interactive GDPR 2016/0679 LV

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)	“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu;

6)	“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;

8)	“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

10)	“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

11)	datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

12)	“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

13)	“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

14)	“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

15)	“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

16)

“galvenā uzņēmējdarbības vieta”:

attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi;

attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi;

17)	“pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti šajā regulā;

18)	“uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību;

19)	“uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;

20)

“saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā;

21)	“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot51. pantu;

22)

“attiecīgā uzraudzības iestāde” ir uzraudzības iestāde, uz kuru personas datu apstrāde attiecas tāpēc, ka:

a)	pārzinis vai apstrādātājs veic uzņēmējdarbību minētās uzraudzības iestādes dalībvalsts teritorijā;

b)	apstrāde būtiski ietekmē vai var būtiski ietekmēt datu subjektus, kas dzīvo minētās uzraudzības iestādes dalībvalstī; vai

c)	sūdzība ir iesniegta minētajai uzraudzības iestādei;

23)

“pārrobežu apstrāde” ir vai nu:

a)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai

b)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī;

24)

“būtisks un motivēts iebildums” ir iebildums lēmuma projektam par to, vai šī regula ir pārkāpta, vai par to, vai iecerētā darbība attiecībā uz pārzini vai apstrādātāju atbilst šai regulai, skaidri parādot to risku nozīmīgumu, ko lēmuma projekts rada datu subjektu pamattiesībām un pamatbrīvībām un attiecīgā gadījumā – personas datu brīvai apritei Savienībā;

25)	“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (19) 1. panta 1. punkta b) apakšpunktā;

26)	“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata.

II NODAĻA

Principi

9. pants

Īpašu kategoriju personas datu apstrāde

1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

a)	datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt;

apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesību akti vai koplīgums atbilstīgi dalībvalsts tiesību aktiem, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm;

c)	apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic fonds, apvienība vai jebkura cita bezpeļņas struktūra, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras;

e)	apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis;

f)	apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad tiesas pilda savus uzdevumus;

g)	apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai;

apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai.

3. Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

4. Dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.

10. pants

Personas datu par sodāmību un pārkāpumiem apstrāde

Personas datu apstrādi par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz 6. panta 1. punktu, veic tikai oficiālas iestādes kontrolē vai tad, ja apstrādi atļauj Savienības vai dalībvalsts tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām. Jebkādu visaptverošu sodāmības reģistru uzglabā tikai oficiālas iestādes kontrolē.

23. pants

Ierobežojumi

1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a)	valsts drošību;

b)	aizsardzību;

c)	sabiedrisko drošību;

d)	noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;

e)	citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu;

f)	tiesu neatkarības un tiesvedības aizsardzību;

g)	reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

h)	uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat, ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz e) un g) apakšpunktā minētajos gadījumos;

i)	datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību;

j)	civilprasību izpildi.

2. Jo īpaši – jebkurā leģislatīvā pasākumā, kas minēts 1. punktā, ietver konkrētus noteikumus attiecīgā gadījumā vismaz par:

a)	nolūkiem, kādos veic apstrādi, vai apstrādes kategorijām;

b)	personas datu kategorijām;

c)	ieviesto ierobežojumu darbības jomu;

d)	garantijām, lai novērstu ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu;

e)	pārziņa vai pārziņu kategoriju noteikšanu;

f)	glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus;

g)	riskiem attiecībā uz datu subjektu tiesībām un brīvībām; un

h)	datu subjektu tiesībām saņemt informāciju par ierobežojumu, izņemot tad, ja tas var kaitēt ierobežojuma mērķim.

IV NODAĻA

Pārzinis un apstrādātājs

1. iedaļa

Vispārīgi pienākumi

30. pants

Apstrādes darbību reģistrēšana

1. Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;

b)	apstrādes nolūki;

c)	datu subjektu kategoriju un personas datu kategoriju apraksts;

d)	to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

e)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

f)	ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

g)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2. Katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

apstrādātāja vai apstrādātāju vārdi un uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds un uzvārds vai nosaukums un kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija;

b)	katra pārziņa vārdā veiktās apstrādes kategorijas;

c)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

d)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4. Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.

5. Pienākumus, kas minēti 1. un 2. punktā, nepiemēro uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas, izņemot, ja uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas, kas minētas 9. panta 1. punktā, vai personas datus par sodāmību un pārkāpumiem, kas minēti 10. pantā.

32. pants

Apstrādes drošība

1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

a)	personas datu pseidonimizāciju un šifrēšanu;

b)	spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

c)	spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

d)	procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

2. Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

3. Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. punktā izklāstīto prasību izpildi.

4. Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem.

35. pants

Novērtējums par ietekmi uz datu aizsardzību

1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts.

3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)	ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)	9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)	publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.

5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai.

6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu.

7. Novērtējumā ietver vismaz:

a)	plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu;

b)	novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)	novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)	pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums.

11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

45. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)	starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību.

5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties.

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7. Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam.

8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis.

9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.

47. pants

Saistoši uzņēmuma noteikumi

1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie:

a)	ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki;

b)	skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un

c)	atbilst 2. punktā izklāstītajām prasībām.

2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz:

a)	katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju;

b)	datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)	to juridiski gan iekšēji, gan ārēji saistošo raksturu;

vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi;

datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums;

g)	kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu;

i)	sūdzību procedūras;

uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei;

k)	mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei;

l)	sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus;

mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un

n)	piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem.

3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

whereas

(2) Noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no fizisko personu valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un pamatbrīvības un jo īpaši tiesības uz personas datu aizsardzību.
Ar šo regulu paredzēts veicināt brīvības, drošības un tiesiskuma telpas un ekonomikas savienības izveidi, ekonomisko un sociālo progresu, iekšējā tirgus ekonomiku izaugsmi un konverģenci un fizisku personu labklājību.

- = -

(16) Šo regulu nepiemēro jautājumiem par pamattiesību un pamatbrīvību aizsardzību vai tādu personas datu brīvu apriti, kas saistīti ar darbībām, kuras neietilpst Savienības tiesību darbības jomā, piemēram, darbībām attiecībā uz valsts drošību. Šo regulu nepiemēro personas datu apstrādei, ko veic dalībvalstis, rīkojoties saistībā ar Savienības kopējo ārpolitiku un drošības politiku.

- = -

(49) Attiecīgā datu pārziņa leģitīmas intereses rada personas datu apstrāde, kuru veic publiskas iestādes, Datorapdraudējumu reaģēšanas vienības (CERT), Datordrošības incidentu reaģēšanas vienības (CSIRT), elektronisko sakaru tīklu un pakalpojumu sniedzēji un drošības tehnoloģiju un pakalpojumu sniedzēji, tādā apjomā, kas ir noteikti vajadzīgs un samērīgs, lai nodrošinātu tīkla un informācijas drošību, t. i., tīkla vai informācijas sistēmu spēju zināmā uzticamības līmenī pretoties nejaušiem gadījumiem vai nelikumīgām vai ļaunprātīgām darbībām, kas apdraudētu uzglabāto un nosūtīto personas datu pieejamību, autentiskumu, integritāti un konfidencialitāti, kā arī saistīto pakalpojumu drošību, kurus piedāvā minētie tīkli un sistēmas vai kuri ir pieejami, izmantojot minētos tīklus un sistēmas.
Tas varētu, piemēram, palīdzēt novērst neatļautu piekļuvi elektroniskajiem sakaru tīkliem un ļaunprātīgu kodu izplatīšanu, kā arī apturēt pakalpojumatteices uzbrukumus un novērst datoru un elektronisko komunikāciju sistēmu bojājumus.

- = -

(52) Atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus būtu jāatļauj arī tad, ja tas paredzēts Savienības vai dalībvalsts tiesību aktos un ja ir paredzētas atbilstošas garantijas personas datu un citu pamattiesību aizsardzībai, ja to darīt ir sabiedrības interesēs, jo īpaši personas datu apstrāde nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā, tostarp attiecībā uz pensijām un veselības drošības, uzraudzības un brīdināšanas nolūkos, lipīgu infekcijas slimību un citu nopietnu veselības apdraudējumu profilaksei vai kontrolei. Šādu atkāpi var veikt ar veselību saistītos nolūkos, tostarp sabiedrības veselības un veselības aprūpes pakalpojumu pārvaldības nolūkos, jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību vai lai veiktu arhivēšanu sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos.
Atkāpei būtu jāpieļauj arī tādu personas datu apstrāde, kas vajadzīgi, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai nu tiesas procesā, vai administratīvā vai ārpustiesas procedūrā.

- = -

(75) Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi, vai sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu.

- = -

(78) Personu tiesību un brīvību aizsardzībai attiecībā uz fiziskas personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi.
Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, viņam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.
Starp šādiem pasākumiem cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus.
Attīstot, izstrādājot, atlasot un izmantojot lietojumprogrammas, pakalpojumus un preces, kas balstās uz personas datu apstrādi vai apstrādā personas datus savu pienākumu veikšanai, preču, pakalpojumu un lietojumprogrammu ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, kad attīsta un izstrādā šādas preces, pakalpojumus un lietojumprogrammas, un pienācīgi ņemt vērā tehnikas līmeni, lai nodrošinātu, ka pārziņi un apstrādātāji spēj izpildīt savus datu aizsardzības pienākumus.
Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

- = -

(81) Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbildīs šīs regulas prasībām, tostarp apstrādes drošības jomā.
Apstrādātāja atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi.
Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām.
Pārzinis un apstrādātājs var izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai uzraudzības iestāde saskaņā ar konsekvences mehānismu un pēc tam Komisija.
Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam.

- = -

(83) Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana.
Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām.
Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu.

- = -

(91) Tam jo īpaši būtu jāattiecas uz plaša mēroga apstrādes darbībām, kuru mērķis ir apstrādāt ievērojamu personas datu apjomu reģionālā, valsts vai starpvalstu līmenī un kuras var ietekmēt lielu datu subjektu skaitu un kuras var izraisīt augstu risku, piemēram, to sensitivitātes dēļ, ja saskaņā ar sasniegto tehnoloģisko zināšanu līmeni plašā mērogā tiek izmantota jauna tehnoloģija, kā arī uz citām apstrādes darbībām, kuras rada augstu risku datu subjektu tiesībām un brīvībām, jo īpaši gadījumos, kad datu subjektam ir grūtāk īstenot savas tiesības.
Novērtējums par ietekmi uz datu aizsardzību būtu jāveic arī tad, ja personas dati tiek apstrādāti, lai pieņemtu lēmumus attiecībā uz konkrētām fiziskām personām pēc jebkādas ar fiziskām personām saistītu personisku aspektu sistemātiskas un plašas novērtēšanas, kuras pamatā ir minēto datu profilēšana, vai pēc īpašu kategoriju personas datu apstrādes, biometrisko datu apstrādes vai tādu datu apstrādes, kas attiecas uz sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem.
Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams arī publiski pieejamu zonu uzraudzībai plašā mērogā, jo īpaši izmantojot optiskas elektroniskas iekārtas, vai visām citām darbībām, ja kompetentā uzraudzības iestāde uzskata, ka apstrāde varētu radīt augstu risku datu subjektu tiesībām un brīvībām, jo īpaši tāpēc, ka tās kavē datu subjektus īstenot savas tiesības vai izmantot pakalpojumu vai līgumu, vai tāpēc, ka minētās darbības sistemātiski veic plašā mērogā.
Personas datu apstrāde nebūtu jāuzskata par apstrādi plašā mērogā, ja tā ir pacientu vai klientu personas datu apstrāde, ko veic konkrēts ārsts, veselības aprūpes speciālists vai advokāts. Šādos gadījumos novērtējumam par ietekmi uz datu aizsardzību nevajadzētu būt obligātam.

- = -

(94) Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar uzraudzības iestādi. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu.
Uzraudzības iestādei uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā.
Tomēr tam, ka uzraudzības iestāde nav sniegusi atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena uzraudzības iestādes iejaukšanas saskaņā ar šajā regulā paredzētajiem uzdevumiem un pilnvarām, tostarp pilnvarām aizliegt apstrādes darbības.
Saistībā ar minēto apspriešanās procesu uzraudzības iestādei var iesniegt novērtējuma par ietekmi uz datu aizsardzību, kas tika veikts saistībā ar attiecīgo apstrādi, iznākumu, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām.

- = -

dal 2004 diritto e informatica