interactive GDPR 2016/0679 LV

1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

a)	datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt;

apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesību akti vai koplīgums atbilstīgi dalībvalsts tiesību aktiem, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm;

c)	apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic fonds, apvienība vai jebkura cita bezpeļņas struktūra, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras;

e)	apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis;

f)	apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad tiesas pilda savus uzdevumus;

g)	apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai;

apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai.

3. Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

4. Dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.

17. pants

Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)

1. Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:

a)	personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;

b)	datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;

c)	datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 2. punktu;

d)	personas dati ir apstrādāti nelikumīgi;

e)	personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim;

f)	personas dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts 8. panta 1. punktā.

2. Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus, kas veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.

3. Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:

a)	lai īstenotu tiesības uz vārda brīvību un informāciju;

b)	lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu;

c)	pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 9. panta 2. punkta h) un i) apakšpunktu, kā arī 9. panta 3. punktu;

d)	arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai

e)	lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

18. pants

Tiesības ierobežot apstrādi

1. Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja ir viens no šādiem apstākļiem:

a)	datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti;

b)	apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;

c)	pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

d)	datu subjekts ir iebildis pret apstrādi saskaņā ar 21. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem.

2. Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.

3. Pārzinis datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas.

21. pants

Tiesības iebilst

1. Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

2. Ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi šādas tirgvedības vajadzībām, kas ietver profilēšanu, ciktāl tā ir saistīta ar šādu tiešo tirgvedību.

3. Ja datu subjekts iebilst pret apstrādi tiešās tirgvedības vajadzībām, personas datus šādā nolūkā vairs neapstrādā.

4. Vēlākais tad, kad ar datu subjektu notiek pirmā saziņa, datu subjektu nepārprotami informē par 1. un 2. punktā minētajām tiesībām, un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas.

5. Saistībā ar informācijas sabiedrības pakalpojumu izmantošanu un neatkarīgi no Direktīvas 2002/58/EK datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas.

6. Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, ievērojot 89. panta 1. punktu, datu subjektam, pamatojoties uz savu īpašo situāciju, ir tiesības iebilst pret savu personas datu apstrādi, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.

27. pants

Tādu pārziņu vai apstrādātāju pārstāvji, kuri neveic uzņēmējdarbību Savienībā

1. Ja piemēro 3. panta 2. punktu, pārzinis vai apstrādātājs rakstiski ieceļ savu pārstāvi Savienībā.

2. Šā panta 1. punktā minēto pienākumu nepiemēro:

apstrādei, kura ir neregulāra, neietver – plašā mērogā – 9. panta 1. punktā minēto īpašo datu kategoriju apstrādi vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi, un ja ir maz ticams, ka tā radīs risku fizisku personu tiesībām un brīvībām, ņemot vērā apstrādes raksturu, kontekstu, apmēru un nolūkus; vai

b)	publiskai iestādei vai struktūrai.

3. Pārstāvis veic uzņēmējdarbību vienā no tām dalībvalstīm, kur atrodas datu subjekti, kuru personas datus apstrādā saistībā ar preču vai pakalpojumu piedāvāšanu tiem vai kuru uzvedība tiek novērota.

4. Lai nodrošinātu atbilstību šai regulai, pārzinis vai apstrādātājs pilnvaro pārstāvi, pie kura – jo īpaši – uzraudzības iestādes un datu subjekti papildus vai pārziņa vai apstrādātāja vietā vēršas visos jautājumos saistībā ar apstrādi.

5. Pārziņa vai apstrādātāja pārstāvja iecelšana neskar tiesiskās prasības, ko varētu celt pret pašu pārzini vai apstrādātāju.

35. pants

Novērtējums par ietekmi uz datu aizsardzību

1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts.

3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)	ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)	9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)	publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.

5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai.

6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu.

7. Novērtējumā ietver vismaz:

a)	plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu;

b)	novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)	novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)	pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums.

11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

37. pants

Datu aizsardzības speciālista iecelšana

1. Pārzinis un apstrādātājs ieceļ datu aizsardzības speciālistu katrā gadījumā, kad:

a)	apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;

b)	pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai

c)	pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9. pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.

2. Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu.

3. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu.

4. Gadījumos, kas nav minēti 1. punktā, pārzinis vai apstrādātājs, vai apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var iecelt vai – ja tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem – ieceļ datu aizsardzības speciālistu. Datu aizsardzības speciālists var rīkoties šādu apvienību un citu struktūru, kas pārstāv pārziņus vai apstrādātājus, uzdevumā.

5. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.

6. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.

7. Pārzinis vai apstrādātājs publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei.

47. pants

Saistoši uzņēmuma noteikumi

1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie:

a)	ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki;

b)	skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un

c)	atbilst 2. punktā izklāstītajām prasībām.

2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz:

a)	katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju;

b)	datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)	to juridiski gan iekšēji, gan ārēji saistošo raksturu;

vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi;

datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums;

g)	kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu;

i)	sūdzību procedūras;

uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei;

k)	mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei;

l)	sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus;

mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un

n)	piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem.

3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

49. pants

Atkāpes īpašās situācijās

1. Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu vai nav nodrošinātas atbilstošas garantijas saskaņā ar 46. pantu, tostarp saistoši uzņēmuma noteikumi, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju notiek tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem:

a)	datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)	nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)	nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)	nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs;

e)	nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

f)	nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi.

Ja nosūtīšanu nevar balstīt uz 45. vai 46. pantā ietvertu noteikumu, tostarp noteikumu par saistošiem uzņēmuma noteikumiem, un nav piemērojama neviena no atkāpēm īpašās situācijās saskaņā ar šā punkta pirmo daļu, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja nosūtīšana neatkārtojas, attiecas vienīgi uz ierobežotu skaitu datu subjektu, ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību. Pārzinis par nosūtīšanu informē uzraudzības iestādi. Papildus 13. un 14. pantā minētās informācijas sniegšanai pārzinis informē datu subjektu par nosūtīšanu un par pārliecinošām leģitīmām interesēm.

2. Nosūtot datus saskaņā ar 1. punkta pirmās daļas g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datus vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3. Šā panta 1. punkta pirmās daļas a), b) un c) apakšpunktu un otro daļu nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras.

4. Sabiedrības intereses, kas minētas 1. punkta pirmās daļas d) apakšpunktā, ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim.

5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju. Dalībvalstis par jebkādiem šādiem noteikumiem paziņo Komisijai.

6. Pārzinis vai apstrādātājs 30. pantā minētajos datu reģistros dokumentē novērtējumu, kā arī šā panta 1. punkta otrajā daļā izklāstītās atbilstošās garantijas.

54. pants

Noteikumi par uzraudzības iestādes izveidi

1. Katra dalībvalsts tiesību aktos paredz visu turpmāk minēto:

a)	katras uzraudzības iestādes izveidi;

b)	kvalifikāciju un atbilstības nosacījumus, kas izvirzīti iecelšanai par locekli katrā no uzraudzības iestādēm;

c)	noteikumus un procedūras locekļa vai locekļu iecelšanai katrā uzraudzības iestādē;

tādu locekļa vai locekļu amata pilnvaru laiku katrā uzraudzības iestādē, kurš nav mazāks par četriem gadiem, izņemot pirmo iecelšanu pēc 2016. gada 24. maija, kad daļēji var iecelt uz īsāku laiku, ja tas ir nepieciešams, lai aizsargātu uzraudzības iestādes neatkarību, šim nolūkam amatā iecelšanas procedūru rīkojot ar laika nobīdi;

e)	to, vai katras uzraudzības iestādes locekli vai locekļus var atkārtoti iecelt amatā un, ja var, tad uz cik pilnvaru termiņiem;

f)	nosacījumus attiecībā uz katras uzraudzības iestādes locekļa vai locekļu un personāla pienākumiem, aizliegumus attiecībā uz rīcību, ieņemamajiem amatiem un priekšrocībām, kas nav ar tiem savienojami, esot amatā un pēc pilnvaru termiņa beigām, un noteikumus attiecībā uz nodarbinātības pārtraukšanu.

2. Katras uzraudzības iestādes loceklis vai locekļi un personāls saskaņā ar Savienības vai dalībvalsts tiesību aktiem ievēro pienākumu glabāt dienesta noslēpumu, gan esot amatā, gan arī pēc pilnvaru termiņa beigām, attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus vai īstenojot pilnvaras. Viņu pilnvaru laikā minētais pienākums glabāt dienesta noslēpumu jo īpaši attiecas uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem.

2. iedaļa

Kompetence, uzdevumi un pilnvaras

79. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju

1. Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.

2. Prasību pret pārzini vai apstrādātāju ceļ tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta. Alternatīvi šādu prasību var celt tās dalībvalsts tiesās, kur atrodas datu subjekta pastāvīgā dzīvesvieta, izņemot, ja pārzinis vai apstrādātājs ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras.

81. pants

Tiesvedības apturēšana

1. Ja dalībvalsts kompetentās tiesas rīcībā ir informācija par tiesvedību, kas par to pašu priekšmetu citas dalībvalsts tiesā ir sākta attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi, tā sazinās ar minēto citas dalībvalsts tiesu, lai gūtu apstiprinājumu par to, ka šāda tiesvedība tiešām ir sākta.

2. Ja par to pašu priekšmetu citas dalībvalsts tiesā ir sākta tiesvedība attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi, jebkura kompetentā tiesa, kas nav tiesa, kurā pirmajā celta prasība, var apturēt tās tiesvedību.

3. Ja minētā tiesvedība notiek pirmajā instancē, jebkura tiesa, kas nav tiesa, kurā pirmajā celta prasība, pēc kādas puses iesniegta pieteikuma var arī atteikties no jurisdikcijas, ja attiecīgās prasības ir tās tiesas jurisdikcijā, kurā pirmajā iesniegta prasība, un ja tās tiesību akti ļauj šīs prasības apvienot.

94. pants

Direktīvas 95/46/EK atcelšana

1. Direktīvu 95/46/EK atceļ no 2018. gada 25. maija.

2. Atsauces uz atcelto direktīvu uzskata par atsaucēm uz šo regulu. Atsauces uz Darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvas 95/46/EK 29. pantu, uzskata par atsaucēm uz Eiropas Datu aizsardzības kolēģiju, kas izveidota ar šo regulu.

96. pants

Saistība ar iepriekš noslēgtiem nolīgumiem

Starptautiskie nolīgumi, kuri ietver personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām un kurus dalībvalstis ir noslēgušas pirms 2016. gada 24. maija, un kuri ir saskaņā ar Savienības tiesību aktiem, kas ir piemērojami pirms minētās dienas, paliek spēkā līdz brīdim, kad tie tiek grozīti, aizstāti vai atcelti.

whereas

(52) Atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus būtu jāatļauj arī tad, ja tas paredzēts Savienības vai dalībvalsts tiesību aktos un ja ir paredzētas atbilstošas garantijas personas datu un citu pamattiesību aizsardzībai, ja to darīt ir sabiedrības interesēs, jo īpaši personas datu apstrāde nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā, tostarp attiecībā uz pensijām un veselības drošības, uzraudzības un brīdināšanas nolūkos, lipīgu infekcijas slimību un citu nopietnu veselības apdraudējumu profilaksei vai kontrolei. Šādu atkāpi var veikt ar veselību saistītos nolūkos, tostarp sabiedrības veselības un veselības aprūpes pakalpojumu pārvaldības nolūkos, jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību vai lai veiktu arhivēšanu sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos.
Atkāpei būtu jāpieļauj arī tādu personas datu apstrāde, kas vajadzīgi, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai nu tiesas procesā, vai administratīvā vai ārpustiesas procedūrā.

- = -

(65) Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības vai dalībvalsts tiesību aktus, kas ir piemērojami pārzinim.
Jo īpaši datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai.
Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta.
Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns.
Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

- = -

(80) Ja pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, apstrādā Savienībā esošu datu subjektu personas datus un tā apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem Savienībā – neatkarīgi no tā, vai no datu subjekta tiek prasīta samaksa – vai ar viņu uzvedības novērošanu, ciktāl viņu uzvedība notiek Savienībā, pārzinim vai apstrādātājam būtu jāieceļ pārstāvis, izņemot, ja apstrāde ir neregulāra, neietver īpašu kategoriju personas datu apstrādi plašā mērogā vai personas datu par sodāmību un pārkāpumiem apstrādi un ja ir maz ticams, ka tā radīs risku fizisku personu tiesībām un brīvībām, ņemot vērā apstrādes raksturu, kontekstu, apmēru un nolūkus, vai ja pārzinis ir publiska iestāde vai struktūra.
Pārstāvim būtu jārīkojas pārziņa vai apstrādātāja vārdā, un pie viņa var vērsties jebkura uzraudzības iestāde.
Pārzinim vai apstrādātājam ar rakstisku pilnvaru būtu nepārprotami jāieceļ pārstāvis, kas rīkojas pārziņa vai apstrādātāja vārdā saistībā ar tā pienākumiem, kas noteikti šajā regulā. Šāda pārstāvja iecelšana neietekmē pārziņa vai apstrādātāja pienākumus vai atbildību, kas noteikti šajā regulā. Šādam pārstāvim savi uzdevumi būtu jāveic saskaņā ar pārziņa vai apstrādātāja dotajām pilnvarām, tostarp jāsadarbojas ar kompetentajām uzraudzības iestādēm attiecībā uz jebkuru darbību, ko veic, lai nodrošinātu šīs regulas ievērošanu.
Pārziņa vai apstrādātāja neatbilstības gadījumā uz iecelto pārstāvi būtu jāattiecina izpildes procedūras.

- = -

(143) Jebkurai fiziskai vai juridiskai personai ir tiesības saskaņā ar LESD 263. pantā paredzētajiem nosacījumiem celt Tiesā prasību par to, lai tiktu atcelts kolēģijas lēmums.
Kā šādu lēmumu adresātiem attiecīgajām uzraudzības iestādēm, kuras vēlas tos apstrīdēt, prasība ir jāceļ divos mēnešos pēc tam, kad lēmumi tām ir paziņoti, ievērojot LESD 263. pantu.
Ja kolēģijas lēmumi tieši un individuāli skar pārzini, apstrādātāju vai sūdzības iesniedzēju, saskaņā ar LESD 263. pantu tie var celt prasību par minēto lēmumu atcelšanu divu mēnešu laikā pēc minēto lēmumu publicēšanas kolēģijas tīmekļa vietnē.
Neskarot minētās tiesības saskaņā ar LESD 263. pantu, katrai fiziskai vai juridiskai personai vajadzētu būt pieejamiem efektīviem tiesību aizsardzības līdzekļiem kompetentajā valsts tiesā pret uzraudzības iestādes lēmumu, kas rada tiesiskas sekas attiecībā uz minēto personu. Šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu.
Tomēr tiesības uz efektīvu tiesību aizsardzību tiesā neattiecas uz tādiem uzraudzības iestāžu veiktiem pasākumiem, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotiem atzinumiem vai sniegtiem padomiem.
Prasība pret uzraudzības iestādi būtu jāceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde, un tā būtu jāizskata saskaņā ar minētās dalībvalsts procesuālajām tiesībām. Šādām tiesām vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu.
Ja uzraudzības iestāde ir noraidījusi sūdzību,

- = -

(144) Ja tiesai, kurā celta prasība pret uzraudzības iestādes lēmumu, ir pamats uzskatīt, ka kompetentā tiesā citā dalībvalstī ir iesniegta prasība par to pašu apstrādi – piemēram, par to pašu priekšmetu attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi vai to pašu prasības priekšmetu –, tai būtu jāsazinās ar minēto tiesu, lai pārliecinātos par šādu saistītu tiesvedību.
Ja tiesā citā dalībvalstī notiek saistīta tiesvedība, jebkura tiesa, kas nav tā tiesa, kurā pirmajā celta prasība, var apturēt tiesvedību vai tā pēc vienas puses prasības var atteikties no jurisdikcijas par labu tiesai, kurā pirmajā celta prasība, ja minētajai tiesai ir jurisdikcija attiecīgajā tiesvedībā un ja tās tiesību akti ļauj apvienot šādas saistītas tiesvedības.
Tiesvedības uzskata par saistītām, ja tās ir tik cieši saistītas, ka ir lietderīgi tās izskatīt un izlemt kopā, lai novērstu nesavienojamu nolēmumu risku, ko rada atsevišķas tiesvedības.

- = -

(146) Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu.
Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu.
Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem.
Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalstu tiesību aktu noteikumu pārkāpumiem.
Apstrāde, kas pārkāpj šo regulu, ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi.
Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu.
Ja pārziņi vai apstrādātāji ir iesaistīti tajā pašā apstrādē, katram pārzinim vai apstrādātājam vajadzētu būt atbildīgam par visu kaitējumu.
Tomēr, ja uz viņiem attiecina to pašu tiesvedību saskaņā ar dalībvalsts tiesību aktiem, kompensāciju var iedalīt saskaņā ar katra kontroliera vai apstrādātāja atbildību par apstrādes radīto kaitējumu, ja vien cietušajam datu subjektam tiek nodrošināta pilnīga un efektīva kompensācija.
Jebkurš pārzinis vai apstrādātājs pēc pilnas kompensācijas samaksāšanas var celt regresa prasību pret citiem pārziņiem vai apstrādātājiem, kas iesaistīti tajā pašā apstrādē.

- = -

(171) Ar šo regulu būtu jāatceļ Direktīva 95/46/EK.
Apstrāde, kas jau tiek veikta dienā, kad šo regulu sāk piemērot, būtu jāsaskaņo ar šo regulu divos gados pēc šīs regulas spēkā stāšanās dienas.
Ja apstrāde pamatojas uz piekrišanu, ievērojot Direktīvu 95/46/EK, datu subjektam nav vēlreiz jādod sava piekrišana, ja veids, kādā piekrišana ir sniegta, atbilst šīs regulas nosacījumiem, lai tādējādi ļautu pārzinim turpināt šādu apstrādi pēc šīs regulas piemērošanas dienas.
Saskaņā ar Direktīvu 95/46/EK pieņemtie Komisijas lēmumi un uzraudzības iestāžu izsniegtās atļaujas paliek spēkā līdz brīdim, kad tās tiek grozītas, aizstātas vai atceltas.

- = -

dal 2004 diritto e informatica