interactive GDPR 2016/0679 LV

3. Personas datu brīvu apriti Savienībā neierobežo un neaizliedz tādu iemeslu dēļ, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.

9. pants

Īpašu kategoriju personas datu apstrāde

1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

a)	datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt;

apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesību akti vai koplīgums atbilstīgi dalībvalsts tiesību aktiem, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm;

c)	apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic fonds, apvienība vai jebkura cita bezpeļņas struktūra, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras;

e)	apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis;

f)	apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad tiesas pilda savus uzdevumus;

g)	apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai;

apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai.

3. Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

4. Dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.

12. pants

Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība

1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.

2. Pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar 15.–22. pantu. Regulas 11. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 15.–22. pantu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.

3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.

4. Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.

5. Informācija, ko sniedz saskaņā ar 13. un 14. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 15.–22. pantu un 34. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:

a)	pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai arī

b)	atteikties izpildīt pieprasījumu.

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

6. Neskarot 11. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 15.–21. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

7. Informāciju, kas datu subjektiem sniedzama, ievērojot 13. un 14. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai.

2. iedaļa

Informācija un piekļuve personas datiem

18. pants

Tiesības ierobežot apstrādi

1. Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja ir viens no šādiem apstākļiem:

a)	datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti;

b)	apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;

c)	pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

d)	datu subjekts ir iebildis pret apstrādi saskaņā ar 21. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem.

2. Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.

3. Pārzinis datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas.

28. pants

Apstrādātājs

1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)	nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)	īsteno visus pasākumus, kas nepieciešami saskaņā ar 32. pantu;

d)	ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;

e)	ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)	palīdz pārzinim nodrošināt 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)	pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)	pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.

5. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu.

7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

8. Uzraudzības iestāde var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā.

9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10. Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

36. pants

Iepriekšēja apspriešanās

1. Pārzinis pirms apstrādes apspriežas ar uzraudzības iestādi, ja novērtējumā par ietekmi uz datu aizsardzību saskaņā ar 35. pantu ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku.

2. Ja uzraudzības iestāde uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, uzraudzības iestāde laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot savas 58. pantā minētās pilnvaras. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Uzraudzības iestāde informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kamēr uzraudzības iestāde saņem informāciju, ko tā pieprasījusi apspriešanās nolūkiem.

3. Apspriežoties ar uzraudzības iestādi saskaņā ar 1. punktu, pārzinis iesniedz uzraudzības iestādei:

a)	attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus, jo īpaši, lai veiktu apstrādi uzņēmumu grupā;

b)	paredzētās apstrādes nolūkus un līdzekļus;

c)	pasākumus un garantijas, lai nodrošinātu datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu;

d)	attiecīgā gadījumā datu aizsardzības speciālista kontaktinformāciju;

e)	35. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un

f)	jebkādu citu uzraudzības iestādes prasītu informāciju.

4. Dalībvalstis apspriežas ar uzraudzības iestādi, kamēr tiek gatavots priekšlikums leģislatīvam pasākumam, ko pieņems valsts parlaments, vai regulatīvs pasākums, kas balstās uz šādu leģislatīvu pasākumu, kurš attiecas uz apstrādi.

5. Neatkarīgi no 1. punkta – dalībvalsts tiesību aktos var būt noteikts, ka pārziņiem ir jāapspriežas ar uzraudzības iestādi un jāsaņem no tās iepriekšēja atļauja saistībā ar apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad minēto apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību.

4. iedaļa

Datu aizsardzības speciālists

37. pants

Datu aizsardzības speciālista iecelšana

1. Pārzinis un apstrādātājs ieceļ datu aizsardzības speciālistu katrā gadījumā, kad:

a)	apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;

b)	pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai

c)	pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9. pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.

2. Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu.

3. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu.

4. Gadījumos, kas nav minēti 1. punktā, pārzinis vai apstrādātājs, vai apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var iecelt vai – ja tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem – ieceļ datu aizsardzības speciālistu. Datu aizsardzības speciālists var rīkoties šādu apvienību un citu struktūru, kas pārstāv pārziņus vai apstrādātājus, uzdevumā.

5. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.

6. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.

7. Pārzinis vai apstrādātājs publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei.

45. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)	starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību.

5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties.

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7. Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam.

8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis.

9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.

49. pants

Atkāpes īpašās situācijās

1. Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu vai nav nodrošinātas atbilstošas garantijas saskaņā ar 46. pantu, tostarp saistoši uzņēmuma noteikumi, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju notiek tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem:

a)	datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)	nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)	nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)	nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs;

e)	nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

f)	nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi.

Ja nosūtīšanu nevar balstīt uz 45. vai 46. pantā ietvertu noteikumu, tostarp noteikumu par saistošiem uzņēmuma noteikumiem, un nav piemērojama neviena no atkāpēm īpašās situācijās saskaņā ar šā punkta pirmo daļu, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja nosūtīšana neatkārtojas, attiecas vienīgi uz ierobežotu skaitu datu subjektu, ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību. Pārzinis par nosūtīšanu informē uzraudzības iestādi. Papildus 13. un 14. pantā minētās informācijas sniegšanai pārzinis informē datu subjektu par nosūtīšanu un par pārliecinošām leģitīmām interesēm.

2. Nosūtot datus saskaņā ar 1. punkta pirmās daļas g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datus vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3. Šā panta 1. punkta pirmās daļas a), b) un c) apakšpunktu un otro daļu nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras.

4. Sabiedrības intereses, kas minētas 1. punkta pirmās daļas d) apakšpunktā, ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim.

5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju. Dalībvalstis par jebkādiem šādiem noteikumiem paziņo Komisijai.

6. Pārzinis vai apstrādātājs 30. pantā minētajos datu reģistros dokumentē novērtējumu, kā arī šā panta 1. punkta otrajā daļā izklāstītās atbilstošās garantijas.

56. pants

Vadošās uzraudzības iestādes kompetence

1. Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru.

2. Atkāpjoties no 1. punkta, ikviena uzraudzības iestāde ir kompetenta izskatīt tai iesniegto sūdzību vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī.

3. Šā panta 2. punktā minētajos gadījumos uzraudzības iestāde nekavējoties par minēto jautājumu informē vadošo uzraudzības iestādi. Trīs nedēļu laikā pēc informēšanas vadošā uzraudzības iestāde nolemj, vai tā izskatīs vai neizskatīs jautājumu saskaņā ar 60. pantā paredzēto procedūru, ņemot vērā to, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tajā dalībvalstī, kuras uzraudzības iestāde sniegusi informāciju.

4. Ja vadošā uzraudzības iestāde nolemj izskatīt jautājumu, piemēro 60. pantā paredzēto procedūru. Uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, vadošajai uzraudzības iestādei var iesniegt lēmuma projektu. Vadošā uzraudzības iestāde maksimāli ņem vērā minēto projektu, kad tā izstrādā 60. panta 3. punktā minēto lēmuma projektu.

5. Ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, tā uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, izskata jautājumu saskaņā ar 61. un 62. pantu.

6. Vadošā uzraudzības iestāde ir vienīgais pārziņa vai apstrādātāja partneris saistībā ar minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi.

57. pants

Uzdevumi

1. Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:

a)	uzrauga un īsteno šīs regulas piemērošanu;

b)	veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem;

c)	saskaņā ar dalībvalsts tiesību aktiem konsultē valsts parlamentu, valdību un citas iestādes un struktūras par likumdošanas un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi;

d)	veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uztic saskaņā ar šo regulu;

e)	pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņu tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar citu dalībvalstu uzraudzības iestādēm;

izskata kāda datu subjekta, struktūras vai organizācijas, vai apvienības iesniegtās sūdzības saskaņā ar 80. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

g)	sadarbojas ar citām uzraudzības iestādēm, tostarp apmainās ar informāciju un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs regulas piemērošanu un izpildi;

h)	veic izmeklēšanu par šīs regulas piemērošanu, tostarp, pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

i)	pārrauga attiecīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikācijas tehnoloģiju un komercprakses attīstību;

j)	apstiprina 28. panta 8. punktā un 46. panta 2. punkta d) apakšpunktā minētās līguma standartklauzulas;

k)	izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

l)	sniedz padomus par 36. panta 2. punktā minētajām apstrādes darbībām;

m)	veicina rīcības kodeksu izstrādi saskaņā ar 40. panta 1. punktu un saskaņā ar 40. panta 5. punktu sniedz atzinumu un apstiprina šādus rīcības kodeksus, kas sniedz pietiekamas garantijas;

n)	veicina datu aizsardzības sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu izveidi saskaņā ar 42. panta 1. punktu un apstiprina sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

o)	attiecīgā gadījumā veic periodisku pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

p)	izstrādā un publicē akreditācijas kritērijus, lai akreditētu struktūru, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūru saskaņā ar 43. pantu;

q)	veic akreditāciju struktūrai, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūrai saskaņā ar 43. pantu;

r)	apstiprina 46. panta 3. punktā minētās līguma klauzulas un noteikumus;

s)	apstiprina saistošos uzņēmuma noteikumus saskaņā ar 47. pantu;

t)	veicina kolēģijas darbības;

u)	uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 58. panta 2. punktu veiktajiem pasākumiem; un

v)	pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību.

2. Katra uzraudzības iestāde atvieglo 1. punkta f) apakšpunktā minēto sūdzību iesniegšanu ar tādiem pasākumiem kā, piemēram, sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3. Attiecībā uz datu subjektu un attiecīgā gadījumā datu aizsardzības speciālistu katra uzraudzības iestāde savus uzdevumus veic bez maksas.

4. Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, vai atteikties veikt pieprasīto darbību. Uzraudzības iestādes pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

60. pants

Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm

1. Vadošā uzraudzības iestāde sadarbojas ar citām attiecīgajām uzraudzības iestādēm saskaņā ar šo pantu nolūkā panākt konsensu. Vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes savstarpēji apmainās ar visu būtisko informāciju.

2. Vadošā uzraudzības iestāde jebkurā laikā var lūgt citām attiecīgajām uzraudzības iestādēm sniegt savstarpēju palīdzību saskaņā ar 61. pantu un var veikt kopīgas operācijas saskaņā ar 62. pantu, jo īpaši nolūkā veikt izmeklēšanu vai uzraudzīt pasākuma īstenošanu saistībā ar pārzini vai apstrādātāju, kas veic uzņēmējdarbību citā dalībvalstī.

3. Vadošā uzraudzības iestāde nekavējoties nosūta attiecīgo informāciju par lietu citām attiecīgajām uzraudzības iestādēm. Tā nekavējoties nosūta citām attiecīgajām uzraudzības iestādēm lēmuma projektu, lai saņemtu to atzinumu un pienācīgi ņemtu vērā to viedokli.

4. Ja kāda no citām attiecīgajām uzraudzības iestādēm četru nedēļu laikā pēc konsultēšanās saskaņā ar šā panta 3. punktu izsaka būtisku un motivētu iebildumu par lēmuma projektu, vadošā uzraudzības iestāde, ja tā neņem vērā būtisku un motivētu iebildumu vai uzskata, ka iebildums nav būtisks vai motivēts, iesniedz lietu izskatīšanai saskaņā ar 63. pantā minēto konsekvences mehānismu.

5. Ja vadošā uzraudzības iestāde ir nolēmusi piekrist izteiktajam būtiskajam un motivētajam iebildumam, tā citām attiecīgajām uzraudzības iestādēm nosūta pārskatītu lēmuma projektu atzinuma saņemšanai. Uz minēto pārskatīto lēmuma projektu divu nedēļu laikposmā attiecas 4. punktā minētā procedūra.

6. Ja neviena no citām attiecīgajām uzraudzības iestādēm 4. un 5. punktā minētajā laikposmā neiebilst pret vadošās uzraudzības iestādes nosūtīto lēmuma projektu, uzskata, ka vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes ir vienojušās par minēto lēmuma projektu un tas viņām ir saistošs.

7. Vadošā uzraudzības iestāde pieņem lēmumu un to paziņo attiecīgi uz pārziņa vai apstrādātāja galveno vai vienīgo uzņēmējdarbības vietu un par minēto lēmumu informē attiecīgās uzraudzības iestādes un kolēģiju, tostarp sniedzot attiecīgo faktu un pamatojumu kopsavilkumu. Uzraudzības iestāde, kurā iesniegta sūdzība, informē sūdzības iesniedzēju par lēmumu.

8. Atkāpjoties no 7. punkta, ja sūdzība ir noraidīta, uzraudzības iestāde, kurā bija iesniegta sūdzība, pieņem lēmumu un to paziņo sūdzības iesniedzējam un par to informē pārzini.

9. Ja vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes vienojas noraidīt daļu no sūdzības un rīkoties attiecībā uz pārējo minētās sūdzības daļu, par katru no šā jautājuma daļām pieņem atsevišķu lēmumu. Vadošā uzraudzības iestāde pieņem lēmumu par daļu, kas attiecas uz rīcību attiecībā uz pārzini, paziņo to pārziņa vai apstrādātāja galvenajai vai vienīgajai uzņēmējdarbības vietai tās dalībvalsts teritorijā un par to informē sūdzības iesniedzēju; savukārt uzraudzības iestāde, kurā iesniegta sūdzība, pieņem lēmumu par to minētās sūdzības daļu, kuru noraida, un to paziņo minētajam sūdzības iesniedzējam un informē par to pārzini vai apstrādātāju.

10. Pēc vadošās uzraudzības iestādes lēmuma saņemšanas saskaņā ar 7. un 9. punktu pārzinis vai apstrādātājs īsteno vajadzīgos pasākumus, lai nodrošinātu atbilstību šim lēmumam attiecībā uz apstrādes darbībām visās tā uzņēmējdarbības vietās Savienībā. Pārzinis vai apstrādātājs par pasākumiem, kas īstenoti nolūkā nodrošināt atbilstību šim lēmumam, paziņo vadošajai uzraudzības iestādei, kura informē citas attiecīgās uzraudzības iestādes.

11. Ja ārkārtas apstākļos attiecīgajai uzraudzības iestādei ir pamats uzskatīt, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu intereses, piemēro 66. pantā minēto steidzamības procedūru.

12. Vadošā uzraudzības iestāde un citas attiecīgās uzraudzības iestādes savstarpēji sniedz šajā pantā minēto informāciju elektroniskā veidā, izmantojot standarta formātu.

64. pants

Kolēģijas atzinums

1. Kolēģija sniedz atzinumu, ja kompetentā uzraudzības iestāde gatavojas pieņemt jebkuru no turpmāk minētajiem pasākumiem. Šādā nolūkā kompetentā uzraudzības iestāde kolēģijai nosūta lēmuma projektu, kad:

a)	tā ir paredzējusi pieņemt sarakstu ar apstrādes darbībām, kam piemēro prasību par novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

b)	tas attiecas uz jautājumu saskaņā ar 40. panta 7. punktu par to, vai rīcības kodeksa projekts vai tā grozījums vai papildinājums atbilst šai regulai;

c)	tā ir paredzējusi apstiprināt kritērijus struktūras akreditācijai saskaņā ar 41. panta 3. punktu vai sertifikācijas struktūrai saskaņā ar 43. panta 3. punktu;

d)	tā ir paredzējusi noteikt standarta datu aizsardzības klauzulas, kas minētas 46. panta 2. punkta d) apakšpunktā un 28. panta 8. punktā;

e)	tā ir paredzējusi apstiprināt 46. panta 3. punkta a) apakšpunktā minētās līguma klauzulas; vai

f)	tā ir paredzējusi apstiprināt saistošos uzņēmuma noteikumus 47. panta nozīmē.

2. Jebkura uzraudzības iestāde, kolēģijas priekšsēdētājs vai Komisija var pieprasīt, lai kolēģija izskata jebkuru jautājumu par vispārējo piemērošanu vai kas rada sekas vairāk nekā vienā dalībvalstī nolūkā saņemt atzinumu, jo īpaši, ja kompetentā uzraudzības iestāde neievēro savstarpējas palīdzības pienākumu saskaņā ar 61. pantu vai kopīgu operāciju pienākumu saskaņā ar 62. pantu.

3. Gadījumos, kas minēti 1. un 2. punktā, kolēģija sniedz atzinumu par tai iesniegto jautājumu ar noteikumu, ka tā par to pašu jautājumu nav jau sniegusi atzinumu. Minēto atzinumu pieņem astoņu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu. Minēto termiņu var pagarināt vēl par sešām nedēļām, ņemot vērā jautājuma sarežģītību. Attiecībā uz 1. punktā minēto lēmuma projektu, kas saskaņā ar 5. punktu izplatīts kolēģijas locekļiem, uzskata, ka loceklis, kas priekšsēdētāja norādītā saprātīgā termiņā nav paudis iebildumus, piekrīt lēmuma projektam.

4. Uzraudzības iestādes un Komisija, izmantojot standarta formātu, bez nepamatotas kavēšanās elektroniski paziņo kolēģijai visu attiecīgo informāciju, ietverot attiecīgā gadījumā arī faktu kopsavilkumu, lēmuma projektu, pamatojumu, kāpēc šāds pasākums ir nepieciešams, un citu attiecīgo uzraudzības iestāžu viedokļus.

5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās elektroniski informē:

a)	kolēģijas locekļus un Komisiju par visu attiecīgo informāciju, kas paziņota kolēģijai, izmantojot standarta formātu. Ja nepieciešams, kolēģijas sekretariāts nodrošina attiecīgās informācijas tulkojumus; un

b)	uzraudzības iestādi, kas attiecīgā gadījumā minēta 1. un 2. punktā, un Komisiju par atzinumu un to publisko.

6. Kompetentā uzraudzības iestāde nepieņem 1. punktā minēto lēmuma projektu 3. punktā minētajā laikposmā.

7. Uzraudzības iestāde, kas minēta 1. punktā, vislielākajā mērā ņem vērā kolēģijas atzinumu un divu nedēļu laikā pēc atzinuma saņemšanas, izmantojot standarta formātu, elektroniski paziņo kolēģijas priekšsēdētājam, vai tā paturēs spēkā vai grozīs savu lēmuma projektu un grozījumu gadījumā informē par grozīto lēmuma projektu.

8. Ja attiecīgā uzraudzības iestāde šā panta 7. punktā minētajā termiņā informē kolēģijas priekšsēdētāju, ka ir nolēmusi pilnībā vai daļēji neievērot kolēģijas atzinumu, sniedzot attiecīgo pamatojumu, tiek piemērots 65. panta 1. punkts.

65. pants

Strīdu risināšana kolēģijā

1. Lai nodrošinātu šīs regulas pareizu un konsekventu piemērošanu katrā atsevišķā gadījumā, kolēģija pieņem saistošu lēmumu šādos gadījumos:

ja 60. panta 4. punktā minētajā gadījumā attiecīgā uzraudzības iestāde ir cēlusi būtisku un motivētu iebildumu pret vadošās iestādes lēmuma projektu vai vadošā iestāde ir noraidījusi šādu iebildumu kā nebūtisku vai nemotivētu. Saistošais lēmums skar visus jautājumus, kas ir būtiskā un motivētā iebilduma priekšmets, jo īpaši jautājumu par to, vai ir pārkāpta šī regula;

b)	ja ir pretēji viedokļi par to, kurai attiecīgajai uzraudzības iestādei ir kompetence par galveno uzņēmējdarbības vietu;

c)	ja kompetentā uzraudzības iestāde 64. panta 1. punktā minētajos gadījumos nepieprasa kolēģijas atzinumu vai neievēro kolēģijas atzinumu, kas izsniegts saskaņā ar 64. pantu. Šādā gadījumā jebkura attiecīgā uzraudzības iestāde vai Komisija var par to informēt kolēģiju.

2. Lēmumu, kas minēts 1. punktā, pieņem viena mēneša laikā pēc tam, kad kolēģijas locekļu divu trešdaļu vairākums ir iesniedzis jautājumu. Minēto termiņu var pagarināt vēl par vienu mēnesi, ņemot vērā jautājuma sarežģītību. Šā panta 1. punktā minēto lēmumu motivē un adresē vadošajai uzraudzības iestādei un visām attiecīgajām uzraudzības iestādēm, un tas ir tām saistošs.

3. Ja kolēģija 2. punktā minētajos termiņos nav varējusi pieņemt lēmumu, tā savu lēmumu pieņem ar kolēģijas locekļu vienkāršu balsu vairākumu divu nedēļu laikā pēc tam, kad ir beidzies 2. punktā minētais otrais mēnesis. Ja kolēģijas locekļu balsojums ir neizšķirts, lēmuma pieņemšanu izšķir tās priekšsēdētāja balss.

4. Termiņos, kas minēti 2. un 3. punktā, attiecīgās uzraudzības iestādes nepieņem lēmumu par jautājumu, kas iesniegts kolēģijai saskaņā ar 1. punktu.

5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās 1. punktā minēto lēmumu paziņo attiecīgajām uzraudzības iestādēm. Tā informē par to Komisiju. Pēc tam, kad uzraudzības iestāde ir paziņojusi 6. punktā minēto galīgo lēmumu, lēmumu nekavējoties publicē kolēģijas tīmekļa vietnē.

6. Vadošā uzraudzības iestāde vai attiecīgā gadījumā tā uzraudzības iestāde, kurai ir iesniegta sūdzība, pieņem savu galīgo lēmumu uz šā panta 1. punktā minētā lēmuma pamata bez nepamatotas kavēšanās un ne vēlāk kā vienu mēnesi pēc tam, kad kolēģija ir paziņojusi savu lēmumu. Vadošā uzraudzības iestāde vai attiecīgā gadījumā tā uzraudzības iestāde, kurai ir iesniegta sūdzība, informē kolēģiju par to, kurā dienā tās galīgais lēmums ir paziņots, attiecīgi, pārzinim vai apstrādātājam un datu subjektam. Attiecīgo uzraudzības iestāžu galīgo lēmumu pieņem saskaņā ar 60. panta 7., 8. un 9. punkta noteikumiem. Galīgajā lēmumā atsaucas uz šā panta 1. punktā minēto lēmumu un norāda, ka minētajā punktā minētais lēmums tiks publicēts kolēģijas tīmekļa vietnē saskaņā ar šā panta 5. punktu. Galīgajam lēmumam pievieno šā panta 1. punktā minēto lēmumu.

66. pants

Steidzamības procedūra

1. Ārkārtas apstākļos, ja kāda attiecīgā uzraudzības iestāde uzskata, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, tā, atkāpjoties no 63., 64. un 65. pantā minētā konsekvences mehānisma vai 60. pantā minētās procedūras, var nekavējoties pieņemt pagaidu pasākumus, kuru nolūks ir radīt tiesiskas sekas savā teritorijā, norādot konkrētu spēkā esamības laikposmu, kas nepārsniedz trīs mēnešus. Uzraudzības iestāde šos pasākumus un to pieņemšanas iemeslus nekavējoties dara zināmus citām attiecīgajām uzraudzības iestādēm, kolēģijai un Komisijai.

2. Ja uzraudzības iestāde ir pieņēmusi pasākumu saskaņā ar 1. punktu un uzskata, ka ir steidzami jāpieņem galīgie pasākumi, tā var lūgt steidzamu atzinumu vai steidzamu saistošu lēmumu no kolēģijas, pamatojot šāda atzinuma vai lēmuma nepieciešamību.

3. Jebkura uzraudzības iestāde var lūgt steidzamu atzinumu vai attiecīgā gadījumā steidzamu saistošu lēmumu no kolēģijas, ja kāda kompetentā uzraudzības iestāde nav veikusi atbilstošu pasākumu situācijā, kad ir steidzama vajadzība rīkoties, lai aizsargātu datu subjektu tiesības un brīvības, pamatojot šāda atzinuma vai lēmuma nepieciešamību, tostarp vajadzību steidzami rīkoties.

4. Atkāpjoties no 64. panta 3. punkta un 65. panta 2. punkta, steidzamu atzinumu vai steidzamu saistošu lēmumu, kas minēts šā panta 2. un 3. punktā, pieņem divu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu.

83. pants

Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu

1. Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2. Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)	pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)	to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

c)	jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem;

d)	pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu;

e)	jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus;

f)	sadarbības pakāpi ar uzraudzības iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas;

g)	to, kādu kategoriju personas datus ietekmējis pārkāpums;

h)	veidu, kādā par pārkāpumu uzzināja uzraudzības iestāde, jo īpaši to, vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un šādā gadījumā – kādā apjomā;

i)	ja 58. panta 2. punktā minētie pasākumi iepriekš par šo pašu priekšmetu jau ir tikuši vērsti pret attiecīgo pārzini vai apstrādātāju, kā minētie pasākumi ir tikuši pildīti;

j)	apstiprināto rīcības kodeksu ievērošanu saskaņā ar 40. pantu vai apstiprināto sertifikācijas mehānismu ievērošanu saskaņā ar 42. pantu; un

k)	jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3. Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

4. Administratīvus naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	pārziņa un apstrādātāja pienākumi saskaņā ar 8., 11., 25.–39., 42. un 43. pantu;

b)	sertifikācijas struktūras pienākumi saskaņā ar 42. un 43. pantu;

c)	pārraudzības struktūras pienākumi saskaņā ar 41. panta 4. punktu.

5. Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu;

b)	datu subjekta tiesības saskaņā ar 12.–22. pantu;

c)	personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 44.–49. pantu;

d)	visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX nodaļu;

e)	ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve, pārkāpjot 58. panta 1. punktu.

6. Saskaņā ar šā panta 2. punktu par 58. panta 2. punktā minētā uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

7. Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī.

8. Uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas saskaņā ar Savienības un dalībvalsts tiesību aktiem, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu.

9. Ja dalībvalsts tiesību sistēmā nav paredzēti administratīvi naudas sodi, šo pantu var piemērot tā, ka naudas sodu ierosina kompetentā uzraudzības iestāde, bet uzliek kompetentās valsts tiesas, vienlaikus nodrošinot, ka minētie tiesību aizsardzības līdzekļi ir efektīvi un tiem ir līdzvērtīga iedarbība ar uzraudzības iestāžu uzliktiem administratīviem naudas sodiem. Jebkurā gadījumā uzliktie naudas sodi ir iedarbīgi, samērīgi un atturoši. Līdz 2018. gada 25. maijam minētās dalībvalstis paziņo Komisijai to tiesību aktu noteikumus, ko tās pieņem, ievērojot šo punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu vai jebkuriem turpmākiem šo noteikumu grozījumiem.

whereas

(8) Ja šajā regulā paredzēts, ka tās noteikumi tiek konkretizēti vai ierobežoti ar dalībvalstu tiesību aktiem, dalībvalstis, ciktāl tas vajadzīgs saskaņotības dēļ un lai valstu noteikumus padarītu saprotamus tām personām, kam tie ir piemērojami, var valstu tiesību aktos iekļaut šīs regulas elementus.

- = -

(9) Direktīvas 95/46/EK mērķi un principi joprojām ir spēkā, taču tā nav spējusi novērst datu aizsardzības īstenošanas sadrumstalotību Savienībā, juridisko nenoteiktību vai tāda uzskata plašu izplatību sabiedrībā, ka pastāv ievērojams risks fizisku personu aizsardzībai, jo īpaši attiecībā uz tiešsaistes aktivitātēm.
Fizisku personu tiesību un brīvību aizsardzības līmeņa atšķirības, jo īpaši tiesību uz personas datu aizsardzību atšķirības dalībvalstīs attiecībā uz personas datu apstrādi, var kavēt personas datu brīvu apriti Savienībā.
Minētās atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī, var radīt konkurences izkropļojumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Savienības tiesību aktos. Šāda atšķirība aizsardzības līmeņos ir radusies tāpēc, ka Direktīva 95/46/EK tiek īstenota un piemērota dažādi.

- = -

(26) Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu.
Personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu.
Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu.
Lai pārliecinātos, vai līdzekļus varētu saprātīgi izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību.
Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams.
Tādēļ šī regula neattiecas uz šādas anonīmas informācijas apstrādi, tostarp statistikas vai pētniecības nolūkos.

- = -

(28) Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus.
Tādējādi skaidra “pseidonimizācijas” ieviešana šajā regulā nav paredzēta tādēļ, lai izslēgtu jebkurus citus datu aizsardzības pasākumus.

- = -

(36) Pārziņa galvenajai uzņēmējdarbības vietai Savienībā vajadzētu būt tā galvenās pārvaldes atrašanās vietai Savienībā, ja vien lēmumus par personas datu apstrādes nolūkiem un līdzekļiem nepieņem citā pārziņa uzņēmējdarbības vietā Savienībā, tādā gadījumā minētā cita uzņēmējdarbības vieta būtu jāuzskata par galveno uzņēmējdarbības vietu.
Pārziņa galvenā uzņēmējdarbības vieta Savienībā būtu jānosaka, izmantojot objektīvus kritērijus, un tai būtu jāietver efektīvas un faktiskas pārvaldes darbības, pieņemot galvenos lēmumus par apstrādes nolūkiem un līdzekļiem, ko veic pastāvīga vienība.
Minētajam kritērijam nevajadzētu būt atkarīgam no tā, vai personas datu apstrādi veic tajā konkrētajā vietā.
Fakts, ka personas datu apstrādei vai apstrādes darbībām nepieciešamie tehniskie līdzekļi un tehnoloģijas ir un tiek izmantotas – pats par sevi nenozīmē, ka šī vieta ir galvenā uzņēmējdarbības vieta, un tādēļ tas nav noteicošs galvenās uzņēmējdarbības vietas kritērijs.
Apstrādātāja galvenajai uzņēmējdarbības vietai vajadzētu būt apstrādātāja galvenās pārvaldes atrašanās vietai Savienībā, vai, ja tam nav galvenās pārvaldes Savienībā, – vietai, kur notiek galvenās apstrādes darbības Savienībā.
Gadījumos, kad ir iesaistīts gan pārzinis, gan apstrādātājs, kompetentajai vadošajai uzraudzības iestādei būtu jāpaliek tās dalībvalsts uzraudzības iestādei, kurā atrodas pārziņa galvenā uzņēmējdarbības vieta, bet apstrādātāja uzraudzības iestādi būtu jāuzskata par attiecīgo uzraudzības iestādi un minētajai uzraudzības iestādei būtu jāpiedalās šajā regulā paredzētajā sadarbības procedūrā.
Jebkurā gadījumā tās dalībvalsts vai to dalībvalstu uzraudzības iestādes, kurās atrodas apstrādātāja viena vai vairākas uzņēmējdarbības vietas, nebūtu jāuzskata par attiecīgajām uzraudzības iestādēm, ja lēmuma projekts attiecas tikai uz pārzini.
Ja apstrādi veic uzņēmumu grupa, kontrolējošā uzņēmuma galvenā uzņēmējdarbības vieta būtu jāuzskata par uzņēmumu grupas galveno uzņēmējdarbības vietu, izņemot gadījumos, kad apstrādes nolūkus un līdzekļus nosaka cits uzņēmums.

- = -

(37) Uzņēmumu grupai būtu jāietver kontrolējošais uzņēmums un tā kontrolētie uzņēmumi, turklāt par kontrolējošu uzņēmumu būtu jāuzskata uzņēmums, kam var būt dominējoša ietekme uz citu uzņēmumu, piemēram, īpašumtiesību, finanšu līdzdalības vai reglamentējošu noteikumu dēļ, vai pilnvaras panākt personas datu aizsardzības noteikumu īstenošanu.
Uzņēmums, kas kontrolē personas datu apstrādi ar to saistītos uzņēmumos, kopā ar minētajiem uzņēmumiem būtu jāuzskata par uzņēmumu grupu.

- = -

(38) Bērniem pienākas īpaša personas datu aizsardzība, jo viņi var pietiekami neapzināties attiecīgos riskus, sekas un aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Šāda īpaša aizsardzība jo īpaši būtu jāpiemēro bērnu personas datu izmantošanai tirgvedības vajadzībām vai tādēļ, lai veidotu personu vai lietotāju profilus, un uz bērnu personas datu vākšanu, kad tiek izmantoti bērnam tiešā veidā piedāvāti pakalpojumi.
Saistībā ar preventīviem vai konsultāciju pakalpojumiem, ko tiešā veidā piedāvā bērnam, tādas personas piekrišana, kurai ir vecāku atbildība par bērnu, nebūtu vajadzīga.

- = -

(39) Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai.
Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti.
Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda.
Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti.
Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi.
Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā.
Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti.
Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam.
Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem.
Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata.
Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti.
Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

- = -

(54) Īpašu kategoriju personas datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomās.
Uz šādu apstrādi būtu jāattiecas atbilstošiem un konkrētiem pasākumiem fizisku personu tiesību un brīvību aizsardzībai.
Minētajā kontekstā “sabiedrības veselība” būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1338/2008 (11), proti, kā visi elementi, kas saistīti ar veselību, proti, veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums, un nāves cēloņi. Šādai veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka trešās personas, piemēram, darba devēji vai apdrošināšanas sabiedrības un kredītiestādes, apstrādā personas datus citos nolūkos.

- = -

(56) Ja dalībvalstī vēlēšanu pasākumu laikā demokrātiskās sistēmas darbība prasa, lai politiskās partijas vāktu personas datus par cilvēku politiskajiem uzskatiem, šādu datu apstrādi var pieļaut sabiedrības interešu dēļ, ar noteikumu, ka ir noteikti atbilstoši aizsardzības pasākumi.

- = -

(61) Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves no datu subjekta brīdī vai – ja personas datus iegūst no cita avota– saprātīgā termiņā atkarībā no lietas apstākļiem.
Ja personas datus var leģitīmi izpaust citam saņēmējam, datu subjekts būtu jāinformē, kad personas dati tiek izpausti saņēmējam pirmo reizi.
Ja pārzinis paredz personas datus apstrādāt citā nolūkā, kas nav nolūks, kādā tie tika vākti, pārzinim pirms minētās turpmākās apstrādes būtu jāinformē datu subjekts par minēto citu nolūku un jāsniedz tam cita vajadzīgā informācija.
Ja datu subjektam nevar norādīt personas datu avotu tā iemesla dēļ, ka ir izmantoti dažādi avoti, būtu jāsniedz vispārīga informācija.

- = -

(68) Lai datu subjektiem būtu vēl lielāka kontrole pār saviem datiem, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektam būtu arī jāļauj saņemt personas datus par sevi, kurus tas sniedzis pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt tos citam pārzinim.
Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas nodrošina datu pārnešanu.
Minētās tiesības būtu jāpiemēro, ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai ja apstrāde ir nepieciešama, lai izpildītu līgumu.
Tās nebūtu jāpiemēro, ja apstrādei ir tāds juridiskais pamats, kas nav piekrišana vai līgums.
Minētās tiesības pēc būtības nebūtu jāīsteno pret pārziņiem, kas personas datus apstrādā, pildot savus sabiedriskos pienākumus.
Tādēļ tās jo īpaši nebūtu jāpiemēro gadījumos, kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras.
Datu subjekta tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas.
Ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad tiesībām saņemt personas datus nebūtu jāskar citu datu subjektu tiesības un brīvības saskaņā ar šo regulu.
Turklāt minētajām tiesībām nebūtu jāskar arī datu subjekta tiesības panākt personas datu dzēšanu un minēto tiesību ierobežojumus, kā izklāstīts šajā regulā, un tām jo īpaši nevajadzētu nozīmēt to, ka tiek dzēsti datu subjekta personas dati, kurus tas sniedzis līguma izpildes nolūkā, ciktāl un kamēr personas dati ir vajadzīgi minētā līguma izpildei.
Ja tas ir tehniski iespējams, datu subjektam vajadzētu būt tiesībām panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam pārzinim.

- = -

(73) Ar Savienības vai dalībvalsts tiesību aktiem var piemērot ierobežojumus attiecībā uz konkrētiem principiem un tiesībām uz informāciju, piekļuvi personas datiem, to labošanu vai dzēšanu, tiesībām uz datu pārnešanu, tiesībām iebilst, lēmumiem, kas pamatojas uz profilēšanu, kā arī attiecībā uz ziņošanu datu subjektam par personas datu aizsardzības pārkāpumiem un attiecībā uz dažiem ar to saistītiem pārziņu pienākumiem, ciktāl tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību, tostarp cilvēka dzīvības aizsardzību, jo īpaši reaģējot uz dabas vai cilvēka izraisītām katastrofām, lai garantētu noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vai lai garantētu reglamentēto profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši svarīgas Savienības vai dalībvalsts ekonomiskās vai finanšu intereses, tādu publisku reģistru uzturēšanu, kuri vajadzīgi vispārēju sabiedrības interešu dēļ, arhivētu personas datu turpmāku apstrādi, lai sniegtu konkrētu informāciju saistībā ar politisko izturēšanos bijušo totalitāro valsts režīmu laikā, vai datu subjekta vai citu personu tiesību un brīvību aizsardzību, tostarp sociālo aizsardzību, sabiedrības veselību un humanitārus mērķus.
Minētajiem ierobežojumiem vajadzētu būt saskaņā ar prasībām, kas izklāstītas hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā.

- = -

(85) Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija.
Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām.
Ja šādu paziņojumu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās.

- = -

(89) Direktīvā 95/46/EK bija noteikts vispārīgs pienākums paziņot par personas datu apstrādi uzraudzības iestādēm.
Lai gan minētais pienākums radīja administratīvu un finanšu slogu, tas ne vienmēr palīdzēja uzlabot personas datu aizsardzību.
Tāpēc šādi nekritiski vispārīgi paziņošanas pienākumi būtu jāatceļ un jāaizstāj ar efektīvām procedūrām un mehānismiem, kas pievēršas tiem apstrādes darbību veidiem, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādi apstrādes darbību veidi var būt tādi, kuri jo īpaši ietver jauno tehnoloģiju izmantošanu, vai tādi, kuri pieder pie kāda jauna veida un par kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes.

- = -

(91) Tam jo īpaši būtu jāattiecas uz plaša mēroga apstrādes darbībām, kuru mērķis ir apstrādāt ievērojamu personas datu apjomu reģionālā, valsts vai starpvalstu līmenī un kuras var ietekmēt lielu datu subjektu skaitu un kuras var izraisīt augstu risku, piemēram, to sensitivitātes dēļ, ja saskaņā ar sasniegto tehnoloģisko zināšanu līmeni plašā mērogā tiek izmantota jauna tehnoloģija, kā arī uz citām apstrādes darbībām, kuras rada augstu risku datu subjektu tiesībām un brīvībām, jo īpaši gadījumos, kad datu subjektam ir grūtāk īstenot savas tiesības.
Novērtējums par ietekmi uz datu aizsardzību būtu jāveic arī tad, ja personas dati tiek apstrādāti, lai pieņemtu lēmumus attiecībā uz konkrētām fiziskām personām pēc jebkādas ar fiziskām personām saistītu personisku aspektu sistemātiskas un plašas novērtēšanas, kuras pamatā ir minēto datu profilēšana, vai pēc īpašu kategoriju personas datu apstrādes, biometrisko datu apstrādes vai tādu datu apstrādes, kas attiecas uz sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem.
Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams arī publiski pieejamu zonu uzraudzībai plašā mērogā, jo īpaši izmantojot optiskas elektroniskas iekārtas, vai visām citām darbībām, ja kompetentā uzraudzības iestāde uzskata, ka apstrāde varētu radīt augstu risku datu subjektu tiesībām un brīvībām, jo īpaši tāpēc, ka tās kavē datu subjektus īstenot savas tiesības vai izmantot pakalpojumu vai līgumu, vai tāpēc, ka minētās darbības sistemātiski veic plašā mērogā.
Personas datu apstrāde nebūtu jāuzskata par apstrādi plašā mērogā, ja tā ir pacientu vai klientu personas datu apstrāde, ko veic konkrēts ārsts, veselības aprūpes speciālists vai advokāts. Šādos gadījumos novērtējumam par ietekmi uz datu aizsardzību nevajadzētu būt obligātam.

- = -

(112) Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad starptautiska datu apmaiņa notiek starp konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm, dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai novērstu dopingu sportā.
Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot savu piekrišanu.
Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai.
Dalībvalstīm par šādiem lēmumiem būtu jāpaziņo Komisijai.
Varētu uzskatīt, ka jebkādu datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot starptautiskās humanitārās tiesības, kas piemērojamas bruņotos konfliktos, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs.

- = -

(151) Dānijas un Igaunijas tiesību sistēmas nepieļauj administratīvus naudas sodus, kā tie izklāstīti šajā regulā.
Noteikumus par administratīvajiem naudas sodiem var piemērot tā, ka Dānijā naudas sodu kā kriminālsodu uzliek kompetentās valsts tiesas, un Igaunijā naudas sodu saskaņā ar pārkāpuma procedūru uzliek uzraudzības iestāde, ar noteikumu, ka šāda noteikumu piemērošana minētajās dalībvalstīs ir pielīdzināma administratīvajiem naudas sodiem, ko uzliek uzraudzības iestādes.
Tādēļ kompetentajām valsts tiesām būtu jāņem vērā tās uzraudzības iestādes ieteikums, kura ierosina naudas sodu.
Jebkurā gadījumā uzliktajiem naudas sodiem vajadzētu būt iedarbīgiem, samērīgiem un atturošiem.

- = -

(169) Komisijai būtu jāpieņem tūlītēji piemērojami īstenošanas akti, ja pieejamie pierādījumi liecina, ka trešā valsts, kāda teritorija, vai konkrēts sektors minētajā trešā valstī, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni, un tas ir nepieciešams nenovēršamu steidzamu iemeslu dēļ.

- = -

(170) Ņemot vērā to, ka šīs regulas mērķi, proti, nodrošināt fiziskām personām vienādu aizsardzības līmeni un brīvu personas datu apriti visā Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, un rīcības mēroga vai iedarbības dēļ tos var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienības (LES) 5. pantā noteikto subsidiaritātes principu.
Saskaņā ar minētajā pantā noteikto proporcionalitātes principu, šajā regulā parfedz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

- = -

dal 2004 diritto e informatica