interactive GDPR 2016/0679 LV

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)	“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu;

6)	“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;

8)	“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

10)	“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

11)	datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

12)	“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

13)	“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

14)	“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

15)	“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

16)

“galvenā uzņēmējdarbības vieta”:

attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi;

attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi;

17)	“pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti šajā regulā;

18)	“uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību;

19)	“uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;

20)

“saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā;

21)	“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot51. pantu;

22)

“attiecīgā uzraudzības iestāde” ir uzraudzības iestāde, uz kuru personas datu apstrāde attiecas tāpēc, ka:

a)	pārzinis vai apstrādātājs veic uzņēmējdarbību minētās uzraudzības iestādes dalībvalsts teritorijā;

b)	apstrāde būtiski ietekmē vai var būtiski ietekmēt datu subjektus, kas dzīvo minētās uzraudzības iestādes dalībvalstī; vai

c)	sūdzība ir iesniegta minētajai uzraudzības iestādei;

23)

“pārrobežu apstrāde” ir vai nu:

a)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai

b)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī;

24)

“būtisks un motivēts iebildums” ir iebildums lēmuma projektam par to, vai šī regula ir pārkāpta, vai par to, vai iecerētā darbība attiecībā uz pārzini vai apstrādātāju atbilst šai regulai, skaidri parādot to risku nozīmīgumu, ko lēmuma projekts rada datu subjektu pamattiesībām un pamatbrīvībām un attiecīgā gadījumā – personas datu brīvai apritei Savienībā;

25)	“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (19) 1. panta 1. punkta b) apakšpunktā;

26)	“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata.

II NODAĻA

Principi

11. pants

Apstrāde, kurai nav nepieciešama identifikācija

1. Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu.

2. Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 15.–20. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt.

III NODAĻA

Datu subjekta tiesības

1. iedaļa

Pārredzamība un izmantošanas kārtība

13. pants

Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta

1. Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami;

2. Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

c)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)	tiesības iesniegt sūdzību uzraudzības iestādei;

e)	informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

f)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

4. Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

14. pants

Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta

1. Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	attiecīgo personas datu kategorijas;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

2. Papildus 1. punktā minētajai informācijai, pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

c)	tas, ka pastāv tiesības pieprasīt no pārziņa piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu un tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

d)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

e)	tiesības iesniegt sūdzību uzraudzības iestādei;

f)	informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem;

g)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Pārzinis 1. un 2. punktā minēto informāciju sniedz:

a)	saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;

b)	ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai

c)	vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.

4. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

5. Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

a)	informācija jau ir datu subjekta rīcībā;

izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ievērojot 89. panta 1. punktā minētos nosacījumus un garantijas, vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus. Šādos gadījumos pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu;

c)	iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai

d)	ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības vai dalībvalsts tiesību aktiem, ieskaitot statūtos noteiktu pienākumu glabāt noslēpumu.

33. pants

Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei

1. Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, kas ir kompetenta saskaņā ar 55. pantu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana uzraudzības iestādei nav notikusi 72 stundu laikā, paziņojumam pievieno kavēšanās iemeslus.

2. Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.

3. Paziņojumā, kas minēts 1. punktā, vismaz:

a)	apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;

b)	paziņo datu aizsardzības speciālista vārdu un uzvārdu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju;

c)	apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;

d)	apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.

4. Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

5. Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu.

58. pants

Pilnvaras

1. Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:

a)	izdot rīkojumu pārzinim un apstrādātājam, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai;

b)	veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas;

c)	veikt pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

d)	paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

e)	iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās uzdevumu veikšanai;

f)	iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības vai dalībvalsts procesuālajiem tiesību aktiem.

2. Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

a)	brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi;

b)	izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c)	izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

d)	izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

e)	izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

f)	uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

g)	izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 17. panta 2. punktu un 19. pantu;

h)	atsaukt sertifikātu vai izdot rīkojumu sertifikācijas struktūrai atsaukt sertifikātu, kurš izsniegts, ievērojot 42. un 43. pantu, vai izdot rīkojumu sertifikācijas struktūrai neizsniegt sertifikātu, ja nav izpildītas vai vairs netiek pildītas sertifikācijas prasības;

i)	piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem;

j)	izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas.

3. Katrai uzraudzības iestādei ir visas šādas atļauju izsniegšanas un padomdevēja pilnvaras:

a)	konsultēt pārzini saskaņā ar 36. pantā minēto iepriekšējas apspriešanās procedūru;

b)	pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, dalībvalsts valdībai vai – saskaņā ar dalībvalsts tiesību aktiem – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību;

c)	dot atļauju uzsākt apstrādi, kas minēta 36. panta 5. punktā, ja dalībvalsts tiesību aktos ir paredzēta šāda iepriekšēja atļauja;

d)	saskaņā ar 40. panta 5. punktu sniegt atzinumu par rīcības kodeksa projektu un to apstiprināt;

e)	akreditēt sertifikācijas struktūras saskaņā ar 43. pantu;

f)	izsniegt sertifikātus un apstiprināt sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

g)	pieņemt standarta datu aizsardzības klauzulas, kas minētas 28. panta 8. punktā un 4. panta 2. punkta d) apakšpunktā;

h)	apstiprināt līguma klauzulas, kas minētas 46. panta 3. punkta a) apakšpunktā;

i)	apstiprināt administratīvās vienošanās, kas minētas 46. panta 3. punkta b) apakšpunktā;

j)	apstiprināt saistošos uzņēmuma noteikumus saskaņā ar 47. pantu.

4. Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar hartu.

5. Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.

6. Katra dalībvalsts var ar tiesību aktiem paredzēt, ka tās uzraudzības iestādei ir vēl citas pilnvaras papildus tām, kas minētas 1., 2. un 3. punktā. Minēto pilnvaru īstenošana netraucē VII nodaļas efektīvai darbībai.

61. pants

Savstarpēja palīdzība

1. Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas.

2. Katra uzraudzības iestāde veic visus atbilstīgos pasākumus, kas nepieciešami, lai bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas atbildētu uz kādas citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgas informācijas par izmeklēšanas gaitu nosūtīšanu.

3. Palīdzības pieprasījumos ir norādīta visa nepieciešamā informācija, tostarp pieprasījuma nolūks un pamatojums. Apmaiņā iegūto informāciju izmanto tikai tam nolūkam, kādam tā tika pieprasīta.

4. Uzraudzības iestāde, kurai pieprasījums adresēts, neatsakās izpildīt pieprasījumu, izņemot, ja:

a)	pieprasījuma priekšmets vai pasākumi, kurus lūdz izpildīt, nav tās kompetencē; vai

b)	pieprasījuma izpilde pārkāptu šo regulu vai Savienības vai dalībvalsts tiesību aktus, ko piemēro uzraudzības iestādei, kura saņēmusi pieprasījumu.

5. Uzraudzības iestāde, kurai pieprasījums adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasījumu. Uzraudzības iestāde, kurai pieprasījums adresēts, ievērojot 4. punktu, paskaidro iemeslus jebkuram atteikumam izpildīt pieprasījumu.

6. Uzraudzības iestādes, kurām pieprasījums adresēts, parasti sniedz citu uzraudzības iestāžu pieprasīto informāciju elektroniskā veidā, izmantojot standarta formātu.

7. Uzraudzības iestādes, kurām pieprasījums adresēts, neprasa samaksu par darbībām, ko tās veikušas, ievērojot savstarpējās palīdzības pieprasījumu. Uzraudzības iestādes var vienoties par noteikumiem, kā savā starpā kompensēt īpašos izdevumus, kas radušies no savstarpējas palīdzības sniegšanas ārkārtas apstākļos.

8. Ja uzraudzības iestāde nesniedz šā panta 5. punktā minēto informāciju viena mēneša laikā pēc citas uzraudzības iestādes pieprasījuma saņemšanas, pieprasošā uzraudzības iestāde savas dalībvalsts teritorijā var pieņemt pagaidu pasākumu saskaņā ar 55. panta 1. punktu. Minētajā gadījumā tiek uzskatīts, ka saskaņā ar 66. panta 1. punktu ir steidzami jārīkojas un ir nepieciešams steidzams kolēģijas saistošs lēmums saskaņā ar 66. panta 2. punktu.

9. Komisija ar īstenošanas aktiem var noteikt formātu un procedūras savstarpējai palīdzībai, kas minēta šajā pantā, un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus, jo īpaši standarta formātu, kas minēts šā panta 6. punktā. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

97. pants

Komisijas ziņojumi

1. Komisija līdz 2020. gada 25. maijam un pēc tam reizi četros gados iesniedz šīs regulas novērtējuma un pārskata ziņojumus Eiropas Parlamentam un Padomei. Ziņojumus publisko.

2. Saistībā ar 1. punktā minētajiem novērtējumiem un pārskatiem Komisija jo īpaši pārbauda, kā tiek piemērota un darbojas:

a)	V nodaļa par personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, jo īpaši attiecībā uz lēmumiem, kas pieņemti saskaņā ar šīs regulas 45. panta 3. punktu, un lēmumiem, kas pieņemti, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu;

b)	VII nodaļa par sadarbību un konsekvenci.

3. Piemērojot 1. punktu, Komisija var pieprasīt informāciju no dalībvalstīm un uzraudzības iestādēm.

4. Veicot 1. un 2. punktā minētos novērtējumus un pārskatīšanu, Komisija ņem vērā Eiropas Parlamenta un Padomes viedokļus un atzinumus, un tos, kas iegūti no citām attiecīgajām struktūrām vai avotiem.

5. Komisija, ja nepieciešams, iesniedz atbilstīgus priekšlikumus, lai grozītu šo regulu, jo īpaši ņemot vērā informācijas tehnoloģiju attīstību un progresu informācijas sabiedrībā.

whereas

(34) Ģenētiskie dati būtu jādefinē kā tādi personas dati, kas attiecas uz fiziskas personas mantotām vai iegūtām ģenētiskajām pazīmēm un kas izriet no attiecīgās fiziskās personas bioloģiskā parauga analīzes, jo īpaši hromosomu, dezoksiribonukleīnskābes (DNS) vai ribonukleīnskābes (RNS) analīzes, vai no cita elementa analīzes, kas ļauj iegūt līdzvērtīgu informāciju.

- = -

(35) Personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kuri atspoguļo informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fiziskās vai garīgās veselības stāvokli.
Tas ietver tādu informāciju par fizisko personu, kas savākta, minēto fizisko personu reģistrējot veselības aprūpes pakalpojumu sniegšanai vai to sniegšanas laikā, kā minēts Eiropas Parlamenta un Padomes Direktīvā 2011/24/ES (9); skaitlis, simbols vai zīme, kas piešķirta fiziskai personai, lai to unikāli identificētu ar veselību saistītos nolūkos; informācija, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tostarp no ģenētiskiem datiem un bioloģiskiem paraugiem; un jebkāda informācija, piemēram, par slimību, invaliditāti, slimības risku, slimības vēsturi, klīnisko aprūpi vai par datu subjekta fizioloģisko vai biomedicīnisko stāvokli neatkarīgi no informācijas avota, piemēram, ārsta vai cita veselības aprūpes speciālista, slimnīcas, medicīniskās ierīces vai in vitro diagnostikas testa.

- = -

(57) Ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana.
Tomēr pārzinim nebūtu jāatsakās pieņemt papildu informāciju, ko sniedz datu subjekts, lai pamatotu savu tiesību īstenošanu.
Identifikācijai būtu jāietver datu subjekta digitāla identifikācija, piemēram, izmantojot autentifikācijas mehānismu, kurā lieto tos pašus akreditācijas datus, kurus datu subjekts izmanto, lai pieteiktos datu pārziņa piedāvātajiem tiešsaistes pakalpojumiem.

- = -

(106) Komisijai būtu jāuzrauga, kā darbojas lēmumi par aizsardzības līmeni trešā valstī, kādā teritorijā vai konkrētā nozarē trešā valstī, vai starptautiskā organizācijā, un jāuzrauga, kā darbojas lēmumi, kas pieņemti, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu vai 26. panta 4. punktu.
Savos lēmumos par aizsardzības līmeņa pietiekamību Komisijai būtu jāparedz periodiskas pārskatīšanas mehānisms attiecībā uz to darbību.
Minētā periodiskā pārskatīšana būtu jāveic, apspriežoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajā būtu jāņem vērā visi būtiskie notikumi trešā valstī vai starptautiskajā organizācijā.
Uzraudzības nolūkā un lai veiktu periodisko pārskatīšanu, Komisijai būtu jāņem vērā Eiropas Parlamenta un Padomes viedokļi un atzinumi, kā arī tie, kas iegūti no citām attiecīgajām struktūrām un avotiem.
Komisijai saprātīgā laikposmā būtu jāizvērtē pēdējo minēto lēmumu darbība un par visiem attiecīgajiem atzinumiem jāziņo komitejai Eiropas Parlamenta un Padomes Regulas (ES) Nr. 182/2011 (12) nozīmē, kā noteikts saskaņā ar šo regulu, Eiropas Parlamentam un Padomei.

- = -

(157) Sasaistot informāciju no reģistriem, pētnieki var iegūt jaunas vērtīgas zināšanas, par tādām plaši izplatītām veselības problēmām kā sirds un asinsvadu slimības, vēzis un depresija.
Balstoties uz reģistriem, pētījumu rezultāti var tikt uzlaboti, jo tie būs iegūti, balstoties uz lielāku iedzīvotāju skaitu.
Sociālo zinātņu jomā uz reģistriem balstīti pētījumi ļauj pētniekiem iegūt būtiskas zināšanas par dažādu sociālo apstākļu, piemēram, bezdarba situācijas un izglītības līmeņa ilgtermiņa saikni ar citiem dzīves apstākļiem.
Pētījumu rezultāti, kas iegūti no reģistriem, sniedz stabilas, augstas kvalitātes zināšanas, kas var radīt pamatu uz zināšanām balstītas politikas noteikšanai un īstenošanai, uzlabot dzīves kvalitāti daudziem cilvēkiem un uzlabot sociālo pakalpojumu efektivitāti.
Lai veicinātu zinātnisko pētniecību, personas datus var apstrādāt zinātniskās pētniecības nolūkos, ievērojot atbilstošus nosacījumus un garantijas, kas paredzēti Savienības vai dalībvalsts tiesību aktos.

- = -

(158) Ja personas datus apstrādā arhivēšanas nolūkos, šī regula būtu jāpiemēro arī minētajai apstrādei, paturot prātā, ka šī regula nebūtu jāpiemēro mirušu personu personas datiem.
Publiskām iestādēm vai publiskām vai privātām struktūrām, kuras glabā sabiedriskas nozīmes ierakstus, vajadzētu būt dienestiem, kuriem saskaņā ar Savienības vai dalībvalstu tiesību aktiem ir juridisks pienākums iegūt, saglabāt, novērtēt, kārtot, aprakstīt, paziņot, popularizēt, izplatīt ierakstus, kuriem ir pastāvīga vispārēja sabiedriska nozīme, un sniegt piekļuvi tiem.
Dalībvalstīm turklāt vajadzētu būt pilnvarotām paredzēt turpmāku personas datu apstrādi arhivēšanas nolūkos, piemēram, nolūkā sniegt konkrētu informāciju saistībā ar politisko izturēšanos bijušo totalitāro valsts režīmu laikā, genocīdu, noziegumiem pret cilvēci, jo īpaši holokaustu, vai kara noziegumiem.

- = -

dal 2004 diritto e informatica