interactive GDPR 2016/0679 LV

1. Ja attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērnam ir piemērojams 6. panta 1. punkta a) apakšpunkts, bērna personas datu apstrāde ir likumīga, ja bērns ir vismaz 16 gadus vecs. Ja bērns ir jaunāks par 16 gadiem, šāda apstrāde ir likumīga tikai tad un tādā apmērā, ja piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu.

Dalībvalstis minētajiem nolūkiem ar likumu var paredzēt jaunāku vecumu, ar noteikumu, ka šāds jaunāks vecums nav mazāks par 13 gadiem.

2. Pārzinis pieliek saprātīgas pūles, lai šādos gadījumos pārbaudītu, vai piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu, ņemot vērā pieejamās tehnoloģijas.

3. Šā panta 1. punkts neietekmē dalībvalstu vispārējās līgumtiesības, piemēram, noteikumus par attiecībā uz bērnu noslēgta līguma spēkā esību, noslēgšanu vai sekām.

11. pants

Apstrāde, kurai nav nepieciešama identifikācija

1. Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu.

2. Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 15.–20. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt.

III NODAĻA

Datu subjekta tiesības

1. iedaļa

Pārredzamība un izmantošanas kārtība

12. pants

Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība

1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.

2. Pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar 15.–22. pantu. Regulas 11. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 15.–22. pantu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.

3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.

4. Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.

5. Informācija, ko sniedz saskaņā ar 13. un 14. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 15.–22. pantu un 34. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:

a)	pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai arī

b)	atteikties izpildīt pieprasījumu.

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

6. Neskarot 11. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 15.–21. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

7. Informāciju, kas datu subjektiem sniedzama, ievērojot 13. un 14. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai.

2. iedaļa

Informācija un piekļuve personas datiem

13. pants

Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta

1. Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami;

2. Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

c)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)	tiesības iesniegt sūdzību uzraudzības iestādei;

e)	informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

f)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

4. Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

14. pants

Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta

1. Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	attiecīgo personas datu kategorijas;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

2. Papildus 1. punktā minētajai informācijai, pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

c)	tas, ka pastāv tiesības pieprasīt no pārziņa piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu un tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

d)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

e)	tiesības iesniegt sūdzību uzraudzības iestādei;

f)	informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem;

g)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Pārzinis 1. un 2. punktā minēto informāciju sniedz:

a)	saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;

b)	ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai

c)	vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.

4. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

5. Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

a)	informācija jau ir datu subjekta rīcībā;

izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ievērojot 89. panta 1. punktā minētos nosacījumus un garantijas, vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus. Šādos gadījumos pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu;

c)	iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai

d)	ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības vai dalībvalsts tiesību aktiem, ieskaitot statūtos noteiktu pienākumu glabāt noslēpumu.

15. pants

Datu subjekta piekļuves tiesības

1. Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

a)	apstrādes nolūki;

b)	attiecīgo personas datu kategorijas;

c)	personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)	ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

e)	tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;

f)	tiesības iesniegt sūdzību uzraudzības iestādei;

g)	visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;

h)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

2. Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 46. pantu.

3. Pārzinis nodrošina apstrādē esošo personas datu kopiju. Par visām papildus kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.

4. Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.

3. iedaļa

Labošana un dzēšana

22. pants

Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana

1. Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu.

2. Šā panta 1. punktu nepiemēro, ja lēmums:

a)	ir vajadzīgs, lai noslēgtu vai izpildītu līgumu starp datu subjektu un datu pārzini;

b)	ir atļauts saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri ir piemērojami pārzinim un kuros ir arī noteikti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses; vai

c)	pamatojas uz datu subjekta nepārprotamu piekrišanu.

3. Šā panta 2. punkta a) un c) apakšpunktā minētajos gadījumos datu pārzinis veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no pārziņa puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu.

4. Šā panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 9. panta 1. punktā, izņemot, ja tiek piemērots 9. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.

5. iedaļa

Ierobežojumi

23. pants

Ierobežojumi

1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a)	valsts drošību;

b)	aizsardzību;

c)	sabiedrisko drošību;

d)	noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;

e)	citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu;

f)	tiesu neatkarības un tiesvedības aizsardzību;

g)	reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

h)	uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat, ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz e) un g) apakšpunktā minētajos gadījumos;

i)	datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību;

j)	civilprasību izpildi.

2. Jo īpaši – jebkurā leģislatīvā pasākumā, kas minēts 1. punktā, ietver konkrētus noteikumus attiecīgā gadījumā vismaz par:

a)	nolūkiem, kādos veic apstrādi, vai apstrādes kategorijām;

b)	personas datu kategorijām;

c)	ieviesto ierobežojumu darbības jomu;

d)	garantijām, lai novērstu ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu;

e)	pārziņa vai pārziņu kategoriju noteikšanu;

f)	glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus;

g)	riskiem attiecībā uz datu subjektu tiesībām un brīvībām; un

h)	datu subjektu tiesībām saņemt informāciju par ierobežojumu, izņemot tad, ja tas var kaitēt ierobežojuma mērķim.

IV NODAĻA

Pārzinis un apstrādātājs

1. iedaļa

Vispārīgi pienākumi

28. pants

Apstrādātājs

1. gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)	nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)	īsteno visus pasākumus, kas nepieciešami saskaņā ar 32. pantu;

d)	ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;

e)	ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)	palīdz pārzinim nodrošināt 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)	pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)	pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.

5. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu.

7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

8. Uzraudzības iestāde var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā.

9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10. Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

35. pants

Novērtējums par ietekmi uz datu aizsardzību

1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts.

3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)	ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)	9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)	publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.

5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai.

6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu.

7. Novērtējumā ietver vismaz:

a)	plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu;

b)	novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)	novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)	pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums.

11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

37. pants

Datu aizsardzības speciālista iecelšana

1. Pārzinis un apstrādātājs ieceļ datu aizsardzības speciālistu katrā gadījumā, kad:

a)	apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;

b)	pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai

c)	pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9. pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.

2. Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu.

3. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu.

4. gadījumos, kas nav minēti 1. punktā, pārzinis vai apstrādātājs, vai apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var iecelt vai – ja tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem – ieceļ datu aizsardzības speciālistu. Datu aizsardzības speciālists var rīkoties šādu apvienību un citu struktūru, kas pārstāv pārziņus vai apstrādātājus, uzdevumā.

5. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.

6. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.

7. Pārzinis vai apstrādātājs publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei.

40. pants

Rīcības kodeksi

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:

a)	godprātīgu un pārredzamu apstrādi;

b)	pārziņu leģitīmajām interesēm konkrētos gadījumos;

c)	personas datu vākšanu;

d)	personas datu pseidonimizāciju;

e)	informāciju, ko sniedz sabiedrībai un datu subjektiem;

f)	datu subjektu tiesību īstenošanu;

g)	informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;

h)	pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;

i)	uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;

j)	personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai

k)	ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.

3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.

5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.

6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.

7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.

8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.

9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.

11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

41. pants

Apstiprināto rīcības kodeksu pārraudzība

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras, kas minēti 57. un 58. pantā, rīcības kodeksa ievērošanas pārraudzību saskaņā ar 40. pantu var veikt struktūra, kura pienācīgi pārzina kodeksa tematiku un kuru minētajam nolūkam ir akreditējusi kompetentā uzraudzības iestāde.

2. Šā panta 1. punktā paredzēto struktūru var akreditēt, lai pārraudzītu atbilstību rīcības kodeksam, ja minētā struktūra:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījusi, ka darbojas neatkarīgi un pārzina kodeksa tematiku;

b)	ir izstrādājusi kārtību, kas tai ļauj novērtēt, vai attiecīgie pārziņi un apstrādātāji ir tiesīgi piemērot attiecīgo kodeksu, un pārraudzīt, kā tie ievēro kodeksa noteikumus, kā arī periodiski pārskatīt kodeksa darbību;

c)	ir izstrādājusi kārtību un izveidojusi struktūras, lai izskatītu sūdzības par attiecīgā kodeksa pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno kodeksu, un lai nodrošinātu, ka minētā kārtība un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

d)	ir kompetentajai uzraudzības iestādei uzskatāmi parādījusi, ka tās uzdevumi un pienākumi nerada interešu konfliktu.

3. Kompetentā uzraudzības iestāde kolēģijai iesniedz projektu par šā panta 1. punktā minētās struktūras akreditēšanas kritērijiem saskaņā ar 63. pantā minēto konsekvences mehānismu.

4. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras un VIII nodaļā paredzētos noteikumus, šā panta 1. punktā minētā struktūra, ievērojot atbilstošas garantijas, atbilstīgi rīkojas gadījumos, kad pārzinis vai apstrādātājs izdara attiecīgā kodeksa pārkāpumu, tostarp tā uz laiku vai pavisam izslēdz pārzini vai apstrādātāju no attiecīgā kodeksa. Struktūra informē kompetento uzraudzības iestādi par minētajām darbībām un to veikšanas iemesliem.

5. Kompetentā uzraudzības iestāde atsauc 1. punktā minētās struktūras akreditāciju, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja struktūras veiktās darbības pārkāpj šo regulu.

6. Šo pantu nepiemēro apstrādei, ko veic publiskas iestādes un struktūras.

46. pants

Nosūtīšana, pamatojoties uz atbilstošām garantijām

1. Ja nav pieņemts lēmums saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.

2. Šā panta 1. punktā minētās atbilstošās garantijas, uzraudzības iestādei neprasot īpašu atļauju, var tikt nodrošinātas ar:

a)	starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu instrumentu;

b)	saistošiem uzņēmuma noteikumiem saskaņā ar 47. pantu;

c)	standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru;

d)	standarta datu aizsardzības klauzulām, ko pieņem uzraudzības iestāde un apstiprina Komisija saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru;

e)	saskaņā ar 40. pantu apstiprinātu rīcības kodeksu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošās garantijas, tostarp attiecībā uz datu subjekta tiesībām; vai

f)	saskaņā ar 42. pantu apstiprinātu sertifikācijas mehānismu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošas garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Ja kompetentā uzraudzības iestāde dod tādu atļauju, tad 1. punktā minētās atbilstošās garantijas var arī nodrošināt jo īpaši ar:

a)	starp pārzini vai apstrādātāju un trešā valstī vai starptautiskā organizācijā esošu pārzini, apstrādātāju vai personas datu saņēmēju noslēgtu līgumu klauzulām; vai

b)	noteikumiem, kuri iekļaujami administratīvajās vienošanās starp publiskām iestādēm vai struktūrām un kuri ietver īstenojamas un efektīvas datu subjektu tiesības.

4. Uzraudzības iestāde šā panta 3. punktā minētajos gadījumos piemēro konsekvences mehānismu, kas minēts 63. pantā.

5. Dalībvalsts vai uzraudzības iestādes atļaujas, kas izsniegtas saskaņā ar Direktīvas 95/46/EK 26. panta 2. punktu, ir spēkā, kamēr minētā uzraudzības iestāde tās vajadzības gadījumā negroza, neaizstāj vai neatceļ. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 26. panta 4. punktu, ir spēkā, kamēr tos vajadzības gadījumā negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 2. punktu.

53. pants

Vispārīgi noteikumi par uzraudzības iestādes locekļiem

1. Dalībvalstis paredz, ka katru to uzraudzības iestāžu locekli, izmantojot pārredzamu procedūru, amatā ieceļ:

—	to parlamenti,

—	to valdības,

—	to valsts vadītāji vai

—	neatkarīga struktūra, kurai saskaņā ar dalībvalsts tiesību aktiem ir uzticēta iecelšana amatā.

2. Katram loceklim ir tāda kvalifikācija, pieredze un prasmes, jo īpaši personas datu aizsardzības jomā, kuras vajadzīgas, lai pildītu savus pienākumus un īstenotu savas pilnvaras.

3. Locekļa pienākumi beidzas līdz ar amata pilnvaru termiņa beigām, atkāpjoties no amata vai atlaišanas gadījumā, saskaņā ar attiecīgās dalībvalsts tiesību aktiem.

4. Locekli atbrīvo no amata tikai amata pienākumu smaga pārkāpuma gadījumos vai tad, ja viņš vairs neatbilst nosacījumiem, kas izvirzīti, lai pildītu pienākumus.

55. pants

Kompetence

1. Katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo regulu.

2. Ja apstrādi veic publiska iestāde vai privāta struktūra, kas darbojas saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu, par to ir atbildīga attiecīgās dalībvalsts uzraudzības iestāde. Šādos gadījumos 56. pantu nepiemēro.

3. Uzraudzības iestādes nav kompetentas uzraudzīt apstrādes darbības, ko veic tiesa, pildot savus uzdevumus.

56. pants

Vadošās uzraudzības iestādes kompetence

1. Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru.

2. Atkāpjoties no 1. punkta, ikviena uzraudzības iestāde ir kompetenta izskatīt tai iesniegto sūdzību vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī.

3. Šā panta 2. punktā minētajos gadījumos uzraudzības iestāde nekavējoties par minēto jautājumu informē vadošo uzraudzības iestādi. Trīs nedēļu laikā pēc informēšanas vadošā uzraudzības iestāde nolemj, vai tā izskatīs vai neizskatīs jautājumu saskaņā ar 60. pantā paredzēto procedūru, ņemot vērā to, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tajā dalībvalstī, kuras uzraudzības iestāde sniegusi informāciju.

4. Ja vadošā uzraudzības iestāde nolemj izskatīt jautājumu, piemēro 60. pantā paredzēto procedūru. Uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, vadošajai uzraudzības iestādei var iesniegt lēmuma projektu. Vadošā uzraudzības iestāde maksimāli ņem vērā minēto projektu, kad tā izstrādā 60. panta 3. punktā minēto lēmuma projektu.

5. Ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, tā uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, izskata jautājumu saskaņā ar 61. un 62. pantu.

6. Vadošā uzraudzības iestāde ir vienīgais pārziņa vai apstrādātāja partneris saistībā ar minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi.

64. pants

Kolēģijas atzinums

1. Kolēģija sniedz atzinumu, ja kompetentā uzraudzības iestāde gatavojas pieņemt jebkuru no turpmāk minētajiem pasākumiem. Šādā nolūkā kompetentā uzraudzības iestāde kolēģijai nosūta lēmuma projektu, kad:

a)	tā ir paredzējusi pieņemt sarakstu ar apstrādes darbībām, kam piemēro prasību par novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

b)	tas attiecas uz jautājumu saskaņā ar 40. panta 7. punktu par to, vai rīcības kodeksa projekts vai tā grozījums vai papildinājums atbilst šai regulai;

c)	tā ir paredzējusi apstiprināt kritērijus struktūras akreditācijai saskaņā ar 41. panta 3. punktu vai sertifikācijas struktūrai saskaņā ar 43. panta 3. punktu;

d)	tā ir paredzējusi noteikt standarta datu aizsardzības klauzulas, kas minētas 46. panta 2. punkta d) apakšpunktā un 28. panta 8. punktā;

e)	tā ir paredzējusi apstiprināt 46. panta 3. punkta a) apakšpunktā minētās līguma klauzulas; vai

f)	tā ir paredzējusi apstiprināt saistošos uzņēmuma noteikumus 47. panta nozīmē.

2. Jebkura uzraudzības iestāde, kolēģijas priekšsēdētājs vai Komisija var pieprasīt, lai kolēģija izskata jebkuru jautājumu par vispārējo piemērošanu vai kas rada sekas vairāk nekā vienā dalībvalstī nolūkā saņemt atzinumu, jo īpaši, ja kompetentā uzraudzības iestāde neievēro savstarpējas palīdzības pienākumu saskaņā ar 61. pantu vai kopīgu operāciju pienākumu saskaņā ar 62. pantu.

3. gadījumos, kas minēti 1. un 2. punktā, kolēģija sniedz atzinumu par tai iesniegto jautājumu ar noteikumu, ka tā par to pašu jautājumu nav jau sniegusi atzinumu. Minēto atzinumu pieņem astoņu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu. Minēto termiņu var pagarināt vēl par sešām nedēļām, ņemot vērā jautājuma sarežģītību. Attiecībā uz 1. punktā minēto lēmuma projektu, kas saskaņā ar 5. punktu izplatīts kolēģijas locekļiem, uzskata, ka loceklis, kas priekšsēdētāja norādītā saprātīgā termiņā nav paudis iebildumus, piekrīt lēmuma projektam.

4. Uzraudzības iestādes un Komisija, izmantojot standarta formātu, bez nepamatotas kavēšanās elektroniski paziņo kolēģijai visu attiecīgo informāciju, ietverot attiecīgā gadījumā arī faktu kopsavilkumu, lēmuma projektu, pamatojumu, kāpēc šāds pasākums ir nepieciešams, un citu attiecīgo uzraudzības iestāžu viedokļus.

5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās elektroniski informē:

a)	kolēģijas locekļus un Komisiju par visu attiecīgo informāciju, kas paziņota kolēģijai, izmantojot standarta formātu. Ja nepieciešams, kolēģijas sekretariāts nodrošina attiecīgās informācijas tulkojumus; un

b)	uzraudzības iestādi, kas attiecīgā gadījumā minēta 1. un 2. punktā, un Komisiju par atzinumu un to publisko.

6. Kompetentā uzraudzības iestāde nepieņem 1. punktā minēto lēmuma projektu 3. punktā minētajā laikposmā.

7. Uzraudzības iestāde, kas minēta 1. punktā, vislielākajā mērā ņem vērā kolēģijas atzinumu un divu nedēļu laikā pēc atzinuma saņemšanas, izmantojot standarta formātu, elektroniski paziņo kolēģijas priekšsēdētājam, vai tā paturēs spēkā vai grozīs savu lēmuma projektu un grozījumu gadījumā informē par grozīto lēmuma projektu.

8. Ja attiecīgā uzraudzības iestāde šā panta 7. punktā minētajā termiņā informē kolēģijas priekšsēdētāju, ka ir nolēmusi pilnībā vai daļēji neievērot kolēģijas atzinumu, sniedzot attiecīgo pamatojumu, tiek piemērots 65. panta 1. punkts.

65. pants

Strīdu risināšana kolēģijā

1. Lai nodrošinātu šīs regulas pareizu un konsekventu piemērošanu katrā atsevišķā gadījumā, kolēģija pieņem saistošu lēmumu šādos gadījumos:

ja 60. panta 4. punktā minētajā gadījumā attiecīgā uzraudzības iestāde ir cēlusi būtisku un motivētu iebildumu pret vadošās iestādes lēmuma projektu vai vadošā iestāde ir noraidījusi šādu iebildumu kā nebūtisku vai nemotivētu. Saistošais lēmums skar visus jautājumus, kas ir būtiskā un motivētā iebilduma priekšmets, jo īpaši jautājumu par to, vai ir pārkāpta šī regula;

b)	ja ir pretēji viedokļi par to, kurai attiecīgajai uzraudzības iestādei ir kompetence par galveno uzņēmējdarbības vietu;

c)	ja kompetentā uzraudzības iestāde 64. panta 1. punktā minētajos gadījumos nepieprasa kolēģijas atzinumu vai neievēro kolēģijas atzinumu, kas izsniegts saskaņā ar 64. pantu. Šādā gadījumā jebkura attiecīgā uzraudzības iestāde vai Komisija var par to informēt kolēģiju.

2. Lēmumu, kas minēts 1. punktā, pieņem viena mēneša laikā pēc tam, kad kolēģijas locekļu divu trešdaļu vairākums ir iesniedzis jautājumu. Minēto termiņu var pagarināt vēl par vienu mēnesi, ņemot vērā jautājuma sarežģītību. Šā panta 1. punktā minēto lēmumu motivē un adresē vadošajai uzraudzības iestādei un visām attiecīgajām uzraudzības iestādēm, un tas ir tām saistošs.

3. Ja kolēģija 2. punktā minētajos termiņos nav varējusi pieņemt lēmumu, tā savu lēmumu pieņem ar kolēģijas locekļu vienkāršu balsu vairākumu divu nedēļu laikā pēc tam, kad ir beidzies 2. punktā minētais otrais mēnesis. Ja kolēģijas locekļu balsojums ir neizšķirts, lēmuma pieņemšanu izšķir tās priekšsēdētāja balss.

4. Termiņos, kas minēti 2. un 3. punktā, attiecīgās uzraudzības iestādes nepieņem lēmumu par jautājumu, kas iesniegts kolēģijai saskaņā ar 1. punktu.

5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās 1. punktā minēto lēmumu paziņo attiecīgajām uzraudzības iestādēm. Tā informē par to Komisiju. Pēc tam, kad uzraudzības iestāde ir paziņojusi 6. punktā minēto galīgo lēmumu, lēmumu nekavējoties publicē kolēģijas tīmekļa vietnē.

6. Vadošā uzraudzības iestāde vai attiecīgā gadījumā tā uzraudzības iestāde, kurai ir iesniegta sūdzība, pieņem savu galīgo lēmumu uz šā panta 1. punktā minētā lēmuma pamata bez nepamatotas kavēšanās un ne vēlāk kā vienu mēnesi pēc tam, kad kolēģija ir paziņojusi savu lēmumu. Vadošā uzraudzības iestāde vai attiecīgā gadījumā tā uzraudzības iestāde, kurai ir iesniegta sūdzība, informē kolēģiju par to, kurā dienā tās galīgais lēmums ir paziņots, attiecīgi, pārzinim vai apstrādātājam un datu subjektam. Attiecīgo uzraudzības iestāžu galīgo lēmumu pieņem saskaņā ar 60. panta 7., 8. un 9. punkta noteikumiem. Galīgajā lēmumā atsaucas uz šā panta 1. punktā minēto lēmumu un norāda, ka minētajā punktā minētais lēmums tiks publicēts kolēģijas tīmekļa vietnē saskaņā ar šā panta 5. punktu. Galīgajam lēmumam pievieno šā panta 1. punktā minēto lēmumu.

68. pants

Eiropas Datu aizsardzības kolēģija

1. Ar šo tiek izveidota Eiropas Datu aizsardzības kolēģija (“kolēģija”) kā Savienības struktūra, un tā ir tiesību subjekts.

2. Kolēģiju pārstāv tās priekšsēdētājs.

3. Kolēģija sastāv no katras dalībvalsts vienas uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja vai viņu attiecīgajiem pārstāvjiem.

4. Ja dalībvalstī par šīs regulas noteikumu piemērošanas uzraudzību atbild vairāk nekā viena uzraudzības iestāde, saskaņā ar minētās dalībvalsts tiesību aktiem ieceļ kopīgu pārstāvi.

5. Komisijai ir tiesības piedalīties kolēģijas darbībā un sanāksmēs bez balsošanas tiesībām. Komisija norīko pārstāvi. Kolēģijas priekšsēdētājs paziņo Komisijai par kolēģijas darbībām.

6. gadījumos, kas minēti 65. pantā, Eiropas Datu aizsardzības uzraudzītājam ir balsošanas tiesības vienīgi par lēmumiem, kas attiecas uz principiem un noteikumiem, kuri ir piemērojami Savienības iestādēm, struktūrām, birojiem un aģentūrām un kuri pēc būtības atbilst šīs regulas principiem un noteikumiem.

70. pants

Kolēģijas uzdevumi

1. Kolēģija nodrošina šīs regulas konsekventu piemērošanu. Šim nolūkam kolēģija pēc savas iniciatīvas vai attiecīgā gadījumā pēc Komisijas pieprasījuma jo īpaši:

a)	pārrauga un nodrošina šīs regulas pareizu piemērošanu gadījumos, kas paredzēti 64 un 65. pantā, neskarot valstu uzraudzības iestāžu uzdevumus;

b)	sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs regulas grozījumiem, kas tiek ierosināti;

c)	sniedz padomus Komisijai par formātu un procedūrām informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem;

d)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz procedūrām saišu uz personas datiem, datu kopiju un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem, kā minēts 17. panta 2. punktā;

e)	pēc pašas kolēģijas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādus jautājumus, kas attiecas uz šīs regulas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs regulas konsekventu piemērošanu;

f)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi saskaņā ar šā punkta e) apakšpunktu, kā sīkāk noteikt kritērijus un nosacījumus uz profilēšanu balstītiem lēmumiem saskaņā ar 22. panta 2. punktu;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 33. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

h)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, kā minēts 34. panta 1. punktā;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības personas datu nosūtīšanai, pamatojoties uz saistošiem uzņēmuma noteikumiem, kurus ievēro pārzinis, un saistošiem uzņēmuma noteikumiem, kurus ievēro apstrādātāji, un uz sīkākām nepieciešamām prasībām, lai nodrošinātu attiecīgo datu subjektu personas datu aizsardzību, kas minētas 47. pantā;

j)	saskaņā ar šā panta 1. punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības attiecībā uz datu personas nosūtīšanu, pamatojoties uz 49. panta 1. punktu;

k)	izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 58. panta 1., 2. un 3. punktā minēto pasākumu piemērošanu un par administratīvo naudas sodu noteikšanu saskaņā ar 83. pantu;

l)	pārskata e) un fa) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu;

m)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā izveidot kopīgas procedūras attiecībā uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem saskaņā ar 54. panta 2. punktu;

n)	mudina izstrādāt rīcības kodeksus un izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus saskaņā ar 40. un 42. pantu;

veic sertifikācijas struktūru akreditāciju un tās periodisku pārskatīšanu saskaņā ar 43. pantu un uztur publisku reģistru par akreditētām struktūrām saskaņā ar 43. panta 6. punktu un par akreditētiem pārziņiem un apstrādātājiem, kas veic uzņēmējdarbību trešās valstīs, saskaņā ar 42. panta 7. punktu;

p)	precizē prasības, kas minētas 43. panta 3. punktā, lai akreditētu sertifikācijas struktūras saskaņā ar 42. pantu;

q)	sniedz Komisijai atzinumu par 43. panta 8. punktā minētajām sertifikācijas prasībām;

r)	sniedz Komisijai atzinumu par 12. panta 7. punktā minētajām ikonām;

sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros minētajā trešā valstī, vai starptautiskā organizācijā vairs netiek nodrošināts pietiekams aizsardzības līmenis. Šim nolūkam Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, attiecībā uz minēto trešo valsti, teritoriju vai konkrētu sektoru, vai starptautisku organizāciju;

t)	sniedz atzinumus par uzraudzības iestāžu lēmumiem saskaņā ar 64. panta 1. punktā minēto konsekvences mehānismu un par jautājumiem, kas iesniegti saskaņā ar 64. panta 2. punktu, un izdod saistošus lēmumus saskaņā ar 65. pantu, tostarp 66. pantā minētajos gadījumos;

u)	veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

v)	veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

w)	veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesību aktiem un praksi ar uzraudzības iestādēm visā pasaulē;

x)	sniedz atzinumus par Savienības līmenī izstrādātiem rīcības kodeksiem saskaņā ar 40. panta 9. punktu; un

y)	uztur publiski pieejamu elektronisku reģistru ar uzraudzības iestāžu un tiesu pieņemtiem lēmumiem par jautājumiem, kas risināti ar konsekvences mehānismu.

2. Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību.

3. Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 93. pantā norādītajai komitejai un publisko tos.

4. Kolēģija attiecīgā gadījumā apspriežas ar ieinteresētajām personām un dod tām iespēju saprātīgā termiņā izteikties. Kolēģija, neskarot 76. pantu, dara publiski pieejamus apspriešanās procedūras rezultātus.

whereas

(36) Pārziņa galvenajai uzņēmējdarbības vietai Savienībā vajadzētu būt tā galvenās pārvaldes atrašanās vietai Savienībā, ja vien lēmumus par personas datu apstrādes nolūkiem un līdzekļiem nepieņem citā pārziņa uzņēmējdarbības vietā Savienībā, tādā gadījumā minētā cita uzņēmējdarbības vieta būtu jāuzskata par galveno uzņēmējdarbības vietu.
Pārziņa galvenā uzņēmējdarbības vieta Savienībā būtu jānosaka, izmantojot objektīvus kritērijus, un tai būtu jāietver efektīvas un faktiskas pārvaldes darbības, pieņemot galvenos lēmumus par apstrādes nolūkiem un līdzekļiem, ko veic pastāvīga vienība.
Minētajam kritērijam nevajadzētu būt atkarīgam no tā, vai personas datu apstrādi veic tajā konkrētajā vietā.
Fakts, ka personas datu apstrādei vai apstrādes darbībām nepieciešamie tehniskie līdzekļi un tehnoloģijas ir un tiek izmantotas – pats par sevi nenozīmē, ka šī vieta ir galvenā uzņēmējdarbības vieta, un tādēļ tas nav noteicošs galvenās uzņēmējdarbības vietas kritērijs.
Apstrādātāja galvenajai uzņēmējdarbības vietai vajadzētu būt apstrādātāja galvenās pārvaldes atrašanās vietai Savienībā, vai, ja tam nav galvenās pārvaldes Savienībā, – vietai, kur notiek galvenās apstrādes darbības Savienībā.
gadījumos, kad ir iesaistīts gan pārzinis, gan apstrādātājs, kompetentajai vadošajai uzraudzības iestādei būtu jāpaliek tās dalībvalsts uzraudzības iestādei, kurā atrodas pārziņa galvenā uzņēmējdarbības vieta, bet apstrādātāja uzraudzības iestādi būtu jāuzskata par attiecīgo uzraudzības iestādi un minētajai uzraudzības iestādei būtu jāpiedalās šajā regulā paredzētajā sadarbības procedūrā.
Jebkurā gadījumā tās dalībvalsts vai to dalībvalstu uzraudzības iestādes, kurās atrodas apstrādātāja viena vai vairākas uzņēmējdarbības vietas, nebūtu jāuzskata par attiecīgajām uzraudzības iestādēm, ja lēmuma projekts attiecas tikai uz pārzini.
Ja apstrādi veic uzņēmumu grupa, kontrolējošā uzņēmuma galvenā uzņēmējdarbības vieta būtu jāuzskata par uzņēmumu grupas galveno uzņēmējdarbības vietu, izņemot gadījumos, kad apstrādes nolūkus un līdzekļus nosaka cits uzņēmums.

- = -

(51) Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām.
Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmatošana šajā regulā nenozīmē, ka Savienība atzīst teorijas, ar kuru palīdzību notiek mēģinājumi noteikt dažādu cilvēku rasu pastāvēšanu.
Fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrisko datu definīcija attiecas tikai tad, kad tās apstrādās ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju. Šādi personas dati nebūtu jāapstrādā, ja vien apstrāde nav atļauta konkrētos, šajā regulā precizētos gadījumos, ņemot vērā, ka dalībvalstu tiesību aktos var būt paredzēti konkrēti noteikumi par datu aizsardzību, lai pieņemtu šīs regulas noteikumu piemērošanu juridisku pienākumu izpildei vai sabiedrības interesēs veiktu uzdevumu izpildei, vai pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanai.
Papildus konkrētajām prasībām attiecībā uz šādu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem.
Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības.

- = -

(53) Īpašu kategoriju personas datus, kuriem pienākas augstāka aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību, tostarp šādu datu apstrādi, ko kvalitātes kontroles nolūkos veic pārvaldības un centrālās valsts veselības iestādes, informāciju par pārvaldību un veselības vai sociālās aprūpes sistēmas vispārēju valsts mēroga un vietēju pārraudzību, un lai nodrošinātu veselības vai sociālās aprūpes un pārrobežu veselības aprūpes nepārtrauktību vai veselības drošību, pārraudzības vai brīdināšanas nolūkos vai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kam jāatbilst sabiedrības interešu mērķim, kā arī pētījumiem, kurus sabiedrības veselības jomā veic sabiedrības interesēs.
Tāpēc šai regulai būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridiskais pienākums ievērot dienesta noslēpumu.
Savienības vai dalībvalsts tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus.
Būtu jāļauj dalībvalstīm saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.
Tomēr tam nevajadzētu kavēt personas datu brīvo plūsmu Savienībā gadījumos, kad minētos nosacījumus piemēro šādu datu pārrobežu apstrādei.

- = -

(59) Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar šo regulu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi personas datiem un to labošanu vai dzēšanu un īstenot tiesības iebilst.
Pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus.
Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja pārzinis neplāno izpildīt nevienu šādu pieprasījumu.

- = -

(62) Tomēr pienākumu sniegt informāciju nav vajadzīgs noteikt gadījumos, ja informācija jau ir datu subjekta rīcībā, ja personas datu reģistrācija vai izpaušana ir skaidri paredzēta likumā, vai ja informācijas sniegšana datu subjektam izrādās neiespējama vai prasītu nesamērīgi lielas pūles.
Pēdējais minētais varētu jo īpaši būt gadījums, kad apstrāde tiek veikta arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos.
Minētajā sakarā būtu jāņem vērā datu subjektu skaits, datu vecums un jebkādas pieņemtās atbilstošās garantijas.

- = -

(68) Lai datu subjektiem būtu vēl lielāka kontrole pār saviem datiem, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektam būtu arī jāļauj saņemt personas datus par sevi, kurus tas sniedzis pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt tos citam pārzinim.
Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas nodrošina datu pārnešanu.
Minētās tiesības būtu jāpiemēro, ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai ja apstrāde ir nepieciešama, lai izpildītu līgumu.
Tās nebūtu jāpiemēro, ja apstrādei ir tāds juridiskais pamats, kas nav piekrišana vai līgums.
Minētās tiesības pēc būtības nebūtu jāīsteno pret pārziņiem, kas personas datus apstrādā, pildot savus sabiedriskos pienākumus.
Tādēļ tās jo īpaši nebūtu jāpiemēro gadījumos, kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras.
Datu subjekta tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas.
Ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad tiesībām saņemt personas datus nebūtu jāskar citu datu subjektu tiesības un brīvības saskaņā ar šo regulu.
Turklāt minētajām tiesībām nebūtu jāskar arī datu subjekta tiesības panākt personas datu dzēšanu un minēto tiesību ierobežojumus, kā izklāstīts šajā regulā, un tām jo īpaši nevajadzētu nozīmēt to, ka tiek dzēsti datu subjekta personas dati, kurus tas sniedzis līguma izpildes nolūkā, ciktāl un kamēr personas dati ir vajadzīgi minētā līguma izpildei.
Ja tas ir tehniski iespējams, datu subjektam vajadzētu būt tiesībām panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam pārzinim.

- = -

(77) Norādījumus par piemērotu pasākumu īstenošanu un par pārziņa vai apstrādātāja atbilstības uzskatāmu parādīšanu, sevišķi attiecībā uz tāda riska identificēšanu, kas saistīts ar apstrādi, tā novērtēšanu, ņemot vērā avotus, raksturu, iespējamību un nopietnību, un paraugprakses apzināšanu, lai mazinātu risku, varētu sniegt, jo īpaši izmantojot apstiprinātus rīcības kodeksus, apstiprinātus sertifikātus, kolēģijas sniegtas pamatnostādnes vai aizsardzības speciālista sniegtas norādes.
Kolēģija var sniegt arī pamatnostādnes par apstrādes darbībām, kuras uzskata par tādām, kas nevarētu radīt augstu risku fizisku personu tiesībām un brīvībām, un norāda, kādi pasākumi var būt pietiekami šādos gadījumos, lai novērstu šādu risku.

- = -

(79) Datu subjekta tiesību un brīvību aizsardzība un pārziņu un apstrādātāju pienākumi un atbildība, arī saistībā ar uzraudzības iestāžu uzraudzību un īstenotajiem pasākumiem, prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā.

- = -

(84) Lai sekmētu šīs regulas noteikumu ievērošanu gadījumos, kad apstrādes darbības varētu izraisīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim vajadzētu būt atbildīgam par novērtējuma par ietekmi uz datu aizsardzību veikšanu, lai jo īpaši izvērtētu minētā riska avotus, raksturu, specifiku un nopietnību.
Novērtējuma rezultāti būtu jāņem vērā, nosakot piemērotus pasākumus, kas veicami, lai uzskatāmi parādītu, ka personas datu apstrāde atbilst šai regulai.
Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka apstrādes darbības ietver augstu risku, ko pārzinis nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes būtu jāveic apspriešanās ar uzraudzības iestādi.

- = -

(90) Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus.
Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, aizsardzības pasākumi un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti.

- = -

(91) Tam jo īpaši būtu jāattiecas uz plaša mēroga apstrādes darbībām, kuru mērķis ir apstrādāt ievērojamu personas datu apjomu reģionālā, valsts vai starpvalstu līmenī un kuras var ietekmēt lielu datu subjektu skaitu un kuras var izraisīt augstu risku, piemēram, to sensitivitātes dēļ, ja saskaņā ar sasniegto tehnoloģisko zināšanu līmeni plašā mērogā tiek izmantota jauna tehnoloģija, kā arī uz citām apstrādes darbībām, kuras rada augstu risku datu subjektu tiesībām un brīvībām, jo īpaši gadījumos, kad datu subjektam ir grūtāk īstenot savas tiesības.
Novērtējums par ietekmi uz datu aizsardzību būtu jāveic arī tad, ja personas dati tiek apstrādāti, lai pieņemtu lēmumus attiecībā uz konkrētām fiziskām personām pēc jebkādas ar fiziskām personām saistītu personisku aspektu sistemātiskas un plašas novērtēšanas, kuras pamatā ir minēto datu profilēšana, vai pēc īpašu kategoriju personas datu apstrādes, biometrisko datu apstrādes vai tādu datu apstrādes, kas attiecas uz sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem.
Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams arī publiski pieejamu zonu uzraudzībai plašā mērogā, jo īpaši izmantojot optiskas elektroniskas iekārtas, vai visām citām darbībām, ja kompetentā uzraudzības iestāde uzskata, ka apstrāde varētu radīt augstu risku datu subjektu tiesībām un brīvībām, jo īpaši tāpēc, ka tās kavē datu subjektus īstenot savas tiesības vai izmantot pakalpojumu vai līgumu, vai tāpēc, ka minētās darbības sistemātiski veic plašā mērogā.
Personas datu apstrāde nebūtu jāuzskata par apstrādi plašā mērogā, ja tā ir pacientu vai klientu personas datu apstrāde, ko veic konkrēts ārsts, veselības aprūpes speciālists vai advokāts. Šādos gadījumos novērtējumam par ietekmi uz datu aizsardzību nevajadzētu būt obligātam.

- = -

(101) Personas datu plūsmas uz valstīm ārpus Savienības un starptautiskām organizācijām un no tām ir vajadzīgas starptautiskās tirdzniecības un starptautiskās sadarbības paplašināšanai. Šādu plūsmu palielināšanās ir radījusi jaunas problēmas un bažas par personas datu aizsardzību.
Taču gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā.
Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievēroti šīs regulas noteikumi.
Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām.

- = -

(103) Komisija attiecībā uz visu Savienību var nolemt, ka trešā valsts, teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija nodrošina datu aizsardzību pietiekamā līmenī, tādējādi nodrošinot juridisko noteiktību un vienotību visā Savienībā attiecībā uz trešo valsti vai starptautisko organizāciju, par kuru uzskata, ka tā nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz minēto trešo valsti vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju.
Komisija pēc paziņojuma sniegšanas un pilnvērtīga paziņojuma, kurā izklāstīti iemesli nosūtīšanas trešai valstij vai starptautiskai organizācijai var arī nolemt atsaukt šādu lēmumu.

- = -

(111) Būtu jāparedz noteikumi, kas ļauj nosūtīt datus noteiktos gadījumos, kad datu subjekts ir devis savu skaidru piekrišanu, ja nosūtīšana ir gadījuma rakstura un nepieciešama saistībā ar līgumu vai likumīgu prasību, neatkarīgi no tā, vai to izvirza tiesas procesā vai administratīvā vai ārpustiesas procedūrā, tostarp regulatīvo struktūru procedūrās.
Būtu jāparedz arī noteikumi, kas ļauj nosūtīt datus, ja tas nepieciešams, pamatojoties uz Savienības vai dalībvalsts tiesību aktos noteiktām svarīgām sabiedrības interesēm, vai ja datus nosūta no reģistra, kas izveidots ar likumu un ir paredzēts, lai leģitīmi ieinteresētas personas vai sabiedrība varētu to izmantot.
Pēdējā minētajā gadījumā nebūtu jānosūta pilnīgi visi reģistrā ietvertie personas dati vai veselas datu kategorijas, un, ja reģistrs ir paredzēts, lai to varētu izmantot leģitīmi ieinteresētas personas, dati būtu jānosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas, pilnībā ņemot vērā datu subjekta intereses un pamattiesības.

- = -

(113) Nosūtīšana, ko var kvalificēt kā tādu, kas neatkārtojas un kas tikai attiecas uz ierobežotu datu subjektu skaitu, varētu būt iespējama arī, pamatojoties uz pārziņa pārliecinošām leģitīmām interesēm, kad minētās intereses ir svarīgākas par datu subjekta interesēm vai tiesībām un brīvībām un kad pārzinis ir novērtējis visus ar datu nosūtīšanu saistītos apstākļus.
Pārzinim būtu īpaši jāapsver personas datu būtība, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, kā arī situācija datu izcelsmes valstī, trešā valstī un galamērķa valstī un būtu jānodrošina piemērotas garantijas fizisku personu pamattiesību un pamatbrīvību aizsardzībai attiecībā uz viņu personas datu apstrādi. Šādai nosūtīšanai vajadzētu būt iespējamai tikai atsevišķos gadījumos, ja nepiemēro nevienu no pārējiem iemesliem attiecībā uz nosūtīšanu.
Zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos būtu jāņem vērā, ka sabiedrībai ir leģitīmas tiesības sagaidīt zināšanu uzlabošanos.
Pārzinim būtu jāinformē uzraudzības iestāde un datu subjekts par minēto nosūtīšanu.

- = -

(115) Dažas trešās valstis pieņem normatīvos un citus tiesību aktus, kuru mērķis ir tieši regulēt apstrādes darbības, ko fiziskas un juridiskas personas veic dalībvalstu jurisdikcijā.
Tas var ietvert tiesu spriedumus vai administratīvu iestāžu lēmumus trešās valstīs, ar kuriem pārzinim vai apstrādātājam prasa nosūtīt vai atklāt personas datus un kuri nav balstīti uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību vai kādu tās dalībvalsti. Šādu normatīvu un citu tiesību aktu ekstrateritoriāla piemērošana var būt pretrunā starptautiskām tiesībām un var kavēt sasniegt tādu aizsardzību, kādu fiziskām personām Savienībā nodrošina ar šo regulu.
Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti.
Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim.

- = -

(128) Noteikumi par vadošo uzraudzības iestādi un vienas pieturas aģentūras mehānismu nebūtu jāpiemēro, ja publiskas iestādes vai privātas struktūras apstrādi veic sabiedrības interesēs. Šādos gadījumos tās dalībvalsts uzraudzības iestādei, kurā publiskā iestāde vai privātā struktūra veic uzņēmējdarbību, vajadzētu būt vienīgajai uzraudzības iestādei, kas ir kompetenta īstenot pilnvaras, kuras tai ir piešķirtas saskaņā ar šo regulu.

- = -

(129) Lai nodrošinātu konsekventu šīs regulas piemērošanas uzraudzību un izpildi visā Savienībā, uzraudzības iestādēm katrā dalībvalstī vajadzētu būt vieniem un tiem pašiem uzdevumiem un faktiskajām pilnvarām, tostarp izmeklēšanas pilnvarām, korektīvām pilnvarām, pilnvarām lemt par sankcijām un atļauju izsniegšanas un padomdevēja pilnvarām, jo īpaši fizisku personu sūdzību gadījumos un neskarot kriminālvajāšanas iestāžu pilnvaras saskaņā ar dalībvalsts tiesību aktiem, lai pievērstu tiesu iestāžu uzmanību šīs regulas pārkāpumiem un iesaistītos tiesvedībā. Šādām pilnvarām būtu jāietver arī pilnvaras uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu.
Dalībvalstis var noteikt citus uzdevumus, kas saistīti ar personas datu aizsardzību saskaņā ar šo regulu.
Uzraudzības iestāžu pilnvaras būtu jāīsteno objektīvi, taisnīgi un saprātīgā termiņā saskaņā ar atbilstošām procesuālām garantijām, kas izklāstītas Savienības un dalībvalsts tiesību aktos.
Jo īpaši, katram pasākumam, kas paredzēts, lai nodrošinātu atbilstību regulai, vajadzētu būt piemērotam, vajadzīgam un samērīgam, ņemot vērā apstākļus katrā atsevišķā gadījumā, tajā būtu jāievēro katras personas tiesības tikt uzklausītai pirms tāda individuāla pasākuma pieņemšanas, kurš viņu nelabvēlīgi ietekmētu, un kurā būtu jāizvairās no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajām personām.
Izmeklēšanas pilnvaras attiecībā uz piekļuvi telpām būtu jāīsteno saskaņā ar dalībvalsts procesuālo tiesību aktu konkrētajām prasībām, piemēram, prasību saņemt iepriekšēju tiesas atļauju.
Katram uzraudzības iestādes veiktam juridiski saistošam pasākumam vajadzētu būt sagatavotam rakstiski, skaidram un nepārprotamam, tajā būtu jānorāda uzraudzības iestāde, kas pasākumu noteikusi, pasākuma noteikšanas datums, uz tā vajadzētu būt uzraudzības iestādes vadītāja vai viņa pilnvarota uzraudzības iestādes locekļa parakstam, tajā būtu jāiekļauj pasākuma pamatojums un jānorāda, ka ir tiesības uz efektīvu tiesību aizsardzību.
Tam nebūtu jākavē dalībvalsts procesuālajos tiesību aktos paredzētu papildu prasību iekļaušana.
Juridiski saistoša lēmuma pieņemšana nozīmē, ka tas var būt par iemeslu pārskatīšanai tiesā tajā dalībvalstī, kuras uzraudzības iestāde pieņēmusi konkrēto lēmumu.

- = -

(130) Ja uzraudzības iestāde, kurai ir iesniegta sūdzība, nav vadošā uzraudzības iestāde, vadošajai uzraudzības iestādei būtu cieši jāsadarbojas ar to uzraudzības iestādi, kurai ir iesniegta sūdzība saskaņā ar šajā regulā izklāstītajiem noteikumiem par sadarbību un konsekvenci. Šādos gadījumos vadošajai uzraudzības iestādei, veicot pasākumus, kas paredzēti, lai radītu tiesiskas sekas, tostarp uzliekot administratīvus naudas sodus, būtu vislielākajā mērā jāņem vērā tās uzraudzības iestādes viedoklis, kurai ir iesniegta sūdzība un kurai arī turpmāk vajadzētu būt tiesīgai veikt izmeklēšanu savas dalībvalsts teritorijā sadarbībā ar vadošo uzraudzības iestādi.

- = -

(135) Lai nodrošinātu šīs regulas konsekventu piemērošanu visā Savienībā, būtu jāizveido konsekvences mehānisms sadarbībai starp uzraudzības iestādēm.
Minētais mehānisms jo īpaši būtu jāpiemēro, ja uzraudzības iestāde gatavojas pieņemt pasākumu, ar ko paredzēts radīt tiesiskas sekas attiecībā uz datu apstrādes darbībām, kas var būtiski ietekmēt lielu skaitu datu subjektu vairākās dalībvalstīs.
Tas būtu jāpiemēro arī gadījumos, kad jebkura attiecīgā uzraudzības iestāde vai Komisija pieprasa šāda jautājuma izskatīšanu, izmantojot konsekvences mehānismu.
Minētajam mehānismam nebūtu jāskar pasākumi, ko Komisija varētu veikt, īstenojot savas pilnvaras saskaņā ar Līgumiem.

- = -

(136) Piemērojot konsekvences mehānismu, kolēģijai būtu noteiktā termiņā jāsniedz atzinums, ja tā nolemj kolēģijas locekļu vairākums vai ja to pieprasa jebkura attiecīgā uzraudzības iestāde vai Komisija.
Kolēģijai vajadzētu būt arī pilnvarotai pieņemt juridiski saistošus lēmumus, ja rodas strīds starp uzraudzības iestādēm. Šādā nolūkā tai skaidri noteiktos gadījumos – principā ar locekļu divu trešdaļu balsu vairākumu – būtu jāizdod juridiski saistoši lēmumi, ja uzraudzības iestādēm ir atšķirīgs viedoklis, jo īpaši sadarbības mehānismā starp vadošo uzraudzības iestādi un attiecīgajām uzraudzības iestādēm, par lietas būtību, jo īpaši par to, vai ir pārkāpta šī regula.

- = -

(138) Šāda mehānisma piemērošanai būtu jākalpo par nosacījumu tāda uzraudzības iestādes pasākuma likumīgumam, ar kuru paredzēts radīt tiesiskas sekas, tajos gadījumos, kad tā piemērošana ir obligāta.
Citos ar pārrobežu elementiem saistītos gadījumos būtu jāpiemēro vadošās uzraudzības iestādes un attiecīgo uzraudzības iestāžu sadarbības mehānisms un varētu izmantot attiecīgo uzraudzības iestāžu savstarpējo palīdzību un rīkot kopīgas operācijas, pamatojoties uz to divpusējām vai daudzpusējām attiecībām, neiedarbinot konsekvences mehānismu.

- = -

(152) Ja ar šo regulu netiek saskaņoti administratīvie sodi vai ja tas vajadzīgs citos gadījumos, piemēram, nopietnu šīs regulas pārkāpumu gadījumos, dalībvalstīm būtu jāievieš sistēma, kas paredz iedarbīgas, samērīgas un atturošas sankcijas. Šādu sankciju – kriminālu vai administratīvu – raksturs būtu jānosaka ar dalībvalsts tiesību aktiem.

- = -

dal 2004 diritto e informatica