interactive GDPR 2016/0679 LV

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:

a)	godprātīgu un pārredzamu apstrādi;

b)	pārziņu leģitīmajām interesēm konkrētos gadījumos;

c)	personas datu vākšanu;

d)	personas datu pseidonimizāciju;

e)	informāciju, ko sniedz sabiedrībai un datu subjektiem;

f)	datu subjektu tiesību īstenošanu;

g)	informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;

h)	pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;

i)	uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;

j)	personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai

k)	ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.

3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.

5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.

6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.

7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.

8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.

9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.

11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

41. pants

Apstiprināto rīcības kodeksu pārraudzība

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras, kas minēti 57. un 58. pantā, rīcības kodeksa ievērošanas pārraudzību saskaņā ar 40. pantu var veikt struktūra, kura pienācīgi pārzina kodeksa tematiku un kuru minētajam nolūkam ir akreditējusi kompetentā uzraudzības iestāde.

2. Šā panta 1. punktā paredzēto struktūru var akreditēt, lai pārraudzītu atbilstību rīcības kodeksam, ja minētā struktūra:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījusi, ka darbojas neatkarīgi un pārzina kodeksa tematiku;

b)	ir izstrādājusi kārtību, kas tai ļauj novērtēt, vai attiecīgie pārziņi un apstrādātāji ir tiesīgi piemērot attiecīgo kodeksu, un pārraudzīt, kā tie ievēro kodeksa noteikumus, kā arī periodiski pārskatīt kodeksa darbību;

c)	ir izstrādājusi kārtību un izveidojusi struktūras, lai izskatītu sūdzības par attiecīgā kodeksa pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno kodeksu, un lai nodrošinātu, ka minētā kārtība un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

d)	ir kompetentajai uzraudzības iestādei uzskatāmi parādījusi, ka tās uzdevumi un pienākumi nerada interešu konfliktu.

3. Kompetentā uzraudzības iestāde kolēģijai iesniedz projektu par šā panta 1. punktā minētās struktūras akreditēšanas kritērijiem saskaņā ar 63. pantā minēto konsekvences mehānismu.

4. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras un VIII nodaļā paredzētos noteikumus, šā panta 1. punktā minētā struktūra, ievērojot atbilstošas garantijas, atbilstīgi rīkojas gadījumos, kad pārzinis vai apstrādātājs izdara attiecīgā kodeksa pārkāpumu, tostarp tā uz laiku vai pavisam izslēdz pārzini vai apstrādātāju no attiecīgā kodeksa. Struktūra informē kompetento uzraudzības iestādi par minētajām darbībām un to veikšanas iemesliem.

5. Kompetentā uzraudzības iestāde atsauc 1. punktā minētās struktūras akreditāciju, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja struktūras veiktās darbības pārkāpj šo regulu.

6. Šo pantu nepiemēro apstrādei, ko veic publiskas iestādes un struktūras.

42. pants

Sertifikācija

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Papildus tam, ka saskaņā ar šā panta 5. punktu apstiprinātus datu aizsardzības sertifikācijas mehānismus, zīmogus vai marķējumus izmanto pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, ievērojot 3. pantu, šī regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešām valstīm vai starptautiskajām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta f) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Sertifikācija ir brīvprātīga un pieejama procesā, kas ir pārredzams.

4. Sertifikācija, ko veic saskaņā ar šo pantu, nemazina pārziņa vai apstrādātāja atbildību attiecībā uz šīs regulas ievērošanu, un tā neskar uzraudzības iestāžu, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, uzdevumus un pilnvaras.

5. Šajā pantā paredzētu sertifikātu izdod 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde, pamatojoties uz kritērijiem, ko – ievērojot 58. panta 3. punktu – apstiprinājusi minētā kompetentā uzraudzības iestāde vai – ievērojot 63. pantu – kolēģija. Ja kritērijus apstiprinājusi kolēģija, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu.

6. Pārzinis vai apstrādātājs, kas savas apstrādes darbības pakļauj minētajam sertifikācijas mehānismam, sniedz visu informāciju 43. pantā paredzētajai sertifikācijas struktūrai vai attiecīgā gadījumā kompetentajai uzraudzības iestādei un nodrošina piekļuvi savām apstrādes darbībām, kas vajadzīga, lai veiktu minēto sertifikācijas procedūru.

7. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot ar tādiem pašiem nosacījumiem, ar noteikumu, ka attiecīgās prasības joprojām ir izpildītas. Attiecīgā gadījumā 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde atsauc sertifikātu, ja sertifikācijas prasības nav izpildītas vai vairs netiek pildītas.

8. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

47. pants

Saistoši uzņēmuma noteikumi

1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie:

a)	ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki;

b)	skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un

c)	atbilst 2. punktā izklāstītajām prasībām.

2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz:

a)	katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju;

b)	datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)	to juridiski gan iekšēji, gan ārēji saistošo raksturu;

vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi;

datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums;

g)	kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu;

i)	sūdzību procedūras;

uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei;

k)	mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei;

l)	sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus;

mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un

n)	piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem.

3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

70. pants

Kolēģijas uzdevumi

1. Kolēģija nodrošina šīs regulas konsekventu piemērošanu. Šim nolūkam kolēģija pēc savas iniciatīvas vai attiecīgā gadījumā pēc Komisijas pieprasījuma jo īpaši:

a)	pārrauga un nodrošina šīs regulas pareizu piemērošanu gadījumos, kas paredzēti 64 un 65. pantā, neskarot valstu uzraudzības iestāžu uzdevumus;

b)	sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs regulas grozījumiem, kas tiek ierosināti;

c)	sniedz padomus Komisijai par formātu un procedūrām informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem;

d)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz procedūrām saišu uz personas datiem, datu kopiju un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem, kā minēts 17. panta 2. punktā;

e)	pēc pašas kolēģijas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādus jautājumus, kas attiecas uz šīs regulas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs regulas konsekventu piemērošanu;

f)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi saskaņā ar šā punkta e) apakšpunktu, kā sīkāk noteikt kritērijus un nosacījumus uz profilēšanu balstītiem lēmumiem saskaņā ar 22. panta 2. punktu;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 33. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

h)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, kā minēts 34. panta 1. punktā;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības personas datu nosūtīšanai, pamatojoties uz saistošiem uzņēmuma noteikumiem, kurus ievēro pārzinis, un saistošiem uzņēmuma noteikumiem, kurus ievēro apstrādātāji, un uz sīkākām nepieciešamām prasībām, lai nodrošinātu attiecīgo datu subjektu personas datu aizsardzību, kas minētas 47. pantā;

j)	saskaņā ar šā panta 1. punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības attiecībā uz datu personas nosūtīšanu, pamatojoties uz 49. panta 1. punktu;

k)	izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 58. panta 1., 2. un 3. punktā minēto pasākumu piemērošanu un par administratīvo naudas sodu noteikšanu saskaņā ar 83. pantu;

l)	pārskata e) un fa) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu;

m)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā izveidot kopīgas procedūras attiecībā uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem saskaņā ar 54. panta 2. punktu;

n)	mudina izstrādāt rīcības kodeksus un izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus saskaņā ar 40. un 42. pantu;

veic sertifikācijas struktūru akreditāciju un tās periodisku pārskatīšanu saskaņā ar 43. pantu un uztur publisku reģistru par akreditētām struktūrām saskaņā ar 43. panta 6. punktu un par akreditētiem pārziņiem un apstrādātājiem, kas veic uzņēmējdarbību trešās valstīs, saskaņā ar 42. panta 7. punktu;

p)	precizē prasības, kas minētas 43. panta 3. punktā, lai akreditētu sertifikācijas struktūras saskaņā ar 42. pantu;

q)	sniedz Komisijai atzinumu par 43. panta 8. punktā minētajām sertifikācijas prasībām;

r)	sniedz Komisijai atzinumu par 12. panta 7. punktā minētajām ikonām;

sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros minētajā trešā valstī, vai starptautiskā organizācijā vairs netiek nodrošināts pietiekams aizsardzības līmenis. Šim nolūkam Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, attiecībā uz minēto trešo valsti, teritoriju vai konkrētu sektoru, vai starptautisku organizāciju;

t)	sniedz atzinumus par uzraudzības iestāžu lēmumiem saskaņā ar 64. panta 1. punktā minēto konsekvences mehānismu un par jautājumiem, kas iesniegti saskaņā ar 64. panta 2. punktu, un izdod saistošus lēmumus saskaņā ar 65. pantu, tostarp 66. pantā minētajos gadījumos;

u)	veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

v)	veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

w)	veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesību aktiem un praksi ar uzraudzības iestādēm visā pasaulē;

x)	sniedz atzinumus par Savienības līmenī izstrādātiem rīcības kodeksiem saskaņā ar 40. panta 9. punktu; un

y)	uztur publiski pieejamu elektronisku reģistru ar uzraudzības iestāžu un tiesu pieņemtiem lēmumiem par jautājumiem, kas risināti ar konsekvences mehānismu.

2. Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību.

3. Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 93. pantā norādītajai komitejai un publisko tos.

4. Kolēģija attiecīgā gadījumā apspriežas ar ieinteresētajām personām un dod tām iespēju saprātīgā termiņā izteikties. Kolēģija, neskarot 76. pantu, dara publiski pieejamus apspriešanās procedūras rezultātus.

82. pants

Tiesības uz kompensāciju un atbildība

1. Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2. Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Apstrādātājs ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem.

3. Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.

4. Ja vienā un tajā pašā apstrādē ir iesaistīts vairāk nekā viens pārzinis vai apstrādātājs vai gan pārzinis, gan apstrādātājs un ja tie saskaņā ar 2. un 3. punktu ir atbildīgi par jebkādu kaitējumu, kas nodarīts ar apstrādi, katru pārzini vai apstrādātāju sauc pie atbildības par visu nodarīto kaitējumu, lai datu subjektam nodrošinātu efektīvu kompensāciju.

5. Ja saskaņā ar 4. punktu pārzinis vai apstrādātājs par nodarīto kaitējumu pilnā apmērā ir izmaksājis kompensāciju, minētais pārzinis vai apstrādātājs ir tiesīgs no citiem šajā pašā apstrādē iesaistītajiem pārziņiem vai apstrādātājiem par kaitējumu pieprasīt kompensācijas daļu, kas atbilst to atbildības apmēram saskaņā ar 2. punktā izklāstītajiem nosacījumiem.

6. Tiesvedību par to, lai īstenotu tiesības saņemt kompensāciju, sāk tajās tiesās, kas ir kompetentas saskaņā ar 79. panta 2. punktā minētās dalībvalsts tiesību aktiem.

90. pants

Pienākumi ievērot slepenību

1. Dalībvalstis var pieņemt īpašus noteikumus, kuri paredz uzraudzības iestāžu pilnvaras, kas minētas 58. panta 1. punkta e) un f) apakšpunktā, attiecībā uz pārziņiem vai apstrādātājiem, uz kuriem saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma glabāšanas pienākums vai citi līdzvērtīgi pienākumi ievērot slepenību, ja tas ir nepieciešami un samērīgi, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un pienākumu ievērot slepenību. Minētos noteikumus piemēro tikai tiem personas datiem, ko pārzinis vai apstrādātājs saņēmis vai ieguvis tādas darbības rezultātā, uz kuru attiecas minētais pienākums ievērot slepenību, vai ieguvis tādas darbības laikā.

2. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai par noteikumiem, ko tā pieņēmusi, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

whereas

(18) Šo regulu nepiemēro personas datu apstrādei, kuru veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā un kura tādējādi nav saistīta ar profesionālu vai komerciālu darbību.
Personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu, vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem.
Tomēr šo regulu piemēro pārziņiem vai apstrādātājiem, kas nodrošina personas datu apstrādes līdzekļus šādām personiska vai mājsaimnieciska rakstura darbībām.

- = -

(28) Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus.
Tādējādi skaidra “pseidonimizācijas” ieviešana šajā regulā nav paredzēta tādēļ, lai izslēgtu jebkurus citus datu aizsardzības pasākumus.

- = -

(78) Personu tiesību un brīvību aizsardzībai attiecībā uz fiziskas personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi.
Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, viņam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.
Starp šādiem pasākumiem cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus.
Attīstot, izstrādājot, atlasot un izmantojot lietojumprogrammas, pakalpojumus un preces, kas balstās uz personas datu apstrādi vai apstrādā personas datus savu pienākumu veikšanai, preču, pakalpojumu un lietojumprogrammu ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, kad attīsta un izstrādā šādas preces, pakalpojumus un lietojumprogrammas, un pienācīgi ņemt vērā tehnikas līmeni, lai nodrošinātu, ka pārziņi un apstrādātāji spēj izpildīt savus datu aizsardzības pienākumus.
Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

- = -

(81) Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbildīs šīs regulas prasībām, tostarp apstrādes drošības jomā.
Apstrādātāja atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi.
Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām.
Pārzinis un apstrādātājs var izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai uzraudzības iestāde saskaņā ar konsekvences mehānismu un pēc tam Komisija.
Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam.

- = -

(101) Personas datu plūsmas uz valstīm ārpus Savienības un starptautiskām organizācijām un no tām ir vajadzīgas starptautiskās tirdzniecības un starptautiskās sadarbības paplašināšanai. Šādu plūsmu palielināšanās ir radījusi jaunas problēmas un bažas par personas datu aizsardzību.
Taču gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā.
Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievēroti šīs regulas noteikumi.
Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām.

- = -

(109) Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas, nebūtu jāizslēdz ne tas, ka pārzinis vai apstrādātājs var iekļaut standarta datu aizsardzības klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, ne arī tas, ka pārzinis vai apstrādātājs var pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Komisijas vai uzraudzības iestādes pieņemtajām līguma standartklauzulām vai neierobežo datu subjekta pamattiesības vai brīvības.
Pārziņi un apstrādātāji būtu jāmudina nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina standarta aizsardzības klauzulas.

- = -

(132) Uzraudzības iestāžu rīkotajiem izpratnes veidošanas pasākumiem, kuru mērķauditorija ir sabiedrība, būtu jāietver arī konkrēti pasākumi, kas adresēti pārziņiem un apstrādātājiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, kā arī fiziskām personām, jo īpaši izglītības jomā.

- = -

(146) Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu.
Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu.
Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem.
Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalstu tiesību aktu noteikumu pārkāpumiem.
Apstrāde, kas pārkāpj šo regulu, ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi.
Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu.
Ja pārziņi vai apstrādātāji ir iesaistīti tajā pašā apstrādē, katram pārzinim vai apstrādātājam vajadzētu būt atbildīgam par visu kaitējumu.
Tomēr, ja uz viņiem attiecina to pašu tiesvedību saskaņā ar dalībvalsts tiesību aktiem, kompensāciju var iedalīt saskaņā ar katra kontroliera vai apstrādātāja atbildību par apstrādes radīto kaitējumu, ja vien cietušajam datu subjektam tiek nodrošināta pilnīga un efektīva kompensācija.
Jebkurš pārzinis vai apstrādātājs pēc pilnas kompensācijas samaksāšanas var celt regresa prasību pret citiem pārziņiem vai apstrādātājiem, kas iesaistīti tajā pašā apstrādē.

- = -

(153) Dalībvalstu tiesību aktos būtu jāsaglabā līdzsvars starp noteikumiem, ar kuriem reglamentē vārda un informācijas brīvību, tostarp žurnālistu izteiksmes, akadēmiskās, mākslinieciskās vai literārās izpausmes brīvību, un tiesībām uz personas datu aizsardzību saskaņā ar šo regulu.
Uz personas datu apstrādi tikai žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām būtu jāattiecas atkāpēm vai izņēmumiem no atsevišķiem šīs regulas noteikumiem, ja tas vajadzīgs, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību un jo īpaši tiesībām saņemt un sniegt informāciju, kā tas ietverts hartas 11. pantā.
Tas būtu jo īpaši jāpiemēro personas datu apstrādei audiovizuālajā jomā un ziņu arhīvos, un preses bibliotēkās.
Tāpēc dalībvalstīm būtu jāpieņem leģislatīvi pasākumi, kuros noteikti izņēmumi un atkāpes, kas ir nepieciešamas minēto pamattiesību līdzsvara nodrošināšanai.
Dalībvalstīm būtu jāpieņem šādi izņēmumi un atkāpes par vispārīgajiem principiem, datu subjektu tiesībām, pārziņiem un apstrādātājiem, personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, neatkarīgām uzraudzības iestādēm, sadarbību un konsekvenci un par īpašām datu apstrādes situācijām.
Ja šādi izņēmumi vai atkāpes dažādās dalībvalstīs ir atšķirīgi, būtu jāpiemēro tās dalībvalsts tiesību akti, kuri attiecas uz pārzini.
Lai vārda brīvības īpaši svarīgā loma katrā demokrātiskā sabiedrībā būtu pietiekami ņemta vērā, jēdzieni, kas saistīti ar šo brīvību, piemēram, jēdziens “žurnālistika”, ir jāinterpretē plaši.

- = -

(168) Pārbaudes procedūra būtu jāizmanto, lai pieņemtu īstenošanas aktus par līguma standartklauzulām starp pārziņiem un apstrādātājiem un starp apstrādātājiem; par rīcības kodeksiem; sertifikācijas tehniskajiem standartiem un mehānismiem; pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts, kāda teritorija, vai konkrēts sektors minētajā trešā valstī, vai starptautiska organizācija; standarta aizsardzības klauzulas; formātiem un procedūrām elektroniskai informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem; savstarpēju palīdzību; un kārtību elektroniskai informācijas apmaiņai uzraudzības iestāžu starpā un starp uzraudzības iestādēm un kolēģiju.

- = -

dal 2004 diritto e informatica