmaiņai uzraudzības iestāžu starpā un starp uzraudzības iestādēm un kolēģiju.

- = -

(169) Komisijai būtu jāpieņem tūlītēji piemērojami īstenošanas akti, ja pieejamie pierādījumi liecina, ka trešā valsts, kāda teritorija, vai konkrēts sektors minētajā trešā valstī, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni, un tas ir nepieciešams nenovēršamu steidzamu iemeslu dēļ.

- = -

(170) Ņemot vērā to, ka šīs regulas mērķi, proti, nodrošināt fiziskām personām vienādu aizsardzības līmeni un brīvu personas datu apriti visā Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, un rīcības mēroga vai iedarbības dēļ tos var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienības (LES) 5. pantā noteikto subsidiaritātes principu.
Saskaņā ar minētajā pantā noteikto proporcionalitātes principu, šajā regulā parfedz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

- = -

(172) Saskaņā ar Regulas (EK) Nr. 45/2001 28.
panta 2.
punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas sniedza atzinumu 2012. gada 7. martā (17).

- = -

dal 2004 diritto e informatica